L’importanza della crittografia nella protezione dei dati

Dalla “scitala lacedemonica” al “bitlocker”.
24/09/2019


«[…] Sembrerà paradossale ma non esiste al mondo alcun computer
che garantisca la stessa riservatezza dei pizzini di Totò Riina […]»
– Filippo Sinagra crittografo –


L’idea di poter comunicare in modo sicuro e di proteggere le informazioni da occhi e orecchie indiscrete ha solleticato l’uomo fin dai tempi più remoti. Già nel 1900 a.c. i faraoni erano soliti utilizzare geroglifici diversi da quelli standard nelle comunicazioni con i propri generali. Un altro metodo era  “la scitala”, con la quale, verso il 400 a.c., le comunicazioni ritenute "sensibili" venivano codificate.

Il funzionamento era semplice quanto efficace e, per la prima volta, introduceva il concetto di chiave di decrittazione: il messaggio veniva inciso su un nastro di cuoio arrotolato attorno a un bastone con un numero preciso di facce, in modo tale che ogni giro della striscia riportasse un solo carattere: una volta srotolata la striscia, le lettere risultavano mescolate e il messaggio non più leggibile. Solo con l'utilizzo di un bastone identico a quello del mittente (la chiave) era possibile leggere il testo in chiaro.

C’è da dire però che i sistemi di crittazione come questo, detti a sostituzione delle lettere, risultavano complessivamente poco sicuri. Questo fino all’inizio degli anni ’30 quando l’intelligence tedesca mise appunto quella che oggi conosciamo come la “Macchina Enigma”. Era una speciale macchina da scrivere dotata inizialmente di tre diverse ruote, su ogni ruota vi erano incise le lettere dell'alfabeto. La prima ruota era collegata ai tasti della macchina, e riproduceva il testo codificandolo mediante sostituzione semplice con la chiave predefinita. Il testo così codificato veniva ricodificato dalla seconda ruota con una chiave diversa, e poi ancora dalla terza. Per decifrare un testo criptato con Enigma era indispensabile un'altra macchina impostata esattamente come la prima. E’ possibile vedere in azione una Macchina Enigma nel film U-571 del 2000 dove si evince l’importanza della codifica dei messaggi e ancor di più la loro decodifica.


Ma benché fosse  un sistema meccanico spaventosamente complesso (una Enigma poteva codificare un messaggio in 150 milioni di milioni di possibili combinazioni diverse), il sistema fu violato la prima volta nel 1932 dal matematico Marian Rejewsky, e una seconda volta da Alan Turing.

Oggi la crittografia, cioè la capacità di rendere un messaggio incomprensibile per tutti tranne che per il legittimo destinatario, è una vera e propria scienza. Questi sistemi, per quanto complessi, sono comunque destinati a essere violati, a patto di avere a disposizione capacità di calcolo e tempo. Questo fino alla metà degli anni '70 quando due ricercatori americani, misero a punto un sistema di crittazione basato sull'utilizzo di due differenti chiavi: una chiave pubblica e una privata: la prima serve per cifrare, la seconda per decifrare. L'evoluzione di questo sistema si ebbe nel 1978, quando i matematici e crittografi Ronald Rivest e Leonard Adleman e Adi Shamir misero a punto un algoritmo matematico per generare due chiavi indipendenti. Il sistema, chiamato RSA dai nomi dei tre ricercatori, è a tutt'oggi ritenuto inattaccabile: infatti, nel 1994, 600 gruppi di ricerca di 25 Paesi impiegarono ben 8 mesi per violare una chiave RSA a 129 cifre, utilizzando oltre 1.600 computer collegati via Internet. I programmi di criptazione oggi più diffusi utilizzano chiavi a 2048 cifre. Il tempo per forzare questo tipo di codifica attualmente è, in teoria, misurabile in centinaia di anni.
 

“[…] Al fine di salvaguardare la sicurezza e l’integrità delle reti e dei servizi, l’uso della crittografia end-to-end dovrebbe essere promossa e, laddove necessario, essere obbligatoria in conformità con i principi di sicurezza. […]”
– estratto dal regolamento sulla Privacy del 2017,  la relazione Lauristin –


Occorre quindi modificare il proprio pensiero e iniziare a valutare la criptazione, non solo una questione di sicurezza o riservatezza personale ma, e ancora di più, con l’entrata in vigore del Regolamento Generale sulla Protezione dei Dati (GDPR), la cifratura e la pseudonimizzazione dei dati è a tutti gli effetti quasi un obbligo e non un di più. Un sistema, dunque, divenuto evidentemente indispensabile per garantire la necessaria protezione per i miliardi di informazioni di ogni genere che circolano su Internet e, se per informatici e per i responsabili dei sistemi informativi, la cifratura non rappresenta di certo una novità, è in tutte quelle attività produttive, pensiamo soprattutto alle PMI, in cui gli archivi digitali o cartacei che siano dovranno ora essere adeguatamente protetti da eventuali “data breach”. Bisogna però dire che l’esplicito riferimento alla cifratura nel GDPR ha causato non poca confusione. L’impiego di tecniche di crittazione, oltre ad essere impegnativo, può risultare talvolta inefficace poiché non necessario o sproporzionato rispetto alle tipologie di trattamenti effettuati e di dati trattati. Cosa bisogna quindi fare per approcciarsi in modo quasi indolore alla crittografia?
In linea di massima è bene prendere in considerazione che affidarsi a prodotti basati su algoritmi standard di mercato può aiutare, anziché adottare soluzioni raffazzonate e fatte da sconosciuti. E’ necessario studiare e definire bene l’architettura del sistema di cifratura più adatto alle esigenze: non esiste uno “standard”. Una scelta non ben tarata prima si trasformerà in un problema e poi su un costo. Si consiglia di pendere in considerazione e valutare di non applicare la crittografia subito su tutto così da capire che tipo di impatto avrà la sua introduzione e in ultimo, ma non per importanza, formare collaboratori e dipendenti.
Pochi accorgimenti, che possono sembrare banali ma che raramente, purtroppo, appaiono ben applicati nelle realtà organizzative causando una riduzione della produttività. Un lusso che, oggi, poche aziende si possono permettere.

Anthony Caridi

Fonti:
Articolo Focus.it del 22 maggio 2016
Wikipedia
Cinematografo.it
Universal Pictures

 

 

 

Domande? Siamo lieti di confrontarci scrivici!
Compila i campi sottostanti, la tua opinione in merito a questo articolo è per noi molto preziosa
Accetto i termini e le condizioni indicati nella Privacy Policy

Business Intelligence Operativa

Cyber Security
Ricerca e verifica di eventuali rischi di sabotaggio,..
Diritto di Famiglia
Indagini Private per: Ricatti e molestie, Persone sco..
Forensic Investigations
Assistenza al cliente nella ricerca e nella formazion..

Dossier Investigativi

Social & Political Profile
Dossier completi di tutte le informazioni relative al..
Franchisee Assessment
Dossier mirato alla valutazione del Rischio Reputazio..
Crime & Web Reputation
Dossier strategico in grado di cogliere elementi uffi..

Specializzazioni

Area Torrefattori
Dossier in grado di fornire una valutazione e il moni..
Settore Farmaceutico
Dossier specifici per migliorare la gestione dei ris..
Real Estate
Dossier finalizzato ad una corretta e completa valuta..

Questo blog è offerto da

INVESTIGAZIONI ITLIA

Business Intelligence • Dal 1992 al servizio delle Imprese

VISITA IL SITO