Risale agli antichi egizi e si riferisce alla pratica di codificare e decodificare le informazioni: scopri insieme a noi come funziona la crittografia moderna e perché è uno strumento informatico indispensabile nella nostra era digitale. Dai documenti governativi alle comunicazioni private, fino ai dati delle carte di credito: i criminali informatici sono sempre in agguato per accedere, intercettare e carpire dati riservati. Impara come funzionano i metodi di crittografia e quali sono i rischi, e non dimenticarti di ottimizzare la sicurezza informatica con Avira Internet Security.
Cos’è la crittografia?
Ti sarà capitato, da bambino, di creare un tuo codice assegnando a ogni lettera un simbolo casuale o usando il succo di limone come “inchiostro” invisibile per inviare un messaggio segreto. Non lo sapevi, ma eri un giovane crittografo. La crittografia o crittologia è la pratica di utilizzare diverse tecniche per oscurare e rendere sicure le comunicazioni, in modo da impedire a persone non autorizzate (ad esempio tua madre, per tornare alla nostra analogia iniziale) di leggere i messaggi privati. Solo chi ha le autorizzazioni e gli strumenti giusti può decifrare e capire il testo inviato.
Per iniziare bene, ecco alcuni termini essenziali relativi alla crittografia, che incontrerai in qualsiasi discussione sull’argomento:
Cifrario: metodo di trasformazione di un messaggio per nasconderne il significato. Si riferisce a un insieme di algoritmi che vengono applicati ai dati (chiamati anche testo in chiaro o testo normale) per trasformarli in una forma irriconoscibile.
Testo cifrato: testo illeggibile dopo essere stato trasformato da un cifrario.
Algoritmo crittografico: la procedura o la sequenza di regole ben definite alla base del cifrario. Può trattarsi di una serie di equazioni matematiche.
Chiave crittografica: sequenza di caratteri casuali utilizzata nei protocolli di crittografia per modificare i dati. Le informazioni rimangono illeggibili per chiunque non abbia la chiave.
Crittografia e cifratura: Non sono la stessa cosa? Non proprio. La cifratura si riferisce specificamente al processo di conversione dei dati in codice. È una parte essenziale della crittografia, ma la crittografia è molto di più e comporta una serie complessa di passaggi per codificare, decodificare e trasmettere informazioni in modo sicuro.
Le tecniche di crittografia si basano su algoritmi e cifrari utilizzati per crittografare e decrittografare. Probabilmente hai sentito parlare di chiavi di crittografia a 256 bit e a 128 bit, ad esempio. L’AES (Advanced Encryption Standard) è un cifrario moderno considerato praticamente inattaccabile.
Come funziona la crittografia?
La crittografia moderna fonde varie discipline come l’ingegneria, l’informatica e la matematica avanzata per trasformare i dati da un testo in chiaro leggibile in un testo cifrato. Naturalmente, include anche la crittoanalisi per invertire il processo in modo che il destinatario possa decodificare i dati rimescolati. Vengono utilizzate diverse tecniche di crittografia, tra cui la crittografia simmetrica e asimmetrica e le firme digitali, di cui parleremo più dettagliatamente in seguito.
Quindi, se un tempo erano cavalieri e fortezze a impedire l’accesso indesiderato, nell’era digitale odierna la crittografia combatte gli hacker e le minacce online per contribuire a proteggere i nostri dati. È una difesa molto diffusa ed è probabile che tu la incontri inconsapevolmente ogni giorno, ad esempio durante le operazioni di online banking, gli acquisti o l’inserimento di una password.
Dalle mummie alle macchine: la storia della crittografia
La parola “crittografia” deriva dal greco kryptós, che significa nascosto. La prima parte, o prefisso, (critto-) significa “nascosto”, mentre il suffisso (-grafia) significa “scrittura”. L’uomo utilizza questa “scrittura nascosta” da migliaia di anni. Infatti, il primo esempio di crittografia è un’iscrizione incisa intorno al 1900 a.C., trovata nella tomba di un nobile dell’antico Egitto. Arriviamo così all’Impero romano e a Giulio Cesare che, come è noto, era solito inviare messaggi crittografati ai generali del suo esercito. Il “cifrario di Cesare” era un cifrario a sostituzione, in cui ogni carattere veniva sostituito da quello che si trova tre posizioni dopo nell’alfabeto. Così, ad esempio, la “A” veniva sostituita dalla “D”. È evidente che, una volta capito il funzionamento, i cifrari a sostituzione sono facili da violare. Per introdurre altre variabili e una maggiore complessità, nel XVI secolo i francesi crearono il cifrario di Vigenère, che utilizza una chiave di crittografia basata sul quadrato di Vigenère (l’alfabeto scritto 26 volte su righe diverse). In diversi momenti del processo di crittografia, il cifrario sceglie un alfabeto diverso da una delle righe.
All’inizio del XX secolo, la macchina a rotori di Hebern incorporò la chiave segreta in un disco rotante. Questa chiave codificava una tabella di sostituzione e ogni tasto premuto sulla tastiera creava un output del testo cifrato. Durante la Seconda Guerra Mondiale, la macchina tedesca Enigma portò questo metodo a un livello superiore utilizzando quattro o più rotori per produrre il testo cifrato.
Dopo la guerra, la crittografia ha suscitato attenzione anche al di fuori dell’ambito militare perché le aziende chiedevano a gran voce di proteggere i propri dati dalla concorrenza. I principali produttori di computer cominciarono a interessarsene. Negli anni ’70, IBM formò un “gruppo di crittografia” che progettò un cifrario chiamato Lucifer. Diabolicamente difficile da decifrare, Lucifer finì per essere riconosciuto come DES, o Data Encryption Standard. Resistette per molti anni, ma nel 1997 il DES fu violato. Le dimensioni ridotte della chiave di crittografia si sono rivelate una crepa nella sua armatura e, con l’aumento della potenza di calcolo, è diventato facile usare attacchi di forza bruta per decodificare diverse combinazioni della chiave e leggere il testo in chiaro. Durante un attacco di forza bruta, gli hacker utilizzano tentativi ripetuti per cercare di decifrare un messaggio o una password inserendo un’infinità di caratteri, simboli, lettere e altri elementi casuali.
Nel 2000 è stato introdotto l’AES (Advanced Encryption Standard), che oggi è lo standard di crittografia più diffuso. Avira utilizza l’AES-256 perché offre più possibilità di combinazioni di quante siano le stelle nell’universo (se sei curioso e non hai tempo di contarle, pare che siano un settilione, ovvero 1042).
Perché la crittografia è importante e dove viene utilizzata?
La pratica di gestire i rischi legati ai dati e di proteggere i nostri sistemi di comunicazione è chiamata Information Assurance (IA). La crittografia è essenziale per salvaguardare i cinque pilastri dell’IA: integrità, disponibilità, autenticazione, riservatezza e non ripudio. Nel caso tu ti stia chiedendo che cosa sia il non ripudio, il termine si riferisce alla prova dell’origine, dell’autenticità e dell’integrità dei dati, combinando quindi due dei pilastri. In questo modo, nessuna delle due parti può negare che un messaggio sia stato inviato, ricevuto ed elaborato.
Ecco gli esempi più comuni di crittografia in azione:ccc
Password: in questo caso la crittografia ha un duplice compito. Viene utilizzata per convalidare l’autenticità delle password e oscurare le password memorizzate. Un database di password in chiaro sarebbe più vulnerabile agli hacker.
Navigazione sul Web protetta: un sito Web con un certificato SSL utilizza la crittografia per creare una connessione più sicura, in modo da proteggere le informazioni che vengono trasferite dal browser al server del sito Web. In questo modo gli utenti sono meglio protetti dalle intercettazioni e dagli attacchi man-in-the-middle. Scopri come controllare la sicurezza di un sito Web per proteggere la tua privacy e i tuoi dati.
Comunicazioni sicure: utilizzi WhatsApp o Signal? La crittografia end-to-end garantisce un elevato livello di sicurezza e privacy agli utenti delle app di comunicazione. Viene utilizzata per l’autenticazione dei messaggi e consente di proteggere le comunicazioni bidirezionali come le conversazioni video.
Autenticazione: la crittografia consente di confermare l’identità di un utente e di verificarne i privilegi di accesso, ad esempio quando accede a un conto bancario online o a una rete sicura per lavoro.
Firme elettroniche: queste firme elettroniche vengono utilizzate per firmare documenti online e sono spesso applicabili per legge. Vengono create con la crittografia e possono essere convalidate per prevenire le frodi.
Criptovaluta: le criptovalute, come Bitcoin ed Ethereum, si basano su una complessa crittografia dei dati, che richiede una notevole potenza di calcolo per essere decifrata. Attraverso questi processi di decrittografia vengono “coniate” nuove monete che entrano in circolazione. Le criptovalute si affidano alla crittografia avanzata anche per proteggere i portafogli, verificare le transazioni e prevenire le frodi.
Rete privata virtuale (VPN): reindirizza il traffico Web attraverso un tunnel privato e crittografa la connessione. Inoltre, maschera il tuo indirizzo IP, in modo che la tua posizione reale sia sconosciuta. Avira Phantom VPN è gratuito e maschera le attività online degli utenti per aiutarli a diventare “fantasmi” anonimi online. Considera la versione Pro per avere dati illimitati che consentono di navigare e scaricare quasi senza limiti. E ricorda: utilizza sempre una VPN se navighi su una rete Wi-Fi pubblica!
Scopri i tipi di algoritmi crittografici
La crittografia utilizza molti tipi diversi di algoritmi, a seconda del genere di informazioni condivise e del loro livello di sensibilità. Ecco i principali tipi che incontrerai:
Crittografia a chiave singola o crittografia simmetrica: utilizza un’unica chiave sia per crittografare che per decrittografare un messaggio. Il mittente usa la chiave per crittografare un messaggio in chiaro in un numero fisso di bit, chiamato cifrario a blocchi. Il destinatario utilizza quindi la stessa chiave per sbloccare il messaggio. Un esempio di crittografia a chiave simmetrica è l’Advanced Encryption Standard (AES). CONTRO: se il messaggio viene intercettato, la chiave è inclusa e può essere utilizzata per decodificare il messaggio!
Crittografia a chiave pubblica (PKC) o crittografia asimmetrica: le funzioni matematiche creano codici molto difficili da decifrare. Il mittente utilizza la chiave pubblica per crittografare un messaggio, mentre il destinatario utilizza una chiave privata per decrittografarlo. RSA è stata la prima implementazione PKC ed è ancora la più comune. L’algoritmo prende il nome dai matematici del MIT che l’hanno sviluppato, Ronald Rivest, Adi Shamir e Leonard Adleman, ed è utilizzato nella crittografia dei dati, nelle firme digitali e negli scambi di chiavi. PRO: se il messaggio viene intercettato, il contenuto non può essere decodificato senza la chiave privata. Questo permette di comunicare in modo sicuro anche su canali non sicuri.
Funzioni hash o hashing: questo processo non si basa su chiavi crittografiche. Al contrario, l’hashing prende una qualsiasi quantità di dati in ingresso (un documento di Word, un file audio, un file video e così via) e applica un algoritmo di hashing per trasformarli in un valore di lunghezza fissa. Quindi, un messaggio composto da una sola parola e un libro di 1000 pagine produrranno lo stesso volume di testo codificato (chiamato valore hash). Tra le varie funzioni di hash crittografico utilizzate, l’hash MD5, SHA-1 e SHA-256 sono esempi importanti. Scopri di più sull’hash MD5 comunemente usato e sul motivo per cui è considerato così sicuro. PRO: è quasi impossibile decodificare i contenuti sottoposti a hashing, motivo per cui l’hashing è generalmente considerato un’opzione molto sicura e popolare per scopi di autenticazione. Probabilmente ti imbatti nell’hashing quotidianamente. Ad esempio, un fornitore di servizi online non salverà la tua password, ma un valore hash.
I diversi tipi di crittografia hanno funzioni diverse. La crittografia consente di mantenere i dati riservati, mentre l’hashing ci consente di controllare l’integrità di tali dati e di essere sicuri che ciò che abbiamo ricevuto sia uguale a ciò che è stato inviato (in altre parole, è stato modificato durante il trasporto?). Un esempio comune è il download di software. L’azienda che distribuisce il software inserisce anche il valore hash del file. Se il file scaricato produce lo stesso output di hash dell’originale, puoi essere certo che non è stato alterato (ad esempio, con un malware).
Le vulnerabilità della crittografia: attacchi e falle delle chiavi crittografiche
Non importa quanto siano complessi, i codici possono essere decifrati. Chiedilo ai creatori di Enigma. Le “falle nella crittografia” rappresentano un grave rischio per la sicurezza perché consentono agli hacker di accedere ai messaggi e ai dati protetti dagli algoritmi di crittografia. Purtroppo, i criminali informatici dispongono di numerose tecniche di attacco nel loro arsenale:
- Attacchi man-in-the-middle: sfruttando la crittografia, gli aggressori possono inserirsi in un canale di comunicazione tra due parti e intercettarne il traffico.
- Attacchi di forza bruta: gli hacker testano rapidamente le possibili combinazioni di chiavi fino a trovare la chiave corretta. In questo caso, le chiavi di crittografia più piccole sono le più vulnerabili.
- Attacchi di collisione hash: i criminali informatici trovano due file che producono lo stesso valore hash per poter sostituire un file legittimo con uno alterato. Questi attacchi vengono spesso utilizzati per compromettere la sicurezza delle firme digitali.
- Attacchi del compleanno: un tipo di attacco di forza bruta in cui gli hacker producono collisioni hash matematicamente probabili.
- Attacchi di downgrade: quando le organizzazioni utilizzano protocolli SSL/TLS obsoleti, un criminale informatico può forzare le connessioni client a utilizzare versioni legacy più deboli e più facili da hackerare.
Le violazioni dei dati possono creare scompiglio nel nostro mondo digitale. La lista delle cose da fare per gli hacker è lunga e comprende il furto di proprietà intellettuale, la frode finanziaria, il furto di identità e l’hijacking degli account online, oltre all’infiltrazione nei sistemi e alla loro interruzione. L’esposizione di informazioni sensibili, ad esempio tramite doxing, può anche causare gravi danni alla reputazione di aziende e individui.
Il futuro della crittografia: dobbiamo preoccuparci?
Sapevi che i supercomputer più potenti del pianeta avrebbero bisogno di migliaia di anni per decifrare matematicamente gli algoritmi di crittografia (come l’AES)? Secondo l’algoritmo di Shor, un hacker impiegherebbe molte vite prima di riuscire a decifrare un codice complesso. Fin qui tutto bene, ma… questo accadeva prima che i computer quantistici apparissero come una possibilità all’orizzonte dell’informatica. Queste super-macchine potrebbero, in teoria, trovare la soluzione in pochi minuti, rappresentando una grave minaccia per gli attuali sistemi di sicurezza informatica. È iniziata la ricerca della crittografia post-quantistica!
Nel 2016, il National Institute of Standards and Technology (NIST) degli Stati Uniti ha invitato le comunità matematiche e scientifiche a creare nuovi standard di crittografia a chiave pubblica in grado di resistere all’assalto dei giganti quantistici. I risultati sono stati raggiunti. Nel maggio 2024 il NIST ha pubblicato i suoi primi standard di crittografia post-quantistica e sta cercando di trasferire tutti i sistemi ad alta priorità alla crittografia resistente ai quanti entro il 2035. Se sei ancora preoccupato, rilassati (per ora). Secondo Dustin Moody, matematico della divisione di sicurezza informatica del NIST: “Al momento non esiste un computer quantistico abbastanza grande da minacciare l’attuale livello di sicurezza, ma le agenzie devono essere preparate in vista di futuri attacchi”.
La crittografia quantistica sfrutta i principi della meccanica quantistica per proteggere i dati, ma anche altre
tecniche crittografiche si stanno evolvendo. La crittografia a curva ellittica è un sistema di crittografia a chiave pubblica che sfrutta le proprietà matematiche delle curve ellittiche per garantire comunicazioni e cifratura sicure. È particolarmente ideale per crittografare il traffico internet su dispositivi con potenza di calcolo o memoria limitata e viene utilizzata anche per proteggere le reti di criptovalute come Bitcoin.
Come si possono ridurre i rischi della crittografia, e cosa possiamo fare tutti noi?
Come per la maggior parte delle cose nella vita, è bene essere preparati. Le aziende e tutti i fornitori di servizi online devono essere proattivi nel modernizzare la sicurezza della crittografia per essere sempre un passo avanti ai criminali informatici: chiavi di grandi dimensioni, algoritmi robusti e i più recenti protocolli TLS sono la base per difendere la crittografia in modo efficace. Se te lo stai chiedendo, TLS è una pratica standard per la creazione di app Web sicure e garantisce l’integrità dei dati per le comunicazioni Internet. È inoltre importante monitorare le anomalie, come traffico crittografato insolito, e disporre di piani di risposta in caso di incidente.
Ma non è tutto nelle mani dei tecnici informatici. Anche noi abbiamo un ruolo da svolgere nelle nostre difese. Non riutilizzare mai le password e crea sempre password complesse e univoche per ogni account online. Memorizzale e gestiscile con un solido gestore di password e mantieni rigorosamente aggiornati i software e le app, per evitare che abbiano le falle di sicurezza note agli hacker. Un programma di aggiornamento software fornisce aggiornamenti sicuri e puliti. Inoltre gli aggiornamenti automatici ti fanno risparmiare tempo e ti evitano la seccatura di fare tutto da solo. Avira Internet Security offre una serie di strumenti premium che consentono di ottimizzare la privacy e la sicurezza, tra cui Password Manager, Software Updater e una protezione antivirus. C’è anche Browser Safety, il componente aggiuntivo discreto per il browser di Avira per bloccare tracker, annunci e siti Web infetti.
