La cifratura dei dati per la protezione dei dati sensibili

La cifratura dei dati si è sviluppata negli ultimi anni e si è rivelata sempre più necessaria. La causa: un aumento del numero di attacchi informatici, e anche problemi legati alla violazione della privacy dei dati.

Ma per sfruttare appieno il potenziale di questa tecnologia, dobbiamo capire cos'è e come funziona in pratica.

Cos'è la cifratura dei dati? Quali sono i diversi sistemi esistenti, i loro vantaggi e le loro applicazioni?

In informatica, la cifratura dei dati è definita come il processo di codificazione delle informazioni per renderle incomprensibili a tutti tranne a chi possiede la chiave di lettura per decriptare il messaggio.

Per fare questo, un testo in chiaro, o plaintext, viene trasformato in un testo cifrato, o ciphertext, utilizzando un algoritmo. Solo una chiave di cifratura può decriptare il contenuto.

Il gdpr prevede che questa tecnologia venga usata per la protezione e il trattamento di:

• qualsiasi tipo di dati personali trattati:
  • dati strategici dell'azienda,
  • dettagli della banca,
  • informazioni personali,
  • password, ecc.
• dati circolanti sul web,
• dati memorizzati nel cloud,
• dati conservati su un’unità "dura":
  • su un computer,
  • su una pen drive come memoria flash,
  • su un disco rigido esterno, ecc.

Di conseguenza, la crittografia dei dati è adatta sia per uso personale che professionale.

💡 Crittografia o cifratura? Entrambi i termini sono usati in modo intercambiabile sul web. Ma i più puristi faranno notare che questo è un errore. Il termine corretto sarebbe cifratura.

In effetti, la parola "criptare" non esiste in informatica. La decrittazione corrisponde alla decifratura senza il possesso di una chiave di lettura.

Furto d'identità, furto di dati bancari, hacking... la cifratura dei dati rientra tra le misure di sicurezza strettamente necessarie per proteggere i dati personali dai malintenzionati.

Attenzione però, gli hacker usano la malizia per superare le barriere erette dalla crittografia stessa, usando :

• attacco di forza bruta: l'hacker prova tutti i codici possibili in modo casuale, finché non trova quello giusto;
• l'attacco side chanel (a canale laterale): sfrutta le falle nell'implementazione del cifrario, non il cifrario stesso;
• crittoanalisi: cerca di dedurre il messaggio cifrato senza avere la chiave di cifratura.

Da qui l'interesse necessario di utilizzare chiavi lunghe (che moltiplicano le combinazioni possibili) e sistemi di crittografia perfettamente testati e funzionali.

La crittografia dei dati è particolarmente utilizzata nelle aziende perché immagazzinano, gestiscono e trasferiscono una grande quantità di informazioni sensibili.

Grazie alla cifratura dei dati, sono in grado di affrontare due grandi sfide in termini di riservatezza:

• problemi strategici: business plan, file dei clienti, segreti commerciali... sarebbe dannoso se tali informazioni cadessero nelle mani sbagliate.
• problemi legali: alcune professioni, come il settore sanitario, sono obbligate a garantire la riservatezza dei dati in loro possesso.

Infine, bisogna notare che alcuni sistemi di crittografia permettono anche :

• di riconoscere l'origine di un messaggio,
• di attestare l'autenticità e l'integrità delle informazioni che contiene,
• di prevenire la retrocessione di un contratto: non mettere in discussione la firma di un contratto da parte delle controparti, per esempio.

Con questo sistema, la stessa chiave di crittografia viene utilizzata per cifrare e decifrare il messaggio.

💡 Ecco come funziona in breve:

1. Ross genera una chiave segreta.
2. Poi invia questa chiave segreta a Rachel in modo sicuro.
3. Ross cripta il suo documento usando la stessa chiave segreta.
4. Poi invia questo documento criptato a Rachel.
5. Rachel riceve il documento e poi lo decripta usando la chiave ricevuta in precedenza.

Si noti che ci sono due tipi di crittografia simmetrica:

• Crittografia a flusso: opera bit per bit e utilizza un algoritmo che si rigenera continuamente per garantire la sicurezza dei dati. È quindi particolarmente adatto alle comunicazioni in tempo reale.
• Crittografia a blocchi: ogni blocco di bit (64 per esempio) è trasformato in blocchi cifrati della stessa dimensione. Questo è il metodo di crittografia simmetrica più usato.

👍 Vantaggi :

La crittografia simmetrica richiede un tempo di calcolo più veloce. Comodo se avete una grande quantità di dati da proteggere.

È anche più facile da capire per gli utenti meno esperti.

👎 Svantaggi :

Questo tipo di crittografia comporta la fornitura di una chiave al destinatario, il che può causare dei rischi elevati di sicurezza: basta perdere la chiave e la sicurezza dei dati è compromessa. Per questo motivo, questa tecnologia è più adatta quando :

• volete cifrare i documenti per voi stessi,
• o usate un sistema chiuso.

Inoltre, la crittografia simmetrica serve principalmente a garantire la riservatezza e la sicurezza dei dati, ma non va oltre.

Alcuni degli algoritmi di crittografia simmetrica più comunemente usati sono :

• Crittografia DES (Data Encryption Standard): un sistema di cifratura a blocchi di 64 bit. Le chiavi utilizzate sono della stessa dimensione.
• Crittografia AES (Advanced Encryption Standard): un sistema di cifratura a blocchi a 128 bit. Si tratta di chiavi di diverse dimensioni: 128, 192 o 256 bit.
• Blowfish: sistema di crittografia a blocchi a 64 bit. Richiede chiavi di varie dimensioni, che vanno da 32 a 448 bit.

L'algoritmo di crittografia asimmetrica funziona con due chiavi:

• una chiave pubblica: può essere condivisa con chiunque e viene utilizzata per cifrare i dati,
• una chiave privata per decodificare il messaggio.

Essendo legati "matematicamente", è impossibile risalire alla chiave privata a partire soltanto dalla chiave pubblica.

💡 Ecco come funziona in termini concreti:

1. Ross vuole mandare un messaggio a Rachel. Quindi le chiede la sua chiave pubblica.
2. Rachel invia la sua chiave pubblica a Ross.
3. Ross poi cripta il suo messaggio usando la chiave pubblica di Rachel.
4. Ross trasferisce quindi il messaggio criptato a Rachel, che lo decripta usando la chiave privata che ha ancora.

👍 Vantaggi :

Il vantaggio principale è che si evitano i rischi associati alla trasmissione delle chiavi di decrittazione. Infatti, se un malintenzionato intercetta gli scambi, avrà tra le mani la chiave di lettura pubblica. Sarà per lui impossibile decriptare il messaggio, poiché non è in possesso della chiava privata.

Inoltre, la crittografia asimmetrica permette la firma elettronica.

👎 Svantaggi:

Questa tecnica è più lunga e complessa della crittografia simmetrica, ma ovviamente espone a meno rischi.

Alcuni degli algoritmi di crittografia asimmetrica più comunemente usati sono :

• Crittografia RSA (dal nome dei suoi ideatori Rivest, Shamir e Adleman): è il metodo asimmetrico più utilizzato, poiché si basa sulla difficoltà di fattorizzare grandi numeri interi.
• Crittografia DSA (Digital Signature Algorithm): questo algoritmo è stato inizialmente utilizzato per firmare elettronicamente i documenti.

Una grande varietà di dati può essere criptata, utilizzando vari strumenti e software.

Ecco alcuni esempi per aiutarvi a capire i diversi usi della crittografia dei dati.

Per quanto riguarda le comunicazioni via e-mail, gli utenti di Gmail e Outlook beneficiano già della possibilità di cifrare i loro dati:

• Gmail integra lo standard di crittografia S/MIME nella sua soluzione, che è funzionale se sia il mittente che il destinatario lo hanno attivato in precedenza;
• Outlook è anche configurabile per integrare il protocollo S/MIME negli scambi di e-mail.

💡 Se vuoi beneficiare di un livello di crittografia più elevato, esistono caselle di posta specializzate. ProtonMail, per esempio, ha costruito la sua reputazione sulla crittografia automatica end-to-end. In altre parole, nemmeno il provider può accedere ai vostri dati.

Sul fronte delle applicazioni di messaggistica, alcune usano la crittografia end-to-end, rendendo la privacy dei dati uno dei loro principali punti di forza.

Questo è il caso, per esempio, di Signal. L'applicazione arriverà a sostituire WhatsApp, che è attualmente controversa per aver fatto marcia indietro rispetto ai suoi requisiti di crittografia dei dati personali degli utenti?

La garanzia della sicurezza delle vostre password è assicurata dall'uso di un password manager, un programma software dotato di una tecnologia di crittografia.

LastPass, per esempio, utilizza AES a 256 bit per cifrare e decifrare tutti i dati localmente. Tutto è perfettamente sicuro, poiché anche i server di LastPass non hanno accesso alla master password e alla chiave di crittografia.

Ci sono diversi algoritmi per cifrare i documenti sensibili registrati sul computer o sul disco rigido esterno. Ma come abbiamo visto in precedenza, il metodo simmetrico rimane il più appropriato (non c'è bisogno di trasmettere una chiave).

Gli strumenti sono stati appositamente progettati per questo scopo. Uno dei più popolari: 7-Zip. Gratuito, è usato per la compressione, ma anche per la crittografia dei file.

Come cifrare la vostra rete per proteggere i dati personali che circolano sul web? Utilizzando una VPN, uno strumento che ti permette di connetterti a Internet in tutta sicurezza, soprattutto su una rete Wi-Fi pubblica.

Per fare questo, la VPN crea un tunnel criptato attraverso il quale i vostri dati personali viaggiano verso il server del suo fornitore. Questo server poi decifra i vostri dati personali e li rimanda al sito o all'applicazione che state utilizzando.

Ora avete le chiavi di lettura per decifrare meglio le sfide della crittografia dei dati.

Usate già strumenti dedicati a questo scopo nella vostra azienda? Raccontaci la tua esperienza nei commenti ;-)