Le basi della crittografia per un suo uso consapevole

Crittografia-1La crittografia è ormai uno strumento irrinunciabile in ambito lavorativo e professionale, ma lo è sempre più anche nella vita quotidiana e privata di ognuno di noi. Ma c’è un modo per farne uso senza preoccuparsi degli aspetti più tecnici e complicati?

Negli ultimi tempi il dibattito sulla crittografia è uscito dai ristretti ambiti scientifici in cui era confinato e ha raggiunto un pubblico più ampio, anche grazie al crescente interesse suscitato nell’opinione pubblica da una serie di fatti e notizie – tra i quali spiccano le rivelazioni del il c.d. Datagate – e dalle correlate reazioni e contromisure adottate da alcune delle principali aziende del settore IT. Probabilmente saprete già che le ultime versioni dei sistemi operativi iOS e Android rilasciate rispettivamente da Apple e da Google prevedono, come impostazione predefinita, la cifratura del contenuto del dispositivo; in tutta risposta, il direttore dell’FBI James Comey e il primo ministro britannico David Cameron hanno dichiarato pubblicamente di ritenere che ciascuna tipologia di crittografia dovrebbe essere vietata almeno fino a quando i governi non abbiano a disposizione un modo per aggirarla. Eppure, nonostante il dibattito sulla crescente esigenza di riservatezza e sul ruolo fondamentale svolto in questo ambito dalla crittografia, recenti ricerche dimostrano che meno del 20 per cento degli utenti di Internet la utilizza attivamente. Ma che cosa è, esattamente, la crittografia e come influisce sulla sicurezza delle comunicazioni on-line e dei dati memorizzati sui dispositivi?

Cos’è la crittografia?

In parole semplici, i sistemi crittografici si basano su algoritmi matematici per proteggere la sicurezza e l’integrità dei dati durante la loro trasmissione su un canale di comunicazione o la loro memorizzazione su un dispositivo.

Crittografia-chiave_simmetricaLa crittografia è il processo attraverso il quale si combina il contenuto di un messaggio (“in chiaro”) con una password segreta (la “chiave” crittografica) in modo tale da “mescolare/offuscare” il contenuto in una forma completamente nuova (“cifrata”), che risulta incomprensibile a chi non dispone della chiave. Solo chi possiede la chiave corretta può decifrare le informazioni e riconvertirle in chiaro. La cifratura dei dati non è un accorgimento che può di per sé impedire l’intercettazione del messaggio da parte di terzi, ma in caso di intercettazione la crittografia rende particolarmente difficoltosa – se non addirittura impossibile nella pratica – la decifratura del contenuto del messaggio stesso da parte di chi non possiede la chiave crittografica. Quella che segue è una spiegazione di base di cos’è la crittografia oggi e di come la possiamo utilizzare per proteggere i dati memorizzati nei nostri dispositivi e le nostre comunicazioni.

Un briciolo di storia

Per gran parte del ventesimo secolo le tecniche crittografiche più sofisticate sono state accessibili solamente agli appartenenti al settore militare e a quello dell’intelligence, che le hanno usate per proteggere le loro comunicazioni e i loro dati più sensibili e le hanno mantenute segrete per evitare che i loro avversari potessero adottarle a loro volta.

Diffie_and_HellmanMa nel 1976, i due ricercatori Whitfield Diffie e Martin Hellman hanno pubblicato un documento sulla “crittografia asimmetrica o a chiave pubblica” che dimostrava come gli individui e gli utenti comuni avrebbero potuto comunicare in modo sicuro con la creazione di una coppia di chiavi pubblica e privata tra esse collegate, che sarebbero state utilizzate per cifrare e decifrare i dati in chiaro.

Crittografia-chiave_asimmetricaLo studio di Diffie e Hellman ha posto le basi per lo sviluppo di una serie di innovazioni nel settore delle comunicazioni sicure nel corso degli ultimi 40 anni, molte delle quali sono risultate essenziali per la crescita di Internet come piattaforma pubblica per la condivisione di informazioni personali, per il commercio elettronico, per l’home banking e molto altro.

Oggi la crittografia è parte integrante di molti degli strumenti e dei protocolli cui ci affidiamo per proteggere la sicurezza delle nostre operazioni quotidiane e delle comunicazione on-line. La crittografia può essere utilizzata al livello fisico di Internet per offuscare i dati che vengono trasmessi mediante le comunicazioni via cavo o via etere; aggiunge la possibilità di effettuare comunicazioni sicure ai protocolli che trasmettono i dati in chiaro, come l’Hypertext Transfer Protocol (HTTP), che permette la navigazione Web; è in grado di proteggere l’integrità dei dati scambiati attraverso applicazioni come le e-mail e la messaggistica mobile. È inoltre possibile crittografare i dati memorizzati su dispositivi come cellulari o computer, proteggendo le copie locali di e-mail, messaggi di testo, documenti, foto e, persino, di interi database o hard disk dagli accessi non autorizzati.

Il modo in cui i dati vengono cifrati  – come e a quale livello – comporta grandi differenze

Solo perché un prodotto o un servizio afferma di utilizzare la crittografia non significa necessariamente che tutto ciò che è memorizzato su di esso o inviato tramite tale piattaforma sia completamente riservato. Ad esempio, da un po’ di tempo a questa parte Google sta promuovendo l’uso del protocollo HTTPS (HTTP su una connessione cifrata SSL/TLS) in vari modi, ad esempio rendendolo di default per l’utilizzo dei propri servizi – tra cui Gmail tramite Web, accorgimento che impedisce a soggetti non autorizzati di leggere le e-mail mentre viaggiano tra i server di posta di Google e il browser degli utenti finali; ma ciò chiaramente non impedisce a Google di accedere alle copie in chiaro di quelle stesse conversazioni. Se non volete che il vostro provider di posta elettronica possa essere in grado di leggere i messaggi, è necessario adottare misure supplementari per implementare la crittografia c.d. end-to-end (da un’estremità all’altra della comunicazione), che consiste in un sistema in cui “i messaggi sono cifrati in modo da consentire che solo il destinatario finale del messaggio lo possa decifrare, e non chiunque si inserisca in mezzo alla comunicazione”. Con la crittografia end-to-end, il contenuto del messaggio viene cifrato sul computer o sul dispositivo locale del mittente e la sua successiva trasmissione avviene interamente in forma cifrata attraverso i provider e-mail del mittente e del destinatario fino al dispositivo di quest’ultimo, che è l’unica persona che può decifrare il messaggio e leggerlo in chiaro.

Gli strumenti

Anche coloro che non hanno mai fatto intenzionalmente uso di sistemi di cifratura, quasi sicuramente utilizzano ogni giorno strumenti e servizi che si basano sulla crittografia. Il protocollo Secure Sockets Layer (SSL) e il suo successore, Transport Layer Security (TLS), sono utilizzati da molti dei principali siti web e sono incorporati in un gran numero di prodotti, tra cui smartphone, router domestici e dispositivi multimediali (dai lettori DVD/blu-ray ai decoder per pay TV), per proteggere la sicurezza dei dati che sono inviati tra client e server. Le nostre banche utilizzano la crittografia “forte” quando accediamo ai siti web di home banking per tenere gli hacker alla larga dalle nostre delicate informazioni finanziarie. Esiste, infatti, un intero settore dedicato a sostenere la sicurezza dell’ecosistema delle comunicazioni digitali. Aziende come VeriSign (ora acquisita da Symantec) e Comodo offrono come principale servizio quello di verificare l’autenticità dei certificati digitali e di garantire ai propri clienti che i siti sicuri (la “S” di HTTPS sta per “secure”) che stanno visitando abbiano implementato correttamente la crittografia e che non siano invece impersonati in quel momento da soggetti diversi e malintenzionati. Semplificando, questo è, quindi, il meccanismo che, quando si effettua un acquisto presso un rivenditore on-line, consente ragionevolmente di confidare che non si stiano consegnando i dati della propria carta di credito ad un soggetto sconosciuto che li potrebbe usare per commettere frodi.

Come incrementare la propria sicurezza

In questo contesto ciascuno di noi può fare molto per incrementare il livello di sicurezza delle proprie comunicazioni. La cosa più semplice da fare è quella di abilitare le funzioni di cifratura già presenti nei prodotti e servizi che utilizziamo. Se avete, ad esempio, un iPhone o uno smartphone Android di ultima generazione (aggiornati alle ultime versioni dei rispettivi sistemi operativi), tali dispositivi prevedono di default (per impostazione predefinita) la cifratura del relativo contenuto; da ciò consegue che un soggetto terzo che dovesse aggirare il codice di accesso e riuscisse ad ottenere l’accesso al dispositivo, non potrebbe fare altro che constatare che tutte le informazioni memorizzate risultano illeggibili. Anche le precedenti versioni di iOS e Android permettono la cifratura della memoria del dispositivo, ma la possibilità di attivare questa funzione era finora lasciata alla libera scelta dell’utente e, nella pratica, era scarsamente utilizzata.

httpsUn altro accorgimento abbastanza semplice consiste nel verificare che i siti e i servizi web che utilizziamo facciano uso del protocollo HTTPS (HyperText Transfer Protocol over Secure Socket Layer). Questa circostanza si può facilmente verificare prestando attenzione all’URL del sito web: se nella parte iniziale dell’indirizzo è presente la stringa “https”, ciò significa che il protocollo HTTPS è attivo e che tutti i dati inviati dal browser ai server del sito web viaggiano attraverso una connessione cifrata.

Le ultime versioni dei principali browser, come Chrome e Internet Explorer, hanno delle funzioni che rendono più agevole questa verifica poiché mettono in risalto la presenza di una connessione cifrata visualizzando una icona a forma di lucchetto rispettivamente alla sinistra della stringa “https” oppure al margine destro della barra degli indirizzi.

EV SSLInoltre, per particolari tipi di certificati utilizzati soprattutto in ambito finanziario (certificati SSL EV – Extended Validation), viene visualizzata in verde l’intera barra degli indirizzi (da Internet Explorer) oppure la parte a sinistra della stringa “https” con all’interno un lucchetto verde (da Chrome).

HTTPS EverywhereLa Electronic Frontier Foundation (EFF) e il Tor Project hanno creato uno strumento pratico che è possibile scaricare come estensione del browser per Chrome, Firefox e Opera, denominato “HTTPS Everywhere“, che cerca di forzare l’utilizzo delle connessioni cifrate verso quei siti che hanno un supporto limitato o non correttamente implementato al protocollo HTTPS, rendendone l’utilizzo più agevole e “trasparente”.

Ciascuno di noi, inoltre, dovrebbe fare un piccolo sforzo per individuare e scegliere le aziende e i servizi che utilizzano sistemi di crittografia robusta. Ci sono diverse organizzazioni focalizzate sulla tematica della sicurezza digitale che hanno reso disponibili guide e strumenti per aiutare gli utenti comuni a comprendere meglio il funzionamento delle tecnologie esistenti e per valutare le aziende e i servizi on-line che ne fanno uso. Dopo le rivelazioni di Edward Snowden, la EFF ha pubblicato e continua ad aggiornare un report intitolato “Encrypt the Web” che mette a confronto il modo in cui le principali aziende del Web si pongono rispetto alle cinque attuali best-practice in materia di utilizzo di strumenti crittografici (compreso il supporto al protocollo HTTPS). Anche la campagna “Encrypt All The Things” si prefigge di stimolare i fornitori di servizi su Internet ad incrementare le misure di sicurezza nel trattamento dei dati per impedire l’accesso non autorizzato alle informazioni degli utenti. In tutto ciò, non dobbiamo dimenticare che, in qualità di consumatori, abbiamo il potere di influenzare il mercato con le nostre scelte, decidendo ad esempio di acquistare beni e servizi dalle aziende che offrono maggiori garanzie in termini di sicurezza, esercitando in tal modo una pressione sul mercato per indurre le aziende a migliorare continuamente le misure di sicurezza che adottano.

Se siete disposti a investire del tempo per fare degli ulteriori passi in avanti, troverete che esiste una varietà di strumenti gratuiti e open-source che consentono di utilizzare la crittografia end-to-end. Il primo e il più famoso strumento di questo tipo è stato PGP, che sta per Pretty Good Privacy, e può essere usato per cifrare i testi, e-mail, file, e anche parti di hard disk; quindi, al contrario di protocolli di sicurezza come SSL, che proteggono i soli dati “in transito” (ossia mentre vengono trasmessi su una connessione di rete), PGP può essere utilizzato anche per proteggere i dati presenti su memorie di massa. Sebbene PGP sia in circolazione sin dai primi anni 1990, molti utenti ancora lo trovano complicato da utilizzare e dispendioso in termini di tempo. Questo è uno dei motivi per cui Google lo scorso giugno ha annunciato il rilascio del codice sorgente della nuova estensione del browser Chrome, denominata End-to-End, che BigG spera possa risultare più semplice da utilizzare per gli utenti rispetto ad altre soluzioni esistenti e che consenta loro di cifrare più agevolmente i propri dati prima che essi “lascino” il proprio browser. Il codice sorgente di questa estensione è attualmente in fase di revisione da parte della comunità degli esperti di sicurezza informatica al fine di garantire che il prodotto sia robusto prima che Google lo rilasci pubblicamente nel Chrome store. Sono comunque già disponibili numerosi altri plugin e applicazioni di questo genere, come Off the RecordTextSecure e Wickr, che analogamente consentono di utilizzare la crittografia end-to-end su messaggi istantanei e messaggi di testo.

Conclusioni

Tim Cook - Apple CEO“We live in a world where people are not treated equally. Sacrificing our right to privacy can have dire consequences.” Tim Cook – Apple CEO
In fin dei conti, di fronte alle crescenti minacce alla sicurezza dei nostri dati e delle nostre comunicazioni, la crittografia offre uno dei modi migliori per difendersi dagli accessi non autorizzati ad essi; può quindi valere la pena per tutti noi, non solo per chi si occupa professionalmente di questi temi, di spendere un po’ di tempo per conoscere gli strumenti e i servizi a nostra disposizione e di considerare, tra i criteri di scelta, anche il livello di sicurezza offerto da ciascun dispositivo o servizio nella protezione dei nostri dati e delle nostre comunicazioni, che andrà valutato anche in base all’utilizzo o meno di protocolli e tecniche di cifratura.


Se questo articolo è stato di vostro interesse, ci farebbe piacere ricevere vostri like, reblog e condivisioni. Grazie. Seguiteci anche su:

@lamiaprivacy su twitter

lamiaprivacy su facebook

lamiaprivacy su Google+

lamiaprivacy su Tumblr

lamiaprivacy su Pinterest

Annunci

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...