10/12/2016
Windows XP, SHA-1 e i problemi di sicurezza
Scritto da Claudio Panerai.
A partire dal 2017 Microsoft non supporterà più SHA-1.
Cosa c’entra SHA-1 con il sistema operativo di Redmond e perché "tiriamo nuovamente in ballo" Windows XP?
C’è un legame importante fra questi due attori perché si avvicina una scadenza: a fine 2016 Windows XP e Windows 2003 non saranno più in grado di fare alcune cose o far girare alcune applicazioni a causa di un algoritmo che “muore”.
Non saranno più in grado soprattutto di lavorare o far girare applicazioni in ambito di sicurezza.
Vediamo perché e partiamo dal principio.
Iniziamo dallo SHA-1 che è un noto algoritmo di crittografia, troppo noto ahimè visto che ormai ne viene seriamente sconsigliato l’utilizzo e sarà considerato non più valido nell’anno 2017.
Seriamente sconsigliato significa che il meccanismo base dello SHA-1 è, oggi, facilmente violabile da un attacco mirato.
Di SHA ne esistono diverse versioni ed evoluzioni, e se vuoi approfondire qui trovi pane per i tuoi denti.
Tornando al problema, dal 14/02/2017 i certificati generati mediante SHA-1 non saranno più considerati validi, e questo sarà vero sia per i siti sia per le firme digitali delle applicazioni che vengono installate. Microsoft stessa ne parla pubblicamente sulle sue piattaforme.
Ora, i sistemi operativi Windows e le sue applicazioni utilizzano diverse versioni di SHA, ad esempio, per la verifica dell'integrità di un certificato.
Quando navighi su un portale come quelli bancari o di commercio elettronico, è presente un certificato che è stato “firmato” con un algoritmo come SHA.
Quindi nelle operazioni quotidiane tu hai a che fare con SHA, anche se non lo sai.
Windows XP e Windows 2003 ancora piuttosto diffusi, oltre a essere non più supportati da Microsoft da molto tempo, non sono in grado di utilizzare evoluzioni più sicure di questo algoritmo come SHA-2 o SHA-256 se non in alcune circostanze ben precise e tramite l’applicazione di aggiornamenti.
Lo riscrivo, più semplicemente: XP e 2003 potrebbero non essere più in grado di eseguire applicazioni di sicurezza o farti navigare su alcuni siti web.
Mi aspetto che, come sempre, gli irriducibili sostenitori di Windows XP non vorranno cedere nemmeno di fronte a questo scoglio.
Sei anche tu uno di questi?
Oppure devi (giocoforza) farci i conti?
In questo caso come minimo devi:
aggiornare tutti i Windows XP alla Service Pack 3 (che supporta SHA-2)
aggiornare Windows 2003 alla service Pack 2 e in più installare la hotfix resa disponibile da Microsoft.
Ma anche fatto ciò non potrai dormire sonni tranquilli: se infatti con queste operazioni di aggiornamento formalmente viene fornito supporto ai certificati successivi a SHA-1, si tratta pur sempre di sistemi operativi non più supportati e, in caso di malfunzionamento e problemi, nessuno (Microsoft compreso) ne risponderà.
Questo è un ulteriore (serio) motivo per abbandonare questi sistemi operativi.
Condividi!
