Crittografia spiegata all'uomo della strada

Anche l'utente meno esperto di computer e Internet avrà sentito parlare di login e password. I tempi spensierati dell'epoca dei primi PC sono ormai passati. Oggigiorno le password si usano dappertutto, nei siti Web, nei forum, nelle chat, per proteggere le caselle di posta elettronica, per iscriversi alla mailing list di un giornale, si potrebbe continuare all'infinito. Inoltre, ogni giorno dobbiamo memorizzare tanti numeri, per esempio, numeri di carte di credito, codici PIN, SSN, numeri di conti bancari, eccetera. Per ricordarli tutti, bisogna avere una memoria davvero eccezionale. Oppure, scriverli per non dimenticare. Sì, ma dove? Su una salvietta? Su un foglio di carta qualsiasi? Sul retro del report mensile? Il compito diventa ancora più complicato se dovete ricordare, per esempio, i codici fiscali o i numeri di conti bancari di altre persone. Oltre a essere disponibili a portata di mano, tali informazioni devono essere protette, altrimenti, potrebbero capitare nelle mani di malintenzionati. Vuol dire, che bisogna trovare un modo per creare record criptati che non potranno essere decifrati anche se un hacker o un ladro riuscisse a mettere le mani sui vostri documenti elettronici.

Quindi, le informazioni sensibili necessitano di protezione crittografica. Purtroppo, una crittografia semplice non è in grado di fermare gli smanettoni di oggi che si intendono di sicurezza informatica meglio di tanti specialisti IT. Per ottenere una protezione efficace, bisogna usare una password "forte" (cioè contenente una lunga sequenza di lettere, numeri e simboli) e un algoritmo di crittografia hack-proof (per "forzare" algoritmi crittografici hack-proof ci vorrebbero centinaia di anni).

Ecco che cosa fa la crittografia: aiuta i ragazzi bravi a proteggere i loro segreti dai ragazzi cattivi. La lista degli algoritmi crittografici hack-proof disponibili oggigiorno non è lunghissima: Blowfish, Rijndael (nuovo AES), Twofish, Serpent e alcuni altri. Chi usa uno di questi algoritmi per criptare dati sensibili, usa la stessa identica protezione utilizzata del Dipartimento della Difesa USA. E loro sanno custodire i propri segreti meglio di chiunque altro.

Qui sotto troverete i requisiti richiesti per le password (formulati originariamente da specialisti militari di sicurezza):

una password deve contenere almeno 8 caratteri;

NON DEVE assolutamente contenere parole significative, come per esempio, nomi, località geografiche, ecc.;

deve essere composta di numeri, simboli e lettere, maiuscole e minuscole, dovunque è possibile.

Perché così? Nel 99% dei casi, per forzare i codici, vengono usati due metodi: attacco con dizionario e attacco di forza. Siccome i vocaboli di una lingua sono all'incirca 500000, per rompere una password che contiene una parola significativa, ci vorrà meno di un giorno. L'attacco di forza bruta usa password composte da caratteri e numeri generate randomicamente dal programma. Se la vostra password contiene 8 simboli, lettere e numeri, ci vorranno centinaia di anni per forzarla.

Per aiutarvi a generare password robuste, esistono programmi appositi che si chiamano generatori di password forti.

La crittologia è la scienza che studia tutto ciò che ha a che fare con codici e password. Si divide in due grandi branche: crittologia e crittanalisi. La crittografia progetta sistemi cifrati. La crittanalisi, invece, procede in senso opposto cercando di svelarli e distruggerli. È difficile dire quale dei due compiti sia più complicato. La maggior parte degli esperti nel settore affermano che un abile professionista nel campo di crittoanalisi, bravo a forzare e recuperare password, è altrettanto capace di realizzare un nuovo algoritmo stabile (vale a dire hack-proof) di crittografia.

Siccome l'obiettivo principale della crittografia consiste nella protezione dei dati, essa fornisce soluzioni per soddisfare i seguenti quattro principi: confidenzialità, autenticazione, integrità e controllo di interazione tra le parti che partecipano allo scambio dei dati. In parole semplici, criptare significa convertire i dati per renderli "illeggibili". Il principio della confidenzialità presuppone che il messaggio possa essere compreso solo dal suo destinatario.

La crittografia è il metodo più efficace per la protezione di informazioni. Le sue origini risalgono a migliaia di anni fa, tuttavia ha avuto un notevole sviluppo negli ultimi cinquanta anni grazie al contributo dei matematici.

A partire dagli anni 1950, la crittografia è diventata "elettronica". Ciò significa che vengono utilizzate macchine elettroniche (computer) per generare e analizzare algoritmi crittografici e sistemi di protezione. L'utilizzo della "memoria elettronica" ha comportato l'introduzione di cifrari (codici) a blocco, i dati vengono criptati e decriptati in blocchi. A partire dal 1970, la crittografia arriva anche nelle sedi di grandi aziende e smette di essere impiegata esclusivamente in ambiente militare. Come risultato, nel 1978 viene sviluppato DES, il primo algoritmo a 64-bit. Il processo va avanti e oggigiorno tutti i paesi sviluppati possiedono propri standard crittografici.

Esistono due metodi di crittografia a chiave: la crittografia a chiave simmetrica (o segreta) e a chiave asimmetrica (o pubblica). Ciascuno dei metodi prevede l'impiego di specifiche procedure, modalità di distribuzione delle chiavi, tipi di chiavi e algoritmi per la cifratura/decifratura.

In un algoritmo simmetrico la medesima chiave è utilizzata sia per cifrare il messaggio sia per decifrarlo. Tali chiavi vengono largamente usate per archiviare e proteggere informazioni confidenziali, perché le chiavi non sono molto lunghe e permettono di cifrare grandi quantità di dati in poco tempo. Molte persone "comprimono" i dati con l'aiuto di varie applicazioni, prima di cifrarli, e questa procedura rende molto più complicata la crittanalisi basata soltanto sul testo cifrato. Molti programmi moderni lo fanno automaticamente e questo parametro e incluso nelle opzioni di crittografia.

Non tratteremo qui il metodo asimmetrico, perché il suo obiettivo principale è quello di garantire un trasferimento sicuro di informazioni, e non l'archiviazione di esse.

Terminologia crittografica e algoritmi di crittografia

Un algoritmo crittografico (codice, cifrario) è una funzione matematica usata per i processi di codifica e decodifica. Per criptare dati, bisogna fornire una chiave composta da una sequenza di simboli.

I cifrari (codici) a blocchi sono gli algoritmi più largamente utilizzati, permettono di criptare blocchi di dati di una certa dimensione e di trasformare tali dati con le chiavi in blocchi della stessa dimensione.

Blowfish: uno dei cifrari a blocchi più potenti, sviluppato dal famoso esperto di sicurezza informatica Bruce Schneier. Blowfish ha una dimensione blocco a 64 bit e una lunghezza di chiave variabile fino a 448 bit.

CAST: cifrario abbastanza affidabile con chiavi di lunghezza fino a 64 bit, sviluppato da C.M. Adams e S.E. Tavares e presentato alla competizione AES.

DES: standard statunitense, ormai obsoleto. Per ragioni di scarsa sicurezza (i computer moderni impiegano 2 giorni per craccarlo) è stato sostituito da AES. Sviluppato dal National Institute of Standards and Technology USA (NIST).

GOST: cifrario sovietico creato dal KGB alla fine degli anni 1970. Blocchi a 64 bit. Chiave fino a 256 bit. Nonostante alcuni buchi di sicurezza, è tuttora considerato abbastanza affidabile. È infatti lo standard crittografico ufficiale della Federazione Russa.

Rijndael: algoritmo sviluppato da Joan Daemen e Vincent Rijmen. Conforme agli standard AES (Advanced Encryption Standard). Utilizza chiavi di lunghezza variabile (128, 192 e 256 bit) e blocchi di dimensioni uguali.

Twofish: algoritmo che ha sostituito Blowfish, sviluppato da Bruce Schneier come anche il suo predecessore. È considerato hack-proof (non si conoscono al momento attacchi efficaci nei suoi confronti).

3DES utilizza l'algoritmo DES applicato tre volte con chiavi differenti, presenta una maggiore affidabilità rispetto al DES, tuttavia si rivela sempre vulnerabile.

RC4: cifrario a flusso utilizzato in molti sistemi di protezione di rete locale (per esempio, nel protocollo SSL di Netscape e Windows NT). L'algoritmo è molto veloce e può accettare chiavi di lunghezza arbitraria. È stato realizzato da RSA Data Security, Inc., da Ronald Rivest. La sigla RC sta per "Ron's Code" o "Rivest Cipher". Proprietà intellettuale della RSA fino al 1995.

Serpent: cifrario sviluppato dal famoso crittografo e crittanalista Lars Ramkilde Knudsen (conosciuto per gli efficaci attacchi crittografici ad alcuni cifrari largamente utilizzati), che aveva lavorato presso università di Norvegia, Svezia e Belgio. Attualmente, Knudsen è professore di matematica all'Università Tecnica Danese.

Tea (Tiny Encryption Algorithm): un algoritmo piuttosto forte. La sua caratteristica particolare sono le sue dimensioni molto ridotte. Tea è molto semplice, non utilizza valori di tabella ed è ottimizzato per architetture di processore a 32 bit, il che permette di usarlo insieme ad ASSEMBLER, anche quando la dimensione del codice è molto ridotta. Tra i punti deboli vi sono il funzionamento lento e la necessità di "data scrambling", visto che non utilizza tabelle.

Attacco con dizionario: metodo di attacco crittografico che utilizza un comune dizionario contenente i vocaboli di una lingua. Questo tipo di attacco diventa inutile quando si usano password "senza senso".

Forza bruta: il metodo di attacco più comunemente usato. È intitolato "attacco di forza bruta" perché l'aggressore cerca di scoprire la chiave generando combinazioni randomiche di simboli, numeri e lettere (ovviamente, il lavoro viene fatto da un computer). Per forzare una chiave a 128-bit con l'aiuto dell'attacco di forza bruta, ci vogliono alcuni anni. Più sono i caratteri di una password e/o di una chiave, più tempo ci vorrà per craccare il codice (fino ad alcune centinaia di anni).

Password persa? Password Manager XP è il tuo gestore di password personale!

File Encryption XP è il tuo software per crittografia per Windows!