LA GUIDA PRATICA

L’importanza della crittografia: soluzioni per applicarla bene nei contesti aziendali

La crittografia è una tecnica che consente l’offuscamento di un messaggio (o più genericamente, di un file o di un archivio) per renderlo leggibile soltanto ai destinatari autorizzati. Ecco perché è importante usarla in azienda e le tecniche crittografiche per proteggere le comunicazioni riservate

18 Ott 2019
S
Luca Sepe

Security Consultant

La crittografia è un elemento importante all’interno dei moderni sistemi informatici e un’azienda che vuole una struttura IT degna di questo nome non può prescindere da essa.

Esistono svariati protocolli che permettono di impiegarla nel modo corretto e senza troppe difficoltà; eppure, nei vari ambienti aziendali, spesso non se ne fa uso oppure se ne limita l’impiego solo in determinati contesti, sottovalutando l’impatto che può avere una trasmissione non cifrata di informazioni sensibili.

Crittografia: i settori d’impiego

Che cos’è la crittografia e le sue implementazioni nello specifico esulano dagli obbiettivi di questo articolo; ci limiteremo a ricordare che, al più alto livello possibile, la definizione che possiamo darne è “l’arte delle scritture nascoste”, ossia l’offuscamento di un messaggio di modo da renderlo leggibile soltanto ai destinatari autorizzati.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza

La definizione sopra esposta rende abbastanza intuitivo ed ovvio capire quali sono alcuni dei naturali settori d’impiego; ad esempio, è fuori discussione che un sistema sicuro di pagamenti con carta di credito debba farne uso per trasmettere i dati del compratore di modo che solo il creditore possa trarne beneficio.

Questo scenario però dipinge subito il contesto che abbiamo descritto prima: sono soprattutto i settori più specifici, potremmo dire “tecnici” ad essere arricchiti dei protocolli crittografici più efficienti e sicuri.

L’errore principale che si commette nelle aziende è, spesso, quello di pensare che siano soltanto le operazioni più sensibili e delicate quelle che necessitano di tale impiego. Aspetti considerati ordinari e/o di minore importanza vengono trascurati, non considerando come il rischio di una trasmissione in chiaro sia sempre presente e possa comportare danni non indifferenti.

Ma nella sostanza, quali sono i casi sottovalutati di cui parliamo?

Sono svariati, ma il più comune di tutti è sicuramente la conservazione di dati sensibili ed importanti e/o la loro condivisione senza gli opportuni mezzi di protezione.

Contrariamente a quanto si potrebbe pensare, sono ampiamente impiegati metodi quali:

  • invio di dati privati tramite e-mail in chiaro;
  • annotazione su un file di testo senza protezione alcuna;
  • trascrizione manuale su fogli che circolano all’interno dell’azienda.

Queste tecniche sono ovviamente insicure, in quanto abilitano, di fatto, la libera circolazione della informazioni che così possono essere reperite senza particolari problemi anche da personale non autorizzato, sia esso interno che esterno alla ditta stessa.

Ciò è chiaramente inaccettabile: soffermiamoci per un attimo a pensare ai danni che ne potrebbero scaturire.

Se le credenziali d’accesso rubate sono relative alla postazione di lavoro di un dipendente, questa risulta compromessa, in quanto punto d’ingresso per un malintenzionato da sfruttare come avvio per un’escalation successiva; già questo scenario è di per sé preoccupante ma si pensi per un attimo a cosa accadrebbe se i dati rubati permettessero l’accesso a sistemi di sicurezza, come le console di gestione dei firewall o di monitoraggio come un SIEM (Security Information and Event Management).

Le tecniche di crittografia

Tale scenario è sicuramente desolante e preoccupante, ma contrariamente alle comuni convinzioni è facilmente superabile grazie alle moderne tecniche alla portata di tutti.

Ci si chiederà ovviamente adesso quali siano queste tecniche.

Iniziamo dalle mail. Per rendere sicura la trasmissione di un messaggio di posta elettronica, esistono svariati tool per l’utilizzo della crittografia a chiave asimmetrica; alcuni molto validi sono anche gratuiti e/o open source ed implementano lo standard Internet OpenPGP.

Definito nell’RFC 4880, viene sfruttato per l’interoperabilità dei messaggi protetti tramite crittografia con chiave pubblica e le sue implementazioni software hanno messo a disposizione degli utenti un mezzo che, come citato da Bruce Schneier nella sua opera Applied Cryptography, rappresenta il modo per arrivare «probabilmente il più vicino possibile alla crittografia di livello militare».

La famiglia software che meglio di tutte implementa lo standard, alla cui creazione ha anzi contribuito in maniera decisiva, è la PGP, ossia Pretty Good Privacy.

Questa famiglia di programmi impiega in realtà sia la cifratura pubblica che quella privata: senza scendere troppo nel dettaglio, possiamo dire che poiché tipicamente la crittografia asimmetrica è molto più onerosa in termini di risorse rispetto a quella simmetrica, PGP usa la prima per creare un canale sicuro dove scambiare la chiave segreta che, in un secondo momento, permetterà di creare una sessione cifrata con crittografia privata.

Inoltre, sfruttando l’algoritmo RSA e le funzioni di hashing è possibile anche effettuare la firma digitale e implementare così il concetto di non ripudio del messaggio.

Questi software funzionano in presenza di un client di posta come Outlook o Thunderbird; uno dei loro indiscussi vantaggi è che ne esistono svariate versioni, compatibili con i maggiori client esistenti oggigiorno.

Inoltre, al di là degli aspetti tecnici, il loro impiego è molto semplice per l’utente finale: è sufficiente generare una coppia chiave pubblica/chiave privata – operazione di solito effettuata in modalità guidata grazie al software stesso – e condividere, con i destinatari delle mail, la prima; a questo punto, quando si invia il messaggio, basta scegliere dalla barra degli strumenti l’opzione di cifratura ed il gioco è fatto.

Un altro caso importante è quello delle password salvate su file non protetti. Alcuni applicativi offrono un sistema nativo di difesa (si pensi al pacchetto Office ed ai sui simili, dove è possibile proteggere con una password i file generati); questa difesa è sicuramente una scelta migliore dei file non protetti ma ha le sue debolezze.

Un metodo alternativo sicuramente efficiente è quello dei gestori di password: si tratta di software, anche in questo caso spesso gratuiti e/o open source, che permettono di creare uno o più database di password, personalizzabili in categorie e sottocategorie, all’interno dei quali è possibile salvare le proprie credenziali d’accesso.

I più completi permettono di inserire, oltre alla password, il nickname, di inserire note e commenti e di salvare anche l’URL di accesso al servizio, nel caso di quelli web based.

Ma come funzionano e perché sono più efficienti del tipico file salvato con password?

Anzitutto, quando si crea un DB, viene chiesto di associare ad esso una Master Password. Questa deve essere sufficientemente sicura – rispettando quindi i tipici criteri, come lunghezza, presenza di caratteri maiuscoli, minuscoli, numerici e simboli – e va ovviamente conservata con cura.

Ogni qual volta si avvia il gestore, viene richiesto quale DB caricare e successivamente si richiede l’inserimento della Master Password.

A questo punto, appare la schermata con tutte le categorie e sottocategorie dove le singole credenziali sono oscurate con asterischi (per ovvie ragioni).

Il vantaggio dell’impiego di questo strumento è duplice: in primis, anche se un malintenzionato dovesse riuscire a rubare il DB file non potrebbe impiegarlo senza conoscere la Master password, poiché questa è in realtà una chiave di decifratura; i DB infatti sono cifrati.

In seconda battuta, tipicamente questi software impiegano le migliori tecniche di cifratura simmetrica; i migliori si affidano ovviamente ad AES-256, l’attuale standard per la cifratura simmetrica che riesce a resistere agli attacchi a forza bruta, in quanto il suo meccanismo è tale che in assenza della chiave segreta una decifratura non autorizzata richiederebbe svariate migliaia di anni.

Senza abissarci in dettagli troppo tecnici, questo è reso possibile dall’impiego di strumenti algebrici che rendono fortemente non lineare il processo di decifratura senza conoscere la chiave e quindi, de facto, impossibile.

Anche per questi programmi l’uso è molto semplice, grazie a comode interfacce utente che guidano passo passo nella creazione e nella configurazione l’utente finale.

Un altro aspetto da considerare è di natura più psicologica e meno tecnica: spesso l’invio ed il salvataggio in chiaro vengono visti come un metodo veloce per evadere un incarico. “Non ho tempo, vado di fretta, ma si invio in chiaro tanto chi vuoi che legga la mia mail”: uno dei pensieri più gravi che si possano formulare.

Conclusioni

La configurazione degli strumenti di protezione è molto veloce e semplice ed il poco tempo che viene richiesto per realizzarla, così come i pochi secondi necessari per usare successivamente tali mezzi, sono sicuramente lassi temporali ben spesi, che permettono di dormire sogni tranquilli e rappresentano un investimento non di poco conto per quanto riguarda la salvaguardia dei nostri dati.

In definitiva, l’invio e il salvataggio in chiaro dei dati sensibili costituiscono delle tecniche pericolose ed insicure che possono essere combattute in modo semplice, alla portata di tutto, cono dispendio di energie e tempo estremamente bassi e grande profitto per le nostre attività future.

WHITEPAPER
Sicurezza garantita per le tue applicazioni: ecco i 5 passaggi chiave da rispettare
Sicurezza
Software
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr