Che cos'è la crittografia?

La crittografia si basa sulla codifica di "testo non crittografato" in "testo crittografato", generalmente mediante l'uso di modelli matematici crittografici noti come algoritmi. Per decodificare i dati in testo non crittografato è necessario utilizzare una chiave di decrittografia, una stringa di numeri o una password creata anche da un algoritmo. I metodi di crittografia sicuri hanno un numero di chiavi di crittografia così elevato che una persona non autorizzata non può indovinare quale sia quella corretta, né utilizzare un computer per calcolare facilmente la stringa di caratteri corretta provando ogni potenziale combinazione (nota come attacco di forza bruta).

Uno dei primi esempi di crittografia semplice è il cifrario di Cesare, che prende il nome dall'imperatore romano Giulio Cesare poiché lo utilizzò nella corrispondenza privata. Il metodo è un tipo di crittografia a sostituzione, in cui una lettera viene sostituita da un'altra lettera che si trova un certo numero di posizioni dopo nell'alfabeto. Per decriptare il testo codificato, il destinatario deve conoscere la chiave di crittografia, ad esempio uno spostamento nell'alfabeto di quattro posizioni in basso verso sinistra (un "spostamento di quattro posizioni a sinistra"). Quindi, ogni "E" diventa una "Y" e così via.

La crittografia moderna è molto più sofisticata e utilizza stringhe di centinaia (o migliaia in alcuni casi) di caratteri generati dal computer come chiavi di decrittografia.

La crittografia simmetrica, nota anche come algoritmo di chiave condivisa o privata, utilizza la stessa chiave per la crittografia e la decrittografia. I sistemi di crittografia simmetrici sono considerati meno costosi da produrre e non richiedono molta potenza di computing per la crittografia e la decrittografia, il che significa che ci sono meno ritardi nella decodifica dei dati. 

Lo svantaggio è che se una persona non autorizzata si impossessa della chiave, potrà decriptare tutti i messaggi e i dati inviati tra le parti. Di conseguenza, il trasferimento della chiave condivisa deve essere criptato con una chiave di crittografia diversa, con conseguente ciclo di dipendenze. 

La crittografia asimmetrica, nota anche come crittografia a chiave pubblica, utilizza due chiavi separate per criptare e decriptare i dati. Una è una chiave pubblica condivisa tra tutte le parti per la crittografia. Chiunque abbia la chiave pubblica può quindi inviare un messaggio criptato, ma solo i titolari della seconda chiave privata possono decriptarlo. 

La crittografia asimmetrica è considerata più costosa da produrre e richiede più potenza di calcolo per la decrittografia, poiché la chiave di crittografia pubblica è spesso di grandi dimensioni, comprese tra 1024 e 2048 bit. Pertanto, la crittografia asimmetrica non è sempre adatta per pacchetti di dati di grandi dimensioni.

Data Encryption Standard (DES): uno standard di crittografia sviluppato all'inizio degli anni '70 e adottato dal governo degli Stati Uniti nel 1977. La dimensione della chiave DES era di soli 56 bit, il che lo rende obsoleto nell'ecosistema tecnologico di oggi. Detto questo, è stato determinante nello sviluppo della crittografia moderna, poiché i crittografi hanno lavorato per migliorare le proprie teorie e creare sistemi di crittografia più avanzati.

Triple DES (3DES): la successiva evoluzione di DES ha preso il blocco di crittografia di DES e lo ha applicato tre volte a ogni blocco di dati, criptandolo, decriptandolo e quindi criptandolo di nuovo. Il metodo ha aumentato le dimensioni della chiave, rendendo molto più difficile la decrittografia con un attacco di forza bruta. Tuttavia, 3DES è ancora considerato non sicuro ed è stato ritirato dal National Institute of Standards (NIST) degli Stati Uniti per tutte le applicazioni software a partire dal 2023.

Advanced Encryption Standard (AES): il metodo di crittografia più utilizzato oggi è stato adottato dal governo degli Stati Uniti nel 2001. Si basa su un principio chiamato "rete a sostituzione e permutazione" che è una crittografia a blocchi di 128 bit e può avere chiavi a 128, 192 o 256 bit.

Twofish: utilizzato sia nell'hardware che nel software, Twofish è considerato il metodo di crittografia simmetrico più veloce. Twofish è gratuito e non è né brevettato né open source. Tuttavia, viene usato nelle applicazioni di crittografia più diffuse come PGP (Pretty Good Privacy). Le dimensioni della chiave possono arrivare fino a 256 bit.

I metodi più comuni di crittografia asimmetrica includono:

RSA: sta per Rivest-Shamir-Adelman, il trio di ricercatori del MIT che ha descritto il metodo per la prima volta nel 1977. RSA è una delle forme originali di crittografia asimmetrica. La chiave pubblica viene creata prendendo in considerazione due numeri primi, più un valore ausiliario. Chiunque può utilizzare la chiave pubblica RSA per criptare i dati, ma solo una persona che conosce i numeri primi può decriptarli. Le chiavi RSA possono essere di grandi dimensioni (tipicamente 2048 o 4096 bit) e sono quindi considerate costose e lente. Le chiavi RSA vengono spesso utilizzate per criptare le chiavi condivise della crittografia simmetrica.

Elliptic Curve Cryptography (ECC): una forma avanzata di crittografia asimmetrica basata su curve ellittiche definite su campi finiti. Questo metodo offre la solida sicurezza di chiavi di crittografia imponenti, ma con un impatto inferiore e più efficiente. Ad esempio, una "chiave pubblica a curva ellittica a 256 bit dovrebbe fornire una sicurezza analoga a una chiave pubblica RSA a 3072 bit". Viene spesso utilizzata per le firme digitali e per criptare le chiavi condivise nella crittografia simmetrica.

Ogni giorno le persone scoprono la crittografia, indipendentemente dal fatto che la conoscono o meno. La crittografia viene utilizzata per proteggere dispositivi quali smartphone e personal computer, per proteggere le transazioni finanziarie, come un bonifico bancario e l'acquisto di un articolo presso un rivenditore online, nonché per garantire che messaggi quali email e SMS restino privati. 

Se avete notato che l'indirizzo di un sito web inizia con "https://" (la "s" sta per "sicura") significa che il sito web utilizza la crittografia di trasporto. Le reti private virtuali (VPN) utilizzano la crittografia per mantenere i dati in entrata e in uscita da un dispositivo al sicuro da occhi indiscreti. 

La crittografia dei dati è importante perché contribuisce a proteggere la privacy delle persone e protegge i dati da utenti malintenzionati e altre minacce alla cybersicurezza. La crittografia è spesso obbligatoria dal punto di vista normativo per le organizzazioni che operano ad esempio nell'ambito dei settori retail, finanza e servizi bancari, 'istruzione e sanità.

La crittografia svolge quattro funzioni importanti:

• Riservatezza: mantiene segreti i contenuti dei dati
• Integrità: verifica l'origine del messaggio o dei dati
• Autenticazione: verifica che il contenuto del messaggio o dei dati non sia stato modificato dopo l'invio
• Non ripudio: impedisce al mittente dei dati o del messaggio di negare di essere l'origine

I dati sono in continua evoluzione, che si tratti di messaggi tra amici o transazioni finanziarie. La crittografia associata ad altre funzioni di sicurezza, come l'autenticazione, può contribuire a proteggere i dati durante il trasferimento tra dispositivi o server.

Oltre a impedire a persone non autorizzate di vedere il testo non crittografato, la crittografia protegge i dati in modo che gli utenti malintenzionati non possano utilizzarli per commettere frodi o estorsioni o per modificare documenti importanti. 

Visto il numero sempre maggiore di organizzazioni e persone che utilizzano l'archiviazione sul cloud, la crittografia svolge un ruolo chiave nella protezione dei dati durante il transito verso il cloud, una volta che sono at-rest sul server e durante l'elaborazione da parte dei carichi di lavoro. Google offre diversi livelli di crittografia, nonché servizi di gestione delle chiavi.

Molte normative sulla privacy e sulla sicurezza dei dati richiedono una crittografia avanzata. Sono inclusi i dati sanitari con la normativa Health Insurance Portability and Accountability Act (HIPAA), le transazioni con carta di credito e di debito con lo standard PCI DSS (Payment Card Industry Data Security Standard), il Regolamento generale sulla protezione dei dati (GDPR) e le transazioni retail con la normativa Fair Credit Practices Act (FCPA).

Sebbene la crittografia sia in genere utilizzata per proteggere i dati, a volte gli utenti malintenzionati possono usarla per prendere in ostaggio i dati. Se un'organizzazione viene violata e i suoi dati diventano accessibili, gli utenti malintenzionati possono criptarli e imporre il pagamento di un riscatto all'organizzazione.

La crittografia è molto meno efficace se le chiavi di crittografia che criptano e decriptano i dati non sono sicure. Gli utenti malintenzionati spesso concentrano i loro attacchi sull'ottenimento delle chiavi di crittografia di un'organizzazione. Oltre agli utenti malintenzionati, la perdita delle chiavi di crittografia (ad esempio durante una calamità naturale che compromette i server) può impedire alle organizzazioni di accedere a dati importanti. Questo è il motivo per cui un sistema di gestione delle chiavi sicuro viene spesso utilizzato dalle organizzazioni per gestire e proteggere le proprie chiavi.

Il computing quantistico rappresenta una minaccia esistenziale per le moderne tecniche di crittografia. Una volta pronto, il computing quantistico sarà in grado di elaborare enormi quantità di dati in una frazione del tempo dei normali computer. Pertanto, il computing quantistico ha il potenziale per violare la crittografia esistente. In futuro, tutte le organizzazioni dovranno adattare le proprie tecniche di crittografia utilizzando tecniche di crittografia quantistica. Attualmente, il computing quantistico è relativamente limitato e non è ancora pronto a violare i moderni standard di crittografia. Tuttavia, il NIST ha annunciato il supporto di quattro nuovi algoritmi "resistenti al computing quantistico", progettati per resistere agli attacchi di computing quantistico.