SECURITY

Capire la crittografia
La crittografia: alle volte poco conosciuta diventa oggi pi che mai indispensabile. Ecco perch va capita

Premessa

Non vi dubbio che in un mondo altamente tecnologico

dominato dalle telecomunicazioni, e nel quale linformazione
ha raggiunto un valore altissimo, la sicurezza rappresenti
oggi pi che mai un elemento cardine e imprescindibile per
ogni tecnologia e sistema informatico. Internet, commercio
elettronico, database sono solo alcuni esempi concreti e
reali, in cui deve essere necessariamente attiva.
Inoltre impossibile parlare di sicurezza senza
affrontarne le sue basi principali ovvero le tematiche legate
alla crittografia, scienza che per secoli ha impegnato e
interessato innumerevoli menti scientifiche e che hanno
intravisto in essa la principale via atta a garantire segretezza
allinformazione.
Cercheremo quindi di affrontare in questo articolo il tema
della crittografia, con gli inevitabili limiti che si riscontrano in
una materia cos vasta, cogliendone se non altro gli aspetti
fondamentali e le sue principali utilizzazioni. Il nostro scopo
non certo quello di entrare nella complessit teorica degli
algoritmi crittografici, per lo pi di forte sapore matematico,
quanto quello di sfruttarli appieno e con cognizione nelle
nostre applicazioni concrete.

Fig. 1-Linformazione pu essere intercettata

mittente ad una entit B destinatario- e nulla vieta di
pensare che possa trattarsi, se ci piace lidea, di una
generica e-mail . Il messaggio originale, indicato come testo
in chiaro ( plaintext ), per essere reso incomprensibile, deve
essere cifrato mediante la chiave di cifratura ( key )
ottenendo cos il messaggio cifrato (ciphertext ) . Lutente B
il destinatario utilizzando la stessa chiave proceder alla
decifratura e conseguentemente alla sua lettura.

La crittografia simmetrica e asimmetrica

Con il termine crittografia come ho sopra enunciato si
intende indicare linsieme delle tecniche atte a occultare le
informazioni a coloro i quali non dispongono di alcuni
elementi aggiuntivi se non la chiave di cifratura.
La cifratura lavora in due direzioni, nel senso che,
attraverso opportuni algoritmi, si occupa in una prima di fase
di cifrare un flusso informativo per renderlo incomprensibile
a chiunque voglia leggerlo e non sia in possesso della chiave
di cifratura, e in una seconda fase di decifrarlo e renderlo
intelligibile.
La situazione rappresentata in figura 1 e che in generale
si vuol evitare chiaramente quella che un intruso nel canale
di comunicazione possa leggere o modificare linformazione
transitante.
Prima di proseguire converr, prendendo in esame la figura
2, introdurre e chiarire alcuni concetti piuttosto utili. La figura
in questione rappresenta una tipica situazione di
trasmissione di una informazione qualsiasi da una entit A

Fig. 2 - Rappresentazione schematica dellazione

crittografica
E chiaro che in questa la situazione la segretezza della
chiave fondamentale.
Giova chiarire che gli algoritmi di cifratura si suddividono in
due grandi categorie:
- algoritmi simmetrici
- algoritmi asimmetrici o a chiave pubblica.
Nei primi, caso appena preso in esame, si supposto che
mittente e destinatario posseggano la stessa chiave, mentre
nei secondi i due utenti possiedono due chiavi di cifratura,
una pubblica nota a tutti- e una privata da custodire con
attenzione e segretezza-.
Lutente A mittente cifra il messaggio con la propria
chiave segreta, mentre lutente B destinatario- lo decifra con
la chiave pubblica di A.

Servizio Dossier On Demand

Le riviste del Gruppo Editoriale Duke Italia sono il mezzo migliore per essere sempre aggiornati www.duke.it

Bisogna cio considerare che pur essendo vero che pi

cresce la sua lunghezza maggiore la resistenza agli
attacchi di crittoanalisi che in genere gli algoritmi subiscono
specie quelli di forza bruta resta pur vero per che l
efficienza dell algoritmo, inteso come capacit di resistenza
a questi attacchi spesso legata alla complessit che
lalgoritmo genera.
Fig. 3 - Rappresentazione schematica dellazione crittografica a
chiave pubblica

Prima di proseguire ricordo che esistono numerosi cifrari

e di questi mi piace citare, per meritata fama, il DES ( Data
encryption Standard ) e lAES ( Advanced Encryption
Standard ) per quanto riguarda il campo dei simmetrici. RSA
(dai suoi autori Rivest Shamir Adleman ) e quello di DiffieHellman per quelli a chiave pubblica.
Ricordo che il DES, di cui si intravedono i suoi primi
albori nel 1970 diventando uno standard nel 1977, pur
essendo ancora utilizzato, per esigenze di compatibilit con
vecchie applicazioni in uso, viene ora sostituito con AES.
Nel 1976 Diffie W. e Hellman M. pongono le basi, anzi
creano, sfruttando alcuni concetti matematici, la crittografia a
chiave pubblica: sar una vera rivoluzione.
Vorrei ancora segnalarvi che i cifrari simmetrici e
asimmetrici non si differenziano tra loro solo per il fatto di
usare in un caso una sola chiave e nellaltro due chiavi di
cifratura , ma anche per il loro livello di prestazioni.
Nei cifrari a chiave pubblica le chiavi, pur essendo
volendo modulabili nella loro lunghezza dallutenza, sono ben
pi lunghe ( ad esempio 1024 bit e oltre ) di quelli dei
simmetrici ( ad esempio 128/256 bit). Ci in generale apporta
maggior carico di lavoro per il computer, che andr valutato
nel caso si abbia a che fare con macchine obsolete.
Questo fa si che nella realt i due cifrari sono quasi
sempre usati in modo sinergico. Si cifra in un primo
momento linformazione con un cifrario simmetrico, per
esempio attraverso la generazione una chiave di sessione chiave temporanea a cui segue la cifratura della sola
chiave di sessione con la chiave privata del cifrario pubblico.
Il destinatario, che ricever linformazione cifrata unitamente
alla chiave di sessione cifrata, decifrer il tutto con la chiave
pubblica del mittente. E chiaro che la procedura
completamente automatica.
Volendo scendere nel concreto, un buon esempio di
quanto appena descritto, lo realizza il protocollo SSL (
Secure
Sockets
Layer)
prodotto
dalla
Netscape
Communications Corp., che crea un canale protetto di
comunicazione fra server Web e browser. Il protocollo SSL
ha contribuito notevolmente allo sviluppo e alla crescita dell
e-commerce.
La chiave di cifratura ricopre un ruolo importante e a tal
proposito con esplicito riferimento alla sua lunghezza, vorrei
fare una considerazione, che ritengo utile nella valutazione
della sicurezza e affidabilit di un algoritmo crittografico.

La complessit paragonabile come ad un enorme

turbolenza che lalgoritmo crea sullinformazione per renderla
assolutamente indecifrabile.Ci significa che due algoritmi
possono dimostrare la stessa efficacia pur utilizzando due
chiavi di lunghezza differenti.
Non per ultimo segnalo il fatto che i migliori algoritmi
crittografici sono quelli con le specifiche funzionali rese
pubbliche e non quelli di cui non si sa assolutamente nulla se
non quel po che la pubblicit enfatizza.
Gi nel 1883 un certo August Kerckhoffs, afferm che ci
che non va reso pubblico la chiave e non certo il
meccanismo di un algoritmo.I cifrari le cui specifiche sono
note sono continuamente testati e qualora fossero violati
verrebbero o eliminati dalla circolazione o naturalmente
subito modificati in senso positivo per la sicurezza.
Termino la panoramica sui cifrari evidenziando che la
crittografia a chiave pubblica ha risolto il problema della
gestione delle chiavi in quanto, e lo si gi credo capito, nei
cifrari simmetrici esiste il problema dello scambio delle chiavi.
Come pu avvenire infatti lo scambio, tra mittente e
destinatario, delle chiavi segrete in tutta sicurezza?
Nei cifrari a chiave pubblica il problema viene meno in
quanto le chiavi pubbliche sono semplicemente a
disposizione di tutti. Il solo problema che sorge quello di
attestare in qualche modo la legittima appartenenza della
chiave pubblica al soggetto dichiarato. La certificazione della
chiave pubblica avviene tramite una infrastruttura gerarchica
di certificazione che sono le cosi dette CA ( Certification
Autority ). Sono enti o autorit che hanno il potere di
certificare le chiavi pubbliche.
La firma digitale
La firma elettronica, o digitale, sfrutta la crittografia a chiave
pubblica in aggiunta ad un particolare meccanismo
matematico detto funzione hash propriamente funzioni
unidirezionali - il quale non fa altro che associare al testo del
nostro messaggio, da spedire, un codice univoco detto anche
digest o impronta; codice che funzione propria
dellinformazione che si sta trasmettendo. Un buon termine di
paragone, per comprendere lhash, di pensare ad una
funzione hash quella che genera il nostro codice fiscale il
quale come noto ci identifica univocamente.
Il codice generato dalla funzione hash, come ad esempio
lalgoritmo SHA-1 (Secure Hash Algorithm ), viene crittato
mediante lausilio della chiave privata del nostro solito utente
A, mentre lutente B con lausilio della chiave pubblica di B
proceder in senso inverso.

Servizio Dossier On Demand

Le riviste del Gruppo Editoriale Duke Italia sono il mezzo migliore per essere sempre aggiornati www.duke.it

Va da se che qualora nel tragitto che il nostro

messaggio compie attraverso la rete venisse modificato, tale
codice sar alterato; il raffronto, che il destinatario fa, con il
codice originale sar negativo quindi ripudiato.
Si noti che il destinatario, qualora vi sia esatta
corrispondenza fra il codice trasmesso dal mittente e quello
da lui generato per la riprova, certo dellautenticit del
mittente
Siamo arrivati in sostanza ad avere davanti a noi degli
strumenti molto potenti e oserei dire imprescindibili per lecommerce.
Diventa possibile firmare contratti , di natura
commerciale per esempio, attraverso la rete e allo scopo
possiamo sicuramente cos sintetizzare le propriet della
firma digitale:
separata dallatto cui fa riferimento e quindi non lo
altera
E diversa per ogni documento
Fa riferimento ad un contenuto (documento non bianco)
Essendo frutto di un calcolo matematico noto pu
essere verificata in modo certo e ripetibile
Rivela ogni alterazione del documento originariamente
firmato
Non pu essere ripudiata, non si pu cio
disconoscerne la paternit
Pur non essendo un giurista credo di poter affermare
che queste caratteristiche rappresentano sicuramente degli
elementi fondamentali nella stipula di accordi commerciali.
Leffetto concreto quindi quello di ottenere una forte
sicurezza, riservatezza ed affidabilit nelle operazioni legate
al commercio elettronico, siglando semplici ordinativi o
salendo a pi alti gradi di contrattazione.

Conclusioni
Riassumo quanto detto per riaffermare alcuni concetti
importanti:
la crittografia simmetrica offre riservatezza , velocit, ma
presenta la difficile gestione delle chiavi.
La crittografia asimmetrica o a chiave pubblica offre
sicurezza ma pretende maggiori risorse dal computer,
offrendo per unottima gestione delle chiavi.
I cifrari le cui specifiche sono pubbliche sono da
considerarsi pi sicuri.
Mi congedo con una nota doverosa che poi quella di
affermare che la crittografia, e con essa i suoi cifrari, pur
essendo cardini nella sicurezza delle applicazioni
informatiche, specie quelle legate al commercio elettronico,
non pu avere la pretesa di risolvere tutti i problemi legati
alla sicurezza. La sicurezza informatica coinvolge tutta una
serie di problematiche che la crittografia da sola non pu
elidere.
Questo non toglie comunque, per nessun motivo, valore alla
crittografia che resta un elemento fondamentale per le
aziende che non possono sottrarsi dallutilizzarla
pienamente se vogliono dare a se stesse e ai propri clienti
pi sicurezza, in particolare anche nel nuovo emergente
mondo delle reti wireless.
Roberto Demarchi
Riferimenti utili
www.enricozimuel.net
www.csrc.nist.gov/pki/nist_crypto/welcome.html
www.cryptography.com

Servizio Dossier On Demand

Le riviste del Gruppo Editoriale Duke Italia sono il mezzo migliore per essere sempre aggiornati www.duke.it

Lezioni di crittografia:

Servizio Dossier On Demand

Le riviste del Gruppo Editoriale Duke Italia sono il mezzo migliore per essere sempre aggiornati www.duke.it

Servizio Dossier On Demand

Le riviste del Gruppo Editoriale Duke Italia sono il mezzo migliore per essere sempre aggiornati www.duke.it

Servizio Dossier On Demand

Le riviste del Gruppo Editoriale Duke Italia sono il mezzo migliore per essere sempre aggiornati www.duke.it

Servizio Dossier On Demand

Le riviste del Gruppo Editoriale Duke Italia sono il mezzo migliore per essere sempre aggiornati www.duke.it

Servizio Dossier On Demand

Le riviste del Gruppo Editoriale Duke Italia sono il mezzo migliore per essere sempre aggiornati www.duke.it

Servizio Dossier On Demand

Le riviste del Gruppo Editoriale Duke Italia sono il mezzo migliore per essere sempre aggiornati www.duke.it

Servizio Dossier On Demand

Le riviste del Gruppo Editoriale Duke Italia sono il mezzo migliore per essere sempre aggiornati www.duke.it

Servizio Dossier On Demand

Le riviste del Gruppo Editoriale Duke Italia sono il mezzo migliore per essere sempre aggiornati www.duke.it

Servizio Dossier On Demand

Le riviste del Gruppo Editoriale Duke Italia sono il mezzo migliore per essere sempre aggiornati www.duke.it

Servizio Dossier On Demand

Le riviste del Gruppo Editoriale Duke Italia sono il mezzo migliore per essere sempre aggiornati www.duke.it

Servizio Dossier On Demand

Le riviste del Gruppo Editoriale Duke Italia sono il mezzo migliore per essere sempre aggiornati www.duke.it

Servizio Dossier On Demand

Le riviste del Gruppo Editoriale Duke Italia sono il mezzo migliore per essere sempre aggiornati www.duke.it

Servizio Dossier On Demand

Le riviste del Gruppo Editoriale Duke Italia sono il mezzo migliore per essere sempre aggiornati www.duke.it

Servizio Dossier On Demand

Le riviste del Gruppo Editoriale Duke Italia sono il mezzo migliore per essere sempre aggiornati www.duke.it

Servizio Dossier On Demand

Le riviste del Gruppo Editoriale Duke Italia sono il mezzo migliore per essere sempre aggiornati www.duke.it

Servizio Dossier On Demand

Le riviste del Gruppo Editoriale Duke Italia sono il mezzo migliore per essere sempre aggiornati www.duke.it

Servizio Dossier On Demand

Le riviste del Gruppo Editoriale Duke Italia sono il mezzo migliore per essere sempre aggiornati www.duke.it