Caliamoci per un attimo nei panni di Giulio Cesare, il grande condottiero della Roma Antica, e immaginiamo di dover inviare messaggi segreti attraverso territori nemici assicurandoci che il loro contenuto non finisca nelle mani sbagliate.
Viviamo in un’epoca di trame e tradimenti, e prima di affidare segreti a un messaggero del quale non sappiamo se fidarci, dobbiamo garantire che i nostri messaggi siano decifrabili solo dal destinatario.
Torniamo ai giorni nostri.
Stiamo inviando un messaggio a una persona utilizzando un tipico messaggero dell’epoca digitale, la posta elettronica. Lo strumento ci permette di raggiungere un destinatario, ovunque esso sia, attraversando territori sconfinati, seppur virtuali, popolati anch’essi da soggetti malintenzionati, interessati ai contenuti che stiamo trasmettendo.
Cosa hanno in comune queste due situazioni, separate da millenni di storia? La crittografia.
La crittografia è l’arte e la scienza di trasformare informazioni in un formato che solo coloro che possiedono una chiave speciale possono comprendere. Questo processo protegge le informazioni da occhi indiscreti e, quando necessario, può essere invertito per rendere nuovamente leggibili le informazioni. Il principio alla base è semplice: solo chi possiede la chiave giusta può decifrare il messaggio.
La cifratura è invece il processo che serve a convertire un testo leggibile, detto “in chiaro”, in un testo cifrato. Per cifrare un testo, si utilizza un algoritmo, un insieme di regole e procedure matematiche. Inoltre, viene usata una chiave, assicurando che il testo cifrato sia inaccessibile a chi non ha la chiave corretta per decifrarlo.
Nell’era digitale, dunque, la crittografia è fondamentale per mantenere private e sicure le comunicazioni e le transazioni online.
Tuttavia, quando gli esperti del mondo della sicurezza informatica ne discutono, spesso usano un linguaggio così tecnico da rendere l’argomento incomprensibile alla maggior parte delle persone. In un certo senso, adottano anch’essi una “chiave” di interpretazione, accessibile solo a chi è del settore. Per chi, come noi di Cyber Guru Italia, affronta la Cybersecurity con un approccio divulgativo, è essenziale rendere la crittografia comprensibile a tutti. Cominciamo con la narrazione della storia
La storia della crittografia
- Uno dei primi esempi storici dell’uso della crittografia per assicurare riservatezza alle comunicazioni militari, risale agli Scitali Spartani del V° secolo a.C.
Si trattava di strisce di pelle o di carta avvolte attorno a una bacchetta di specifico diametro. Il messaggio veniva redatto in colonne e, una volta srotolata la striscia, il testo risultava incomprensibile. Solo chi possedeva una bacchetta del diametro appropriato poteva decifrare il messaggio. La bacchetta, dunque, fungeva da “chiave”. Era un sistema impiegato dagli Efori, i cinque magistrati supremi di Sparta, per comunicare con i generali e i navarchi, specialmente durante le spedizioni militari. - Arriviamo a Giulio Cesare e al suo cifrario, risalente agli anni ’50 prima di Cristo.
Nel cifrario a sostituzione ogni lettera del testo originale veniva spostata di un determinato numero di posizioni nell’alfabeto. In pratica, una rotazione alfabetica, in questo caso di tre posizioni: la lettera “A” diventava “D”, la “B” si trasformava in “E”, e così via. L’alfabeto latino dell’epoca aveva 23 lettere, quindi, considerando questa rotazione, la lettera “X” era la “A”, la “Y” la “B” e la “Z” diventava “C”.
Il cifrario di Cesare ricorda l’algoritmo ROT13, utilizzato nel mondo informatico per mascherare certi testi, dove l’alfabeto viene ruotato di 13 posizioni.
Un meccanismo ingegnoso per l’epoca. Tuttavia, nel contesto moderno, sarebbe considerato debole perché decifrabile con estrema facilità.
L’applicazione della crittografia crescerà durante il Medioevo e continuerà fino all’era moderna, per poi evolversi nella forma digitale contemporanea.
Di tutti i dispositivi crittografici, la macchina Enigma merita una menzione speciale.
Ideata per scopi commerciali dall’ingegnere tedesco Arthur Scherbius, Enigma venne successivamente adottata per scopi militari dalla Germania nazista. Questa macchina utilizzava una serie di rotori che cambiavano configurazione a ogni pressione di un tasto, rendendo la decodifica estremamente complessa.
Data la sua importanza strategica, gli Alleati si impegnarono profondamente per romperne il codice. I primi progressi significativi furono fatti dai polacchi. . Successivamente, il Regno Unito assunse la guida dell’operazione, mobilitando alcune delle menti più brillanti, come il matematico Alan Turing che, insieme al suo team, ideò la “Bomba”, un dispositivo elettromeccanico progettato per decifrare i codici di Enigma. Una decodifica che fornì agli alleati informazioni essenziali sulle strategie e i movimenti tedeschi. Questo vantaggio informativo fu cruciale in numerose operazioni, dalla Battaglia dell’Atlantico contro i sottomarini U-Boot fino alla pianificazione del D-Day.
Molti storici ritengono che fu proprio la decodifica di Enigma a determinare l’andamento della guerra. I tedeschi, convinti della sua inviolabilità, avevano sottovalutato la forza del fattore umano: la brillantezza di persone come Rejewski e Turing, risultò decisiva nel confronto con la seppur molto avanzata macchina.
La crittografia nell’era digitale
La crittografia ha assunto un’importanza vitale nell’era digitale per garantire la riservatezza delle informazioni. Con i dispositivi digitali comunichiamo costantemente con persone che si trovano anche molto distanti da noi.
Durante questo viaggio nelle immense reti digitali, i nostri messaggi potrebbero essere intercettati da soggetti malintenzionati, desiderosi di appropriarsi di informazioni, soprattutto quelle più riservate. Anche una e-mail inviata a un collega seduto accanto a voi, potrebbe fare un lungo giro prima di arrivare a destinazione, esponendosi a potenziali intercettazioni. Una minaccia digitale nota come “Man In The Middle”, cioè un individuo che si interpone tra mittente e destinatario con l’intenzione di “ascoltare” le loro comunicazioni.
Per mitigare questa minaccia, si ricorre alla crittografia. Ad esempio, un messaggio inviato tramite WhatsApp, Telegram o Signal, viene cifrato. Anche se fosse intercettato da un malintenzionato apparirebbe come un insieme di caratteri incomprensibili.
Anche i codici di accesso a un account bancario si muovono attraverso la rete in forma crittografata. La conferma è data dal prefisso https:// che precede l’indirizzo web del server della banca e che indica che le comunicazioni tra il nostro dispositivo e quel server sono crittografate.
Se invece vedessimo il prefisso http:// (senza la “s”), il browser stesso ci segnalerebbe potenziali rischi. La presenza di un lucchetto sul browser è un altro segnale che indica una comunicazione crittografata. Quando effettuiamo un acquisto online, le nostre informazioni di pagamento sono cifrate e quindi protette da eventuali intercettazioni indesiderate. E non solo: chat segrete, videochiamate e molte altre attività online godono di questa protezione invisibile.
Crittografia digitale: alcune parole chiave
Algoritmi: stanno al centro della crittografia e funzionano come ricette precise per convertire un messaggio in una sequenza apparentemente incomprensibile di caratteri. Ma la magia di questi algoritmi risiede nelle “chiavi”.
Una chiave è un insieme distintivo di informazioni che stabilisce come un messaggio debba essere cifrato e decifrato.
Crittografia simmetrica: quando una singola chiave è utilizzata sia per cifrare il messaggio originale sia per decifrarlo. Un metodo efficiente ma che pone una questione: come può il mittente condividere in sicurezza con il destinatario la chiave necessaria per decifrare il messaggio senza il rischio di intercettazioni?
La crittografia asimmetrica è la risposta. Ogni individuo ha una coppia di chiavi: una pubblica, da condividere liberamente,e una privata, da tenere segreta. Se qualcuno desiderasse inviarvi un messaggio, lo cifrerebbe usando la vostra chiave pubblica. Ma per decifrarlo, sarebbe necessaria la chiave privata.
Autenticità e integrità. Le firme digitali assicurano che un messaggio provenga effettivamente dal mittente dichiarato e che non sia stato alterato durante il trasporto. Un sistema che funziona come un sigillo di ceralacca su una lettera antica, indicando che la missiva non è stata manomessa.
Questo processo, gestito dalle tecnologie avviene in modo trasparente rispetto all’utente. Eppure il fattore umano resta decisivo per non compromettere la sicurezza offerta dalla crittografia digitale.
Suggerimenti
Di seguito abbiamo sintetizzato alcuni pratici suggerimenti per gli utenti digitali:
Attenzione al prefisso https: quando visiti un sito web, soprattutto se prevedi di inserire dati personali o finanziari, verifica che l’URL inizi con “https://” e non semplicemente “http://”. La “s” indica “sicurezza” e dimostra che il sito utilizza il protocollo SSL/TLS per cifrare le informazioni in transito. I browser implementano simbologie e messaggi di alert per sottolineare questo particolare aspetto di sicurezza, per cui non ignorare le segnalazioni.
Usa applicazioni di messaggistica cifrate: Applicazioni come Signal, WhatsApp e Telegram offrono cifratura end-to-end. Questo assicura che solo tu e il destinatario del tuo messaggio possiate visualizzare il contenuto dei messaggi scambiati, proteggendo così le conversazioni da eventuali intercettazioni.
Proteggi i tuoi file: se conservi file sensibili sul tuo dispositivo, pensa di cifrarli. Molti sistemi operativi includono funzionalità di cifratura, come BitLocker su Windows o FileVault su macOS.
Backup cifrati: Quando crei backup dei tuoi dati, specialmente su cloud, assicurati che siano cifrati. Alcuni servizi di backup e cloud storage cifrano automaticamente, ma tu controlla sempre.
Scegli password forti: l’efficacia della cifratura dipende spesso da una password robusta. Usa una combinazione di lettere (maiuscole e minuscole), numeri e simboli. Considera l’utilizzo di un gestore di password (password manager), utile per generare e memorizzare password complesse.
Cifra il tuo dispositivo: molti dispositivi mobili, come smartphone e tablet, permettono di cifrare tutto il dispositivo. Ciò complica l’accesso ai dati in assenza della giusta password o PIN.
Aggiorna i dispositivi: la crittografia è un campo in rapida evoluzione. Mantenere aggiornati software e dispositivi assicura di beneficiare delle ultime protezioni disponibili.
Attenzione con le e-mail: Di default, le e-mail potrebbero non essere cifrate.
Se devi inviare dati sensibili via e-mail, adotta queste precauzioni:
- Usa strumenti o plugin che offrono cifratura.
- Se le informazioni sono in un file, cifra il file stesso e comunica la password al destinatario attraverso un canale alternativo.
- Per condividere file che contengono informazioni riservate, considera soluzioni di storage che offrono condivisione cifrata, come Dropbox, MS OneDrive o Google Drive, evitando l’uso delle e-mail per questo scopo.
Crittografia, il viaggio continua…
Finora, le raccomandazioni fornite rientrano nelle linee guida generali di chi opera nel campo della Cyber Security. Ma esistono approcci alternativi e più efficaci?
Sarà il tema del prossimo articolo
Intanto ti chiedo: hai mai sentito parlare di “quaderno delle password”?
Prova a cercare su Amazon questo termine e ti sorprenderai dei risultati.
