RSA, azienda fondata nel 1982 dagli ideatori dell’algoritmo RSA, oggi divisione di EMC, ha comunicato di aver subìto un furto. Il fatto è considerato piuttosto grave da parte degli esperti, perché – stando a quanto è possibile apprendere leggendo la lettera aperta a firma di Art Coviello, presidente esecutivo della società – alcuni aggressori, al momento sconosciuti, avrebbero sottratto informazioni confidenziali sul funzionamento della tecnologia SecurID.
I dettagli resi noti da Coviello sono pochi e frammentari: ci si limita però ad osservare che i dati sottratti potrebbero contribuire a ridurre l’efficacia dell’algoritmo di autenticazione “a doppio fattore” utilizzata in SecurID.
La notizia dell’aggressione “in casa” di RSA ha destato grande scalpore dal momento che token SecurID sono impiegati, ad esempio, nelle chiavette fornite dai più grandi istituti di credito ai propri clienti quale misura aggiuntiva per l’accesso ai conti bancari online.
Per autenticarsi su un servizio remoto, infatti, gli utenti fanno uso di una password e di un numero che viene generato in hardware dalla chiavetta SecurID. Ogni token genera, in modo pseudo-casuale, una sequenza di cifre; ogni 60 secondi viene prodotto un nuovo numero. Il numero inserito nella pagina web per l’effettuazione della procedura di autenticazione deve corrispondere al numero che il server remoto, ad esempio quello dell’istituto bancario, si aspetta venga di volta in volta introdotto. In questo modo, viene data prova che l’utente conosce non soltanto la password corretta ma è anche in possesso del token ossia della chiavetta. Ciascuno di questi dispositivi sfrutta un “seed” lungo 128 bit per inizializzare la procedura di generazione delle sequenze numeriche. Lato server, ciascun account utente viene associato col “seed” impiegato dalla rispettiva chiavetta.
Essendo piuttosto scarni i dettagli tecnici circa le informazioni “trafugate” dai sistemi di RSA, nel caso peggiore – come spiegano gli esperti – potrebbe diventare più semplice, per gli aggressori, risalire alle sequenze numeriche corrette senza disporre del token hardware. La situazione diverrebbe ancor più pericolosa, però, se dovesse essere individuata qualche “debolezza” nell’algoritmo che sovrintende la generazione dei numeri.