Dalle transazioni bancarie all’e-commerce, l’impiego della crittografia è molto ampio e capace di benefici incalcolabili. Dietro a tutto questo ci sono gli algoritmi, ma anche una storia millenaria
Quanti benefici ha portato la crittografia alla sicurezza aziendale e non solo? Almeno 250 miliardi di dollari, secondo il National Institute of Standards and Technology, ente del Dipartimento del Commercio degli Stati Uniti. È il valore prodotto, in termini di impatto economico, dallo sviluppo del suo Advanced Encryption Standard (AES) negli ultimi 20 anni. La cifra è emersa da uno studio condotto dal NIST.
L’algoritmo, impiegato come standard dal governo USA (ne parleremo più avanti), è solo uno degli strumenti crittografici di cui ci si avvale e che ha permesso di garantire la sicurezza a dati pubblici e societarie di notevole importanza.
Le aziende possono ridurre la probabilità di una violazione dei dati se scelgono di utilizzare la crittografia per assicurare la riservatezza dei dati personali. Il concetto di crittografia è esplicitamente menzionato come una possibile misura tecnica e organizzativa per proteggere i dati anche dal GDPR.
Nel contesto aziendale, molti dati sono privati e sensibili. Questo richiede protezione, che a sua volta necessita di crittografia. Nel mondo della sicurezza informatica, la crittografia è considerata un’infrastruttura critica, definita addirittura la “spina dorsale” della fiducia digitale. Essa è il modo in cui possiamo ottenere connessioni più sicure e robuste per elevare la nostra privacy.
Prima di spiegare la sua importanza, andiamo a scoprire cos’è e come funziona. Scopriremo così che, seppure così importante per l’epoca attuale e ancor più in quella futura, ha una storia plurimillenaria che affonda le sue origini addirittura dagli antichi Egizi.
Cos’è la crittografia
La crittografia è la disciplina che usa la matematica per criptare e decriptare i dati. È parte della crittologia, che comprende a sua volta anche la crittoanalisi. Quest’ultima studia come decifrare un messaggio senza esserne “autorizzati” e il cui valore essenziale è far comprendere quanto sia sicuro un sistema di cifratura/decifratura.
La crittografia permette di memorizzare informazioni sensibili o di trasmetterle attraverso reti insicure (come Internet) in modo che non possano essere lette da nessuno tranne che dal destinatario. Più nello specifico, impiega un algoritmo e una chiave crittografica e permette così di creare le condizioni di riservatezza di informazioni altrimenti preda di cyber criminali.
Inoltre, essa è anche definibile come lo studio della protezione delle comunicazioni da osservatori esterni. Deriva dal greco crypto “nascosto” e graphia “scrittura” e il significato è chiaro: gli algoritmi di crittografia prendono il messaggio originale (plaintext), e lo convertono in testo cifrato (ciphertext), non comprensibile a chi non deve. La chiave permette all’utente destinatario di decifrare il messaggio, assicurandosi così di poter leggere il messaggio.
Si focalizza su quattro obiettivi:
- Riservatezza: assicura che solo il destinatario previsto possa decifrare il messaggio e leggerne il contenuto.
- Non ripudiabilità: significa che il mittente del messaggio non può tornare indietro in futuro e negare le sue ragioni per l’invio o la creazione del messaggio.
- Integrità: si concentra sulla capacità di essere certi che le informazioni contenute nel messaggio non possano essere modificate durante la conservazione o il transito.
- Autenticità: garantisce che il mittente e il destinatario possano verificare l’identità dell’altro e la destinazione del messaggio.
Ci sono alcuni termini specifici quando si ha a che fare con la crittografia. Quando si parla di chiave ci si riferisce al parametro dell’algoritmo di cifratura o decifratura. Con algoritmo di cifratura s’intende quello che permette di effettuare sostituzioni e trasformazioni sul testo in chiaro. Invece quello di decifratura svolge il lavoro inverso dell’algoritmo di cifratura. La sicurezza della cifratura dipende dalla segretezza della chiave piuttosto che dalla segretezza dell’algoritmo.
Il principio di funzionamento della crittografia è basato proprio sull’algoritmo crittografico, o cifrario, un algoritmo efficace in combinazione con una chiave – parola, numero o frase – per criptare il testo in chiaro (ossia il messaggio originario) e renderlo così inintelligibile a un intruso. Lo stesso testo in chiaro si cripta in diversi testi cifrati con chiavi diverse. La sicurezza dei dati criptati dipende dalla forza dell’algoritmo crittografico e dalla segretezza della chiave.
Due diverse tipologie
La crittografia può essere suddivisa in due tipi: crittografia simmetrica (a chiave segreta) e asimmetrica (a chiave pubblica).
La simmetrica usa una singola chiave per criptare e decriptare i dati, rendendola così la forma più semplice di crittografia.
L’asimmetrica utilizza due chiavi per criptare i dati. Una è usata per la crittografia, mentre l’altra chiave può decifrare il messaggio. A differenza della simmetrica, se una chiave viene usata per criptare, non può decriptare il messaggio, piuttosto deve essere usata l’altra.
Crittografia simmetrica
Conosciuta anche come crittografia a chiave segreta, quella simmetrica prevede l’impiego di un singolo segreto condiviso per condividere dati crittografati tra le parti. Più semplicemente, il mittente cripta i dati usando una password, e il destinatario deve conoscere quella password per accedere ai dati.
L’algoritmo crittografico nella simmetrica utilizza la chiave in un cifrario per criptare i dati, e quando i dati devono essere nuovamente accessibili, una persona a cui è affidata la chiave segreta può decriptare i dati. La crittografia a chiave segreta può essere usata sia sui dati in transito che su quelli “a riposo” (archiviati).
Crittografia asimmetrica
La crittografia a chiave pubblica, o crittografia asimmetrica, è un sistema crittografico che utilizza coppie di chiavi, una pubblica e una privata, per criptare e decriptare un messaggio e proteggerlo da accessi o usi non autorizzati.
Bitcoin e altre criptovalute si basano sulla crittografia asimmetrica. Gli utenti hanno chiavi pubbliche che tutti possono vedere e chiavi private che sono tenute segrete. Bitcoin utilizza un algoritmo crittografico per garantire che solo i legittimi proprietari possano spendere i fondi.
Un’evoluzione della asimmetrica è la crittografia end-to-end, impiegata per esempio nella messaggistica Whatsapp.
Molti protocolli si basano sulla crittografia asimmetrica, compresi i protocolli TLS (Transport Layer Security) e SSL (Secure Sockets Layer), che rendono possibile HTTPS.
L’aumento della sicurezza dei dati è il vantaggio principale della crittografia asimmetrica. È il processo di crittografia più sicuro perché gli utenti non devono mai rivelare o condividere le loro chiavi private, diminuendo così le possibilità che un criminale informatico scopra la chiave privata di un utente durante la trasmissione.
Quando viene utilizzata la crittografia
La crittografia è usata in molte applicazioni come le carte per le transazioni bancarie, le password dei computer e le transazioni di commercio elettronico.
Il suo più importante impiego in ambito “civile” riguarda la sicurezza delle comunicazioni in rete.
Trova impiego anche per l’e-commerce, in cui la riservatezza dei dati è fondamentale. A questo proposito va segnalato il Secure Electronic Transaction (SET), un sistema che garantisce la sicurezza e l’integrità delle transazioni elettroniche effettuate con carte di credito. SET non è un sistema che permette il pagamento, ma è un protocollo di sicurezza applicato a questi pagamenti. Utilizza diverse tecniche di crittografia per rendere sicuri i pagamenti su internet effettuati con carte di credito. Il protocollo SET è stato supportato nello sviluppo da grandi organizzazioni come Visa o Mastercard.
Un altro utilizzo importante della crittografia riguarda la firma digitale e l’autenticazione dei documenti, che ha applicazioni nella pubblica amministrazione (e-government) e in generale nella stipula di contratti, nella presentazione di moduli, documenti ufficiali, per esempio.
Alcuni esempi
La crittografia ha esempi che affondano sin dalla civiltà Egizia, in cui è testimoniato l’impiego di geroglifici crittografati o, in epoca romana, ha assunto grande importanza fino ai giorni nostri il cifrario di Cesare, uno dei più antichi algoritmi crittografici. Gli stessi algoritmi assumono ancor oggi significativa importanza. Quelli più comuni sono l’Advanced Encryption Standard (AES), algoritmo divenuto standard dal governo degli Stati Uniti e da numerose organizzazioni. Sebbene sia altamente efficiente nella forma a 128 bit, AES utilizza anche chiavi di 192 e 256 bit per documenti di importanza strategica. AES ha rimpiazzato il DES – Data Encryption Standard, e l successivo Triplo DES, che deve il suo nome al fatto che in questo cifrario a blocchi viene ripetuto il Data Encryption Standard, che utilizza tre chiavi individuali con 56 bit ciascuna.
Va ricordato, infine l’algoritmo di crittografica asimmetrica RSA, acronimo che ricorda le iniziali dei suoi inventori: i crittografi Ronald Rivest, Adi Shamir e Leonard Adleman, che lo misero a punto nel 1977 al MIT di Boston.
RSA è un algoritmo di crittografia a chiave pubblica e lo standard per crittografare i dati inviati su internet. È anche uno dei metodi usati nei programmi PGP e GPG. A differenza del Triple DES, RSA è considerato un algoritmo asimmetrico a causa del suo uso di una coppia di chiavi.
Le prospettive: la crittografia post-quantistica
Una considerazione di quella che sarà l’evoluzione futura della crittografia ha a che fare con i quantum computer, tecnologia oggi agli albori, ma dalle potenzialità enormi. Negli ultimi anni, c’è stata una notevole quantità di ricerca su queste macchine. Se un giorno saranno realizzati su larga scala, saranno in grado di vanificare molti dei sistemi di crittografia a chiave pubblica attualmente in uso. Questo comprometterebbe seriamente la riservatezza e l’integrità delle comunicazioni digitali su Internet e altrove. L’obiettivo della crittografia post-quantistica (chiamata anche crittografia quantistico-resistente) è sviluppare sistemi crittografici che siano sicuri sia contro i computer quantistici che quelli classici, e che possano interoperare con i protocolli e le reti di comunicazione esistenti.
Come scrive il NIST, a questo proposito, alcuni ingegneri prevedono addirittura che entro la prossima ventina di anni saranno costruiti computer quantistici sufficientemente grandi per rompere essenzialmente tutti gli schemi a chiave pubblica attualmente in uso. “Storicamente, ci sono voluti quasi due decenni per implementare la nostra moderna infrastruttura di crittografia a chiave pubblica. Pertanto, indipendentemente dal fatto che possiamo stimare il tempo esatto dell’arrivo dell’era del calcolo quantistico, dobbiamo iniziare ora a preparare i nostri sistemi di sicurezza informatica per essere in grado di resistere al calcolo quantistico”.
I timori sono concreti. In un recente articolo su Forbes si mette in luce i rischi connessi alla possibilità di violare i sistemi crittografici che tutelano conti bancari, ma anche codici militari o altre informazioni top secret di straordinaria importanza. Sono a rischio 100 mila miliardi di dollari (!): secondo quanto riportato, IBM afferma che l’informatica quantistica creerà un nuovo rischio di esposizione poiché i computer quantistici possono risolvere rapidamente i complessi problemi matematici che sono alla base della sicurezza di oggi. Google avrebbe ipotizzato che l’informatica quantistica potrebbe “porre fine alla crittografia” entro cinque anni.