Capire La Crittografia

Servizio Dossier On Demand Le riviste del Gruppo Editoriale Duke Italia sono il mezzo migliore per essere sempre aggiornati www.duke.it

SECURITY

Capire la crittografia

La crittografia: alle volte poco conosciuta diventa oggi più che mai indispensabile. Ecco perché va capita

Premessa

Non vi è dubbio che in un mondo altamente tecnologico dominato dalle telecomunicazioni, e nel quale l’informazione ha raggiunto un valore altissimo, la sicurezza rappresenti oggi più che mai un elemento cardine e imprescindibile per ogni tecnologia e sistema informatico. Internet, commercio elettronico, database sono solo alcuni esempi concreti e reali, in cui deve essere necessariamente attiva.

Inoltre è impossibile parlare di sicurezza senza

affrontarne le sue basi principali ovvero le tematiche legate alla crittografia, scienza che per secoli ha impegnato e interessato innumerevoli menti scientifiche e che hanno intravisto in essa la principale via atta a garantire segretezza all’informazione.

Cercheremo quindi di affrontare in questo articolo il tema

della crittografia, con gli inevitabili limiti che si riscontrano in una materia così vasta, cogliendone se non altro gli aspetti fondamentali e le sue principali utilizzazioni. Il nostro scopo non è certo quello di entrare nella complessità teorica degli algoritmi crittografici, per lo più di forte sapore matematico, quanto quello di sfruttarli appieno e con cognizione nelle nostre applicazioni concrete. La crittografia simmetrica e asimmetrica

Con il termine crittografia come ho sopra enunciato si intende indicare l’insieme delle tecniche atte a occultare le informazioni a coloro i quali non dispongono di alcuni elementi aggiuntivi se non la chiave di cifratura.

La cifratura lavora in due direzioni, nel senso che,

attraverso opportuni algoritmi, si occupa in una prima di fase di cifrare un flusso informativo per renderlo incomprensibile a chiunque voglia leggerlo e non sia in possesso della chiave di cifratura, e in una seconda fase di decifrarlo e renderlo intelligibile.

La situazione rappresentata in figura 1 e che in generale si vuol evitare è chiaramente quella che un intruso nel canale di comunicazione possa leggere o modificare l’informazione transitante. Prima di proseguire converrà, prendendo in esame la figura 2, introdurre e chiarire alcuni concetti piuttosto utili. La figura in questione rappresenta una tipica situazione di trasmissione di una informazione qualsiasi da una entità A –

Fig. 1-L’informazione può essere intercettata

mittente – ad una entità B – destinatario- e nulla vieta di pensare che possa trattarsi, se ci piace l’idea, di una generica e-mail . Il messaggio originale, indicato come testo in chiaro ( plaintext ), per essere reso incomprensibile, deve essere cifrato mediante la chiave di cifratura ( key ) ottenendo così il messaggio cifrato (ciphertext ) . L’utente B – il destinatario – utilizzando la stessa chiave procederà alla decifratura e conseguentemente alla sua lettura.

Fig. 2 - Rappresentazione schematica dell’azione crittografica E’ chiaro che in questa la situazione la segretezza della chiave è fondamentale. Giova chiarire che gli algoritmi di cifratura si suddividono in due grandi categorie: - algoritmi simmetrici - algoritmi asimmetrici o a chiave pubblica. Nei primi, caso appena preso in esame, si è supposto che mittente e destinatario posseggano la stessa chiave, mentre nei secondi i due utenti possiedono due chiavi di cifratura, una pubblica – nota a tutti- e una privata – da custodire con attenzione e segretezza-. L’utente A – mittente – cifra il messaggio con la propria chiave segreta, mentre l’utente B –destinatario- lo decifra con la chiave pubblica di A.


Fig. 3 - Rappresentazione schematica dell’azione crittografica a chiave pubblica

Prima di proseguire ricordo che esistono numerosi cifrari

e di questi mi piace citare, per meritata fama, il DES ( Data encryption Standard ) e l’AES ( Advanced Encryption Standard ) per quanto riguarda il campo dei simmetrici. RSA (dai suoi autori Rivest Shamir Adleman ) e quello di Diffie-Hellman per quelli a chiave pubblica.

Ricordo che il DES, di cui si intravedono i suoi primi

albori nel 1970 diventando uno standard nel 1977, pur essendo ancora utilizzato, per esigenze di compatibilità con vecchie applicazioni in uso, viene ora sostituito con AES.

Nel 1976 Diffie W. e Hellman M. pongono le basi, anzi creano, sfruttando alcuni concetti matematici, la crittografia a chiave pubblica: sarà una vera rivoluzione.

Vorrei ancora segnalarvi che i cifrari simmetrici e

asimmetrici non si differenziano tra loro solo per il fatto di usare in un caso una sola chiave e nell’altro due chiavi di cifratura , ma anche per il loro livello di prestazioni.

Nei cifrari a chiave pubblica le chiavi, pur essendo

volendo modulabili nella loro lunghezza dall’utenza, sono ben più lunghe ( ad esempio 1024 bit e oltre ) di quelli dei simmetrici ( ad esempio 128/256 bit). Ciò in generale apporta maggior carico di lavoro per il computer, che andrà valutato nel caso si abbia a che fare con macchine obsolete.

Questo fa si che nella realtà i due cifrari sono quasi

sempre usati in modo sinergico. Si cifra in un primo momento l’informazione con un cifrario simmetrico, per esempio attraverso la generazione una chiave di sessione - chiave temporanea – a cui segue la cifratura della sola chiave di sessione con la chiave privata del cifrario pubblico. Il destinatario, che riceverà l’informazione cifrata unitamente alla chiave di sessione cifrata, decifrerà il tutto con la chiave pubblica del mittente. E’ chiaro che la procedura è completamente automatica.

Volendo scendere nel concreto, un buon esempio di

quanto appena descritto, lo realizza il protocollo SSL ( Secure Sockets Layer) prodotto dalla Netscape Communications Corp., che crea un canale protetto di comunicazione fra server Web e browser. Il protocollo SSL ha contribuito notevolmente allo sviluppo e alla crescita dell ‘e-commerce.

La chiave di cifratura ricopre un ruolo importante e a tal

proposito con esplicito riferimento alla sua lunghezza, vorrei fare una considerazione, che ritengo utile nella valutazione della sicurezza e affidabilità di un algoritmo crittografico.

Bisogna cioè considerare che pur essendo vero che più cresce la sua lunghezza maggiore è la resistenza agli attacchi di crittoanalisi che in genere gli algoritmi subiscono – specie quelli di forza bruta – resta pur vero però che l’ efficienza dell’ algoritmo, inteso come capacità di resistenza a questi attacchi è spesso legata alla complessità che l’algoritmo genera.

La complessità è paragonabile come ad un enorme

turbolenza che l’algoritmo crea sull’informazione per renderla assolutamente indecifrabile.Ciò significa che due algoritmi possono dimostrare la stessa efficacia pur utilizzando due chiavi di lunghezza differenti. Non per ultimo segnalo il fatto che i migliori algoritmi crittografici sono quelli con le specifiche funzionali rese pubbliche e non quelli di cui non si sa assolutamente nulla se non quel po’ che la pubblicità enfatizza. Già nel 1883 un certo August Kerckhoffs, affermò che ciò che non va reso pubblico è la chiave e non certo il meccanismo di un algoritmo.I cifrari le cui specifiche sono note sono continuamente testati e qualora fossero violati verrebbero o eliminati dalla circolazione o naturalmente subito modificati in senso positivo per la sicurezza. Termino la panoramica sui cifrari evidenziando che la crittografia a chiave pubblica ha risolto il problema della gestione delle chiavi in quanto, e lo si è già credo capito, nei cifrari simmetrici esiste il problema dello scambio delle chiavi. Come può avvenire infatti lo scambio, tra mittente e destinatario, delle chiavi segrete in tutta sicurezza? Nei cifrari a chiave pubblica il problema viene meno in quanto le chiavi pubbliche sono semplicemente a disposizione di tutti. Il solo problema che sorge è quello di attestare in qualche modo la legittima appartenenza della chiave pubblica al soggetto dichiarato. La certificazione della chiave pubblica avviene tramite una infrastruttura gerarchica di certificazione che sono le cosi dette CA ( Certification Autority ). Sono enti o autorità che hanno il potere di certificare le chiavi pubbliche. La firma digitale La firma elettronica, o digitale, sfrutta la crittografia a chiave pubblica in aggiunta ad un particolare meccanismo matematico detto funzione hash – propriamente funzioni unidirezionali - il quale non fa altro che associare al testo del nostro messaggio, da spedire, un codice univoco detto anche digest o impronta; codice che è funzione propria dell’informazione che si sta trasmettendo. Un buon termine di paragone, per comprendere l’hash, è di pensare ad una funzione hash quella che genera il nostro codice fiscale il quale come noto ci identifica univocamente.

Il codice generato dalla funzione hash, come ad esempio l’algoritmo SHA-1 (Secure Hash Algorithm ), viene crittato mediante l’ausilio della chiave privata del nostro solito utente A, mentre l’utente B con l’ausilio della chiave pubblica di B procederà in senso inverso.


Va da se che qualora nel tragitto che il nostro messaggio compie attraverso la rete venisse modificato, tale codice sarà alterato; il raffronto, che il destinatario fa, con il codice originale sarà negativo è quindi ripudiato.

Si noti che il destinatario, qualora vi sia esatta

corrispondenza fra il codice trasmesso dal mittente e quello da lui generato per la riprova, è certo dell’autenticità del mittente

Siamo arrivati in sostanza ad avere davanti a noi degli

strumenti molto potenti e oserei dire imprescindibili per l’e-commerce.

Diventa possibile “ firmare contratti “, di natura

commerciale per esempio, attraverso la rete e allo scopo possiamo sicuramente così sintetizzare le proprietà della firma digitale:

È separata dall’atto cui fa riferimento e quindi non lo

altera E’ diversa per ogni documento Fa riferimento ad un contenuto (documento non bianco) Essendo frutto di un calcolo matematico noto può

essere verificata in modo certo e ripetibile Rivela ogni alterazione del documento originariamente

firmato Non può essere ripudiata, non si può cioè

disconoscerne la paternità Pur non essendo un giurista credo di poter affermare

che queste caratteristiche rappresentano sicuramente degli elementi fondamentali nella stipula di accordi commerciali. L’effetto concreto è quindi quello di ottenere una forte sicurezza, riservatezza ed affidabilità nelle operazioni legate al commercio elettronico, siglando semplici ordinativi o salendo a più alti gradi di contrattazione.

Conclusioni Riassumo quanto detto per riaffermare alcuni concetti importanti: • la crittografia simmetrica offre riservatezza , velocità, ma

presenta la difficile gestione delle chiavi. • La crittografia asimmetrica o a chiave pubblica offre

sicurezza ma pretende maggiori risorse dal computer, offrendo però un’ottima gestione delle chiavi.

• I cifrari le cui specifiche sono pubbliche sono da considerarsi più sicuri.

Mi congedo con una nota doverosa che è poi quella di affermare che la crittografia, e con essa i suoi cifrari, pur essendo cardini nella sicurezza delle applicazioni informatiche, specie quelle legate al commercio elettronico, non può avere la pretesa di risolvere tutti i problemi legati alla sicurezza. La sicurezza informatica coinvolge tutta una serie di problematiche che la crittografia da sola non può elidere. Questo non toglie comunque, per nessun motivo, valore alla crittografia che resta un elemento fondamentale per le aziende che non possono sottrarsi dall’utilizzarla pienamente se vogliono dare a se stesse e ai propri clienti più sicurezza, in particolare anche nel nuovo emergente mondo delle reti wireless. • Roberto Demarchi Riferimenti utili www.enricozimuel.net www.csrc.nist.gov/pki/nist_crypto/welcome.html www.cryptography.com


Lezioni di crittografia:

Capire La Crittografia

Documents

Transcript of Capire La Crittografia