L’oro di questo millennio è rappresentato dai dati personali attraverso i quali possiamo svolgere qualsiasi operazione della nostra quotidianità. Il fatto che siano preziosi li rende anche sensibili ai tentativi di furto da parte di potenziali hacker. E’ fondamentale proteggere ogni dato che ci riguarda da ogni tentativo di furto attraverso metodi di sicurezza adeguati: uno di questi è la cifratura dei dati.
Si tratta di un sistema che permette il “camuffamento” di dati sensibili o personali per garantirne la riservatezza.
In questo modo si cerca di bloccare l’accesso a questi dati senza autorizzazione trasformandoli in modo da non risultare leggibili a chi non ha modo di decifrarli. La cifratura è una forma di trascrizione dei dati che li rende illeggibili a una prima lettura. Un’informazione scritta in modo comprensibile all’essere umano viene trascritta con un linguaggio a codice diventando così illeggibile da sembrare nascosto.
La parola “cifratura” proviene da “cifra” e, di fatto, indica un insieme di lettere, numeri o segni che sostituiscono i caratteri di un testo in chiaro. Ad esempio potremmo adottare un sistema di cifratura capace di tradurre la parola “Buongiorno” in una parola incomprensibile come “6)80!Spyr1”. Con questa traduzione i dati cifrati possono essere tradotti solo da persone autorizzate che conoscono l’algoritmo di cifratura perché chi vuole leggere i dati cifrati o criptati deve avere la chiave corretta per convertire tale parola o frase in un testo comprensibile all’essere umano.
“Crittografia” sta per “scrittura nascosta” e le cifre costituiscono lo strumento più affidabile per trasmettere messaggi riservati.
Gli algoritmi di cifratura venivano usati fin dall’antichità e uno dei primi esempi è stato l’algoritmo di Cesare o “cifrario a sostituzione” in cui la sostituzione delle lettere dell’alfabeto avviene per scorrimento; per rendere più esaustiva la spiegazione basti pensare alle prime 3 lettere dell’alfabeto che, cifrate in questo modo, diventerebbe DEF.
E’ possibile cifrare sia i dati detti “a riposo” ovvero conservati all’interno di hard disk e in questo caso viene cifrato l’intero disco che li conserva. Sempre la cifratura permette di nascondere i dati in transito, quindi trasmessi nel web o verso una rete locale.
L’algoritmo di cifratura è una formula matematica che legge i dati con una chiave di cifratura.
Le informazioni vengono trasformate in modo prevedibile. Anche se il risultato risulterebbe esser totalmente casuale, poter decifrare una parola o frase scritta in codice con chiave di cifratura offre la possibilità di rendere comprensibile un testo altrimenti inutilizzabile per la sua illeggibilità. Di metodi di cifratura ce ne sono tanti e ognuno si distingue per una specifica esigenza in fatto di sicurezza. Le principali macro-categorie attraverso le quali raggruppare gli algoritmi di cifratura sono 2, ovvero la cifratura simmetrica e la cifratura asimmetrica.
Cifratura simmetrica
La cifratura simmetrica usa una sola chiave segreta sia per cifrare il messaggio originale che per decifrarlo in seguito. Mittente e il destinatario dei dati cifrati impiegano la stessa chiave segreta per la cifratura e la decifratura usando, poi, una simmetria per gestire entrambe le situazioni. Enigma, tecnologia usata dai tedeschi per studiare e anticipare le mosse del nemico, usava un sistema simmetrico.
Cifratura asimmetrica
La cifratura asimmetrica, detta anche crittografia a chiave pubblica, usa due chiavi differenti: una per la cifratura e l’altra per la decifratura. La chiave per la cifratura è la “chiave pubblica” quindi è utilizzabile da tutti. La chiave per la decifratura è la “chiave privata” e può essere usata solo dal destinatario com’è giusto che sia perché è l’unico soggetto che può accedere al contenuto del messaggio.
Ciascuna delle due cifrature raggruppa al proprio interno varie tipologie di algoritmi. Approfondiremo questi contenuti in un successivo articolo data la complessità dell’argomento. Per ora preferiamo mantenere un profilo più contenuto e accessibile anche ai meno addetti ai lavori.
Cifratura in transito e cifratura end-to-end
Esiste comunque un’ulteriore suddivisione delle cifrature in “cifratura in transito” e “cifratura end-to-end”. Con la cifratura in transito le informazioni vengono protette durante la comunicazione, ovvero mentre i dati si muovono dal mittente al server che dovrà smistare il messaggio.
Questo vuol dire che i dati non vengono cifrati fino a quando non sono arrivati a destinazione.
Quando i dati arrivano al server viene eseguita una decifratura dei dati appena ricevuti dal mittente e poi fa una nuova cifratura prima di consegnarli al destinatario. Esiste tuttavia una vulnerabilità perché le informazioni tra la decifratura e la cifratura rimangono scritte in chiaro per un periodo sufficiente nel quale terzi possono averne accesso.
Nella cifratura “end-to-end” i dati sono cifrati tra mittente e destinatario continuamente perché quest’ultimo è l’unico che detiene le chiavi di decifratura. I server presenti tra mittente e destinatario non possono accedere alle informazioni in chiaro che così rimangono totalmente nascoste durante la comunicazione. Telegram e Whatsapp usano questo tipo di cifratura.
Cifratura omomorfica
Esiste un terzo metodo di cifratura detta “omomorfica” che si può utilizzare su quella asimmetrica. Questo metodo prevede un terzo soggetto che detiene la chiave pubblica e può compiere dei calcoli arbitrari sui messaggi che vengono crittografati dal proprietario dei dati. Questo terzo soggetto non può accedere ai dati in chiaro fornendo al proprietario che li ha inviati i risultati delle sue operazioni come nuovi messaggi cifrati.
Chi ha la chiave privata può decifrare questi risultati per accedere in chiaro al messaggio. Questo metodo viene usato per gestire esternamente la conservazione e il trattamento dei dati sensibili in ambienti cloud con una maggiore sicurezza dando così in subappalto a datacenter terzi elaborazioni che richiedono tempo e risorse.
La cifratura è importante per:
- garantire la riservatezza dei dati durante le comunicazioni cosi che solo il proprietario dei dati e/o il loro destinatario ne hanno accesso;
- proteggere i dati da qualsiasi forma di violazione. Nel caso di furto di pc, i dati cifrati salvati al suo interno non possono essere usati e divulgati da chi tenta di rubarli;
- mantenere l’integrità dei dati trasmessi;
- autenticare una richiesta di accesso verificando in questo modo la veridicità della stessa;
- obbligare le imprese a rispettare le direttive dell’Unione Europea in materia di trattamento dei dati.
Le imprese e le amministrazioni devono proteggere i dati in loro custodia.
Nel rispetto del GDPR e come difesa da possibili attacchi informatici, le società informatiche munite di datacenter lavorano attivamente per garantire la tutela dei dati. Tale mancanza comporta violazioni a livello normativo a cui seguono sanzioni sia pecuniare che penali.
