Cos'è la Crittografia e come protegge dalle minacce online

Aggiornato il / Creato il / Di Andrea Antonielli / 0 Commenti

In un periodo come quello attuale tra lo sviluppo di nuove tecnologie, come l’Intelligenza Artificiale, e i rischi informatici, è importante sapere come proteggere i propri dati personali. Uno degli strumenti indispensabili a garantire privacy e sicurezza dei dati personali è la crittografia.

Sempre più spesso, infatti, si assiste a furti, estorsioni, manomissioni e distruzione di contenuti riservati. Nell'era di internet, le sfide in termini di sicurezza informatica per le organizzazioni pubbliche e private stanno crescendo rapidamente.

Le tecniche di crittografia informatica (dal greco, kryptos = nascosto e graphia = scrittura) possono aiutare un’azienda a rendere inutile ogni tentativo criminale di controllare e rubare dati sensibili.

Con l’aiuto dell’Osservatorio Cybersecurity del Politecnico di Milano, in questo articolo approfondiremo cosa si intende per crittografia informatica e come funziona. Parleremo poi delle sue tipologie principali, quali la crittografia a chiave simmetrica e la crittografia a chiave asimmetrica, fornendone anche alcuni esempi. Analizzeremo, infine, la nuova frontiera di questo metodo di cifratura informatica, ovvero della crittografia quantistica, spiegandone i pro e i contro.

Che cos’è e cosa significa crittografia in informatica

Per dare una definizione puntuale di crittografia possiamo dire che:

La crittografia è una tecnica che mira ad alterare il messaggio: in parole semplici, la crittografia può essere definita come un processo atto a rendere le informazioni prive di significato.

Il ruolo della crittografia nella sicurezza informatica

Prima di continuare, è necessario chiarire un concetto importante: qual è il ruolo della crittografia nella sicurezza informatica? Per comprenderlo è bene sottolineare il concetto di protezione del significato di un documento. Questo perché la crittografia non è un modo per difendersi dagli attacchi informatici e dal cybercrime. Essa è, infatti, una tecnica di protezione utile a rendere i dati totalmente privi di ogni significato, soprattutto se qualcuno ne entrasse in possesso indebitamente.

Bisogna, poi, differenziare il concetto di crittografia da quello di steganografia. Questa tecnica è per certi versi simile, ma mira a occultare un messaggio, e non ad alterarlo per renderlo privo di significato, come accade appunto con la crittografia.

La crittografia informatica è parte, inoltre, di una scienza più ampia, la crittologia. Questa scienza studia, oltre alle tecniche di occultamento, anche la decifrazione di informazioni celate, definita in linguaggio tecnico “crittoanalisi”. Storicamente la crittologia ha riguardato quasi esclusivamente il contesto militare, a supporto o in contrapposizione a pratiche di spionaggio.

A oggi, la crittografia è molto utilizzata in tutti i contesti informatici; viene anche ricordata come uno strumento che garantisce la sicurezza delle comunicazioni in rete, in particolare di transazioni monetarie e della firma digitale.

Come funziona la crittografia

Per spiegare nel dettaglio come funziona la crittografia informatica, approfondiamo innanzitutto un aspetto molto importante. Essendo essa legata in modo intrinseco al dato, si verifica tramite la cifratura dei caratteri.

La domanda che ci si potrebbe porre ora è: come vengono utilizzati gli algoritmi di crittografia? Per definizione un algoritmo crittografico si basa su una funzione matematica attraverso cui si nasconde il testo, rendendolo di fatto cifrato.

Dopo il processo di crittografia, poi, l’accesso alle informazioni criptate avviene attraverso una chiave digitale, capace di rendere accessibili i dati. Le funzioni cifranti disponibili a oggi, in relazione a una maggiore capacità di calcolo, rendono molto difficile l’accesso ai dati, con una maggiore difficoltà da parte di malintenzionati di poterli rubare. Per farlo, però, è necessario che la chiave digitale sia distribuita il meno possibile.

Cosa sono la crittografia end-to-end e la crittografia dei dati

Compreso il principio di funzionamento della crittografia, cerchiamo ora di comprendere gli approcci tecnici utilizzabili. Partiamo dagli approcci alla sicurezza delle comunicazioni della crittografia e, in particolare, dalla crittografia end-to-end.

Crittografia end-to-end

La crittografia end-to-end è un approccio protegge i dati durante il trasferimento tra due parti, garantendo che solo il mittente e il destinatario possano leggere il contenuto del messaggio. Con questo metodo i dati vengono crittografati sul dispositivo del mittente e decrittografati solo sul dispositivo del destinatario, rendendo impossibile per terzi – inclusi fornitori di servizi internet, hacker e persino i fornitori del servizio di comunicazione – accedere ai contenuti trasmessi. Questo tipo di crittografia è utilizzato sia nella crittografia simmetrica che in quella asimmetrica (che vedremo a breve), al fine di proteggere i dati lungo tutto il percorso di trasmissione.

Crittografia dei dati

La crittografia dei dati, invece, è un termine generico che copre qualsiasi uso della crittografia per proteggere i dati, sia durante la trasmissione (in transito, come nel caso della crittografia end-to-end) che quando sono archiviati (a riposo). Questo processo implica la conversione dei dati in un formato illeggibile tramite algoritmi crittografici, rendendoli accessibili solo a chi possiede la chiave di decrittazione corretta. La crittografia dei dati è fondamentale per la sicurezza dei dati sensibili – come informazioni personali, finanziarie e sanitarie – in quanto protegge i dati da accessi non autorizzati e violazioni, sia che siano conservati su dispositivi locali che su server remoti.

Cosa sono la crittografia simmetrica e crittografia asimmetrica

I sistemi basati sulla crittografia informatica, come detto in precedenza, sono divisi in due macrocategorie: la crittografia a chiave simmetrica e la crittografia a chiave asimmetrica. La prima delle due, a oggi, è riconosciuta come la tecnica di crittografia principale. Vediamo, nello specifico, in cosa consistono queste due tipologie di crittografia informatica.

Crittografia Simmetrica

Nella crittografia simmetrica, la chiave segreta, definita anche privata, è univoca sia in fase di cifratura che di decifratura. Questo sistema risulta efficiente, veloce e comodo per la trasmissione di dati in blocco, ma la necessità di scambiarsi la chiave lo rende vulnerabile.

Lo standard a chiave simmetrica per eccellenza, nonché il più diffuso, è l’AES (Advanced Encryption Standard), articolato in tre algoritmi di cifrature a blocchi.

Crittografia Asimmetrica

La crittografia asimmetrica prevede che la cifratura iniziale avvenga tramite una chiave pubblica (o circolante) appartenente al destinatario, che sarà in grado di decifrare il contenuto esclusivamente attraverso un’ulteriore chiave, in questo caso privata.

Differenze tra crittografia simmetrica e asimmetrica

Una delle differenze tra crittografia simmetrica e asimmetrica è il modo di accesso ai contenuti criptati. Infatti, per accedere ad un contenuto protetto tramite crittografia simmetrica, è necessario che avvenga lo scambio della chiave tra i due soggetti. La crittografia asimmetrica, invece, è stata creata per evitare i rischi connessi alla trasmissione delle chiavi. Questo perché anche se la chiave segreta pubblica viene intercettata, non è sufficiente per decriptare il contenuto protetto. Occorre come visto prima un’altra chiave privata per accedere al dato criptato.

Altra differenza tra questi due tipologie di crittografia sono gli algoritmi. Mentre nella crittografia simmetrica mediante il metodo AES i tre algoritmi a blocchi sono da 128, 193 e 256 bit, nella crittografia asimmetrica le chiavi segrete richiedono una capacità computazionale maggiore. In questo caso si passa dai 256 bit ai 1024 bit. Quest’ultimo, poi, per la crittografia asimmetrica, può essere visto come uno svantaggio data la differenza di peso che richiedere per essere utilizzato.

Quali sono le applicazioni della crittografia nel mondo reale

Dopo aver parlato delle differenze tra queste due tipologie di crittografia, passiamo a portarne due casi specifici di utilizzo. Abbiamo parlato nei paragrafi precedenti del metodo di crittografia AES. Questo è il metodo di crittografia simmetrica utilizzato nella protezione di documenti di Stato secret e top-secret.

La crittografia asimmetrica, invece, è impiegata sia nella firma digitale, strumento utile a dare validità legale a un documento, sia nelle chat online come, ad esempio, su Whatsapp.

Quali sono i pro e i contro della crittografia simmetrica e asimmetrica

Come detto in precedenza in questo articolo, entrambi i sistemi di crittografia hanno come vantaggio la protezione dei dati. Va anche detto però che ci sono dei limiti che li caratterizzano. La Crittografia Simmetrica AES, infatti, si espone alle criticità comuni del sistema simmetrico. Questo perché è sicuro e veloce, ma anche vulnerabile.

Per la crittografia asimmetrica, invece, altri sono gli svantaggi. Questo approccio ha creato non pochi problemi, soprattutto per le app di messaggistica istantanea, tanto che l’ufficio di polizia europeo (Europol) ne ha richiesta la rimozione. La crittografia asimmetrica, infatti, impedendo alle aziende tech di rilevare illeciti sulle loro piattaforme, ostacola anche la possibilità per l’Europol di garantire la sicurezza online dei cittadini. In merito a ciò, non è la prima volta che si valuta l’eliminazione della crittografia end-to-end. Nel 2022, infatti, la proposta delle Commissione europea, legata al regolamento sugli abusi sessuali sui minori (Csar), era stata respinta.

La Crittografia quantistica

Dopo aver visto e chiarito cos’è la crittografia e come funziona, parleremo ora di un nuovo trend che potrebbe prendere piede nel prossimo futuro: la crittografia quantistica. A oggi, infatti, gli algoritmi di cifratura si basano su modelli matematici troppo complessi per la capacità computazionale attuale. In un futuro prossimo, però, la sensazione è quella di avere a che fare con una potenzialità molto superiore. L’introduzione delle tecnologie quantistiche su larga scala potrebbe rendere presto obsoleta la crittografia tradizionale.

Come funziona la crittografia quantistica

Fatta questa premessa, possiamo dire che la crittografia quantistica è un nuovo metodo che offre la massima garanzia di sicurezza dell'inviolabilità. Da un punto di vista crittografico, il Quantum Computing permette di applicare algoritmi matematici più complessi e sarebbe in grado di comunicare un’eventuale intercettazione della chiave privata.

Considerando l’altra faccia della medaglia, l’utilizzo del Quantum dal lato crittoanalisi permetterebbe il calcolo del fattoriale di numeri complessi in poche ore, abbattendo ogni sistema crittografico. Nel quotidiano ciò potrebbe ripercuotersi potenzialmente su molti aspetti, rendendo vulnerabile ogni tipo di dato e di fatto inutilizzabili le connessioni internet.

Per questo motivo è fondamentale che tale potenzialità rimanga nelle mani di chi la sfrutterebbe in buona fede. Già da qualche anno diversi centri di ricerca e colossi dell’informatica cooperano e competono nello sviluppo di una tecnologia quantistica commerciale e di sistemi di crittografia post-quantistica. Se da un lato c’è la volontà di entrare nel mercato da pionieri, dall’altra è indispensabile rendere la cifratura affidabile negli anni a venire, mantenendo l’equilibrio tra sicurezza e potenzialità d’attacco.

A oggi circa 15 nuovi protocolli sviluppati all’interno della comunità scientifica del NIST (National Institute of Standards and Technology) sono giunti al terzo step del processo di standardizzazione, ma sarà necessario svilupparne dei nuovi per coprire ogni campo di applicazione.

La Crittografia nel GDPR

L’applicazione di tecniche di crittografia non è legalmente obbligatoria. Tuttavia è altamente consigliabile in relazione ad esempio al GDPR. Il Garante per la protezione dei dati personali esorta vivamente l’applicazione della crittografia come misura aggiuntiva nei casi in cui le difese informatiche non siano efficaci o siano rese sterili.

Onde evitare conseguenze aspre legate alla diffusione di dati personali, in un contesto prettamente legato alla privacy, la crittografia può certamente contribuire a evitare sanzioni pecuniarie, rientrando tra le misure tecniche e organizzative che il Titolare del trattamento è chiamato a adottare.

Possiedi gli strumenti giusti per tutelare la sicurezza informatica?

Scopri il Programma

  • Autore

Ricercatore Osservatorio Cyber Security & Data Protection