Crittografia: come funziona e come sfruttarla per la sicurezza informatica

29 luglio 2021 / Di Andrea Antonielli / 0 Comments

Uno degli strumenti indispensabili per garantire la privacy e la sicurezza dei dati personali è la crittografia. Sempre più spesso, infatti, si assiste a furti, estorsioni, manomissioni e distruzione di contenuti riservati. Nell'era di internet, le sfide in termini di sicurezza informatica per tutte le organizzazioni pubbliche e private stanno crescendo rapidamente. Le tecniche di scrittura segrete (kryptos = nascosto e graphia = scrittura per l'appunto) possono essere efficaci nel vanificare ogni tentativo di chi prova ad acquisire il controllo di dati e a trafugarli. Cosa si intende dunque per crittografia in informatica? Come funzionano i sistemi crittografici e quali sono le principali tipologie e applicazioni?

Significato di Crittografia: cos'è e cosa NON è

Definizione alla mano, la crittografia è una tecnica che mira ad alterare il messaggio: in parole semplici, la crittografia può essere definita come un processo atto a rendere le informazioni prive di significato. È bene sottolineare il concetto di protezione del significato, in quanto la crittografia non è un modo per difendersi dagli attacchi informatici e dal cybercrime, bensì una tecnica per rendere i dati totalmente privi di ogni utilità qualora qualcuno ne entrasse in possesso indebitamente.

Il concetta di crittografia si scosta da quello di steganografia, tecnica per certi versi simile ma che mira ad occultare un messaggio, e non ad alterarlo per renderlo privo di significato come accade con la crittografia.

Tale tecnica è parte di una scienza più ampia, la crittologia, che studia, oltre alle tecniche di occultamento, anche la decifrazione di informazioni celate. Questa seconda componente è definita in linguaggio tecnico “crittoanalisi”. Storicamente la crittologia ha riguardato quasi esclusivamente il contesto militare, a supporto o in contrapposizione a pratiche di spionaggio. Attualmente, la crittografia è utilizzata ampiamente in tutti i contesti informatici; viene generalmente ricordata come strumento atto a garantire la sicurezza delle comunicazioni in rete, in particolare di transazioni monetarie e della firma digitale.

La Crittografia nel GDPR

L’applicazione di tecniche di crittografia non è legalmente obbligatoria, tuttavia è altamente consigliabile in relazione ad esempio al GDPR. Il Garante per la protezione dei dati personali esorta vivamente l’applicazione della crittografia come misura aggiuntiva nei casi in cui le difese informatiche non siano efficaci o siano rese sterili.

Onde evitare conseguenze aspre legate alla diffusione di dati personali, in un contesto prettamente legato alla privacy, la crittografia può certamente contribuire ad evitare sanzioni pecuniarie, rientrando tra le misure tecniche e organizzative che il Titolare del trattamento è chiamato ad adottare.

GDPR: come affrontare gli adempimenti richiesti e garantire la compliance alla normativa

Scopri il Programma

Come funzionano i sistemi crittografici

La crittografia è un sistema di protezione legato intrinsecamente al dato e avviene mediante la cifratura dei caratteri: l’algoritmo crittografico è la funzione matematica attraverso cui si procede a occultare il testo, rendendolo di fatto cifrato. L’accesso alle informazioni invece, avviene attraverso una cosiddetta chiave digitale, capace di renderle accessibili. Le funzioni cifranti disponibili oggigiorno, in relazione a una maggiore capacità computazionale, rendono molto complesso l’ingresso furtivo ai dati: è naturalmente necessario che la chiave digitale sia distribuita il meno possibile.

I sistemi crittografici sono identificabili in due macrocategorie: la crittografia simmetrica e quella asimmetrica. Convenzionalmente si fa riferimento al primo gruppo come la tecnica principale.

Crittografia Simmetrica

Nella crittografia simmetrica, la chiave, definita privata o segreta, è univoca sia in fase di cifratura che di decifratura. Per accedere ad un contenuto protetto con questa tecnica è necessario quindi che avvenga lo scambio della chiave tra i due soggetti. Questo sistema risulta efficiente, veloce e comodo per la trasmissione di dati in blocco, ma la necessità di scambiarsi la chiave lo rende vulnerabile.

Lo standard a chiave simmetrica per eccellenza, nonché il più diffuso, è l’AES (Advanced Encryption Standard), articolato in tre algoritmi di cifrature a blocchi (a 128, 192 e 256 bit). Nonostante le criticità dei sistemi simmetrici, AES è il metodo più versatile e diffusamente utilizzato nella protezione di documenti di Stato secret e top-secret.

Crittografia Asimmetrica

Esistono invece tecniche che sfruttano la crittografia asimmetrica: questo approccio prevede che la cifratura iniziale avvenga tramite una chiave pubblica (o circolante) appartenente al destinatario, che sarà in grado di decifrare il contenuto esclusivamente attraverso un’ulteriore chiave, in questo caso privata. Questa tecnica è stata concepita per eludere i rischi connessi alla trasmissione delle chiavi, in quanto quella pubblica che circola non è sufficiente per decriptare il contenuto protetto.

La crittografia asimmetrica è il sistema utilizzato sia nella firma digitale, strumento atto a dare validità legale ad un documento, sia nelle chat online (cosiddetta crittografia End-to-End) come ad esempio su Whatsapp. L’applicazione della crittografia asimmetrica ha tuttavia lo svantaggio di richiedere una capacità computazionale relativamente elevata in quanto è ritenuta sicura se sono usate chiavi di almeno 1024 bit.

La Crittografia post-quantistica: pro e contro

Oggigiorno, gli algoritmi di cifratura si basano su modelli matematici troppo complessi per la capacità computazionale attuale, ma in un futuro prossimo la sensazione è quella di avere a che fare con una potenzialità molto superiore. L’introduzione delle tecnologie quantistiche su larga scala potrebbe rendere presto obsoleta la crittografia tradizionale.

Da qui la crittografia post-quantistica, un nuovo metodo che offre la massima garanzia di sicurezza dell'inviolabilità. Da un punto di vista crittografico, il quantum computing permette infatti di applicare algoritmi matematici più complessi e sarebbe in grado di comunicare un’eventuale intercettazione della chiave privata.

Considerando l’altra faccia della medaglia, l’utilizzo del quantum dal lato crittoanalisi permetterebbe il calcolo del fattoriale di numeri complessi in poche ore abbattendo ogni sistema crittografico. Nel quotidiano questo potrebbe ripercuotersi potenzialmente su molti aspetti, rendendo vulnerabile ogni tipo di dato e di fatto inutilizzabili le connessioni internet.

Per questo motivo è fondamentale che tale potenzialità rimanga nelle mani di chi la sfrutterebbe in buona fede: già da qualche anno diversi centri di ricerca e colossi dell’informatica cooperano e competono nello sviluppo di una tecnologia quantistica commerciale e di sistemi di crittografia post-quantistica. Se da un lato c’è la volontà di entrare nel mercato da pionieri, dall’altra è indispensabile rendere la cifratura affidabile negli anni a venire mantenendo l’equilibrio tra sicurezza e potenzialità d’attacco.

Ad oggi circa 15 nuovi protocolli sviluppati all’interno della comunità scientifica del NIST (National Institute of Standards and Technology) sono giunti al terzo step del processo di standardizzazione, ma sarà necessario svilupparne dei nuovi per coprire ogni campo di applicazione.

Possiedi gli strumenti giusti per tutelare la sicurezza informatica?

Scopri il Programma

  • Autore

Ricercatore Osservatorio Cyber Security & Data Protection