Latest news

Crittografia Informatica e Sicurezza aziendale

Cos’è la crittografia

La crittografia è la scienza che si occupa di proteggere l’informazione rendendola sicura, in modo che un utente non autorizzato che ne entri in possesso non sia in grado di comprenderla.
Opposta alla crittografia si trova la crittoanalisi che invece cerca di aggirare o superare le protezioni crittografiche, accedendo alle informazioni protette. Crittografia e crittoanalisi insieme formano la crittologia.
La crittografia viene impiegata sia dai singoli utenti che dalle grandi aziende, ed è ampiamente utilizzata su Internet per tutelare le informazioni utente inviate ad esempio tra il browser e il server web di riferimento della pagina.
Tali informazioni potrebbero includere tutto, dai dati di pagamento alle informazioni personali. Aziende di tutte le dimensioni utilizzano la crittografia per proteggere i dati sensibili dei loro server e database.
Per citare un esempio di crittografia che ogni giorno vediamo senza notarlo è quella applicata su internet a tutte le pagine che iniziano con https:// invece che con http://.

La differenza appunto sta proprio nel fatto che i dati inviati e ricevuti dalle pagine sul web https sono crittografati dal protocollo TLS non presente sulle pagine http.

tls_crittografia

Elementi del processo crittografico

Vediamo ora quali sono gli elementi fondamentali del processo crittografico cosi da capire poi quali sono i vari tipi di crittografia e gli scenari di utilizzo.

  • Algoritmo crittografico

    è la funzione che prende in ingresso un messaggio e un parametro detto chiave e produce in uscita il messaggio trasformato

 

  • Cifratura

    Il processo di trasformazione da testo in chiaro a testo cifrato

 

  • Decifratura

    Processo inverso della cifratura. Quando il destinatario di un messaggio crittografato ne riceve uno, per poterlo leggere e comprendere deve attuare una decifratura del messaggio

Cosa deve garantire la crittografia

Gli algoritmi crittografici, sono esattamente ciò che permette di irrobustire i sistemi crittografici e di garantire alcune funzionalità del sistema. In generale nessun algoritmo di questo tipo è assolutamente sicuro perciò si può dire che è “computazionalmente” sicuro se:

  • Il costo necessario a violarlo è superiore al valore dell’informazione cifrata
  • Il tempo necessario a violarlo è superiore al tempo di vita utile dell’informazione cifrata

Dati questi presupposti quindi non deve essere possibile dato un testo cifrato ottenere il corrispondente testo in chiaro senza conoscere la chiave di decifratura e dato il testo cifrato e il corrispondente testo in chiaro ottenere la chiave di decifratura

Cosi facendo l’algoritmo riuscirà a garantire al sistema le proprietà di:

  • Autenticazione:

    un qualunque sistema che permetta di verificare che qualcuno sia effettivamente chi sostiene di essere (ad esempio con username e password, smart card o impronte digitali)

 

  • Integrità:

    il messaggio o il materiale inviato al destinatario non deve essere modificato senza autorizzazione

 

  • Non ripudiabilità:

    un sistema che non permetta ad un utente che ha inviato un messaggio di negare di averlo fatto o, dall’altra parte, che non permetta al destinatario di negare di aver ricevuto un messaggio dal mittente

Diversi tipi di crittografia

Nella storia della crittografia si sono creati diversi modelli e schemi basati su algoritmi sempre più sofisticati per proteggere i dati. In base ad alcune caratteristiche, si sono diversificate due tipi di crittografia che ora andremo a vedere:

  • Crittografia a chiave simmetrica

    Altrimenti detta a chiave segreta, utilizza una chiave comune e il medesimo algoritmo crittografico per la codifica e la decodifica dei messaggi. Due utenti che desiderano comunicare devono accordarsi su un algoritmo e su di una chiave comuni. In questo caso quindi la chiave deve essere scambiata su un canale sicuro.

crittografia e sicurezza informatica aziendale

Il problema di questo schema crittografico è quindi la distribuzione delle chiavi che, essendo identiche in cifratura e decifratura, devono essere segrete per evitare che qualcuno intercetti i messaggi scambiati.
Per capire meglio come funziona la crittografia a chiave simmetrica, vediamo un paio di esempi utili a chiarire il concetto

 

Cifrario di Cesare

Prendiamo l’alfabeto come possibili lettere da utilizzare per il messaggio e una chiave K = 3. Utilizzando il cifrario di Cesare, dobbiamo spostare ogni lettera dell’alfabeto di 3 posizioni perciò la A diventa D, la B diventa E, la C diventa F e cosi via.
Se volessimo mandare un messaggio scrivendo “CIAO”, con l’aiuto di questo metodo di cifratura, il testo cifrato diventerebbe “FNDR”, incomprensibile da chiunque non conosca la chiave e l’algoritmo di cifratura

AES (Advanced Encryption Standard)

E’ il più noto algoritmo crittografico simmetrico moderno. Le chiavi utilizzate per cifrare e decifrare il messaggio possono essere da 128, 192 o 256 bit così da rendere davvero complicato da violare

  • Crittografia a chiave asimmetrica

    In questa modalità ogni utente ha una coppia di chiavi costituita da una chiave pubblica e una privata. La chiave pubblica va resa nota mentre quella privata deve rimanere segreta. Il dato (messaggio) viene cifrato con la chiave pubblica del destinatario che potrà decifrarlo con la propria chiave privata. I vantaggi rispetto al precedente sistema sono che non è più necessario incontrarsi per scambiare le chiavi e che la stessa chiave pubblica può essere utilizzata da più utenti.
    I requisiti della cifratura asimmetrica sono che deve essere semplice l’operazione di generazione di una coppia di chiavi pubblica/privata, deve essere semplice l’operazione di cifratura e decifratura se si è a conoscenza della relativa chiave, deve essere computazionalmente impraticabile ricavare la chiave privata da quella pubblica e ricavare il testo in chiaro avendo il testo cifrato e la chiave pubblica

Vediamo un esempio:

Algoritmo RSA

La robustezza dell’algoritmo RSA è legata alla difficoltà computazionale di riuscire a fattorizzare numeri molto grandi.
Dato un numero n, non esistono infatti metodi per trovare due numeri primi p e q tali che il loro prodotto abbia per risultato n. Quindi la difficoltà di ricavare la chiave privata a partire da quella pubblica coincide con la difficoltà di fattorizzare il prodotto n nelle sue componenti
  • Crittografia end-to-end

    Schema crittografico che si basa sempre sulla crittografia asimmetrica ma fa un passo in più. Per aumentare la sicurezza delle conversazioni infatti il sistema che gestisce il canale di comunicazione non controlla la creazione delle chiavi private che vengono generare e archiviate direttamente sui dispositivi delle persone che comunicano. In questo modo solo le persone interessate possono decifrare i messaggi e il flusso di comunicazione non coinvolge terze parti. La crittografia end-to-end è diventata di dominio pubblico nel 2016 quando è stata introdotta da WhatsApp per garantire la riservatezza delle comunicazioni tra gli utenti.

Crittografia aziendale

Vediamo ora riassumendo, quali sono le necessità a cui la crittografia risponde dal lato aziendale:

  • La riservatezza delle informazioni in transito è uno dei più importanti bisogni a cui abbiamo visto che risponde la crittografia, che sia la comunicazione con un server web o una email.
    Per le comunicazioni verso un server web lo standard è ora l’implementazione di un protocollo SSL/TLS
  • La riservatezza delle informazioni archiviate viene anch’essa garantita dalla crittografia. Le due metodologie secondo cui agisce sono la protezione del supporto fisico e la protezione del singolo file (basti pensare alla cifratura del disco)

Tutte le aziende possono quindi trarre grandi benefici dalle potenzialità della cifratura anche nell’ottica del rispetto delle normative introdotte con la General Data Protection Regulation (GDPR)  e quindi è molto consigliato affidarsi ad esperti del settore per implementare le misure corrette  e necessarie per essere a norma, aggiornati e pronti a difendersi da attacchi informatici o perdita dei dati.
Nexsys in qualità di System Integrator specializzato in ambito di Sicurezza Informatica fornisce vari servizi per aiutarti a proteggere le tue strutture dati ed organizza corsi di formazione per fornire competenze utili ad affrontare minacce informatiche: corso sulla sicurezza, corso di Ethical Hacking

Hai bisogno di maggiori informazioni?

I nostri esperti IT sapranno certamente aiutarti!

My Agile Privacy

Questo sito utilizza cookie tecnici e di profilazione. 

Puoi accettare, rifiutare o personalizzare i cookie premendo i pulsanti desiderati. 

Chiudendo questa informativa continuerai senza accettare. 

Inoltre, questo sito installa Google Analytics nella versione 4 (GA4) con trasmissione di dati anonimi tramite proxy. 

Prestando il consenso, l'invio dei dati sarà effettuato in maniera anonima, tutelando così la tua privacy.