Crittografia, cos’è, a cosa serve, perché non se ne può fare a meno

Si tratta di una tecnica alla base della protezione dei dati ed è il modo più semplice ed efficace per garantire che le informazioni di un sistema informatico non possano essere violate, rubate e lette per scopi malevoli. Il suo ruolo è fondamentale nella blockchain e nel rispetto del GDPR

Pubblicato il 21 Mag 2020

Cos'è la crittografia e perché non ne possiamo fare più a meno

La maggioranza dei siti Internet utilizza la crittografia per garantire la privacy dei propri utenti. Anche informazioni come le email sono crittografate quando transitano e sono archiviate nei data center di. Spieghiamo cos’è la crittografia.

Cos’è la crittografia

La parola crittografia deriva dal greco e significa scrittura segreta. Storicamente, la crittografia è stata utilizzata per proteggere le informazioni da accessi non autorizzati, in particolare durante le comunicazioni esposte a un’intercettazione di qualsiasi genere. La crittografia ha svolto un ruolo molto importante nel corso dei secoli nelle questioni militari e nazionali. La parola d’ordine era garantire riservatezza e sicurezza dell’informazione.

La crittografia è la scienza della trasmissione sicura di informazioni contro potenziali avversari di terze parti. Nell’informatica è la conversione dei dati da un formato leggibile in un formato codificato che può essere letto o elaborato solo dopo che è stato decrittato, è la base della protezione dei dati ed è il modo più semplice e importante per garantire che le informazioni di un sistema informatico non possano essere violate, rubate e lette da qualcuno che voglia utilizzarle per scopi malevoli.

Quindi, la crittografia serve a:

  • nascondere il significato del messaggio rendendolo incomprensibile e garantire l’autenticità del messaggio;
  • identificare l’autore del messaggio;
  • firmare e datare il messaggio.

Quali sono le differenze tra crittografia simmetrica e asimmetrica

Cifratura a chiave simmetrica: noto anche come algoritmo a chiave segreta, questo è un singolare metodo di decodifica del messaggio che deve essere fornito al destinatario affinché il messaggio possa essere decodificato. La chiave utilizzata per la codifica è la stessa della decodifica, il che rende il sistema ideale per singoli utenti e sistemi chiusi. Tuttavia, è necessario inviare la chiave al destinatario, il che aumenta il rischio di violazione in caso di intercettazione da parte di un hacker. Il vantaggio è che questo metodo è molto più veloce rispetto al metodo asimmetrico.

Questo è il tipo più semplice di crittografia con l’utilizzo di una sola una chiave segreta per cifrare e decifrare le informazioni. Utilizza una chiave segreta che può essere un numero, una parola o una stringa di lettere casuali. È mescolato con il semplice testo di un messaggio per modificare il contenuto in un modo particolare. Il mittente e il destinatario devono conoscere la chiave segreta utilizzata per crittografare e decrittografare tutti i messaggi. Blowfish, AES, RC4, DES, RC5 e RC6 sono esempi di crittografia simmetrica. L’algoritmo simmetrico più utilizzato è AES-128, AES-192 e AES-256.

Il principale svantaggio della crittografia della chiave simmetrica è che tutte le parti coinvolte devono scambiare la chiave utilizzata per crittografare i dati prima di poterli decrittografare.

Crittografia asimmetrica: nota anche come crittografia con chiave pubblica, è un processo che utilizza una coppia di chiavi correlate – una chiave pubblica e una chiave privata – per crittografare e decrittografare un messaggio e proteggerlo da accessi o usi non autorizzati.

Una chiave pubblica è una chiave crittografica che può essere utilizzata da qualsiasi persona per crittografare un messaggio in modo che possa essere decifrato dal destinatario previsto solo con la propria chiave privata. Una chiave privata, nota anche come chiave segreta, è condivisa solo con l’iniziatore della chiave.

Quando qualcuno desidera inviare un messaggio crittografato, può estrarre la chiave pubblica del destinatario previsto da una directory pubblica e utilizzarla per crittografare il messaggio prima di inviarlo. Il destinatario del messaggio può quindi decrittografare il messaggio utilizzando la relativa chiave privata. D’altra parte, se il mittente crittografa il messaggio utilizzando la propria chiave privata, il messaggio può essere decrittografato solo utilizzando la chiave pubblica di quel mittente, autenticando così il mittente.

Questi processi di crittografia e decrittografia avvengono automaticamente; gli utenti non devono bloccare e sbloccare fisicamente il messaggio.

Molti protocolli si basano sulla crittografia asimmetrica, inclusi i protocolli TLS (Transport Layer Security ) e SSL (Secure Socket Layer ), che rendono possibile HTTPS. Il processo di crittografia viene utilizzato anche nei programmi software, come i browser, che devono stabilire una connessione sicura su una rete non sicura come Internet o devono convalidate una firma digitale.

In sintesi:

  • la crittografia simmetrica utilizza un’unica chiave che deve essere condivisa tra le persone che devono ricevere il messaggio, mentre la crittografia asimmetrica utilizza una coppia di chiave pubblica e una chiave privata per crittografare e decrittografare i messaggi durante la comunicazione.
  • la crittografia simmetrica è una vecchia tecnica mentre la crittografia asimmetrica è relativamente nuova.
  • la crittografia asimmetrica è stata introdotta per integrare il problema intrinseco della necessità di condividere la chiave nel modello di crittografia simmetrica, eliminando la necessità di condividere la chiave utilizzando una coppia di chiavi pubbliche-private.
  • la crittografia asimmetrica richiede relativamente più tempo della crittografia simmetrica.

Come funziona la crittografia asimmetrica

La crittografia asimmetrica utilizza una coppia di chiavi matematicamente correlate per la crittografia e la decrittografia: una chiave pubblica e una chiave privata. Se la chiave pubblica viene utilizzata per la crittografia, la chiave privata correlata viene utilizzata per la decrittografia; se la chiave privata viene utilizzata per la crittografia, la chiave pubblica correlata viene utilizzata per la decrittografia.

I due partecipanti al flusso di lavoro di crittografia asimmetrica sono il mittente e il destinatario; ognuno ha la propria coppia di chiavi pubbliche e private. Innanzitutto, il mittente ottiene la chiave pubblica del destinatario. Successivamente, il testo in chiaro – o normale testo leggibile – viene crittografato dal mittente utilizzando la chiave pubblica del destinatario; questo crea un testo cifrato. Il testo cifrato viene quindi inviato al destinatario, che decodifica il testo cifrato con la sua chiave privata e lo restituisce in chiaro leggibile.

Le tre dimensioni degli algoritmi crittografici

I sistemi crittografici sono caratterizzati da tre dimensioni indipendenti:

  • gli algoritmi di cifratura: ossia il tipo di operazioni utilizzate per trasformare il testo in chiaro in testo cifrato. A loro volta, tutti gli algoritmi di cifratura si basano su due principi generali: la sostituzione, con la quale ogni elemento del testo in chiaro (che può essere una lettera, un bit, oppure un gruppo di bit o un gruppo di lettere) è sostituito con un altro elemento; la trasposizione, con la quale gli elementi del testo in chiaro sono riorganizzati attraverso degli spostamenti. Il requisito fondamentale comune è che nessuna informazione venga persa (il che implica che tutte le operazioni siano reversibili). La maggior parte degli algoritmi crittografici contempla più fasi di sostituzioni e trasposizioni
  • il numero di chiavi utilizzate: come detto, se sia il mittente che il destinatario utilizzano la stessa chiave, l’algoritmo è indicato come simmetrico, a chiave singola o a chiave segreta. Se il mittente e il destinatario utilizzano chiavi diverse, l’algoritmo viene definito come asimmetrico, a due chiavi, o a chiave pubblica
  • la modalità operativa con la quale il testo in chiaro viene elaborato: un cifrario a blocchi processa come input un blocco di elementi alla volta (aventi tutti una certa dimensione predefinita), producendo in uscita un blocco di output cifrato. Un cifrario a flusso elabora gli elementi di input continuamente, producendo in uscita un elemento alla volta, man mano che il flusso prosegue. Senza entrare troppo nello specifico, per il cifrario a flusso è anche importante la lunghezza del cosiddetto vettore d’inizializzazione e il grado di entropia ad esso associato.

Cosa sono le firme digitali

Le firme digitali sono essenzialmente firme che forniscono integrità usando la crittografia asimmetrica. Sono ampiamente utilizzati in molti protocolli per scopi di autenticazione e hanno già dimostrato di essere molto utili e sicuri.

Le firme digitali sono incorruttibili e facilmente verificabili grazie al loro uso della crittografia asimmetrica. Poiché usano la crittografia asimmetrica (e una chiave privata è collegata solo a una sola persona) le firme digitali hanno anche la qualità di non ripudio, il che significa che possono essere legalmente vincolanti come una normale firma.

L’uso della crittografia nella blockchain

Sebbene sia la crittografia asimmetrica che le firme digitali siano state popolari sin da quando sono state inventate, sono probabilmente più conosciute per le loro implementazioni nella blockchain.

Poiché le blockchain sono essenzialmente registri distribuiti, è essenziale che la crittografia utilizzata sia affidabile e funzionale.

La maggior parte delle criptovalute usano le coppie di chiavi (e quindi la crittografia asimmetrica) per gestire gli “indirizzi” sulla blockchain. La chiave pubblica è l’indirizzo, che “contiene” i token e può essere visualizzato da chiunque. La chiave privata viene utilizzata per accedere all’indirizzo e autorizzare le azioni per “indirizzo”.

Le firme digitali sono anche ampiamente utilizzate nelle criptovalute. Possono essere utilizzati per firmare transazioni in modo più sicuro (offline) e vengono utilizzati anche in smart contract e Wallet, questi richiedono firme digitali da più (diverse) chiavi private prima di poter eseguire qualsiasi tipo di azione.

Questi esempi sono solo la punta dell’iceberg, poiché la crittografia asimmetrica ha molti più usi nelle blockchain, che vanno dalle implementazioni in semplici contratti intelligenti alle strutture di autorizzazione avanzate.

La crittografia, fondamentale per la conformità al GDPR

Sebbene non vi siano requisiti di crittografia GDPR espliciti , il regolamento richiede di applicare misure di sicurezza e garanzie. Il GDPR evidenzia ripetutamente la crittografia e la pseudonimizzazione come “misure tecniche e organizzative appropriate” della sicurezza dei dati personali.

Il documento GDPR menziona la crittografia in alcune occasioni, ad esempio:

  • considerando 83: “… attuare misure per mitigare tali rischi, come la crittografia”.
  • articolo 6 Liceità del trattamento : 4e) “… garanzie adeguate, che possono comprendere la crittografia o la pseudonimizzazione.”
  • articolo 32 Sicurezza del trattamento : 1) “… includendo tra l’altro, se del caso: a) la pseudonimizzazione e la crittografia dei dati personali.”
  • articolo 34 Comunicazione di una violazione dei dati personali all’interessato : 3 bis) “… incomprensibile per chiunque non sia autorizzato ad accedervi, come la crittografia”

Poiché la crittografia rende le informazioni illeggibili e inutilizzabili per le persone senza una chiave crittografica valida, le strategie di crittografia GDPR possono essere estremamente utili per l’organizzazione in caso di violazione dei dati. Prendiamo ad esempio l’obbligo di informare i clienti interessati entro 72 ore; crittografando i dati non si dovrà rispettare questo obbligo. Nessuna informazione è stata tecnicamente “violata” se i dati non sono comprensibili per l’attaccante.

In combinazione con altre misure, la crittografia può essere una tecnica altamente efficace per la conformità al GDPR.

Conclusioni

La crittografia non è una cura generale, ma se applicata in modo completo attraverso lo stack tecnologico, rende i dati meno suscettibili all’esposizione. Inoltre, quando è in atto la crittografia, non vi è alcun obbligo normativo di informare l’interessato a seguito di un incidente di sicurezza (articolo 34). In altre parole, sebbene la crittografia non sia richiesta dal GDPR, può essere una tecnica altamente efficace per la conformità.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Round table
Keynote
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 5