Che cos'è la PKI e come funziona?

L'infrastruttura a chiave pubblica (PKI) è un framework di sicurezza che utilizza coppie di chiavi crittografiche e certificati digitali per autenticare le identità, crittografare i dati e proteggere le comunicazioni digitali. È l'ossatura della posta elettronica sicura, dell'online banking, delle piattaforme cloud e di quasi tutte le interazioni digitali affidabili.

La PKI è una componente essenziale della sicurezza dei dati, in quanto crea il livello di fiducia che sta alla base delle interazioni sicure nelle attività, nei dispositivi e nei dati critici.

In questa guida vedremo come la PKI crei una base sicura per le operazioni digitali, proteggendo dati, identità e transazioni in un mondo in cui i rischi informatici sono in costante aumento.

• L'Infrastruttura a chiave pubblica costituisce la base della fiducia digitale, consentendo la crittografia, l'autenticazione e le firme digitali che garantiscono la sicurezza dei dati, dei dispositivi e delle identità.
• Un sistema PKI include certificati, chiavi, autorità di certificazione, autorità di registrazione, HSM e software di gestione di supporto, che lavorano insieme per verificare le identità e proteggere le informazioni sensibili su tutti i sistemi.
• PKI supporta casi d'uso chiave come la crittografia SSL/TLS, email sicura, la firma dei documenti, l'autenticazione utente, la sicurezza IoT e la gestione delle identità delle macchine.
• I vantaggi della PKI includono comunicazioni sicure, controllo degli accessi, autenticazione e firma del codice per verificare l'integrità del software.
• I settori che gestiscono dati sensibili, come quello finanziario, governativo e sanitario, utilizzano sistemi PKI per soddisfare i rigorosi requisiti di privacy.

L'infrastruttura a chiave pubblica comprende le politiche, i ruoli, l'hardware, il software e le procedure necessarie per creare, gestire, distribuire, utilizzare, archiviare e revocare i certificati digitali. Questi certificati funzionano come passaporti digitali o patenti di guida, verificando utenti, dispositivi e servizi prima che possano connettersi o condividere dati.

La PKI consente agli utenti e ai sistemi di scambiare dati in modo sicuro, confermando l'identità di entrambe le parti. Protegge attività sensibili come l'online banking, l'e-commerce e le e-mail crittografate. Negli attuali ambienti IT, questi sistemi sono fondamentali per la sicurezza informatica e per garantire la conformità alle leggi e alle normative sulla protezione dei dati. 

Ad esempio, quando un dipendente accede al portale interno di un'azienda dal proprio ufficio, la PKI crittografa la connessione e verifica l'identità del server. Inoltre, firma digitalmente gli scambi di dati per garantire che non siano stati alterati durante il transito. In questo modo i dipendenti e i sistemi possono condividere informazioni sensibili in tutta sicurezza, sapendo di comunicare con entità legittime e autorizzate. 

Con l'evolversi delle minacce e l'avvicinarsi dell'era dell'informatica quantistica, la PKI garantisce l'agilità crittografica. Ciò consente alle organizzazioni di adottare standard di crittografia più avanzati, compresi quelli progettati per resistere agli attacchi quantistici, senza interrompere le proprie attività.

La PKI non è un singolo strumento, ma un sistema di parti collegate tra loro. Insieme, gestiscono la crittografia, proteggono i dati e garantiscono la sicurezza delle comunicazioni tra utenti, dispositivi e servizi.

I componenti dell'infrastruttura a chiave pubblica includono:

• Chiavi PKI: Una coppia di chiavi utilizzata per la crittografia. Questo protegge i dati rendendoli illeggibili a chiunque tranne che al destinatario previsto. Nella crittografia, ogni chiave pubblica è abbinata a una chiave privata. La chiave pubblica viene distribuita liberamente e apertamente, mentre la chiave privata è segreta e riservata al proprietario.
• Certificati digitali: Credenziali elettroniche che collegano l'identità del titolare del certificato a una coppia di chiavi che può essere utilizzata per crittografare e firmare le informazioni.
• Certificate authority (CA): Un'entità che verifica le identità e rilascia certificati digitali.
• Autorità di registrazione (RA): È responsabile dell'accettazione delle richieste di certificato e dell'autenticazione della persona o dell'organizzazione che ne è alla base.
• Repository di certificati: Sistemi di archiviazione sicuri che conservano i certificati digitali per la consultazione e la convalida.
• Gestione centralizzata del software: Software che consente alle organizzazioni di gestire chiavi e certificati digitali da una sola posizione.
• Moduli di sicurezza hardware (HSM): Dispositivi fisici che eseguono operazioni crittografiche e archiviano le chiavi private in modo sicuro.

La PKI opera riunendo questi componenti per applicare politiche di fiducia tra utenti, dispositivi e sistemi. Attraverso la verifica dell'identità, la crittografia e la gestione dei certificati, crea un framework scalabile che permetto uno scambio di informazioni solo tra entità affidabili.

La PKI opera tramite la crittografia, un sottoinsieme della crittografia che trasforma i dati leggibili in un formato illeggibile utilizzando algoritmi matematici.

Gli algoritmi di crittografia si dividono in due categorie principali. La crittografia simmetrica utilizza la stessa chiave sia per crittografare che per decrittografare i dati. Se la chiave viene compromessa, i dati non sono più sicuri.

Al contrario, la crittografia asimmetrica utilizza due chiavi collegate. Una è pubblica e ampiamente condivisa, mentre l'altra è privata e tenuta segreta. La crittografia PKI utilizza questo metodo per codificare i dati, autenticare gli utenti e proteggere le transazioni.

Il processo dettagliato illustra il funzionamento pratico della PKI,

1. Ogni utente, dispositivo o sistema genera una chiave privata (tenuta segreta) e una chiave pubblica (condivisa apertamente).
2. Una Certificate Authority (CA) convalida l'identità dell'entità ed emette un certificato digitale, vincolando la chiave pubblica a tale identità. La connessione dell'identità a una coppia di chiavi supporta l'autenticazione PKI, che verifica che solo utenti, dispositivi e sistemi affidabili possano accedere a risorse sensibili.
3. Il mittente utilizza la chiave pubblica del destinatario quando si inviano dati crittografati. Solo la chiave privata corrispondente può decifrarli.
4. Il mittente può anche apporre una firma digitale utilizzando la propria chiave privata.
5. Il sistema del destinatario verifica il certificato rispetto alla CA. È possibile che utilizzi un elenco di revoca dei certificati (CRL) o un protocollo di stato online (OCSP) per garantire che non sia stato revocato, confermando l'affidabilità della chiave. Ciò dimostra l'origine dei dati, garantendone l'integrità e confermando che non sono stati modificati.
6. Se una chiave o un certificato vengono compromessi, i sistemi PKI possono revocarli, garantendo la sicurezza dell'intera rete.

verificando le identità e proteggendo i dati, la PKI promuove la fiducia tra tutti gli utenti. Previene inoltre gli attacchi man-in-the-middle (MITM), l'impersonificazione e lo spoofing. Ad esempio, anche se un aggressore intercetta un messaggio, non può decifrarlo senza la chiave privata.

Le organizzazioni possono gestire la PKI senza dover investire in significative infrastrutture tecnologiche interne o competenze con la PKI-as-a-Service (PKIaaS). Questa soluzione basata su cloud offre una gestione scalabile dei certificati, la rotazione automatizzata delle chiavi e il monitoraggio, aiutando le organizzazioni di tutte le dimensioni a supportare comunicazioni e transazioni sicure.

Certificati digitali

Un certificato digitale, a volte chiamato "certificato a chiave pubblica", è un documento elettronico utilizzato per identificare il proprietario di una chiave pubblica. Ciò consente al destinatario di confermare che la chiave proviene da una fonte legittima, riducendo il rischio di un attacco di MITM. 

I certificati PKI in genere includono:

• Informazioni identificabili, come il nome del titolare del certificato, il numero di serie del certificato e la data di scadenza
• Una copia della chiave pubblica, che altri possono utilizzare per crittografare i dati e verificare le firme digitali, supportando sia la riservatezza che l'autenticazione
• La firma digitale dell'autorità di certificazione emittente per confermare l'autenticità

Una corretta gestione del ciclo di vita dei certificati è fondamentale per mantenere uno scambio di dati sicuro e garantire il corretto funzionamento della crittografia e dell'autenticazione. I certificati PKI devono essere monitorati e tracciati dall'emissione alla scadenza e rinnovati secondo necessità. Se sono compromessi o obsoleti, possono anche essere revocati.

Autorità di certificazione

Una Certificate Authority è un'organizzazione terza affidabile che crea e rilascia certificati digitali. Convalidano le identità e aiutano a stabilire catene di fiducia per comunicazioni digitali sicure.

Tutte le CA mantengono elenchi di revoche dei certificati (CRL), in cui sono documentati i certificati revocati prima della data di scadenza prevista. Ciò aiuta le organizzazioni a identificare i certificati che non sono più validi o sicuri.

In termini generali, esistono due tipi di CA:

• Root CA: L'entità più affidabile in un sistema PKI. Le CA radice utilizzano certificati firmati in autonomia e creano le basi della fiducia rilasciando certificati alle CA subordinate o direttamente agli utenti finali.
• CA subordinato: Questi sono certificati da una CA radice o da un ente subordinato di livello superiore. Queste autorità ricevono la fiducia e rilasciano certificati a utenti, dispositivi o sistemi. 

Ogni certificato nella catena è responsabile della certificazione dell'autenticità del successivo, creando un percorso di fiducia continuo e affidabile dall'alto verso il basso.Qualsiasi compromesso tra CA può interrompere questa catena, compromettendo potenzialmente la sicurezza della PKI.

Le CA adottano misure specifiche per creare i certificati:

1. Generazione della chiave: Un utente o un sistema crea una coppia di chiavi pubblica e privata.
2. Richiesta di certificato: Una richiesta di firma del certificato (CSR) viene inviata a una CA, includendo la sua chiave pubblica e le informazioni relative all'identità.
3. Verifica: La CA convalida l'identità dell'utente, spesso con l'aiuto di una RA. 
4. Emissione di certificati: Una volta verificata, la CA emette un certificato digitale contenente la chiave pubblica dell'utente e altri dettagli di identificazione. Anche questo certificato è firmato dalla chiave privata della CA, creando una firma digitale.

La gestione di questi passaggi su larga scala richiede automazione, applicazione delle policy e visibilità. I servizi di certificazione aiutano le organizzazioni a ridurre i rischi e a soddisfare le aspettative di conformità senza aggiungere complessità.

Sistemi di gestione dei certificati

I sistemi di gestione dei certificati sono soluzioni software che facilitano tutti gli aspetti del ciclo di vita dei certificati, dall'emissione e provisioning alla convalida, revoca e rinnovo. Questi strumenti riducono i rischi, migliorano la visibilità e garantiscono che le risorse crittografiche vengano gestite in modo coerente.

Ad esempio, alcune soluzioni tengono un registro dettagliato di tutte le attività correlate, aiutando a rispettare i requisiti normativi e gli audit interni. Centralizzando la gestione attraverso un'unica fonte di verità, le organizzazioni riducono il rischio di mancata scadenza o uso improprio dei certificati, rafforzando al contempo la protezione dei dati.

I sistemi automatizzati aiutano a prevenire la "proliferazione dei certificati", ovvero la distribuzione di migliaia di certificati in ambienti complessi senza un controllo centralizzato. Questi sistemi monitorano le date di scadenza, gestiscono i rinnovi e revocano i certificati quando necessario per garantire la sicurezza dei sistemi.

L'automazione può anche aiutare le aziende ad applicare le politiche PKI su larga scala, consentendo loro di allocare le risorse IT in modo più efficiente e garantire la coerenza in tutta l'organizzazione. Nel complesso, la gestione automatizzata dei certificati previene errori, interruzioni e vulnerabilità che possono compromettere le operazioni e offrire opportunità di sfruttamento criminale.

Hardware Security Modules

Gli HSMs svolgono un ruolo fondamentale nell'architettura di sicurezza della PKI. Questi dispositivi fisici proteggono i processi crittografici generando, memorizzando e gestendo le chiavi in un ambiente rinforzato e a prova di manomissione.

Ad esempio, un HSM può generare una coppia di chiavi utilizzando generatori di numeri casuali di alta qualità, essenziali per una crittografia efficace. Dato che le chiavi non lasciano mai il dispositivo in formato testo normale, l'esposizione alle minacce è ridotta al minimo.

Un'altra funzione importante è l'archiviazione delle chiavi private. Conservare le chiavi all'interno di un hardware sicuro le protegge dall'estrazione o dalla compromissione da parte di soggetti non autorizzati. Ciò non solo protegge le chiavi, ma consente alle aziende di applicare rigorose politiche di sicurezza a livello hardware. Di conseguenza, per le aziende che operano in settori che richiedono un livello di sicurezza ad alta garanzia, come la finanza o la pubblica amministrazione, gli HSM sono essenziali nei sistemi PKI per proteggere i dati e supportare la fiducia.

Comprendere dove viene utilizzata la PKI ne chiarisce il valore. Questi sono alcuni dei modi più significativi in cui le organizzazioni sfruttano la PKI a loro vantaggio:

Comunicazioni sicure (SC)

La PKI è un elemento fondamentale per la protezione di diverse forme di comunicazione digitale, tra cui posta elettronica, servizi di messaggistica e altro ancora. Non solo protegge questi canali, ma li rende anche più affidabili per tutte le parti coinvolte, inclusi consumatori, partner, dipendenti, cittadini, autorità di regolamentazione, ecc.

Autenticazione e controllo degli accessi

La PKI fornisce meccanismi di autenticazione avanzati per gli utenti che accedono a sistemi, reti o servizi online. I certificati possono fungere da forma di identificazione digitale sicura, garantendo che l'accesso sia concesso solo agli utenti verificati.

Queste funzionalità rendono la PKI una parte fondamentale del modello di sicurezza Zero Trust. Zero Trust si basa sul principio "non fidarti mai, verifica sempre", che richiede un'autenticazione continua per confermare ogni utente e ogni dispositivo che accede alle risorse, indipendentemente dalla posizione.Integrando la PKI in una strategia Zero Trust, le organizzazioni possono migliorare la sicurezza, semplificare la conformità e ridurre il rischio di minacce informatiche su larga scala.

Firma dei documenti e marcatura temporale

Le firme digitali basate su PKI verificano l'autenticità e l'integrità dei documenti elettronici. Ciò è essenziale per documenti legali, contratti e altra documentazione per la quale è richiesta la prova di originalità, di riservatezza e del consenso.

I certificati di firma documenti servono a tre scopi principali:

• Autenticità: Il certificato conferma che il documento è stato firmato dalla persona o dall'entità che detiene la chiave privata corrispondente alla chiave pubblica nel certificato.
• Integrità: Qualsiasi modifica apportata al documento dopo la firma rende nulla la firma digitale. In questo modo si garantisce che il documento ricevuto sia esattamente ciò che il firmatario intendeva inviare, privo di modifiche.
• Non ripudio: Il firmatario non può negare l'autenticità della propria firma su un documento, poiché la firma digitale e il certificato associato forniscono una prova solida dell'identità del firmatario e del suo accordo con il contenuto del documento al momento della firma.

Inoltre, la combinazione di praticità e forte garanzia di sicurezza delle firme digitali favorisce una maggiore efficienza e un aumento dei ricavi: fino all'80% degli accordi con firme digitali viene completato in meno di un giorno e il 44% in meno di 15 minuti.

Firma del codice

Per autenticare i loro script, gli sviluppatori di software utilizzano certificati di firma del codice. In questo modo, gli utenti finali possono verificare che il software scaricato non sia stato alterato. Ciò contribuisce a proteggere dal malware, a preservare l'integrità del software e a rafforzare la fiducia dei consumatori.

Integrità del software

La PKI viene utilizzata nel Code Signing per verificare l'origine e l'integrità del software. Garantisce che le applicazioni, i driver e gli aggiornamenti non siano stati manomessi durante la distribuzione.

Internet delle cose (IoT)

I dispositivi "smart" sono potenzialmente vulnerabili alle minacce informatiche, esattamente come i sensori che raccolgono, archiviano e trasmettono dati ad altre macchine. Con la continua crescita del numero di dispositivi connessi e dei carichi di lavoro, soprattutto negli ambienti cloud e IoT, garantire un'autenticazione sicura e scalabile è diventata una sfida importante.

Fornendo a ciascun dispositivo un certificato digitale unico, la PKI crea una base per una fiducia scalabile, verificando che i dispositivi che comunicano siano effettivamente legittimi. Ciò impedisce l'accesso non autorizzato, lo spoofing e la manipolazione dei dati, anche nelle reti distribuite di grandi dimensioni.

Oltre all'autenticazione, l'infrastruttura a chiave pubblica consente anche la crittografia end-to-end dei dati in transito, garantendo che le comunicazioni tra dispositivi, applicazioni e carichi di lavoro cloud rimangano sicure e a prova di manomissione.

La PKI è essenziale nei settori che devono affrontare minacce particolari e in cui le violazioni dei dati comportano gravi conseguenze legali, finanziarie e normative.

• Il settore finanziario si affida alla PKI per la sicurezza delle operazioni bancarie online, l'autenticazione delle transazioni e la conformità ai rigorosi requisiti di adeguata verifica della clientela e di antiriciclaggio. L'affidabile sicurezza dei certificati digitali aiuta a proteggere i dati dei clienti durante i trasferimenti, verifica l'identità nelle transazioni di grandi dimensioni e previene frodi e accessi non autorizzati.
• Le agenzie della pubblica amministrazione si affidano alla PKI per la comunicazione sicura di informazioni classificate, per le firme digitali sui documenti ufficiali e per la verifica dell'identità dei cittadini. Inoltre, supporta transazioni online sicure, come la dichiarazione dei redditi e la registrazione per il numero SSN e altri vantaggi Garantendo autenticità e integrità, la PKI contribuisce a mantenere la fiducia nei sistemi di governo digitale.
• Le organizzazioni sanitarie utilizzano la PKI per proteggere le cartelle cliniche elettroniche (EHR), conformarsi alle normative dell'Health Insurance Portability and Accountability Act relative ai dati dei pazienti e autenticare i dispositivi medici sulle reti. Può inoltre garantire la riservatezza durante gli appuntamenti di telemedicina e sui portali dei pazienti, consentendo ai sistemi sanitari di offrire servizi online e a distanza a una popolazione di pazienti più ampia.
• Le grandi aziende con personale dislocato implementano la PKI per ogni cosa, dalla crittografia dell'e-mail, all'accesso alla rete virtuale privata e all'autenticazione dei dispositivi IoT. Dato che le organizzazioni devono far fronte ad attacchi sempre più sofisticati, la PKI aiuta a garantire che solo gli utenti e i dispositivi verificati possano accedere alle risorse.

Queste best practice aiutano a rafforzare l'implementazione della PKI e supportano la gestione sicura dei certificati.

• Mantenere aggiornate le politiche e le procedure: Le politiche sui certificati (CP) e le dichiarazioni sulle prassi di certificazione (CPS) sono essenziali per la PKI. Il CP è un documento completo che descrive le diverse classi di certificati emessi da un'autorità di certificazione e le relative politiche applicabili. Il CPS illustra nel dettaglio il modo in cui la CA implementa queste politiche a livello tecnico. Mantenere aggiornati questi documenti è fondamentale per preservare la sicurezza, l'affidabilità e la conformità legale. Dovrebbero essere regolarmente rivisti e modificati per allinearli al panorama dinamico della sicurezza informatica, della tecnologia e dei cambiamenti normativi.
• Proteggi le chiavi private: Meccanismi efficaci come gli HSM garantiscono una protezione fisica e logica contro la manomissione e l'accesso non autorizzato.
• Ruotare e rinnovare regolarmente le chiavi: Le chiavi e i certificati non devono essere utilizzati indefinitamente. Stabilire una routine per la rotazione regolare delle chiavi e dei certificati al fine di mitigare i rischi associati all'esposizione delle chiavi ed evitare scadenze impreviste. Questo tipo di agilità crittografica è sempre più essenziale per prepararsi alle minacce post-quantistiche, poiché i malintenzionati cercano di raccogliere dati ora e di decriptarli quando saranno disponibili computer quantistici in grado di violare gli algoritmi attuali.
• Implementare schemi di autenticazione forti: Richiedere l'autenticazione multifattoriale (MFA) per migliorare la sicurezza nell'accesso ai sistemi PKI ed eseguire operazioni sensibili come l'emissione o la revoca di certificati.
• Centralizzare la gestione dei certificati e delle chiavi: Implementare strumenti e processi che garantiscano maggiore visibilità e controllo per la gestione dell'intero ciclo di vita dei certificati, dall'emissione alla revoca. Ciò supporta anche gli audit e la conformità consentendo trasparenza e tracciabilità.
• Impostare politiche di backup e di ripristino delle chiavi: Stabilire e testare regolarmente le procedure di backup e ripristino per confermare che i componenti PKI critici possano essere ripristinati rapidamente e in modo sicuro dopo un'interruzione o un incidente.

I Managed PKI Services sono utili per le organizzazioni che necessitano di PKI ma non dispongono delle competenze necessarie. In queste situazioni, il fornitore di PKI gestita aiuta a gestire le policy, l'hardware e il software per garantire che la PKI venga gestita in modo conforme alle best practice.

La PKI su cloud è un modello di implementazione basato sui servizi in cui la Certificate Authority (CA), la gestione delle chiavi e gli strumenti del ciclo di vita sono ospitati da un provider. Le organizzazioni possono implementare e gestire certificati digitali senza dover investire o mantenere una propria infrastruttura fisica. Rispetto alla PKI in sede, che offre il controllo completo ma richiede costi e risorse IT significativi, la PKI su cloud garantisce un'implementazione più rapida, una scalabilità più semplice e una gestione semplificata.

La PKI su cloud è la soluzione ideale per le aziende con ambienti IT di grandi dimensioni o distribuiti. Consente un rilascio più rapido dei certificati, supporta la gestione automatizzata del ciclo di vita e migliora la visibilità per la conformità.

Esistono anche modelli di implementazione ibridi. Le implementazione di PKI ibride combinano servizi basati su cloud con infrastrutture in sede. Questo modello offre alle organizzazioni maggiore flessibilità, consentendo loro di mantenere il controllo sui componenti sensibili, beneficiando al contempo della scalabilità del cloud.

Le organizzazioni dovrebbero scegliere il modello che si allinea alle loro risorse, priorità e obiettivi, che le aiuta a stare al passo con i requisiti normativi e che può adattarsi ai carichi di lavoro mutevoli.

L'infrastruttura a chiave pubblica continuerà a costituire il fondamento della fiducia digitale con l'evolversi dei metodi crittografici. Tuttavia, sarà necessario stare al passo con tali progressi e cambiamenti nella tecnologia e nel mondo degli affari.

Con il rapido avvicinarsi dell'era dell'informatica quantistica, gli attuali algoritmi a chiave pubblica non saranno più sicuri, minacciando la riservatezza e l'integrità delle comunicazioni digitali. Per prepararsi, le aziende devono concentrarsi ora sull'agilità delle criptovalute per garantire la loro capacità di stare al passo con la tecnologia senza interrompere le operazioni. 

Il NIST ha pubblicato i primi standard di crittografia post-quantistica nel 2024 per contribuire a standardizzare gli algoritmi progettati per resistere agli attacchi quantistici. Questi nuovi standard ridefiniranno il modo in cui le organizzazioni proteggono identità, dati e transazioni. La transizione alla crittografia post-quantistica richiede un'attenta pianificazione, visibilità sui sistemi di certificazione e strumenti scalabili per la gestione del ciclo di vita.

Per rimanere all'avanguardia, le organizzazioni necessitano di sistemi PKI che supportino l'automazione e consentano l'integrazione di nuovi algoritmi senza interruzioni. Agilità, visibilità e conformità agli standard sono fondamentali per affrontare sia le normative in continua evoluzione che le future minacce crittografiche.

Entrust offre moltesoluzioni software PKI, tra cui PKI as a Service (PKIaaS) nativo su cloud, opzioni di Managed PKI Services e la nostra soluzione PKI in sede, Entrust Certificate Authority. In questo modo la tua organizzazione potrà bilanciare abilitazione e sicurezza in base alle tue esigenze specifiche e al tuo ecosistema digitale.

Per le organizzazioni che cercano una soluzione completa per tutte le esigenze di gestione della sicurezza crittografica, la piattaforma di sicurezza crittografica di Entrust fornisce tutti i componenti critici dell'infrastruttura a chiave pubblica, combinati con la gestione del ciclo di vita dei certificati, la gestione delle chiavi e dei segreti e gli HSM in un'unica potente interfaccia di gestione centralizzata.

Scopri anche tu la piattaforma, guardando oggi stesso la nostra demo interattiva.