La sicurezza degli utenti online non è garantita al 100% dai protocolli crittografici utilizzati per trasmettere i dati: è quanto ha rilevato l’ENISA, European Union Agency for Network and Information Security, in un report che prende in esame i protocolli più diffusi e mette in luce le loro vulnerabilità.
Se è vero che gli algoritmi con cui vengono elaborati sono sicuri, è il loro inserimenti nei protocolli che può renderli più deboli. Tra gli oggetti d’analisi ci sono TLS, SSH, IPSec, Kerberos, WEP/WPA, UMTS/LTE, Bluetooth, ZigBee, EMV. Il problema più grave, secondo ENISA, è che molti dei protocolli attuali sono basati su design vecchi, quindi più vulnerabili. Talvolta la debolezza deriva da errori di implementazione, che spesso in passato era affidata a esperti in networking ma non in crittografia.
Alcune accortezze possono ridurre i rischi: l’ENISA raccomanda, per esempio, di progettare nuovi protocolli piuttosto che ottimizzarne di esistenti, con il rischio di aggiungere altre vulnerabilità. Consiglia inoltre di usare un design modulare che permetta di aggiornare i suoi componenti crittografici.
