Cosa succede se si scopre che TLS presenta un difetto critico? [chiuso]

-1

So che abbiamo già avuto alcuni difetti in SSL / TLS, come Heartbleed, POODLE, FREAK e altri, ma tutti questi erano problemi piuttosto localizzati:

  1. Heartbleed era un bug facilmente sfruttabile in OpenSSL, un'implementazione specifica;
  2. POODLE era un attacco di temporizzazione su SSL3, che è obsoleto;
  3. FREAK è stato un attacco alle suite di esportazione, una vulnerabilità deliberata causata dalla legislazione.

Tuttavia, supponiamo di avere un difetto con le seguenti proprietà:

  1. Inizialmente era già presente in TLS 1.0, ma non è stato rilevato per tutto questo tempo e non è stato rimosso in 1.1 o 1.2.
  2. Il difetto è nelle specifiche e non dipende dall'implementazione;
  3. Il difetto è una carenza fondamentale nelle specifiche e una semplice correzione dell'aiuto di banda non è sufficiente.
  4. Il difetto è facilmente sfruttabile da qualsiasi utente malintenzionato per abilitare l'ascolto su una connessione crittografata in tempo reale.

Ora, non ho familiarità con le specifiche TLS per sapere se e dove un tale difetto è possibile (e spero che tale difetto non sia presente), ma anche con tutto il controllo che la specifica TLS è stata sottoposta a, non è impossibile al 100%.

Nel caso in cui un difetto con le proprietà di cui sopra dovesse essere scoperto prima della fine dell'anno, quale sarebbe la conseguenza per Internet?

    
posta Nzall 30.10.2015 - 23:31
fonte

1 risposta

4

Probabilmente lo stesso di tutti gli altri. Ci sarà un breve panico, probabilmente un sacco di notizie, e nel frattempo i produttori di browser, gli implementatori di TLS o entrambi troveranno un approccio per correggere o mitigare il problema (es. BEAST) e fare del loro meglio per farlo distribuire ampiamente.

    
risposta data 30.10.2015 - 23:34
fonte

Leggi altre domande sui tag