SOLUZIONI DI SICUREZZA

Confidential computing: la tecnologia che protegge i dati durante i processi computazionali

Si parla di big data e di analytics e, in generale, di come sia possibile estrarre informazioni monetizzabili da grandi quantità di dati. Ma se non sappiamo proteggere tali dati, non possiamo mantenere un vantaggio competitivo nel mercato Il confidential computing ci può aiutare a tal proposito

30 Apr 2021
T
Giulia Traverso

PhD - Crittografa ed esperta di cyber sicurezza

Siamo ormai tutti al corrente che le nuove tecnologie quali il machine learning e l’intelligenza artificiale (ML/AI) riescono a estrarre informazioni interessanti da dati che possono essere poi utilizzare per, ad esempio, curare meglio le malattie o semplicemente adattare meglio le strategie aziendali. Il dato è quindi diventato il pilastro del modo di fare ricerca e anche impresa. Il punto è che un vero progresso in tal senso è possibile solamente se i dati su cui vengono fatti girare gli algoritmi di ML/AI sono tenuti al sicuro, ossia ne venga mantenuta la confidenzialità: per questo si parla sempre più spesso di confidential computing.

Pensiamo, ad esempio, a dati medici utilizzati per affinare diagnosi e medicinali. Questi sono spesso dati sensibili personali la cui confidenzialità deve essere garantita per proteggere la privacy del paziente. Lo stesso vale per le aziende, che utilizzano dati acquisiti dalle precedenti interazioni coi clienti e vendite per definire, ad esempio, un nuovo servizio o prodotto. In tal caso, la fuoriuscita di tali informazioni renderebbe pubblica alla concorrenza la loro strategia di business.

Se si parla di protezione dei dati e di confidenzialità, sappiamo che si parlerà inevitabilmente di cyber sicurezza e di crittografia ed è dunque utile approfondire quali sono gli standard industriali per la protezione dei dati sensibili quando ne si vuole estrarre delle informazioni attraverso algoritmi di ML/AI.

Confidential computing: gli stati computazionali del dato

Data in motion, data at rest e data in use sono come l’informatica (e il campo della cyber sicurezza) classifica i tre stati in cui un dato si può trovare.

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Sicurezza

Data in motion (dati in transito)

Con il termine “data in motion”, dati in movimento (detti anche dati in transito, o “data in transit” in inglese), ci si riferisce alle informazioni digitali mentre vengono trasportate tra diversi luoghi, siano essi all’interno di un sistema o tra sistemi diversi.

Il termine “data in motion” comprende, infatti, i seguenti casi di trasporto di informazioni digitali: dati che si muovono tra dispositivi collegati a Internet verso un servizio web insito in Cloud, dati che si muovono tra macchine virtuali tra diversi servizi Cloud o all’interno degli stessi, data che transitano in network privati sicuri e che transitano in network potenzialmente insicuri quali Internet.

La crittografia qui è protagonista quando si tratta di proteggere i dati in transito. Il protocollo SSL/TLS per la protezione dei network di computer, basato su algoritmi di cifratura e di firma digitale, viene applicato per comunicare in maniera sicura su Internet (con il protocollo HTTPS), con le mail e con le chat istantanee.

Data at rest (dati a riposo)

Una volta che il dato in transito arriva a destinazione, questo diventa, secondo la tassonomia di cui accennato sopra, un dato “at rest”, un dato a riposo. Il termine “data at rest” si riferisce ai dati non i uso, stoccati in una memoria fisica, sia essa un attraverso un servizio di storage nel Cloud (come S3 di AWS), in un database, in una memoria esterna o in un archivio.

Questi dati si proteggono molto facilmente con algoritmi di cifratura, in particolare cifratura a chiave privata (come AES) con lunghezza di chiavi diverse a seconda di quanto a lungo il dato deve rimanere protetto.

Nel momento in cui tali dati a riposo devono essere utilizzati, il proprietario (ovvero il data owner) riutilizza la chiave usata per la cifratura per decifrarli.

Data in use (dati in uso)

A questo punto, i dati che si prestano ad essere utilizzati (si pensi a un documento Word che deve essere aggiornato o a dati quantitativi che devono essere processati da algoritmi ML/AI) diventano data in use, dati in uso.

Risulta molto difficile proteggere i dati in uso. Infatti, le tecniche crittografiche utilizzate altrove come la cifratura rendono per natura il dato inutilizzabile e incomprensibile; sta proprio in questo la protezione apportata dalla crittografia.

Esistono primitive crittografiche avanzate (il multi-party computation e la cifratura omomorfa) che permettono di effettuare computazioni su dati cifrati e ottenere in output il risultato della computazione già cifrato.

Queste tecniche, dette privacy-preserving appunto, non sono di fatti utilizzabili su larga scala e per il tipo di operazioni che servono nella quotidianità. Rimangono dunque validi i suggerimenti che si fanno in questi casi, quando vogliamo lavorare su documenti sensibili: non farlo in luoghi pubblici, assicurarsi che nessuno passi da dietro mentre stiamo lavorando al computer, riporre quest’ultimo in un mobile chiuso a chiave se ci si assenta per qualche istante, stampare dati sensibili con precauzione, andarli a prendere subito alla stampante e non lasciarli in giro.

Proteggere i dati, oltre la crittografia: Intel SGX

La domanda è dunque se al di là della crittografia esistono soluzioni pratiche utilizzabili per proteggere i dati sensibili e i processi che li trattano.

La risposta è sì e la soluzione ce la offre Intel con la sua Software Guard Extensions, comunemente chiamata SGX. Intel SGX è stato, se vogliamo, l’apripista del così detto confidential computing, ovvero delle computazioni che avvengono mantenendo i dati che trattano confidenziali.

Intel SGX fa parte di tutta una classe di tecnologie dette Trusted Execution Environment (TEE), ambienti sicuri dove è possibile decifrare i dati crittati all’interno di tale ambiente senza che vi siano pericoli esterni che potrebbero comprometterne la confidenzialità.

Un TEE è un ambiente di esecuzione con un proprio hardware e delle componenti software completamente isolati dal resto del server. Il TEE comunica con il mondo esterno attraverso una API ad-hoc, propria dell’azienda che mette a disposizione il TEE stesso.

Intel SGX è, se vogliamo, l’esempio più famoso e più studiato di TEE. Al fine di proteggere l’esecuzione dei dati, SGX introduce il concetto di enclave, ovvero delle componenti software eseguite in maniera avulsa da tutto il rimanente software che gira sul sistema che lo ospita, includi il sistema operativo e l’hypervisor.

L’unica componente hardware che SGX prende in considerazione come fidata (trusted, in inglese) è la CPU. Infatti, è qui che i dati esistono in chiaro e che vengono cifrati una volta che escono dalla CPU per andare, ad esempio, nella DRAM.

Cosa succede quando si utilizza Intel SGX

A grandi linee quello che succede quando si vuole utilizzare Intel SGX beneficiare del confidential computing sono i seguenti passi.

Il sistema operativo carica l’enclave dalla sua memoria virtuale e ne gestisce la creazione. Questo significa che i dati e il software iniziali dell’enclave potrebbero di fatto subire manipolazioni.

Quindi, per assicurarsi che i dati sensibili non vengano inviati a terze parti o enclavi corrotte, l’autenticità e l’integrità dell’enclave stessa viene verificata attraverso l’attestazione remota (remote attestation, in inglese) attraverso delle funzioni di hash crittografiche, facendo entrare e ancora una volta la crittografia in campo, anche per la protezione dei dati in uso.

Più precisamente, si comparano l’hash della memoria iniziale dell’enclave che è firmata dalla chiave privata del sistema.

Solo a questo punto i dati possono essere trasmessi all’enclave e vivere all’interno di questo ambiente in chiaro.

Confidential computing nell’industria

La domanda a cui rimane da rispondere è dunque la seguente: se, ad esempio, un’azienda ha dei dati sensibili relativi al proprio business da processare, cosa deve fare di preciso per accedere a una tecnologia come Intel SGX.

Il punto è che molto spesso una normale PMI (ma anche grandi aziende in vari settori) non hanno le risorse necessarie per avere un uso diretto ed efficace con SGX.

In un mondo sempre più “as a Service” quello che ci si aspetta è che ci siano aziende specializzate nella creazione di API e di interfacce utente facili e immediate da usare e che si prendano a carico tutta la gestione di tecnologie più complicate, come SGX e come l’hosting dei processi computazionali su macchine virtuali in Cloud.

Ed è proprio questo, infatti, quello che sta succedendo nel panorama delle startup innovative nel mercato della cyber sicurezza, ognuna con una sua “ricetta” che le differenzia le uni dalle altre a seconda del tipo di bisogno che un utenze può avere nell’approcciarsi al confidential computing.

Ad esempio, Decentriq, startup svizzera con sede a Zurigo, si è specializzata nella costruzione di una piattaforma che poggia su SGX e che si focalizza nell’aiutare utenti che devono collaborare ognuno con dati sensibili a svariati tipi di computazioni (ad esempio statistiche su dati medici) ma che devono farlo nel rispetto della privaci di questi dati (ad esempio per non venire meno al rapporto di segretezza tra medico e paziente).

Come dice Lorenzo Stradi, ingegnere di Decentriq, “Le aziende che si rivolgono a noi non hanno il tempo di costruire un’infrastruttura apposta per il confidential computing per poter collaborare.

Devono poterne beneficiare subito e concentrare le loro forze invece sulla raccolta dei dati e sul capire che algoritmi utilizzare per estrarne informazioni utili al loro business”.

Conclusione

I Trusted Execution Environment come Intel SGX apportano una soluzione industriale per beneficiare del confidential computing, il quale permette di estratte informazioni dai dati sensibili attraverso ML/AI senza esporli a rischi.

In pratica, quello che succede è che anche di queste tecnologie se ne usufruisce “as a Service” con aziende intermediarie che rendono il confidential computing un’altra “commodity”.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr