Le Raccomandazioni Agid in merito allo standard Transport Layer Security (TLS)

Scarica PDF Stampa
 

Agenzia per l’Italia Digitale: Determinazione n. 471 del 5 novembre 2020

Premessa

La Transport Layer Security (TLS) è un protocollo di sicurezza che permette di stabilire un canale con le proprietà di integrità e riservatezza in senso crittografico tra un client e un server. Con il termine “client”, ci si riferisce genericamente a un qualsiasi componente software (per esempio un browser, come internet explorer o mozilla o chrome) presente tipicamente all’interno di un computer o di un altro dispositivo, il quale accede ai servizi di un server, attraverso l’uso di determinati protocolli di comunicazione.

Dopo aver stabilito una connessione sicura tramite il protocollo TLS, le applicazioni (client) possono utilizzarla per scambiare i dati con il server e con altre applicazioni.

Le versioni ad oggi disponibili di tale sistema, sono 4: TLS 1.3, TLS 1.2, TLS 1.1, TLS 1.0.

Naturalmente, la crittografia di tali sistemi di comunicazione sono fondamentali per garantire la integrità dei dati che vengono scambiati dalle applicazioni nonché per la loro riservatezza. In quanto l’uso di sistemi vulnerabili e attaccabili da soggetti esterni, determinerebbe la modifica della integrità dei dati scambiati o comunque la loro conoscibilità da parte di detti soggetti esterni (detti anche “attaccanti”).

In considerazione di ciò, l’Agenzia per l’Italia Digitale (AGID) ha emanato delle Raccomandazioni relative ai suddetti protocolli di sicurezza TLS e alle Cipher Suite (le quali ultime sono definibili come un insieme di algoritmi che vengono utilizzati per rendere sicuri i collegamenti di rete basati sul protocollo TLS).

Volume consigliato

I rischi nel trattamento dei dati – e-Book in pdf

L’ebook analizza gli aspetti pratici dell’attività di analisi dei rischi connessi al trattamento dei dati, partendo dal quadro normativo e fornendo risposte alle principali FAQ in materia di DPIA.Michele IaselliAvvocato, Funzionario del Ministero della Difesa, Docente a contratto di Informatica giuridica all’Università di Cassino e Collaboratore della cattedra di Informatica giuridica alla LUISS ed alla Federico II. Inoltre è Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore di numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di Privacy, Informatica giuridica e Diritto dell’informatica con le principali case editrici. 

Michele Iaselli | 2021 Maggioli Editore

9.90 €  8.42 €

Le Raccomandazioni dell’AGIID

Nelle proprie raccomandazioni, l’Agenzia per l’Italia Digitale ha affermato alcuni concetti base che devono essere rispettati per garantire la integrità e la riservatezza dei dati.

In primo luogo, ha chiarito che il TLS 1.0 e 1.1 sono protocolli ormai obsoleti che non supportano i moderni algoritmi crittografici, sono quindi vulnerabili ad attacchi e da ritenersi pertanto disapprovati dall’Agenzia.

La crittografia del sistema TLS può avvenire attraverso l’uso di varie suite di crittografia. In particolare, una suite di cifratura definisce una combinazione di algoritmi per lo scambio di chiavi e per fornire riservatezza e integrità della sessione nel corso di uno scambio di messaggi. In altri termini, la suite di cifratura è un insieme di algoritmi che vengono utilizzati per rendere sicuri i collegamenti di rete.

Nel momento in cui avviene la negoziazione di una sessione TLS, il client propone una serie di cipher suite al server che ne sceglie una.

Le suite di cifratura TLS 1.2 hanno al loro interno quattro algoritmi che rendono sicuro il canale.

Inoltre, nell’ultima versione di TLS (cioè la 1.3) sono stati introdotti molti elementi aggiuntivi che hanno migliorato il sistema di comunicazione: in particolare, non vengono più usati algoritmi e cifrari ritenuti vulnerabili o non adatti a garantire la sicurezza del sistema; in secondo luogo, è stato velocizzato il processo con cui i due computer (server e client) negoziano e stabiliscono le regole comuni per la loro connessione, dimezzando l’intervallo di tempo della comunicazione tra i due computer per stabilire la crittografia; infine, la versione TLS 1.3 non include più gli algoritmi di scambio chiave e firma, poiché l’autenticazione avviene attraverso un unico algoritmo insieme alla crittografia.

Per quanto riguarda i requisiti minimi che deve avere un server, secondo le raccomandazioni AGID per poter essere ritenuto rispettoso delle medesime, viene previsto che:

  • deve obbligatoriamente utilizzare le versioni TLS 1.2 o superiori e deve rifiutare versioni inferiori in quanto contengono numerose vulnerabilità;
  • viene raccomandato l’uso delle configurazioni “modern” e “intermediate” dei client firefox, android, chrome, edge, internet explorer, java, opera e safari, mentre viene escluso l’uso di configurazioni “old” in quanto contengono numerose vulnerabilità (le raccomandazioni indicano, inoltre, le caratteristiche minime delle configurazioni “modern” e di quelle “intermediate”).

L’AGID ha, inoltre, fornito delle raccomandazioni relative alla rinegoziazione delle sessioni, alla compressione TLS e all’estensione heartbeat.

In particolare, l’Agenzia sostiene che la rinegoziazione di una sessione TLS è vulnerabile ad una serie di attacchi, quindi il server dovrebbe sempre essere in grado di poter rifiutare una rinegoziazione della sessione iniziata dal client. Anche la compressione TLS, inoltre, dovrebbe essere disabilitata (a tal proposito, le raccomandazioni ricordano che tale funzionalità è stata rimossa dalla versione più recente del TLS). Non è raccomandata neanche l’Estensione Heartbeat, la quale è una funzione che permette di tenere in piedi delle connessioni di comunicazione sicure senza il bisogno di rinegoziare ogni volta la connessione, ciò in quanto tale estensione è vulnerabile e potrebbe permettere a soggetti esterni di accedere ad alcune aree di memoria del server che potrebbero contenere dati riservati.

In conclusione, l’AGID individua le principali differenze tra il sistema TLS 1.2  e quello 1.3:

  • L’elenco di algoritmi simmetrici è stato epurato da tutti gli algoritmi legacy. Gli algoritmi rimanenti utilizzano algoritmi di crittografia autenticata con dati associati (AEAD).
  • È stata aggiunta una modalità zero-RTT che elimina un round-trip durante la fase di configurazione della connessione.
  • Sono state rimosse le suite di cifratura statiche RSA e Diffie-Hellman.
  • Tutti i messaggi di handshake dopo “ServerHello” sono cifrati.
  • Le funzioni di derivazione delle chiavi sono state ri-progettate, con la funzione di derivazione delle chiavi di estrazione ed espansione basata su HMAC (HKDF) utilizzata come primitiva.
  • Gli stati dell’handshake sono stati ristrutturati per essere più coerenti e sono stati rimossi i messaggi superflui.
  • ECC è ora nelle specifiche di base del TLS 1.3 e include nuovi algoritmi di firma.
  • Sono stati inoltre apportati altri miglioramenti crittografici, tra cui: la modifica del Padding RSA al fine di utilizzare lo schema RSA Probabilistic Signature Scheme; e la rimozione della compressione, dell’algoritmo di firma digitale (DSA) e dei gruppi Ephemeral Diffie Hellman (DHE) personalizzati.
  • Il meccanismo di verifica della negoziazione della versione di TLS 1.2 è stato deprecato a favore di una lista di versioni gestite attraverso l’utilizzo di estensioni.
  • La ripresa della sessione con e senza stato lato server e le ciphersuite basate su PSK delle versioni precedenti di TLS sono state sostituite da un unico nuovo scambio di chiavi PSK.
  • In generale la direzione adottata da TLS 1.3 è verso algoritmi che garantiscano la PFS.

Secondo l’AGID, infine, i meccanismi come TLS False Start e Zero Round Trip Time (0-RTT) del TLS 1.3 consentono di ridurre ulteriormente il tempo richiesto per l’handshake con gli host ai quali il client si è già collegato in precedenti sessioni. Infine, TLS 1.3 offre una maggiore protezione contro i cosiddetti “downgrade attacks” ovvero i tentativi posti in essere da parte di un attaccante per indurre il server all’utilizzo di una vecchia versione del protocollo TLS soggetta a vulnerabilità note.

Volume consigliato

I rischi nel trattamento dei dati – e-Book in pdf

L’ebook analizza gli aspetti pratici dell’attività di analisi dei rischi connessi al trattamento dei dati, partendo dal quadro normativo e fornendo risposte alle principali FAQ in materia di DPIA.Michele IaselliAvvocato, Funzionario del Ministero della Difesa, Docente a contratto di Informatica giuridica all’Università di Cassino e Collaboratore della cattedra di Informatica giuridica alla LUISS ed alla Federico II. Inoltre è Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore di numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di Privacy, Informatica giuridica e Diritto dell’informatica con le principali case editrici. 

Michele Iaselli | 2021 Maggioli Editore

9.90 €  8.42 €

 

 

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento