Ogni volta che effettuiamo un pagamento online, inviamo un messaggio su WhatsApp o accediamo al nostro conto bancario tramite app, stiamo utilizzando una delle tecnologie più fondamentali dell’era digitale e informatica: la crittografia. Questa antica arte di nascondere informazioni, evoluta dalle comunicazioni militari del passato alle sofisticate tecnologie moderne, rappresenta oggi il pilastro invisibile che protegge la nostra privacy e sicurezza digitale.
In un’epoca caratterizzata dallo sviluppo esponenziale di nuove tecnologie come l’Intelligenza Artificiale e dall’aumento costante dei rischi informatici, comprendere come proteggere i propri dati personali è diventato essenziale. Uno degli strumenti più potenti per garantire privacy e sicurezza dei dati personali è proprio la crittografia.
L’escalation di furti di dati, estorsioni digitali, manomissioni e distruzioni di contenuti riservati ha reso la sicurezza informatica una priorità assoluta per organizzazioni pubbliche e private. Le tecniche di crittografia informatica rappresentano una linea di difesa cruciale, capace di rendere inutile ogni tentativo criminale di controllare e rubare dati sensibili.
A cura dell’Osservatorio Cybersecurity del Politecnico di Milano, questo articolo esplora la crittografia informatica e le sue applicazioni per proteggere la nostra vita digitale.
La crittografia (dal greco, kryptos = nascosto e graphia = scrittura) è una tecnica che mira ad alterare il messaggio: in parole semplici, la crittografia può essere definita come un processo atto a rendere le informazioni prive di significato.
A differenza di quanto si possa pensare, la crittografia non è un metodo per difendersi direttamente dagli attacchi informatici e dal cybercrime. Il suo ruolo è invece quello di proteggere il significato dei dati, rendendoli totalmente incomprensibili anche se qualcuno ne entrasse in possesso indebitamente. Questa distinzione è fondamentale per comprendere come la crittografia si inserisca in una strategia di sicurezza più ampia.
La crittografia informatica è parte di una scienza più vasta chiamata crittologia, che studia sia le tecniche di occultamento sia la crittoanalisi, ovvero la decifrazione di informazioni celate. Storicamente, la crittologia ha avuto origine in ambito militare per supportare o contrastare attività di spionaggio, ma oggi permea tutti i contesti informatici, dalla protezione delle comunicazioni personali alle transazioni finanziarie globali.
È importante distinguere la crittografia dalla steganografia: mentre quest’ultima mira a occultare l’esistenza stessa di un messaggio, la crittografia si concentra sull’alterazione del contenuto per renderlo incomprensibile. Entrambe le tecniche possono essere utilizzate insieme per creare livelli multipli di protezione.
La crittografia “analogica” vanta una storia millenaria che riflette l’eterna tensione tra il bisogno di comunicare in segreto e quello di decifrare i messaggi altrui. Le prime forme di crittografia risalgono all’antica Roma, dove Giulio Cesare utilizzava il famoso “cifrario di Cesare” per proteggere le comunicazioni militari, spostando ogni lettera dell’alfabeto di un numero fisso di posizioni.
Durante il Rinascimento, la crittografia si sviluppò ulteriormente con l’invenzione di cifrari polialfabetici come quello di Vigenère, che utilizzava chiavi multiple per aumentare la sicurezza. L’era moderna della crittografia iniziò nel XX secolo con le due guerre mondiali, quando la necessità di proteggere le comunicazioni militari portò allo sviluppo di macchine cifranti sempre più sofisticate.
La macchina Enigma tedesca e la sua decrittazione da parte degli Alleati rappresentarono un punto di svolta cruciale, dimostrando come la superiorità crittografica potesse determinare l’esito di conflitti globali. Questo periodo vide anche la nascita della crittanalisi moderna, con figure leggendarie come Alan Turing che gettarono le basi dell’informatica moderna attraverso il loro lavoro sulla decrittazione.
L’avvento dell’era digitale negli anni ’70 rivoluzionò completamente il campo con l’introduzione del Data Encryption Standard (DES) e, successivamente, della crittografia a chiave pubblica (o crittografia asimmetrica, che vedremo a breve) sviluppata da Diffie, Hellman e Merkle. Questa innovazione risolse il problema fondamentale della distribuzione delle chiavi, aprendo la strada alle comunicazioni sicure su scala globale che oggi diamo per scontate.
Il funzionamento della crittografia si basa su algoritmi matematici che trasformano il testo in chiaro (leggibile) in testo cifrato (incomprensibile) attraverso un processo chiamato cifratura. Questo processo utilizza una funzione matematica complessa che nasconde il contenuto originale, rendendolo accessibile solo attraverso una chiave digitale specifica.
La domanda che ci si potrebbe porre ora è: come vengono utilizzati gli algoritmi di crittografia? Per definizione un algoritmo crittografico si basa su una funzione matematica attraverso cui si nasconde il testo, rendendolo di fatto cifrato.
Gli algoritmi crittografici moderni sfruttano problemi matematici estremamente complessi che richiederebbero tempi computazionali proibitivi per essere risolti senza la chiave appropriata. La sicurezza di un sistema crittografico dipende non solo dalla complessità dell’algoritmo, ma anche dalla lunghezza e dalla casualità della chiave utilizzata.
Il processo di decifratura inverte la trasformazione matematica, utilizzando la chiave appropriata per riconvertire il testo cifrato in testo leggibile. La forza di un sistema crittografico risiede nel fatto che, anche conoscendo l’algoritmo utilizzato, senza la chiave corretta è praticamente impossibile decifrare il messaggio in tempi ragionevoli.
Le funzioni cifranti moderne, progettate per sfruttare l’attuale capacità di calcolo, rendono estremamente difficile l’accesso non autorizzato ai dati. Tuttavia, l’efficacia del sistema dipende criticamente dalla gestione delle chiavi: più una chiave è distribuita, maggiore è il rischio di compromissione del sistema.
I sistemi basati sulla crittografia informatica, come detto in precedenza, sono divisi in due macrocategorie: la crittografia a chiave simmetrica e la crittografia a chiave asimmetrica.
Nella crittografia simmetrica, la chiave segreta, definita anche privata, è univoca sia in fase di cifratura che di decifratura. Questo sistema risulta efficiente, veloce e comodo per la trasmissione di dati in blocco, ma la necessità di scambiarsi la chiave lo rende vulnerabile.
Lo standard a chiave simmetrica per eccellenza, nonché il più diffuso, è l’AES (Advanced Encryption Standard), articolato in tre algoritmi di cifrature a blocchi.
La crittografia asimmetrica prevede che la cifratura iniziale avvenga tramite una chiave pubblica (o circolante) appartenente al destinatario, che sarà in grado di decifrare il contenuto esclusivamente attraverso un’ulteriore chiave, in questo caso privata.
Una delle differenze tra crittografia simmetrica e asimmetrica è il modo di accesso ai contenuti criptati. Infatti, per accedere ad un contenuto protetto tramite crittografia simmetrica, è necessario che avvenga lo scambio della chiave tra i due soggetti. La crittografia asimmetrica, invece, è stata creata per evitare i rischi connessi alla trasmissione delle chiavi. Questo perché anche se la chiave segreta pubblica viene intercettata, non è sufficiente per decriptare il contenuto protetto. Occorre come visto prima un’altra chiave privata per accedere al dato criptato.
Altra differenza tra questi due tipologie di crittografia sono gli algoritmi. Mentre nella crittografia simmetrica mediante il metodo AES i tre algoritmi a blocchi sono da 128, 193 e 256 bit, nella crittografia asimmetrica le chiavi segrete richiedono una capacità computazionale maggiore. In questo caso si passa dai 256 bit ai 1024 bit. Quest’ultimo, poi, per la crittografia asimmetrica, può essere visto come uno svantaggio data la differenza di peso che richiedere per essere utilizzato.
La crittografia si declina in diversi approcci a seconda del contesto di applicazione e degli obiettivi di sicurezza. Due delle implementazioni più importanti e diffuse sono la crittografia end-to-end, che protegge le comunicazioni in tempo reale, e la crittografia dei dati, che salvaguarda le informazioni durante tutto il loro ciclo di vita.
La crittografia end-to-end è un approccio protegge i dati durante il trasferimento tra due parti, garantendo che solo il mittente e il destinatario possano leggere il contenuto del messaggio. Con questo metodo i dati vengono crittografati sul dispositivo del mittente e decrittografati solo sul dispositivo del destinatario, rendendo impossibile per terzi – inclusi fornitori di servizi internet, hacker e persino i fornitori del servizio di comunicazione – accedere ai contenuti trasmessi. Questo tipo di crittografia è utilizzato sia nella crittografia simmetrica che in quella asimmetrica (che vedremo a breve), al fine di proteggere i dati lungo tutto il percorso di trasmissione.
La crittografia dei dati, invece, è un termine generico che copre qualsiasi uso della crittografia per proteggere i dati, sia durante la trasmissione (in transito, come nel caso della crittografia end-to-end) che quando sono archiviati (a riposo). Questo processo implica la conversione dei dati in un formato illeggibile tramite algoritmi crittografici, rendendoli accessibili solo a chi possiede la chiave di decrittazione corretta. La crittografia dei dati è fondamentale per la sicurezza dei dati sensibili – come informazioni personali, finanziarie e sanitarie – in quanto protegge i dati da accessi non autorizzati e violazioni, sia che siano conservati su dispositivi locali che su server remoti.
La crittografia asimmetrica trova ampio utilizzo nelle comunicazioni digitali moderne, dalle chat di WhatsApp alle email protette. Applicazioni di messaggistica istantanea implementano protocolli crittografici avanzati che garantiscono che solo mittente e destinatario possano leggere i messaggi scambiati. Il protocollo Signal, utilizzato da WhatsApp, Telegram e altre piattaforme, rappresenta uno degli standard più avanzati per la comunicazione sicura, combinando crittografia end-to-end con tecniche di perfect forward secrecy che generano nuove chiavi per ogni sessione di comunicazione.
Il metodo di crittografia AES viene utilizzato per proteggere documenti governativi classificati come “secret” e “top-secret”, dimostrando l’affidabilità di questi sistemi per le informazioni più sensibili. Agenzie governative e organizzazioni militari si affidano a questi standard per proteggere comunicazioni strategiche e intelligence.
Nel settore aziendale, la crittografia protegge database contenenti informazioni sui clienti, proprietà intellettuale e dati finanziari. Sistemi ERP, CRM e piattaforme di e-commerce implementano multiple layers di crittografia per garantire la confidenzialità delle informazioni aziendali.
La firma digitale rappresenta una delle applicazioni più importanti della crittografia asimmetrica, fornendo autenticazione, integrità e non ripudio delle comunicazioni digitali. Questo sistema permette di verificare l’identità del mittente e garantire che il messaggio non sia stato alterato durante la trasmissione.
I certificati digitali, basati su standard PKI (Public Key Infrastructure), permettono di stabilire catene di fiducia che garantiscono l’autenticità delle identità digitali in transazioni online, contratti elettronici e comunicazioni ufficiali.
La crittografia moderna offre benefici che vanno ben oltre la semplice protezione dei dati, creando un ecosistema di sicurezza digitale robusto e affidabile.
Nonostante i suoi innegabili vantaggi, l’implementazione della crittografia presenta sfide tecniche e operative che devono essere attentamente considerate e gestite.
La diffusione della crittografia ha inoltre generato dibattiti sulla necessità di bilanciare privacy individuale e sicurezza pubblicasoprattutto per le app di messaggistica istantanea, tanto che l’ufficio di polizia europeo (Europol) ne ha richiesta la rimozione. La crittografia asimmetrica, infatti, impedendo alle aziende tech di rilevare illeciti sulle loro piattaforme, ostacola anche la possibilità per l’Europol di garantire la sicurezza online dei cittadini. In merito a ciò, non è la prima volta che si valuta l’eliminazione della crittografia end-to-end. Nel 2022, infatti, la proposta delle Commissione europea, legata al regolamento sugli abusi sessuali sui minori (Csar), era stata respinta.
L’avvento del Quantum Computing rappresenta sia un’opportunità che una minaccia per la crittografia moderna. I computer quantistici potrebbero rendere obsoleti molti algoritmi crittografici attuali, essendo in grado di risolvere problemi matematici complessi, come la fattorizzazione di numeri primi, in tempi drasticamente ridotti.
Gli algoritmi di Shor e Grover, quando implementati su computer quantistici sufficientemente potenti, potrebbero compromettere rispettivamente la crittografia asimmetrica basata su RSA e ridurre significativamente la sicurezza degli algoritmi simmetrici. Questo scenario, noto come “Y2Q” (Years to Quantum), richiede una transizione verso algoritmi post-quantistici.
La comunità scientifica internazionale, guidata dal NIST (National Institute of Standards and Technology), sta sviluppando nuovi algoritmi crittografici resistenti agli attacchi quantistici. Questi algoritmi si basano su problemi matematici che rimangono difficili da risolvere anche per i computer quantistici.
Il processo di standardizzazione ha già identificato diversi algoritmi promettenti per la crittografia post-quantistica. L’implementazione di questi nuovi standard richiederà una transizione graduale che deve iniziare prima che i computer quantistici diventino una minaccia reale.
Parallelamente, la crittografia quantistica offre possibilità di sicurezza teoricamente inviolabile attraverso la Quantum Key Distribution (QKD). Questa tecnologia sfrutta le leggi della fisica quantistica per rilevare automaticamente tentativi di intercettazione, fornendo una sicurezza che non dipende da assunzioni computazionali.
Sebbene ancora limitata da vincoli tecnologici e di distanza, la crittografia quantistica sta trovando applicazioni in settori critici come comunicazioni governative, infrastrutture finanziarie, reti di ricerca scientifica e in ambito militare.
L’applicazione di tecniche di crittografia non è legalmente obbligatoria. Tuttavia è altamente consigliabile in relazione ad esempio al GDPR. Il Garante per la protezione dei dati personali esorta vivamente l’applicazione della crittografia come misura aggiuntiva nei casi in cui le difese informatiche non siano efficaci o siano rese sterili.
Onde evitare conseguenze aspre legate alla diffusione di dati personali, in un contesto prettamente legato alla privacy, la crittografia può certamente contribuire a evitare sanzioni pecuniarie, rientrando tra le misure tecniche e organizzative che il Titolare del trattamento è chiamato a adottare.
L’implementazione efficace della crittografia richiede una strategia complessiva che consideri tutti gli aspetti del ciclo di vita dei dati. Le organizzazioni devono identificare i dati sensibili, classificarli in base al livello di rischio, e applicare misure crittografiche appropriate per ciascuna categoria.
Una governance crittografica efficace include politiche chiare per la gestione delle chiavi, procedure per la rotazione periodica, protocolli per la revoca in caso di compromissione, e piani di continuità operativa che considerino scenari di emergenza crittografica.
L’integrazione della crittografia nell’architettura IT esistente richiede attenzione a performance, compatibilità e gestibilità. Le soluzioni moderne offrono crittografia trasparente che minimizza l’impatto sulle applicazioni esistenti, mentre hardware specializzato (HSM – Hardware Security Modules) può accelerare operazioni crittografiche intensive.
La centralizzazione della gestione crittografica attraverso piattaforme di key management facilita la supervisione e il controllo, riducendo la complessità operativa e migliorando la postura di sicurezza complessiva dell’organizzazione.
La crittografia rappresenta oggi uno dei pilastri fondamentali della sicurezza digitale, evolvendosi da strumento militare a tecnologia ubiqua che protegge ogni aspetto della nostra vita digitale. La sua importanza crescerà ulteriormente con l’espansione dell’Internet of Things, l’adozione di tecnologie Cloud e l’integrazione sempre più profonda tra mondo fisico e digitale.
L’avvento del Quantum Computing porterà sfide significative, ma anche opportunità per sviluppare sistemi di sicurezza ancora più robusti. La transizione verso algoritmi post-quantistici richiederà investimenti e pianificazione, di contro garantirà la continuità della protezione crittografica nell’era quantistica.
Contenuti suggeriti dell’Osservatorio Cybersecurity & Data Protection
