\u00c8 stata accolta con grande entusiasmo la notizia delle scorse settimane secondo la quale gli utenti di Google e Apple vedranno maggiormente protetti i propri dati nelle ultime versioni dei rispettivi sistemi operativi. Grazie alla crittografia implementata, ancora pi\u00f9 potente rispetto alle precedenti, neanche le stesse case produttrici potranno decifrare in locale i dati immagazzinati dagli utenti.<\/p>\n
Crittografia di default<\/strong><\/p>\n Le forze per la sicurezza nazionale non saranno contente di questa nuova realt\u00e0 in quanto, anche con un mandato o un\u2019autorizzazione, non potranno decifrare i dati degli utenti immagazzinati in locale. Per questo stanno cercando di spaventare l\u2019opinione pubblica (apportando casi di terrorismo o pedofilia) per fare in modo che la crittografia venga considerata pericolosa e dannosa<\/a>.<\/p>\n Nel frattempo, coloro che difendono la privacy e la sicurezza hanno ben accolto questi nuovi sistemi di crittografia del disco<\/a>, che consentono agli utenti di proteggere per davvero i dati sul proprio telefono.<\/p>\n Alcuni considerano questa scelta piuttosto azzardata, altri la vedono come una reazione alla situazione odierna in cui \u00e8 troppo facile per i governi raccogliere informazioni degli utenti a fini giudiziari senza il minimo controllo.<\/p>\n La nuova versione di #Android di #Google, cos\u00ec come #iOS di #Apple, consente di default di cifrare tutti i dati<\/p>Tweet<\/a><\/blockquote>\n In un altro articolo, all\u2019inizio del mese, abbiamo parlato del nuovo sistema di crittografia adottato da Apple; se vi interessa l\u2019aspetto del rapporto tra dati e forze di sicurezza, vi consigliamo di leggerlo. In questo post, invece, ci dedicheremo agli aspetti tecnici del sistema crittografico implementato da Google sul suo nuovo Android Lollipop, conosciuto anche come \u201cAndroid 5.0\u201d o \u201cAndroid L\u201d (L \u00e8 sia 50 in numeri romani sia l\u2019iniziale della parola \u201cLollipop\u201d).<\/p>\n Breve storia della crittografia su Android<\/strong><\/p>\n Secondo Nikolay Eleknov di Android Explorations<\/a>, fin da Android 3.0 gli utenti (Honeycomb)hanno la possibilit\u00e0 di avvalersi della crittografia completa del disco (FDE). Tale possibilit\u00e0 \u00e8 rimasta disponibile fino a quando Google ha rafforzato ulteriormente il sistema crittografico per Android 4.4. Rafforzamento ancora maggiore con Android L ma, la cosa pi\u00f9 importante, \u00e8 che per la prima volta su Android 5.0 la crittografia completa del disco \u00e8 di default.<\/p>\n Il primo schema di crittografia utilizzato da Google su Android era apparentemente piuttosto sicuro. Tuttavia, arrivati all\u2019implementazione sul software, come spesso accade<\/a>, si sono rese evidenti le sue debolezze. Nello specifico, l\u2019affidabilit\u00e0 del sistema di crittografia dipende quasi interamente dal grado di complessit\u00e0 della passphrase e dalle reazioni del sistema a eventuali attacchi di forza bruta.<\/p>\n http:\/\/instagram.com\/p\/ptPZ2dv0Fj\/<\/p>\n \u201cSe la passphrase \u00e8 sufficientemente lunga e complessa, potrebbero volerci anni per portare a termine un attacco di forze bruta su una master key criptata\u201d, ci spiega Elenkov. \u201cTuttavia, poich\u00e9 Android ha deciso utilizza il PIN per bloccare lo schermo o la password (la cui lunghezza massima pu\u00f2 essere di 16 caratteri) per proteggere anche i dati criptati, \u00e8 probabile che la maggior parte degli utenti utilizzeranno delle password di non grande complessit\u00e0 per proteggere la crittografia del disco\u201d.<\/p>\n In sostanza, su Android la forza (o la debolezza) del sistema di crittografia del disco dipende direttamente dal grado di complessit\u00e0 della password<\/a> scelta per il blocco schermo. E sappiamo quanto spesso impostiamo per pigrizia delle password troppo deboli.<\/p>\n Un meccanismo interno renderebbe molto difficili gli attacchi di forza bruta in quanto sarebbe concesso solo un numero limitato di tentativi di accesso<\/a>. Ovviamente Elenkov ha aggirato anche questo ostacolo. Se volete, potete leggere il suo articolo e addentrarvi nei dettagli tecnici. Comunque sia, sappiate che esiste un modo di bypassare mediante attacchi di forza bruta i codici PIN o le password e decifrare i dati contenuti nei dispositivi Android.<\/p>\n Vogliamo ribadire che attacchi di questo tipo sono pi\u00f9 difficili da eseguire se si imposta una password robusta. Le normali password da 4 a 6 caratteri possono essere decifrate letteralmente in pochi secondi.<\/p>\n Hashkill now cracks Android FDE images master password. Speed is ~135k on 6870, ~270k\/s on 7970. Android FDE is weak. pic.twitter.com\/mhcvEuEP48<\/a><\/p>\n