Προσθήκη σχολίου (55 σχόλια)

Ανάμεσα στα έγγραφα της συμφωνίας μεταξύ Ε.Ε. και Ηνωμένου Βασιλείου επισημαίνονται επίσης και παλιά πρότυπα κρυπτογράφησης.

Η τεράστια συμφωνία της τελευταίας στιγμής που θα διέπει τις εμπορικές σχέσεις μεταξύ του Ηνωμένου Βασιλείου και της Ευρωπαϊκής Ένωσης οριστικοποιήθηκε. Ωστόσο, ορισμένοι ερευνητές ασφαλείας βρήκαν κάποιες παράξενες πτυχές της συμφωνίας που συμπεριλαμβάνουν το 23 ετών λογισμικό Netscape Communicator αλλά και ξεπερασμένα πρότυπα κρυπτογράφησης.

Οι αναφορές γίνονται σε μια σειρά κανονισμών σχετικά με την κρυπτογράφηση και αποστολή μηνυμάτων που περιέχουν πληροφορίες DNA μεταξύ των χωρών. Πληροφορίες οι οποίες πρέπει να χρησιμοποιούν ένα συγκεκριμένο σύνολο πρωτοκόλλων κρυπτογράφησης.

Το ανοιχτό πρότυπο s/MIME ως επέκταση του τυπικού SMTP θα χρησιμοποιηθεί για την κρυπτογράφηση μηνυμάτων που περιέχουν πληροφορίες προφίλ DNA. Το πρωτόκολλο s/MIME (v3) επιτρέπει υπογεγραμμένες αποδείξεις, ετικέτες ασφαλείας και ασφαλείς λίστες αλληλογραφίας. Το υποκείμενο πιστοποιητικό που χρησιμοποιείται από τον μηχανισμό s/MIME πρέπει να συμμορφώνεται με το πρότυπο X.509.

Οι κανόνες επεξεργασίας για s/MIME κρυπτογράφηση έχουν ως εξής:

  1. Η ακολουθία των λειτουργιών είναι: Πρώτα η κρυπτογράφηση έπειτα υπογραφή
  2. Ο αλγόριθμος κρυπτογράφησης AES (Advanced Encryption Standard) με κλειδί 256-bit και RSA 1024-bit εφαρμόζεται για συμμετρική και ασύμμετρη κρυπτογράφηση
  3. Εφαρμόζεται ο αλγόριθμος hash SHA-1

Η λειτουργικότητα s/MIME είναι ενσωματωμένη στη συντριπτική πλειονότητα των σύγχρονων πακέτων λογισμικού ηλεκτρονικού ταχυδρομείου, όπως το Outlook, το Mozilla Mail καθώς και το Netscape Communicator 4.x και λειτουργεί μεταξύ όλων των μεγάλων πακέτων λογισμικού ηλεκτρονικού ταχυδρομείου.

Ο πραγματικός αντίκτυπος των παραπάνω στις επιχειρήσεις είτε της ΕΕ είτε του Ηνωμένου Βασιλείου είναι πιθανό να είναι μικρός. Το Netscape Communicator αναφέρεται απλά ως παράδειγμα που υποστηρίζει το s/MIME. Ωστόσο, η χρήση ξεπερασμένων προτύπων κρυπτογράφησης είναι λίγο πιο ανησυχητική, αφού όπως επισημαίνει η ιστοσελίδα Hackaday, ο hash αλγοριθμος SHA-1 έχει ουσιαστικά σπάσει από το 2017, ενώ η κρυπτογράφηση RSA 1024-bit είναι ευάλωτη σε επιθέσεις brute force από ισχυρούς σύγχρονους υπολογιστές.

Όπως επισημαίνει το BBC, τα ίδια κείμενα εμφανίζονται επίσης και σε ένα έγγραφο της ΕΕ του 2008, το οποίο φαίνεται να δείχνει ότι οι νομοθέτες χρησιμοποίησαν παλιό υλικό για τη νέα συνθήκη των 1256 σελίδων και ενδεχομένως να μην το διάβασαν πολύ προσεκτικά. Όπως σχολίασε ο καθηγητής Bill Buchanan (ένας από τους πρώτους που παρατήρησε το παλιό υλικό), το κείμενο μοιάζει με ένα κλασσικό copy/paste και χωρίς επαρκή κατανόηση των τεχνικών λεπτομερειών.

Τώρα κάποιοι θα πουν γιατί η ΕΕ θεώρησε το Netscape Communicator 4 μια χρήσιμη εφαρμογή το 2008, όταν αυτό ενημερώθηκε τελευταία φορά το 2002. Είναι απολύτως πιθανό ότι και το κείμενο του 2008 να δανείστηκε μέρη από ένα παλαιότερο, όταν το Netscape ήταν ακόμη σχετικό. Φυσικά, τίποτα από τα παραπάνω δεν θα αντιστρέψει την κατάσταση μεταξύ ΕΕ και Ηνωμένου Βασιλείου. Σε κάθε περίπτωση, δεδομένου ότι μιλάμε για μία μεγάλη συμφωνία με μεγάλο αντίκτυπο, καλό θα ήταν να βασίζονταν σε κάτι λίγο πιο σύγχρονο από το Netscape Communicator 4, τουλάχιστον για την ανταλλαγή αποτελεσμάτων DNA.

  • Confused 1
  • Sad 1