Onestamente non mi è chiaro il sensazionalismo suscitato dalla
notizia. Skype utilizza un metodo di identificazione centralizzato;
durante la registrazione del client il server genera quello che viene
definito IC (identity certificate) un certificato a tutti gli effetti.
Già in questo frangente il server ha la possibilità di effettuare un
key escrow (quindi richiedere la chiave privata dell'utente per motivi
di reversibilità della cifratura) o può impartire al client la
direttiva di utilizzare un certificato di data recovery (che ha più o
meno lo stesso scopo del key escrow pur funzionando in maniera
completamente diversa). Già qui io avrei dei dubbi sul fatto che non
si possano decifrare i dati in maniera amministrativa. Ovviamente ebay
non pubblicizza questa feature, i pochi dati a disposizione
sull'argomento non sono molto chiari e spostano l'attenzione
principalmente sull'impiego di AES (l'unico file che descrive in
maniera approfondita l'argomento è questo studio del 2005:
http://www.skype.com/security/files/2005-031%20security%20evaluation.pdf).
Il vero problema, a mio avviso, è tenere traccia del traffico
sviluppato tra due nodi vista la mole di dati da considerare.
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
