So che abbiamo già avuto alcuni difetti in SSL / TLS, come Heartbleed, POODLE, FREAK e altri, ma tutti questi erano problemi piuttosto localizzati:
- Heartbleed era un bug facilmente sfruttabile in OpenSSL, un'implementazione specifica;
- POODLE era un attacco di temporizzazione su SSL3, che è obsoleto;
- FREAK è stato un attacco alle suite di esportazione, una vulnerabilità deliberata causata dalla legislazione.
Tuttavia, supponiamo di avere un difetto con le seguenti proprietà:
- Inizialmente era già presente in TLS 1.0, ma non è stato rilevato per tutto questo tempo e non è stato rimosso in 1.1 o 1.2.
- Il difetto è nelle specifiche e non dipende dall'implementazione;
- Il difetto è una carenza fondamentale nelle specifiche e una semplice correzione dell'aiuto di banda non è sufficiente.
- Il difetto è facilmente sfruttabile da qualsiasi utente malintenzionato per abilitare l'ascolto su una connessione crittografata in tempo reale.
Ora, non ho familiarità con le specifiche TLS per sapere se e dove un tale difetto è possibile (e spero che tale difetto non sia presente), ma anche con tutto il controllo che la specifica TLS è stata sottoposta a, non è impossibile al 100%.
Nel caso in cui un difetto con le proprietà di cui sopra dovesse essere scoperto prima della fine dell'anno, quale sarebbe la conseguenza per Internet?