Ogni volta che vedi un piccolo lucchetto nella barra degli indirizzi del tuo browser Internet, così come quando usi le app, e-mail e messaggistica, ti affidi a qualcosa chiamato "sicurezza del livello di trasporto" o TLS. È un protocollo che ci tiene al sicuro online.

Dietro quel lucchetto c'è un codice crittografico che garantisce la sicurezza dei dati che passano tra te e, Per esempio, il sito web che stai guardando.

Infatti, TLS garantisce la sicurezza su tre fronti:autenticazione, crittografia e integrità. Autenticazione, in modo che i tuoi dati vadano dove pensi che stiano andando; crittografia, in modo che non vada da nessun'altra parte; e integrità, in modo che non venga manomesso durante il viaggio.

"È il protocollo di sicurezza più diffuso su Internet, assicurando essenzialmente ogni transazione di e-commerce, "Eric Rescorla, chief technology officer presso la società tecnologica statunitense Mozilla, ha detto a Horizon tramite e-mail.

Nei due decenni precedenti al 2018 ci sono state cinque revisioni di TLS per tenere il passo con la sofisticatezza degli attacchi online. Dopo di che, molti esperti credevano che l'ultima incarnazione, TLS1.2, era abbastanza sicuro per il prossimo futuro, fino a quando non sono arrivati ​​ricercatori come il Dr. Karthikeyan Bhargavan e i suoi colleghi dell'Istituto nazionale francese per la ricerca nella scienza e tecnologia digitale (INRIA) a Parigi.

impalcatura

Come parte di un progetto chiamato CRYSP, i ricercatori hanno lavorato su modi per migliorare la sicurezza delle applicazioni software. Generalmente, gli sviluppatori di software si affidano a TLS come un costruttore fa affidamento su un'impalcatura, in altre parole, danno per scontata la sua sicurezza.

Per migliorare la sicurezza a livello di software, però, Il Dr. Bhargavan e colleghi hanno dovuto verificare a fondo che le ipotesi sottostanti su TLS1.2 - che non avesse gravi difetti - fossero giustificate.

"Ad un certo punto, ci siamo resi conto che non lo erano, " Egli ha detto.

Dopo aver scoperto alcune linee di codice traballanti, i ricercatori hanno lavorato con Microsoft Research e hanno assunto il ruolo di hacker, eseguire alcuni attacchi simulati al protocollo per testare l'entità della sua vulnerabilità. Gli attacchi hanno rivelato che era possibile essere un "uomo nel mezzo" tra un utente di Internet e un fornitore di servizi, come Google, e quindi rubare i dati di quell'utente.

"Dovrebbe essere una sequenza di azioni abbastanza complessa, " ha spiegato il dottor Bhargavan. "In genere, la persona nel mezzo dovrebbe inviare strani messaggi a ciascun attore per attirarli in una parte difettosa del codice".

"Se, come la persona nel mezzo, ho avuto successo, Potrei potenzialmente rubare i dettagli di pagamento di qualcuno, " ha continuato. "Oppure potrei fingere di essere Apple o Google, e scaricare (inserire) malware tramite un aggiornamento software per accedere ai computer delle persone".

grave minaccia

Un hacker del genere avrebbe bisogno di grande esperienza e potenza di calcolo, quello di un ente governativo, Per esempio, nonché l'accesso ad alcune delle infrastrutture fisiche vicine agli attori chiave. Tuttavia, l'Internet Engineering Task Force (IETF), un'organizzazione internazionale che promuove gli standard di Internet, ha giudicato la minaccia sufficientemente grave da giustificare una nuova versione del protocollo crittografico.

Il Dr. Bhargavan sottolinea che non era l'unico informatico a richiedere la revisione. C'erano altri quattro o cinque gruppi di ricerca che hanno portato alla luce problemi con l'attuale protocollo, spingendosi l'un l'altro, lui dice, in una sana rivalità.

Ancora, dice che il suo gruppo ha scoperto alcuni dei difetti più sorprendenti in TLS1.2, che secondo lui potrebbero essere stati gli "ultimi chiodi nella bara" per il protocollo.

Il suo gruppo faceva anche parte di un'ampia collaborazione all'interno della comunità di Internet, supervisionato da un gruppo di lavoro IETF, per costruire il più sicuro, e successore man-in-the-middle che è TLS 1.3, utilizzando algoritmi e tecniche moderne. "Il dottor Bhargavan è stato un attore chiave in questo sforzo, " ha detto Rescorla che ha supervisionato TLS presso l'IETF al momento del lavoro.

TLS 1.3 è stato lanciato ufficialmente nell'agosto 2018. Da allora è stato implementato dai principali browser Internet come Mozilla Firefox e Google Chrome.

Di conseguenza, quanto sono più sicuri gli utenti di Internet?

Errore umano

È vero che per la maggior parte delle violazioni della sicurezza online, TLS non è da biasimare. Generalmente, i dati personali finiscono nelle mani sbagliate a causa di bug nel software, su cui stava lavorando il gruppo del Dr. Bhargavan, o di errori umani.

Ma il Dr. Bhargavan crede che ci sia rassicurazione nel sapere che il protocollo sottostante è sicuro. "Non è tutto, ma finché fai clic su quel lucchetto hai una certa sicurezza sulla sicurezza:è la cosa più elementare, " Egli ha detto.

Oltretutto, gli utenti di Internet non sono solo preoccupati per gli hacker. Dal 2013, e le fughe di notizie di Edward Snowden, un ex dipendente di un appaltatore della National Security Agency degli Stati Uniti, molte persone sono preoccupate per la quantità di dati personali accumulati dall'intelligence statale e dalle grandi imprese.

Progettato pensando alle rivelazioni di Snowden, TLS 1.3 chiude la porta ad alcuni tipi di questo monitoraggio pervasivo basato sulla rete attraverso la crittografia dei dati utente e dei metadati. Impedisce anche la decrittazione retrospettiva, uno dei punti deboli della versione precedente.

C'è stata una lunga discussione nel gruppo di lavoro IETF sul fatto che prevenire la sorveglianza fosse uno degli obiettivi di TLS, dice il dottor Bhargavan. "E alla fine la risposta è stata positiva, " Egli ha detto.

Ora il Dr. Bhargavan sta tornando alla questione della sicurezza del software. Ritiene che la maggior parte delle vulnerabilità rimanenti possa essere eliminata in fase di progettazione.

verificato

Per fare questo, lui e i suoi colleghi stanno costruendo una biblioteca, HAC*, di codice crittografico completamente verificato, a cui altri sviluppatori possono attingere durante la creazione di nuovo software. In questo progetto, noto come CIRCO, stanno anche creando un paradigma di riferimento facile da seguire che dice agli sviluppatori come mettere insieme il software senza introdurre problemi di sicurezza.

Il software ad alta affidabilità che ne risulta è già stato adottato dagli sviluppatori di Mozilla e Microsoft, tra gli altri. "Vogliamo che tutti seguano queste tecniche, " ha detto il dottor Bhargavan.

In definitiva, il suo obiettivo non è proteggere tutto online, ma per trovare i punti più sicuri all'interno dei nostri sistemi informatici altamente complessi. "Non credo che arriveremo mai a un punto in cui tutto sarà verificato, " Egli ha detto, 'ma possiamo trovare il cestino più sicuro in cui possiamo mettere le nostre chiavi, password e dati finanziari."