www.MegaLab.it

Nel corso dei precedenti articoli abbiamo introdotto dei concetti molto importanti che ci consentono di predisporre impianti difensivi in grado di proteggere i nostri dati ricorrendo a degli strumenti in generale. Introdurremo adesso l'aspetto più tecnico della crittografia, addentrandoci per gradi alla comprensione dei vari sistemi attualmente utilizzati. Per poter intraprendere questo percorso è necessaria un'introduzione che propone la dimensione reale della crittografia nella società attuale.

Ruolo e approcci della crittografia

Possiamo descrivere la crittografia come una scienza della codifica che si snoda attraverso un campo decisamente esteso comprendente la sicurezza in generale. Forse è per questo motivo che la materia viene teorizzata come un ibrido comprendente scienza ed arte, se non altro perché la realizzazione di un buon sistema crittografico esige una mistione di basi scientifiche supportate da esperienza e ingegno.

Dalla crittografia scaturiscono argomenti estremamente interessanti che possono essere così riassunti:

• Sicurezza informatica

• Algebra superiore

• Fisica quantistica

• Ingegneria elettronica

• Ingegneria del software
• Probabilità e statistica
• Economia e commercio

• Giurisprudenza

• Politica
• Storia
• Aree geografiche

È questa vastità di argomenti che rende la crittografia affascinante e nel contempo sempre più complicata dall'incessante arricchimento di teorie che concorrono all'incomprensibilità della materia nella sua globalità, e neppure esiste al mondo studioso che possa affermare di conoscerla nella gran parte dei suoi aspetti. Lo scandalo Datagate è la palese dimostrazione di quanto affermato e suggerisce di riqualificare tutti i sistemi crittografici attualmente in utilizzo.

Parrebbe che, al di fuori dell'ambito militare ed organi connessi, tutti i sistemi in utilizzo a livello di massa siano solo ed esclusivamente una mera illusione. Come del resto le varie tendenze che di volta in volta influenzano il dibattito nei forum presenti in rete. La sicurezza così come vorremmo intenderla non esiste, anche perché alle moltitudini non è consentito accedervi!

La crittografia è una serratura

La crittografia equivale ad una serratura che dev'essere inglobata in un sistema più ampio, tipo una cassaforte o la porta di un palazzo, diversamente rimarrebbe un oggetto completamente inutile. Sicuramente assume il ruolo di componente critica del sistema in cui viene implementata e rappresenta solamente una minima parte. Essa avrà pertanto il compito di garantire gli accessi autorizzati ed è questo che la rende molto complessa.

Un sistema di sicurezza è paragonabile ad un muro di recinzione, la crittografia alla serratura nella porta che consentirà o negherà gli accessi, ecco quindi che diverrà un punto naturale d'ingresso da poter sottoporre ad attacco, ciò non significa comunque presumere la crittografia come il punto più debole di un sistema, infatti anche un pessimo impianto crittografico rimarrebbe superiore, in qualità, alle restanti componenti del sistema.

Un esempio classico è dato dalla discussione in merito alla lunghezza più idonea inerente una chiave crittografica, tralasciando però eventuali e pericolosi punti d'ingresso, ad esempio, in un server web: diverrà questo il target dei malintenzionati, non il sistema crittografico, a dimostrazione che la crittografia è davvero utile se anche il resto del sistema di cui fa parte è realmente sicuro ed agisce per facilitare il compito della soluzione crittografica.

Indipendentemente da ciò è sempre bene che gli studiosi realizzino un buon impianto di crittografia all'interno di sistemi caratterizzati dalla presenza di punti deboli: un malintenzionato in grado di violare la serratura cibernetica è praticamente impossibile da intercettare. Ciò è dovuto al fatto che il suo attacco apparirà come legittimo, allo stesso modo di uno scassinatore che, per penetrare in un appartamento, non utilizzerà attrezzi che lasceranno tracce ma accederà dalla porta principale tramite apposita chiave.

Un attacco al sistema crittografico che non lascia tracce può essere agito ogni qualvolta lo si riterrà opportuno, lasciando gli addetti al sistema nella convinzione che il muro di cinta non è stato valicato.

Esiste sempre un punto d'ingresso

Ogni sistema crittografico, come abbiamo detto, è costituito da più componenti che debbono tra esse interagire e rivelarsi efficienti ed altrettanto robuste. È fra queste componenti che un malintenzionato tenterà d'individuare un punto d'ingresso al sistema, cioè l'anello debole della catena. Esiste una regola fondamentale in crittografia ed è la seguente: la sicurezza di una soluzione crittografica equivale sempre alla sicurezza del suo punto d'ingresso o anello più debole.

La regola sopra enunciata impone che per potenziare il livello di sicurezza in un impianto difensivo occorre capire quali sono gli anelli ed in modo particolare individuare quello più debole. Per far ciò ricorriamo ad uno schema che utilizza una struttura ad albero gerarchicamente composta in anelli aventi ognuno dei sottoanelli. Tecnicamente la struttura descritta è denominata Albero di attacco (Niels Ferguson, ‎Bruce Schneier) e può essere ampliata esaminando le singole linee di assalto ad ogni anello che compone la struttura. In questo modo è possibile cerare un a Albero di attacco per ogni tipo di sistema difensivo, da un deposito bancario ad un centro EDP che custodisce dati particolarmente sensibili.

L'analisi di ogni singolo anello comporta la generazione di anelli successivi fino alla costituzione di un singolo componente, ciò implica, in un sistema reale, un lavoro estremamente duro ed una mole enorme di dati da analizzare, ma assicura l'individuazione in modo assai preciso di eventuali strategie fraudolente. Si badi bene che, in strutture che comportano tale strategia la sola crittografia non è assolutamente in grado di garantire la sicurezza del sistema.

Possiamo affermare, in linea teorica, che è inutile tentare di rafforzare un anello che non sia quello debole, anche se da ciò non possiamo ricavare una regola, infatti non sempre un malintenzionato è a conoscenza del punto d'ingresso è potrebbe pertanto orientare l'attacco verso un anello più forte. È altresì importante notare che la debolezza di un anello varia in base alle capacità offensive dell'attaccante ed agli strumenti in suo possesso, quindi sarà una determinata situazione a stabilire il punto d'ingresso, ragion per cui è bene rafforzare ogni anello che potrebbe rivelarsi debole se esposto ad una particolare situazione.

Mariano Ortu vi saluta dalla terra dei nuraghi!