Indice
Definizione
Vi siete mai chiesti qual è esattamente il significato di crittografia? La crittografia consiste nel codificare un messaggio o informazione in modo che soltanto le parti autorizzate possano conoscerne il contenuto.
La formazione sulla sicurezza informatica inizia qui
Ecco come funziona la nostra prova gratuita:
- Incontra i nostri esperti di sicurezza informatica per far valutare il tuo ambiente e identificare la tua esposizione al rischio di minacce.
- Nel giro di 24 ore e con una configurazione minima, distribuiremo le nostre soluzioni per 30 giorni.
- Prova la nostra tecnologia sul campo!
- Ricevi report che evidenziano le vulnerabilità della tua sicurezza per poter prendere provvedimenti immediati contro gli attacchi informatici.
Compila questo modulo per richiedere un incontro con i nostri esperti di sicurezza informatica.
Grazie per esserti registrato per la nostra prova gratuita. Un rappresentante di Proofpoint si metterà in contatto con te a breve, guidandoti nei prossimi passi da seguire.
Tipi di crittografia
Crittografia asimmetrica
Nei sistemi di crittografia basati su chiave pubblica, la chiave di cifratura viene resa pubblicamente disponibile e utilizzata per cifrare i messaggi. Solo la parte ricevente ha però accesso alla chiave di decifratura che consente di leggere il contenuto dei messaggi. La crittografia a chiave pubblica è stata descritta per la prima volta in un documento segreto nel 1973. Prima di allora, tutti i sistemi di crittografia erano a chiave simmetrica (anche nota come chiave privata).
Crittografia simmetrica
Nei sistemi a chiave simmetrica, le chiavi di cifratura e decifratura sono le stesse. Le parti che intendono comunicare devono utilizzare la stessa chiave per ottenere una comunicazione sicura.
Algoritmi di crittografia
Crittografia Triple DES
Il sistema di crittografia Triple DES è stato progettato in sostituzione dell'algoritmo originale Data Encryption Standard (DES), che gli hacker hanno imparato a violare con facilità. Per un certo periodo, il Triple DES è stato lo standard consigliato e l'algoritmo simmetrico più utilizzato in campo informatico.
Il Triple DES utilizza tre chiavi individuali da 56 bit ognuna. La lunghezza totale della chiave arriva a 168 bit, ma gli esperti sostengono che 112 bit sono la scelta migliore in termini di forza della chiave di cifratura.
Anche se il Triple DES sta venendo progressivamente abbandonato, rappresenta ancora una soluzione affidabile per la crittografia hardware utilizzata nei servizi finanziari e altri settori sensibili.
Crittografia RSA
RSA è un algoritmo di crittografia a chiave pubblica e rappresenta lo standard attuale per crittografare i dati trasmessi su Internet. Viene anche utilizzato dai programmi di crittografia PGP e GPG.
A differenza del Triple DES, l'RSA è considerato un algoritmo di crittografia asimmetrica perché utilizza una coppia di chiavi. La chiave pubblica viene utilizzata per cifrare il messaggio e la chiave privata per decifrarlo. Violare questo sistema di crittografia rappresenta una vera sfida per i cybercriminali, anche avendo a disposizione molto tempo ed enormi risorse di calcolo.
Advanced Encryption Standard (AES)
L'AES è l'algoritmo scelto come standard dal governo degli Stati Uniti e da molte altre organizzazioni, per la sua affidabilità e sicurezza.
Anche se è già estremamente efficiente nella versione a 128 bit, la crittografia AES può utilizzare anche chiavi da 192 e 256 bit per la crittografia più complessa.
L'AES è considerato resistente a tutti gli attacchi, ad eccezione degli attacchi a forza bruta, che tentano di decifrare i messaggi utilizzando tutte le possibili combinazioni nel cifrario da 128, 192 o 256 bit. Ma al di là di questo, gli esperti in materia di sicurezza informatica ritengono che l'AES diventerà lo standard per la crittografia dei dati nel settore privato.
Standard di crittografia
Esistono diversi standard di crittografia. Vediamone alcuni:
- Data Encryption Standard (ora diventato obsoleto).
- Advanced Encryption Standard.
- RSA (l'algoritmo originale a chiave pubblica).
- Open PGP.
Panoramica sulla crittografia dei file
La crittografia a livello di file system, è una forma di cifratura del disco in cui i singoli file o directory sono crittografati direttamente dal file system.
Panoramica sulla crittografia del disco
La crittografia del disco è una tecnologia che protegge le informazioni convertendole in codice illeggibile agli occhi di utenti non autorizzati. Utilizza software o hardware di cifratura del disco per crittografare ogni bit di dati su un disco o uno specifico volume di disco.
Panoramica sulla crittografia delle email
Per crittografia delle email si intende la cifratura dei messaggi email per evitare che il contenuto venga letto da soggetti diversi dai destinatari previsti. La crittografia delle email può anche includere l'autenticazione. Le email non sono un mezzo di comunicazione sicuro e possono quindi rivelare informazioni sensibili. La maggior parte delle email viene infatti attualmente trasmessa in chiaro (non crittografata). Mediante una serie di strumenti a disposizione dei cybercriminali, il contenuto della mail può essere facilmente violato e quindi letto da persone non autorizzate. La crittografia delle email utilizza tradizionalmente uno dei due protocolli, TLS o crittografia end-to-end. Nell'ambito della crittografia end-to-end, esistono diverse opzioni, tra cui i protocolli PGP e S/MIME.
Linee guida sulla crittografia
- Conoscere le normative: Quando si tratta di salvaguardare le informazioni di identificazione personale, esistono molte normative sulla privacy alle quali le aziende devono attenersi per evitare pesanti sanzioni. Le prime sei normative, che interessano molte organizzazioni, in territorio americano includono: FERPA, HIPAA, HITECH, COPPA, PCI DSS e leggi statali specifiche sulle notifiche di violazioni dei dati.
- Valutare i dati: la normativa HIPAA non impone esplicitamente la crittografia, ma afferma che le organizzazioni dovrebbero implementarla qualora dalla valutazione del rischio dei dati ne emerga la necessità per la salvaguardia dei dati. Se un'organizzazione decide di non crittografare i dati sanitari protetti in formato elettronico (ePHI), deve documentare e giustificare tale decisione e quindi implementare una “misura alternativa equivalente”.
- Determinare il livello di crittografia richiesto o necessario: il Dipartimento della Salute e dei Servizi Umani degli Stati Uniti (HHS) fa riferimento all'Istituto Nazionale di Standard e Tecnologia (NIST) per le pratiche consigliate sul livello di crittografia. HHS e NIST hanno entrambi prodotto una robusta documentazione per la conformità alla regola di sicurezza della normativa HIPAA. La pubblicazione speciale 800-111 del NIST adotta un approccio ampio alla crittografia sui dispositivi utente. In poche parole, afferma che quando esiste anche una remota possibilità di rischio, allora va implementata la crittografia. Lo standard FIPS 140-2, che incorpora AES nei suoi protocolli, è una scelta ideale e garantisce che il dato PII sia “reso inutilizzabile, illeggibile o indecifrabile per i soggetti non autorizzati”. I dispositivi che soddisfano i requisiti FIPS 140-2 hanno una funzione di cancellazione crittografica che “sfrutta la cifratura dei dati target abilitando la sanificazione della chiave di cifratura, lasciando solo il testo cifrato rimanente sul supporto, e sanificando efficacemente i dati”.
- Prestare attenzione ai trasferimenti di dati sensibili e all'accesso remoto: la crittografia non deve limitarsi soltanto ai laptop e alle unità di backup. Per comunicare o trasmettere dati su Internet va utilizzato il protocollo Transport Layer Security (TLS), e la crittografia AES. Tutte le volte che si ha a che fare con dati ePHI, i dipendenti che accedono alla rete locale di un'istituzione, devono farlo utilizzando una connessione VPN sicura. Un altro esempio può essere il caso in cui si debba memorizzare dei file relativi agli studenti di un istituto, che non potranno semplicemente essere salvati su un dispositivo fisico esterno per il trasferimento tra sistemi o uffici, ma il dispositivo stesso andrà adeguatamente crittografato per soddisfare i requisiti FIPS 140-2 ed evitare potenziali violazioni.
- Attenzione ai dettagli: sfortunatamente, molti istituti scolastici non esaminano attentamente le politiche sulla privacy e la sicurezza dei dati dei servizi di terze parti che utilizzano, finendo per concedere involontariamente autorizzazioni alla raccolta di dati e data mining, che genitori e studenti sarebbero tutt'altro che felici di accettare o peggio ancora che violano la normativa Americana FERPA. Per essere conformi alle normative, non basta semplicemente proteggere con una password le postazioni di lavoro all'interno dell'istituto. Per proteggere i dati a riposo memorizzati sui sistemi scolastici, o su dispositivi rimovibili va utilizzata la crittografia. Ricorda che i dati a riposo al di fuori del firewall della scuola (o come si suol dire “in the wild”) costituiscono la principale fonte di violazioni della sicurezza.