CyberSecurity

La crittografia ("scrittura nascosta" in greco) altera (cifra) il messaggio tra due utenti in modo tale che esso risulti incomprensibile ad un soggetto terzo che intercetti il messaggio; garantisce pertanto la riservatezza del messaggio.

La Crittografia simmetrica utilizza algoritmi a chiave simmetrica per cifrare e decifrare messaggi; la chiave è la stessa per entrambe le operazioni, da cui l'attributo "simmetrica".

Una chiave di cifratura è un‘informazione usata come parametro in un algoritmo di cifratura per alterare i dati trasmessi in modo tale da renderli incomprensibili a occhi indiscreti (a meno che non si abbia la chiave)

Una chiave pubblica è una chiave di cifratura utilizzata in coppia con la corrispondente chiave privata. La caratteristica di queste chiavi è che ciò che viene cifrato con una, può essere decifrato solo con l’altra; e viceversa. La chiave pubblica viene depositata presso enti nazionali accreditati (PKI) e consegnata a chi la vuole.

Classico schema di comunicazione riservata, tra utenti, con chiavi asimmetriche

Il KDC è un server che condivide una chiave simmetrica con ognuno degli utenti registrati; pertanto è in grado di comunicare in segretezza con ciascuno di essi.

Supponendo che A e B siano due utenti registrati presso il KDC e che K_A e K_B siano le rispettive memorizzate nel KDC, la procedura che consente ad A e B di comunicare in segretezza è:

• A comunica al KDC l'intenzione di comunicare con B inviando K_A(A, B)
• KDC invia ad A il messaggio K_A(K_S, K_B(A,K_S)) ovvero la chiave di sessione K_S e la coppia cifrata con K_B : "nome di A" + K_S
• A decifra il messaggio, memorizza K_S e invia a B K_B(A,K_S) che lei non può decifrare
• B decifra il messaggio di A, memorizza K_S e il nome di chi l'ha contattato
• A e B si scambiano messaggi cifrati con K_S

nella figura uno schema con KDC utilizzato da Kerberos

Semplificando un po' potremmo dire che una PKI è l'insieme delle Certification Authority, ovvero una struttura che mantiene, aggiorna, verifica e garantisce le chiavi pubbliche di vari soggetti/imprese.

  in figura un dettaglio della struttura reale di una PKI

Testo in chiaro o Plaintext è il messaggio originale senza alcuna cifratura, comprensibile e leggibile da chiunque.

Lo schema challenge/response serve a garantire l'autenticazione. Consiste in una serie di passaggi:

• l'utente richiede l'accesso
• il sistema a cui si vuole accedere risponde con una sfida (challenge), che normalmente è un numero
• l'utente risponde con un hash di password+sfida
• il sistema, che possiede la password utente, autentica l'utente e "lo fa entrare"

Tale schema prevede che la password sia condivisa. Con questo schema si evita l'attacco replay.

La session key è una chiave simmetrica monouso che cambia ad ogni sessione (comunicazione) tra client e server, o tra una coppia di utenti.

Viene generata casualmente a ogni sessione e inviata all'altro lato della comunicazione.

Per impedire l'intercettazione e eventuale decodifica della chiave di sessione, lo scambio avviene in modo sicuro attraverso l'utilizzo della crittografia asimmetrica.

La criptografia è un insieme di procedure ideate allo scopo di nascondere il significato di un messaggio a tutti tranne al legittimo destinatario

La crittografia asimmetrica utilizza una coppia di chiavi: con una si cifra, solo con l'altra si decifra; i ruoli si possono invertire; pur conoscendo una chiave non è praticamente possibile dedurre l'altra. E' usatissima nella Cybersecurity, ad esempio nello scambio delle chiavi di sessione.

In molti contesti le due chiavi prendono il nome rispettivamente di chiave privata e di chiave pubblica; in questo modo è consentita la distribuzione a tutti della chiave pubblica di un soggetto, che dovrà tenere segreta la propria chiave privata; in questo modo si possono implementare riservatezza e autenticazione.

La crittografia asimmetrica potremmo dire che è più "sicura" rispetto alla crittografia simmetrica, ma è decisamente più lenta.

In figura l'utilizzo della crittografia asimmetrica per scambiare messaggi riservati:

Lo sniffing è l’attività di intercettazione dei dati in tempo reale tramite software specifici - sniffer - caricati su apparati che rimangono nascosti durante la comunicazione fra due host.

Il cifrario a sostituzione è un metodo di cifratura in cui ogni carattere del testo in chiaro è sostituito con un altro carattere, secondo uno schema regolare (algoritmo di cifratura). Il destinatario inverte il processo per decifrare il testo originario. Uno dei più famosi è il cifrario di Cesare.

DES (Data Encryption Standard) è un algoritmo di cifratura con chiave simmetrica a 64 bit, antenato di molti algoritmi della Cybersecurity. Presenta alcuni difetti, infatti i computer moderni possono forzare una chiave DES in poche ore. Fa ampio uso dell'operatore logico XOR.

Con il DES il testo viene suddiviso in blocchi di 64 bit. Nel corso degli anni, vista le vilazioni dell'algoritmo, è stato sostituito prima dal 3DES e successivamente dal AES.

.

La firma digitale è una forma di identificazione del soggetto usata nei documenti informatici, esattamente come la firma manuale sui documenti cartacei; per essere utilizzata ha bisogno di un apposito kit. Il documento firmato digitalmente non può più essere modificato. La firma digitale utilizza la crittografia asimmetrica; i formati tipici sono pksc#7, PDF, XML.

Da non confondersi con la firma digitalizzata che è la scansione della firma manuale.

La firma digitalizzata non è da confondersi con la firma digitale e consiste nella scansione tramite un tablet della firma manuale

Consiste in una password più efficace, perchè si tratta di un insieme di frasi che si utilizzano nella fase di autenticazione a un servizio/sistema/risorsa. Essendo un insieme di frasi risulta più difficile da violare.

La password è una parola segreta che l'utente deve digitare nella fase di autenticazione a un servizio/sistema/risorsa; è quasi sempre accompagnata dalla username. Oggi si parla anche di passphrase come miglioramento della sicurezza.

L'autenticazione è la procedura che verifica la legittimità di un accesso a un sistema/servizio/risorsa.

Con le proprie credenziali di accesso un utente prova ad accedere a un sistema; una volta entrato gli saranno assegnate le autorizzazioni del caso.