CIFRATURA, CRITTOGRAFIA E SICUREZZA IN RETE

di Serena Lisi

Nel 2016 è stata annunciata l’introduzione della cosiddetta crittografia end-to-end per proteggere le comunicazioni degli utenti di note applicazioni quali Whatsapp. Il termine crittografia viene spesso utilizzato impropriamente per indicare la cifratura: ma la crittografia è in realtà una tipologia specifica di cifratura.

Fin dall’antichità la cifratura è stata uno dei principali mezzi utilizzati per proteggere le informazioni di carattere riservato e il mezzo fisico che le contiene e le trasporta. Si tratta di un codice, una scrittura segreta, comprensibile solo a coloro che ne conoscono la chiave di lettura. Con “scrittura segreta” non si intende un semplice linguaggio alfabetico, ma qualsiasi tipo di segno che trasmette un messaggio, o che rappresenta un linguaggio (anche non propriamente scritto, come ad esempio i soundbytes, cioè gli impulsi sonori).

Già  a partire dall’epoca greca e romana, troviamo esempi di codici segreti, i più noti dei quali sono lo scitale lacedemone e il cifrario di Cesare. Lo scitale era un bastone attorno al quale veniva arrotolato un nastro, ove era scritto il messaggio da secretare. La sequenza corretta delle lettere appariva solo se il nastro veniva arrotolato intorno ad un bastone di un diametro specifico come concordato tra mittente e ricevente. Il cifrario di Cesare, invece, funzionava per sostituzione monoalfabetica: ogni lettera del messaggio originale veniva sostituita dalla lettera che la seguiva di due posti nell’alfabeto (ad esempio, la A diveniva C e la B diveniva D).

Esistono poi i cosiddetti “codici gergali” e la steganografia: i primi sono veri e propri linguaggi segreti, tornati oggi alla ribalta poiché spesso utilizzati dai terroristi di Al Quaeda e di IS-Daesh; la seconda riguarda messaggi nascosti, cioè coperti all’interno di altri messaggi o contenitori.

I principali idealtipi di cifratura rimangono legati ad una concezione classica della materia e possono essere così definiti:

crittografia propriamente detta, ossia cifratura a livello delle lettere o dei segni che compongono il messaggio: possono essere sostituiti, trasposti, scambiati;

steganografia, ossia scrittura “coperta”, occultata: può essere tecnica, realizzata mettendo un oggetto nascosto (stego object) in un contenitore (cover object), reale o virtuale dentro cui si nasconde il messaggio); oppure linguistica, realizzata tramite particolari codici gergali come un segnale (cue) oppure un cifrario nascosto, creato grazie a griglie o spazi vuoti (blanks, fisici o bit di un computer).

Si possono dunque individuare le seguenti tipologie di cifratura:

tecniche derivate da cifratura classica, cioè algoritmi, funzioni matematiche che sostituiscono o traspongono le lettere, le singole cifre del messaggio. I cifrari possono essere monoalfabetici o polialfabetici, a chiave singola o doppia chiave (come nel caso della crittografia end-to-end, che ha una chiave pubblica ed una privata). Nomi noti sono DES, Triple DES, AES e Blowfish. In questa tipologia, il tipo di cifrario considerato più sicuro è il cosiddetto one-time pad, che ha una chiave lunga, generata pseudo-casualmente, lunga quanto l’intero messaggio e che deriva dal cifrario di Vernam creato durante la Prima Guerra Mondiale;

– steganografia complessa: i messaggi vengono nascosti in immagini, come accade nei cosiddetti microdots e nelle cuspidi delle lettere dell’alfabeto arabo, oppure all’interno di file sonori o nella filigrana di finte immagini artistiche o ludiche;

codici gergali veri e propri: si creano linguaggi con parole allusive, legate ad una determinata cultura o contesto sociale e comprensibile a pochi. Questi linguaggi, molto usati fino alla Seconda Guerra Mondiale, sono tornati alla ribalta all’indomani dell’11 settembre 2001, quando vari componenti delle cellule di Al Quaeda cominciarono ad utilizzare un proprio linguaggio per definire amici, nemici ed azioni strategiche.

In epoca recente si è parlato di crittografia quantistica basata, appunto, sulla teoria dei quanti, cioè sulla gestione di veri e propri “pacchetti di energia” che fanno viaggiare segnali di qualsivoglia genere alla velocità della luce. Ha conosciuto un notevole sviluppo, ma è poco utilizzata a causa dei costi elevati.

Le tecniche descritte vengono considerate abbastanza complesse e affidabili per garantire alti livelli di sicurezza. Occorre fare però una duplice precisazione. In primo luogo queste tecniche devono essere padroneggiate con perizia e deve essere protetto ogni accesso al messaggio, al canale di comunicazione ed al luogo, fisico o virtuale, dove esso viene custodito.

Secondariamente, un messaggio può essere protetto in maniera efficace e inviolabile, ma può comunque essere carpito al mittente o al ricevente grazie all’uso delle cosiddette tecniche rubber hose, che interagiscono con gli operatori umani deputati al trattamento del dato da proteggere. Si tratta di tecniche di suasione, violenta e non, atte ad ottenere informazioni altrimenti protette o la chiave per accedervi. 

Esistono, dunque, due fondamentali tipologie di sicurezza: quella computazionale e quella incondizionata. Un codice è incondizionatamente sicuro quando è impossibile risalire alle informazioni per interpretare in maniera univoca il messaggio in chiaro. Mentre è quasi impossibile avere codici incondizionatamente sicuri, si può ottenere un codice computazionalmente sicuro (come il one-time-pad ) quando il costo-opportunità di decifrare il messaggio ed il tempo di attesa per ottenere i risultati superano il vantaggio che si ottiene compiendo l’operazione di decodifica.

Non c’é una soluzione unica ed universalmente valida per ottenere codici computazionalmente sicuri, ma si possono proporre alcuni suggerimenti operativi:

– creare sistemi resilienti , capaci del cosiddetto self-recovery, che possa “riparare” le falle create da un attacco;

– creare sistemi che operino uno split delle informazioni, in modo che il complesso dei dati non sia localizzato in un unico luogo, fisico o virtuale;

– addestrare gli operatori, tenendo separate comunicazioni le ludico-private da quelle lavorative ed in modo che costoro possano resistere alle tecniche rubber hose.

E’ necessario ricordare che, al centro di ogni azione, anche la più tecnologica e complessa, è il fattore umano l’elemento centrale e la prima vulnerabilità a cui guardare.

Leave a Reply