Passa al contenuto principale
Immagine
motivo esagonale viola

Cosa sono le chiavi di crittografia?

Le chiavi di crittografia sono codici alfanumerici o sequenze di caratteri che vengono utilizzati, insieme a un algoritmo o a un processo matematico, per trasformare i dati di testo in chiaro che chiunque può leggere in testo crittografato illeggibile a meno che non venga decifrato. Le chiavi di crittografia vengono utilizzate per proteggere i dati privati e sensibili in archiviazione, in transito e in uso. I dati crittografati o il testo cifrato possono essere letti solo dopo essere stati decodificati con la chiave di decrittazione associata.

Le chiavi di crittografia possono essere simmetriche o asimmetriche. Quando viene utilizzata una chiave di crittografia simmetrica, la stessa chiave viene impiegata per crittografare e quindi decrittare i dati in testo leggibile. Quando vengono utilizzate chiavi asimmetriche, una chiave condivisa pubblicamente (chiave pubblica) crittografa i dati di testo in chiaro e una chiave diversa, mai condivisa e mantenuta privata (chiave privata), viene utilizzata per decrittare i dati. Sia che si utilizzi la crittografia simmetrica o asimmetrica, l'obiettivo è mantenere la riservatezza dei dati crittografati. Anche se i dati crittografati finiscono nelle mani sbagliate, i dati rimangono protetti. Per questo motivo, proteggere le chiavi è fondamentale: perdere le chiavi significa perdere i dati.

Perché la crittografia è così comune oggi?

La crittografia ha una lunga storia e viene utilizzata da molto tempo, in particolare durante i conflitti. Gli antichi greci usavano cifrari di trasposizione (un tipo di crittografia) per proteggere le informazioni affinché non finissero in mano ai nemici. Nei tempi moderni, e con l'avvento dell'era dell'informazione, la crittografia è diventata uno strumento indispensabile per proteggere dati e applicazioni. In principio utilizzata soprattutto nelle applicazioni bancarie e finanziarie, la sua adozione si è diffusa nell'ambito della trasformazione digitale, diventando un requisito obbligatorio in molti settori regolamentati.

Dove viene utilizzata la crittografia?

Oggi la crittografia è diventata una prassi ottimale e viene utilizzata in un'ampia gamma di applicazioni e settori. Poiché sempre più attività quotidiane vengono svolte online, garantire la riservatezza e l'integrità di queste transazioni è fondamentale. Banche, finanza, e-commerce, e-government e assistenza sanitaria sono solo alcuni dei molti settori che fanno ampio uso della tecnologia di crittografia. La maggior parte delle persone usa la crittografia ogni giorno senza nemmeno saperlo. Ogni volta che viene effettuato un acquisto online, le informazioni sull'ordine e sul pagamento sono crittografate con Transport Layer Security/Secure Socket Layer (TLS/SSL) – uno standard ampiamente utilizzato che applica sia la crittografia simmetrica che asimmetrica per proteggere le connessioni online.

Quando viene utilizzata la crittografia?

La crittografia viene utilizzata per proteggere la riservatezza delle informazioni. Organizzazioni che elaborano dati sensibili come la proprietà intellettuale (IP) e i dati sui propri clienti, tra cui informazioni di identificazione personale (PII), informazioni sulla salute personale (PHI), dati di pagamento con numeri di carte di credito e altre forme di dati legati alle persone sono spesso richiesti da varie giurisdizioni in tutto il mondo per proteggere i dati. Poiché le organizzazioni archiviano sempre più dati sensibili per svolgere le proprie attività quotidiane, i depositi di archiviazione sono diventati i principali obiettivi degli attacchi. Di conseguenza, sia i dati in transito (dati che attraversano le reti) che i dati inattivi (in archivio) sono in genere crittografati per proteggerli da attacchi che possono comprometterne la riservatezza, paralizzare l'attività e compromettere la reputazione delle organizzazioni.

Poiché le informazioni sono diventate il motore che alimenta le imprese moderne, i dati si sono trasformati in una risorsa importante. In tutto il mondo, gli enti normativi pubblici e del settore hanno intensificato l'impegno nell'applicazione per garantire la protezione dei dati e la privacy della persona di cui si raccolgono i dati. Il nuovo ambiente normativo ha reso la crittografia una priorità per i leader organizzativi, inclusi i Chief information officer (CIO, responsabili delle informazioni), i Chief information security officer (CISO, responsabili della sicurezza informatica) e i responsabili della conformità in molti settori. Ciò ha portato all'inclusione sempre maggiore della crittografia in molte applicazioni. Poiché la crittografia desensibilizza i dati, può anche ridurre l'ambito di determinate normative, aumentando la sicurezza e riducendo i costi.

Perché la gestione delle chiavi è importante?

La crittografia è uno strumento importante per proteggere le organizzazioni dalle violazioni dei dati che possono causare danni economici e di reputazione significativi. Tuttavia, il grado di validità della crittografia dipende dal grado di protezione delle chiavi associate. Pensiamo alla crittografia come alla serratura della porta d'ingresso: può proteggere efficacemente i beni solo se la chiave è adeguatamente protetta. Lasciare la chiave sotto lo zerbino vanifica la protezione fornita dalla serratura. Se non si proteggono le chiavi di crittografia, non ha senso crittografare i dati: una volta trovate le chiavi, si può accedere ai dati. Pertanto, una solida gestione delle chiavi crittografiche è essenziale per garantire l'efficacia di qualsiasi schema di crittografia dei dati.

La gestione delle chiavi di crittografia comprende due aspetti principali: gestione del ciclo di vita e gestione degli accessi. La gestione del ciclo di vita prevede le seguenti fasi: generazione, utilizzo, conservazione, aggiornamento, archiviazione e distruzione di chiavi crittografiche critiche. La gestione degli accessi garantisce che solo gli utenti autenticati e autorizzati possano utilizzare le chiavi per crittografare e decrittare i dati. È importante sottolineare che gli utenti di oggi sono gli esseri umani ma anche le applicazioni (macchine). In effetti, in genere sono più le macchine ad avere bisogno di accedere ai dati rispetto alle persone reali. Per abilitare l'autenticazione e l'autorizzazione degli utenti, le identità delle persone e delle macchine devono essere rilasciate per la successiva convalida. Questo è lo scenario in cui una infrastruttura a chiave pubblica (PKI) diventa anche parte di una strategia globale di gestione delle chiavi.

Cosa rende valida una chiave?

La qualità di una chiave crittografica è misurata dal grado in cui può essere sconfitta dagli attacchi brute force. Come le password che devono essere complesse e non facili da indovinare, anche le chiavi devono essere complesse, sviluppate utilizzando veri generatori di numeri casuali. Il Federal Information Processing Standards (FIPS) fornisce indicazioni sull'uso di generatori di numeri casuali basati su hardware approvati. In genere vengono fornite da moduli di sicurezza hardware (HSM) certificati: piattaforme dedicate che generano e gestiscono chiavi forti durante tutto il loro ciclo di vita. Mentre gli HSM sono stati tradizionalmente distribuiti in locale, la migrazione al cloud li ha resi disponibili anche come servizio basato su abbonamento. Gli HSM basati su cloud forniscono piattaforme hardware dedicate come servizio ai clienti per generare e gestire chiavi senza la necessità di acquistare e mantenere le proprie attrezzature. Quando si spostano applicazioni e dati nel cloud, le organizzazioni devono pensare a come cambia il livello di proprietà, controllo e possesso per garantire una solida posizione di sicurezza in tutto l'ecosistema informatico in espansione.

Perché le chiavi crittografiche necessitano di protezione?

Le chiavi, utilizzate per la crittografia per proteggere la riservatezza dei dati o per la firma per proteggerne la provenienza e l'integrità, sono alla base della sicurezza del processo crittografico. Indipendentemente dalla forza dell'algoritmo utilizzato per crittografare o firmare i dati, se la chiave associata viene compromessa, la sicurezza del processo viene vanificata. Per questo motivo, la protezione delle chiavi crittografiche riveste un'importanza fondamentale.

Per via della natura casuale delle chiavi descritte in precedenza, la posizione delle chiavi nel software può essere in qualche modo facile da identificare. Gli aggressori alla ricerca di dati sensibili cercheranno le chiavi, poiché sanno che, se le ottengono, possono ottenere i dati. Le chiavi memorizzate nel software possono quindi essere localizzate e ottenute, mettendo in pericolo la sicurezza dei dati crittografati. Per questo motivo, gli HSM dovrebbero essere sempre utilizzati per proteggere le chiavi. L'uso degli HSM come root of trust è diventata una prassi ottimale nel settore della sicurezza informatica, consigliata dai professionisti della sicurezza e da molti dei principali fornitori di applicazioni.

Un altro fattore da tenere in considerazione per proteggere le chiavi è l'accesso non solo da parte di aggressori esterni, ma anche da aggressori interni. L'uso di HSM per proteggere e gestire le chiavi fornisce meccanismi per stabilire doppi controlli, quindi nessun singolo individuo o entità interna può modificare le policy di utilizzo delle chiavi e sovvertire efficacemente i meccanismi di sicurezza stabiliti. Gli schemi di quorum in cui un insieme minimo predeterminato di persone deve riunirsi per apportare eventuali modifiche all'HSM e alle sue funzioni di gestione chiave forniscono anche livelli di sicurezza migliorati.

Cosa offre un sistema di gestione delle chiavi?

Un sistema di gestione delle chiavi fornisce la root of trust centralizzata di sostegno necessaria per applicare la politica di sicurezza dei dati all'interno di un'organizzazione. Non solo controlla il ciclo di vita di tutte le chiavi, ma conserva inoltre i registri con data e ora di tutti gli accessi degli utenti, fornendo uno strumento fondamentale per il controllo e la conformità. Con l'aumento delle minacce alla sicurezza informatica e delle normative governative e di settore, i sistemi di gestione delle chiavi stanno diventando indispensabili.

Perché la gestione delle chiavi è importante per la conformità alla normativa?

Un numero crescente di normative governative e di settore sulla sicurezza dei dati richiede una crittografia avanzata e una gestione efficace delle chiavi crittografiche per la conformità. Le leggi sulla privacy dei cittadini come, per citarne alcuni, il Regolamento europeo in materia di protezione generale dei dati (GDPR) e la Legge della California sulla privacy del consumatore (CCPA), così come le normative di settore come il Payment Card Industry Data Security Standard (PCI DSS) riconoscono specificamente la necessità di una crittografia e di una gestione delle chiavi solide, compreso l'uso di prodotti certificati per facilitare la conformità.