Crittografia simmetrica, di che cosa si tratta?

Nel mondo informatico è sempre presente il rischio di accesso non autorizzato a tutte le forme di dati.

La maggior parte di questi sono dati finanziari o informazioni strettamente riservate come ad esempio, le credenziali di accesso che a loro volta possono esporre le informazioni di identificazione personale (Personally Identifiable Information o PII) a potenziali data breach.

La crittografia si rivela uno strumento cruciale per proteggere i dati personali e mitigare così il rischio di vedersi espropriare i propri account.

Come è ormai noto, esistono diversi tipi di algoritmi crittografici: nello specifico, in questo articolo ci occuperemo di analizzare i pro e i contro della crittografia simmetrica, cercando di comprenderne a pieno il funzionamento e i vantaggi applicativi.

La crittografia è un metodo per proteggere i dati e le comunicazioni attraverso l’uso di chiavi, in modo che solo mittenti e destinatari possano leggerle.

In informatica, la crittografia si riferisce a tecniche di informazione e comunicazioni sicure derivate da algoritmi che rendono le informazioni indecifrabili.

Questi algoritmi vengono utilizzati per: la generazione di chiavi crittografiche, la firma digitale, proteggere la privacy dei dati, monitorare la navigazione sul web e le comunicazioni riservate come transazioni con carta di credito ed e-mail.

La crittografia viene impiegata per perseguire 4 diversi obiettivi:

1. Garantire riservatezza

   la riservatezza garantisce che solo il destinatario previsto possa decrittografare il messaggio e leggere il suo contenuto;

2. Non ripudio (o not-repudiation)

   non ripudio significa che il mittente del messaggio nel futuro non può fare un passo indietro e negare le ragioni per cui ha inviato o creato il messaggio;

3. Integrità

   l’integrità si concentra sulla capacità di essere certi che le informazioni contenute nel messaggio non possono essere modificate durante l’archiviazione o il transito;

4. Autenticità

   l’autenticità garantisce che il mittente e il destinatario possano verificare reciprocamente l’identità e la provenienza del messaggio.

Inoltre, dobbiamo dirlo, esistono diverse tipologie di tecniche crittografiche, tra le quali distinguiamo principalmente:

• Crittografia simmetrica;

• Crittografia asimmetrica;

• Funzioni Hash.

La crittografia simmetrica è un tipo di crittografia in cui viene utilizzata una sola chiave sia per crittografare che per decrittografare un messaggio.

Le parti che comunicano tramite crittografia simmetrica devono potersi scambiare la chiave in modo da poterla utilizzare nel processo di decrittografia. Questo metodo di crittografia differisce dalla crittografia asimmetrica per un motivo base.
Nella crittografia asimmetrica mittente e destinatario possiedono entrambi una coppia di chiavi (una pubblica e una privata), a seconda del loro ruolo impiegheranno l’una o l’altra per inviare o per aprire i messaggi.

Turnando tuttavia ai concetti di crittografia simmetrica dovremo dire che il funzionamento di questa tecnica è estremamente più semplice. I dati vengono “rimescolati” in modo che non possano essere compresi da chiunque, ma solo da chi possieda la chiave segreta per aprirli.

Esistono due tipi di algoritmi di crittografia simmetrica:

• Algoritmi a blocchi
  

  le lunghezze dei bit impostate sono cifrate in blocchi di dati elettronici con l’uso di una chiave segreta specifica. Man mano che i dati vengono crittografati, il sistema mantiene i dati nella sua memoria mentre attende per i blocchi completi.

• Algoritmi di flusso
  

  i dati vengono cifrati mentre fluiscono invece di essere mantenuti nella memoria del sistema.

La crittografia simmetrica tecnicamente è un un metodo di cifratura più datato dal quale possiamo più facilmente riscontrare problemi di prestazioni al dispositivo.

Generalmente, la crittografia simmetrica viene impiegata per crittografare grandi quantità di dati, ad es. per cifrare tutto il contenuto di un database.
Ecco alcuni esempi di impiego della crittografia simmetrica:

• Applicazioni di pagamento, come le transazioni con carta in cui le informazioni di identificazione personale devono essere protette per prevenire il furto di identità o le spese involontarie;

• Convalide per confermare che il mittente di un messaggio è chi afferma di essere;

• Generazione di numeri casuali o hashing.

Sfortunatamente, la crittografia simmetrica presenta alcune lacune.
Il punto più debole più rilevante è costituito della gestione delle chiavi, tra cui:

• Stanchezza della chiave
  

  l’integrità della chiave segreta viene messa a dura prova ad ogni utilizzo. Le difese contro questo comportamento includono l’utilizzo di una gerarchia di chiavi per garantire che il master o le chiavi di decrittazione non vengano utilizzate continuamente e la rotazione delle chiavi che crittografano volumi di dati. Per essere utili, entrambe queste soluzioni richiedono strategie di gestione competenti.

• Dati di attribuzione
  

  a differenza delle chiavi asimmetriche, le chiavi simmetriche non hanno metadati incorporati per registrare informazioni come la data di scadenza o un elenco di controllo di accesso per indicare l’uso che la chiave può avere. Per il pieno controllo sulle motivazioni per cui può essere utilizzata una chiave e quando può essere utilizzata, è richiesto un sistema di gestione della chiave.

• Key Management su larga scala
  

  quando solo poche chiavi sono coinvolte in uno schema, le spese generali di gestione sono modeste e possono essere gestite attraverso l’attività manuale e umana. Tuttavia, con una grande quantità, il monitoraggio della scadenza e l’organizzazione manuale della rotazione delle chiavi diventa rapidamente poco pratico. Prendi in considerazione un sistema di monitoraggio di chiavi automatico.

Sostenere i sistemi di crittografia simmetrica su larga scala è un compito molto impegnativo, soprattutto quando vogliamo raggiungere la sicurezza o l’architettura aziendale e IT è decentralizzata/distribuita geograficamente.

Per farlo correttamente, si consiglia di utilizzare software appositi per mantenere il ciclo di vita corretto per ogni chiave creata.
In casi di enormi quantità di chiavi, è davvero impossibile condurre manualmente la gestione delle stesse.

Non sapendo quali progressi ci saranno nella tecnologia e quindi anche nell’evoluzione della cyber criminalità, consigliamo vivamente di tenere monitorati i processi di crittografia che implementano questa tecnica.