shattered.io \u00e8 un sito indipendente che spiega in modo chiaro la crittografia, la sicurezza informatica, la privacy e la tecnologia alla base dei sistemi provabilmente equi (provably fair). Il nome del dominio non \u00e8 casuale: questo indirizzo \u00e8 la sede storica della ricerca SHAttered del 2017, il lavoro che dimostr\u00f2 per la prima volta, nella pratica, una collisione della funzione di hash SHA-1.<\/p>\n
Il nostro obiettivo \u00e8 semplice. Vogliamo prendere argomenti tecnici che spesso sembrano riservati agli specialisti e renderli accessibili a chiunque abbia curiosit\u00e0 e voglia di capire come funzionano davvero le cose. Niente promesse esagerate, niente slogan: solo spiegazioni oneste, verificate e scritte in italiano corrente.<\/p>\n
Il 23 febbraio 2017 un gruppo di ricercatori del CWI di Amsterdam (il centro nazionale olandese per la matematica e l’informatica) insieme a Google annunci\u00f2 un risultato che molti esperti attendevano da anni. Per la prima volta erano riusciti a produrre una collisione pratica per la funzione di hash SHA-1. Il progetto prese il nome di SHAttered, un gioco di parole tra “SHA” e l’inglese “shattered”, cio\u00e8 frantumato.<\/p>\n
Per capire la portata della cosa serve un piccolo passo indietro. Una funzione di hash prende un file di qualsiasi dimensione e ne calcola una specie di impronta digitale, una stringa corta di caratteri. In teoria, due file diversi non dovrebbero mai produrre la stessa impronta. Quando questo accade, si parla di collisione, e una collisione manda in crisi tutte le garanzie di sicurezza costruite su quella funzione.<\/p>\n
I ricercatori non si limitarono a una dimostrazione teorica. Costruirono due file PDF diversi, con contenuto visibile diverso, che per\u00f2 condividevano esattamente la stessa impronta SHA-1: il valore 38762cf7f55934b34d179ae6a4c80cadccbb7f0a. I due documenti restano distinguibili con una funzione pi\u00f9 moderna come SHA-256, ma per SHA-1 risultano identici. \u00c8 la prova concreta che quella funzione non poteva pi\u00f9 essere considerata sicura per gli usi che dipendono dall’unicit\u00e0 dell’impronta.<\/p>\n
Le funzioni di hash sono ovunque, anche se raramente le notiamo. Stanno dietro le firme digitali, i certificati che proteggono i siti web, i sistemi di aggiornamento del software e i controlli di integrit\u00e0 dei file. Quando firmi digitalmente un documento, in realt\u00e0 firmi la sua impronta. Se un aggressore riesce a creare un secondo documento con la stessa impronta, pu\u00f2 sostituirlo al primo e la firma continuer\u00e0 a sembrare valida.<\/p>\n
Lo stesso ragionamento vale per i certificati. Un’autorit\u00e0 che firma il certificato di un sito legittimo potrebbe, in presenza di una collisione, vedere quella firma riutilizzata per un certificato fraudolento. Anche gli aggiornamenti software sono a rischio: molti sistemi verificano l’impronta di un pacchetto prima di installarlo, e una collisione apre la porta a contenuti manomessi. Per questo il risultato del 2017 spinse l’intero settore ad abbandonare SHA-1 pi\u00f9 in fretta, a favore di alternative come SHA-256.<\/p>\n
Chi vuole esaminare la prova in prima persona pu\u00f2 scaricare i materiali originali. I due PDF in collisione e l’articolo scientifico completo restano disponibili a questi indirizzi:<\/p>\n
I due file appaiono diversi quando li apri, eppure restituiscono la stessa impronta SHA-1. \u00c8 un modo molto diretto per toccare con mano un concetto che, descritto a parole, pu\u00f2 sembrare astratto. Vale la pena ricordare che produrre quella collisione richiese una quantit\u00e0 enorme di calcolo: secondo i ricercatori furono necessari oltre nove trilioni di operazioni di compressione SHA-1, un’impresa fuori dalla portata di un singolo computer ma ormai realistica per chi disponga di risorse adeguate. Proprio per questo il risultato non era solo curioso, era un avvertimento concreto sul fatto che la funzione andava ritirata.<\/p>\n
A partire da questa eredit\u00e0, shattered.io raccoglie guide e approfondimenti su crittografia applicata, protezione dei dati personali, buone pratiche di sicurezza e meccanismi di verifica come quelli usati nei sistemi provabilmente equi. Ogni argomento \u00e8 trattato con lo stesso spirito: prima i fatti, poi le spiegazioni, con riferimenti alle fonti quando servono.<\/p>\n
Vi invitiamo a esplorare le sezioni del sito, a leggere gli articoli che vi incuriosiscono di pi\u00f9 e a tornare quando avete una domanda. La sicurezza informatica riguarda tutti, non solo gli addetti ai lavori, e crediamo che capirla sia il primo passo per usarla bene.<\/p>\n","protected":false},"excerpt":{"rendered":"
Benvenuti su shattered.io shattered.io \u00e8 un sito indipendente che spiega in modo chiaro la crittografia, la sicurezza informatica, la privacy e la tecnologia alla base dei sistemi provabilmente equi (provably\u2026<\/p>\n","protected":false},"author":0,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"footnotes":""},"class_list":["post-6","page","type-page","status-publish","hentry"],"_links":{"self":[{"href":"https:\/\/shattered.io\/it\/wp-json\/wp\/v2\/pages\/6","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/shattered.io\/it\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/shattered.io\/it\/wp-json\/wp\/v2\/types\/page"}],"replies":[{"embeddable":true,"href":"https:\/\/shattered.io\/it\/wp-json\/wp\/v2\/comments?post=6"}],"version-history":[{"count":1,"href":"https:\/\/shattered.io\/it\/wp-json\/wp\/v2\/pages\/6\/revisions"}],"predecessor-version":[{"id":17,"href":"https:\/\/shattered.io\/it\/wp-json\/wp\/v2\/pages\/6\/revisions\/17"}],"wp:attachment":[{"href":"https:\/\/shattered.io\/it\/wp-json\/wp\/v2\/media?parent=6"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}