Una descrizione della crittografia: come, perché e quando della crittografia

L’elenco dei siti che memorizzano la tua password non crittografata è sconcertante. La violazione dei dati di Ashley Madison della memoria recente è un ottimo esempio di gestione errata di informazioni sensibili, in cui oltre 300 GB di dati dell’utente sono stati compromessi in forma di testo in chiaro. Non è nemmeno l’unico esempio, con siti come Britannica recentemente accusati di archiviazione di password in chiaro.


In questa guida sulla crittografia, affronteremo perché le informazioni sensibili devono essere crittografate in transito e archiviazione in modo da poterti proteggere dalle cattive pratiche di sicurezza. Ti forniremo una definizione base di crittografia, esamineremo i diversi modi in cui accade e forniremo anche alcuni usi per esso.

La nostra speranza è che entro la fine di questa guida capirai la necessità di crittografare i dati sensibili e le applicazioni del mondo reale per esso. Mentre la crittografia è un argomento denso e complesso, abbiamo cercato di renderlo il più semplice possibile ai fini di questa guida.

Cos’è la crittografia?

La crittografia è un concetto semplice da comprendere. In sostanza, è un modo per codificare un’informazione in modo che solo il destinatario previsto possa accedervi. Le informazioni vengono criptate utilizzando un codice, come AES, e una chiave viene condivisa tra le parti che consente al destinatario di decrittografarlo.

Il codice converte il testo in chiaro in testo cifrato, rendendo le informazioni illeggibili. Al fine di garantire che solo il destinatario previsto possa decrittografare tali dati, viene condivisa una chiave di crittografia che consente a due macchine di concordare che l’origine e la destinazione dei dati sono come previsto. Parleremo di più sulle chiavi di crittografia nella prossima sezione.

La crittografia, il termine più ampio per il trasferimento sicuro delle informazioni, non è una novità. Gli antichi Greci usavano spesso cifre per mescolare i messaggi, di solito semplicemente riorganizzando le lettere di ogni parola o applicando una semplice regola. La cifra Ceaser è un buon esempio. Gli stessi metodi si applicano alla crittografia digitale, ma le cifre sono più complesse.

Nel mondo digitale, la crittografia viene utilizzata come mezzo per proteggere le informazioni personali, come password e traffico Internet, come discuteremo in una sezione successiva. Se hai un account online praticamente ovunque, le tue informazioni sono probabilmente crittografate. Anche se non hai partecipato attivamente al processo, hai comunque ricevuto il vantaggio.

La crittografia protegge dall’intercettazione e dal furto dei dati. I dati criptati possono essere decifrati solo con la chiave di crittografia, a cui l’attaccante non dovrebbe avere accesso. Esistono due tipi principali di crittografia con funzioni diverse.

Tipi di crittografia

Esiste più di un modo per crittografare il testo in chiaro: il limite sembra essere l’immaginazione umana. Diamo un’occhiata ad alcuni dei tipi più comuni.

Chiave privata / Crittografia simmetrica

La crittografia simmetrica utilizza la stessa chiave per crittografare e decrittografare i dati. Ciò significa che la chiave di crittografia viene condivisa tra le parti prima che i dati vengano crittografati o decrittografati. La crittografia simmetrica sarebbe come avere una cassaforte in cui archiviare i tuoi dati. Tu e chiunque altro possa accedere a tali dati, avresti bisogno della combinazione per aprire la cassaforte.

Simmetrica-Encryption

Questa crittografia viene utilizzata principalmente per proteggere i dati inattivi. Un buon esempio di ciò è l’archiviazione cloud, in cui la crittografia viene eseguita mentre i dati sono ancora archiviati e decrittografata solo quando vi si accede da un utente autorizzato.

Il processo di base funziona in questo modo: un utente richiede l’accesso a dati crittografati. Il contenitore di archiviazione restituisce una chiave di crittografia al gestore chiavi. Il gestore chiavi verifica la legittimità di ciascuna parte, quindi apre una connessione sicura tra di loro.

Ora che viene aperta la connessione protetta, la chiave di crittografia è condivisa tra le parti. Al termine, le informazioni crittografate vengono decrittografate e inviate come testo in chiaro alla parte richiedente.

Ci sono molti passaggi quando si tratta di crittografia simmetrica, che lo rende più applicabile ai dati a riposo. La crittografia asimmetrica è migliore per i dati in movimento, in quanto consente agli utenti di crittografare attivamente pacchetti di dati senza condividere una chiave tra di loro.

Chiave pubblica / Crittografia asimmetrica

La crittografia asimmetrica si basa su una coppia di chiavi pubblica / privata anziché su una chiave privata condivisa tra le parti. Si inizia con la crittografia dei dati, che utilizza una chiave pubblica. Come suggerisce il nome, la chiave pubblica è resa liberamente disponibile a chiunque ne abbia bisogno.

Asimmetrica-Encryption

Questo tipo di crittografia viene utilizzato per i dati in movimento. Un esempio potrebbe essere la connessione a Internet tramite una rete privata virtuale, come vedremo in una sezione successiva. Una chiave di sessione simmetrica viene utilizzata per crittografare i dati, quindi viene utilizzata una chiave pubblica per crittografare la chiave simmetrica. Una volta ricevuti i dati crittografati, la chiave privata viene utilizzata per decrittografare la chiave che viene quindi utilizzata per convertire il testo cifrato.

Innanzitutto, il mittente e il destinatario verificano reciprocamente i certificati. Il mittente richiede la chiave pubblica del destinatario, che viene quindi condivisa. Una chiave simmetrica effimera – che viene utilizzata solo per una sessione – crittografa il testo in chiaro in testo cifrato.

Quindi, la chiave pubblica crittografa la chiave simmetrica.

I dati crittografati vengono inviati al destinatario. La chiave simmetrica viene decrittografata utilizzando la chiave privata che corrisponde a quella pubblica condivisa con il mittente. Ora che il destinatario può vedere la chiave simmetrica, può riconvertire il testo cifrato in testo normale.

C’è ancora una chiave simmetrica, ma non è necessario che sia condivisa tra le parti prima che avvenga la crittografia. I dati vengono crittografati con una chiave simmetrica non condivisa e tale chiave viene crittografata utilizzando la coppia di chiavi pubblica / privata.

Memorizzazione di dati crittografati

C’è un difetto intrinseco con qualsiasi cifra; è destinato a essere decifrato. Se un utente malintenzionato ha accesso alla chiave di decrittazione, le informazioni vengono immediatamente rivelate. La memorizzazione di password su un server, anche in forma crittografata, non è sicura. Supponendo che la password e il metodo di crittografia siano deboli, può essere facilmente decrittografato (consulta la nostra guida sulla creazione di una password complessa per evitarlo).

L’intenzione di crittografia è la decrittografia da parte del destinatario. Per questo motivo, non è comune o buona prassi archiviare password crittografate su un server. Non è necessario conoscere il valore dei dati crittografati, quindi non vi è alcun motivo per consentire la memorizzazione di tali dati. La crittografia è pensata per il transito, non per l’archiviazione.

Hash It

Un metodo più sicuro è quello di memorizzare un hash password su un server. L’hashing è un processo in cui un valore può essere calcolato dal testo usando un algoritmo. Gli hash sono migliori perché non possono essere invertiti ingegnerizzati. Puoi generare un hash da una password, ma non puoi generare una password da un hash.

Password-Hashing

Sfortunatamente, questo non risolve tutti i problemi. Un utente malintenzionato può comunque utilizzare l’hash per attaccare con forza la tua password. Se un utente malintenzionato riesce a rubare una tabella di hash delle password, può utilizzare un attacco del dizionario per capire quelle password attraverso un processo di tentativi ed errori.

Una volta che l’attaccante ha scoperto con quale algoritmo le password sono state sottoposte a hash, possono usare un software che genererà possibili password usando le parole comuni nel dizionario. Le password candidate vengono sottoposte a hash utilizzando l’algoritmo noto e quindi confrontate con gli hash delle password nella tabella.

Se c’è una corrispondenza, l’attaccante ha decifrato correttamente la tua password.

È ancora più semplice se si utilizza una password comune. Supponiamo che vi sia una violazione dei dati e che l’hash della password sia stato rubato. La password che hai usato, per qualche motivo terribile, è “password123”. L’hash MD5 di quella password è 482C811DA5D5B4BC6D497FFA98491E38. Sarà sempre l’hash di quella stringa di testo per quell’algoritmo. Non è possibile decodificare un hash, ma è possibile utilizzare tale hash per indovinare la password. Tuttavia, questo è ancora considerato più sicuro per l’archiviazione di dati che non devono essere rivelati. 482C811DA5D5B4BC6D497FFA98491E38 non può passare attraverso l’algoritmo per sputare “password123” all’altra estremità.

Salt It

Il nostro hacker teorico ha capito che 482C811DA5D5B4BC6D497FFA98491E38 è l’hash per “password123”. Ancora peggio, hanno trovato 50 corrispondenze a quell’hash nel database, il che significa che 50 account sono compromessi al prezzo di uno.

È qui che entra in gioco la salatura. Un sale sono i dati aggiunti a una password prima che vengano sottoposti a hash. Non esiste una regola fissa per ciò che dovrebbe essere un sale; chiunque ti salti la password può determinarlo. Diciamo, ad esempio, che crei un account e il sito web che hai creato con sali la tua password prima di eseguire l’hashing.

Per quell’account, il sale è aggiungere un numero casuale più la tua prima e ultima iniziale alla tua password, in base alle informazioni sull’account che hai inserito al momento dell’iscrizione. Ora, “password123” diventa, ad esempio, “password1239jr”.

Il salare non elimina il problema degli attacchi di forza bruta, ma riduce significativamente la possibilità che un attacco abbia successo. Anche gli utenti con password identiche non avranno lo stesso risultato hash, il che significa che l’attaccante deve capire non solo l’algoritmo di hashing ma anche il metodo di salatura.

Utilizza per la crittografia

La crittografia è importante ed è stata per secoli. Nell’era digitale, questo non potrebbe essere più vero. Un singolo pezzo di dati sensibili potrebbe esporti al crimine informatico, compresi il furto di identità e la frode. Esistono molti usi della crittografia che possono proteggere i tuoi account online, i file sensibili e il traffico Internet.

Protezione delle password

Le password sono i dati più importanti che vorresti crittografare, considerando che spesso è la chiave che sblocca innumerevoli altri dati su di te. Un gestore di password ti consente di utilizzare una password forte e unica su ciascuno dei tuoi account online, aumentando esponenzialmente la tua sicurezza.

dashboard cruscotto identità

Come abbiamo discusso nella sezione di hashing sopra, un hash di password può essere rivelato attraverso un attacco di forza bruta. Tuttavia, questi attacchi depredano le password deboli, non quelle forti. Un attacco simile, pur essendo in grado di capire “password123”, avrebbe difficoltà a generare “ZTG $ iS% 8a2zF” come password candidata.

L’esempio sopra è stato generato con l’estensione del browser LastPass. Può generare una password di 12 caratteri, come nel nostro esempio sopra, ma anche qualsiasi combinazione di massimo 99 caratteri. È anche il miglior gestore di password gratuito sul mercato, di cui puoi leggere nella recensione di LastPass.

I gestori password memorizzano i dati delle password in un deposito crittografato a cui solo tu hai accesso. Quel deposito è protetto con una password principale di cui solo tu sei a conoscenza. I migliori gestori di password hanno adottato misure di sicurezza per proteggere anche la tua password principale.

Dashlane, ad esempio, utilizza un modello a conoscenza zero, il che significa che non viene memorizzata né la password principale né alcun hash. La password principale viene crittografata con AES-256 sul dispositivo locale dopo la salatura e inviata attraverso 200.000 round di hash SHA2.

Poiché l’hashing è una strada a senso unico, questo rende la tua password principale molto più difficile da decifrare. Una password master alfanumerica di almeno otto caratteri richiederebbe circa 45.000 anni per decifrare utilizzando l’hash SHA2. Se utilizzi il più moderno algoritmo di hashing Argon2, offerto da Dashlane, occorrerebbero appena sette milioni di anni.

Dashlane ha molto da offrire anche al di fuori della sicurezza, incluso un robusto set di funzionalità e un’interfaccia facile da usare. Puoi saperne di più a riguardo nella nostra recensione di Dashlane.

Nascondere il tuo traffico Internet

Gran parte del traffico Internet è crittografato. Se atterri su un sito che dispone di un certificato SSL, ti stai collegando a quel sito tramite una connessione crittografata. È crittografato dal mondo esterno, tuttavia, non dal tuo ISP. Inoltre, questa forma di crittografia ha conosciuto exploit che possono essere facilmente eseguiti, come puoi leggere nella nostra guida SSL vs. TLS.

È qui che entra in gioco una rete privata virtuale. Oltre a nascondere il tuo indirizzo IP e anonimizzare il tuo traffico, una VPN crittograferà anche la tua connessione Internet. Ciò significa che il tuo ISP o chiunque potrebbe rompere il tunnel sicuro, non sarà in grado di rilevare ciò che stai facendo online.

ExpressVPN-Speed-test

Questo ha dei vantaggi per la sicurezza, come nascondere i dati personali che trasferisci su Internet, ma anche per la privacy. Il tuo ISP non sarà in grado di spiare ciò che stai facendo, che si tratti di scaricare un paio di film o altro (cosa che dovresti fare con la nostra migliore VPN per il torrenting).

Anche i migliori provider VPN utilizzano metodi di prim’ordine. ExpressVPN, ad esempio, crittografa il tuo traffico con AES-256 con il protocollo OpenVPN. Puoi saperne di più sui protocolli nella nostra guida alla sicurezza VPN e su ExpressVPN nella nostra recensione ExpressVPN.

Se non ti interessa questo servizio, NordVPN (leggi la nostra recensione NordVPN) è un’ottima alternativa. È una delle migliori scelte nelle nostre recensioni VPN.

Archiviazione dei dati

Come indicato nella nostra guida su come crittografare i dati per l’archiviazione nel cloud, la crittografia gestita nel cloud causa alcuni problemi. In particolare, i servizi che crittografano i tuoi dati sui loro server gestiscono anche la chiave di crittografia, rendendoti più vulnerabile del necessario.

Link al file di condivisione Sync.com

È qui che entra in gioco l’archiviazione cloud a conoscenza zero. Come per i gestori di password che utilizzano questo modello, la tua password, crittografata o non crittografata, non viene archiviata sui server del provider. Nella maggior parte dei casi, gestisci anche la chiave di crittografia, il che significa che se un’agenzia governativa bussasse, tutto il provider potrebbe fornirle è un pacchetto di testo cifrato.

La conoscenza zero non significa intrinsecamente più sicura; la sicurezza del cloud storage è più complicata di così. Tuttavia, i migliori servizi cloud a conoscenza zero sono una scommessa sicura, soprattutto perché molti di loro condividono un posto nella nostra guida di archiviazione cloud sicura.

Il vincitore di entrambe le guide, così come il nostro confronto con i fornitori di cloud storage, è Sync.com. Ha ottenuto un punteggio del 100% in termini di sicurezza nella nostra recensione Sync.com per il suo modello a conoscenza zero e la crittografia AES-256 di prim’ordine.

Ci sono alcuni altri provider che hanno punteggi di sicurezza eccellenti, come pCloud, come puoi leggere nella nostra recensione di pCloud. Se vuoi fare acquisti in più, i migliori fornitori nelle nostre recensioni di cloud storage sono un buon punto di partenza.

Pensieri finali

La crittografia fa parte dell’uso di Internet. Le tue informazioni sensibili sono necessarie per le attività bancarie, l’accesso alle cartelle cliniche e persino per gli acquisti online. La nostra speranza è che questa guida ti abbia fornito una migliore comprensione di come vengono gestiti i tuoi dati in modo da poter prendere una decisione informata su quali organizzazioni lasci conservare.

Finché viene gestito correttamente, la crittografia è una delle cose migliori per la sicurezza informatica. Gestori di password, VPN e provider di archiviazione su cloud sicuri garantiscono la protezione dall’archiviazione frettolosa delle password, da ISP striscianti e dati non protetti.

Ti senti più sicuro della crittografia? Facci sapere nei commenti qui sotto e, come sempre, grazie per la lettura.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me