La sicurezza dei dati non è importante solo per motivi commerciali, ma anche per conformarsi a nuove legislazioni come il Regolamento generale sulla protezione dei dati.
C’è una vasta gamma di misure di sicurezza dei dati disponibili, ma quando si tratta di proteggere i dati una delle migliori opzioni è quella di utilizzare la crittografia in modo che i file dovessero mai cadere nelle mani sbagliate, i dati non possono essere letti. Ma che cos’è e in che modo la crittografia mantiene i dati al sicuro?
Comprensione della crittografia
Quando inizi a esaminare la crittografia, ti imbatterai in una serie di termini diversi e possibilmente sconosciuti. Prima di andare avanti, dobbiamo guardare alcuni di questi e capire cosa significano e come ti influenzano.
Esploriamo alcuni dei modi in cui funziona la crittografia.
Uno degli approcci più comuni per crittografare i file o le comunicazioni Web è tramite l’uso di un certificato; un file binario che viene utilizzato per crittografare le informazioni. Il certificato contiene dettagli sull’oggetto, insieme a una chiave pubblica utilizzata per scopi di crittografia.
Tali certificati possono essere generati da te stesso o possono essere emessi da un’autorità di certificazione. Quelli che sono emessi da un’autorità sono generalmente utilizzati per proteggere i siti web e un processo di verifica viene utilizzato per garantire che l’azienda che utilizza il certificato è legittimo ed è chi dice che è.
L’altra cosa che si incontra è chiavi. Questi sono divisi in pubblico e privato. Una chiave privata viene utilizzata per firmare digitalmente le comunicazioni al fine di dimostrare la loro autenticità o può essere utilizzata per decifrare i dati che sono stati crittografati utilizzando la chiave pubblica corrispondente. La tua chiave privata deve essere sempre mantenuta privata; in molti casi sono protetti con una password o un PIN per impedire l’uso non autorizzato. L’altro lato della medaglia è la chiave pubblica. Viene utilizzato per verificare una firma digitale o per crittografare i dati inviati al proprietario della chiave pubblica. Puoi condividere la tua chiave pubblica con altri utenti o pubblicarla nelle directory online o nei certificati per consentire alle persone di inviarti messaggi crittografati.
Nel mondo della crittografia potresti anche imbatterti in hash. Si tratta di funzioni matematiche unidirezionali che creano un valore univoco che viene utilizzato per verificare l’integrità dei dati, sebbene non per proteggerli. Gli hash sono spesso combinati con sali (niente panico, non ti sei imbattuto in un sito di ricette) per rendere la crittografia più sicura rendendo unico lo schema di crittografia. Possono, quindi, rendere più forte uno schema di crittografia debole.
Quando utilizzi Internet e vedi il simbolo del lucchetto per indicare che un sito è sicuro, mostra che il sito sta crittografando i dati in transito. Questo di solito viene fatto utilizzando Secure Socket Layer (SSL), anche se più recentemente c’è stato un passaggio a Transport Layer Security (TLS) che utilizza algoritmi più forti per una crittografia più efficace.
Dati memorizzati
Quindi, in che modo la crittografia protegge i dati quando sono seduti sui tuoi server? I dati memorizzati su un disco, i cosiddetti dati a riposo, sono a rischio in caso di furto del disco o di accesso al sistema da parte di una parte non autorizzata. La crittografia può essere utilizzata per assicurarsi che i dati rimangano sicuri anche se il sistema è fisicamente accessibile. Se l’hacker non ha la chiave per decifrarlo, i dati nei file sono inutili. È quindi importante che la chiave sia memorizzata altrove o protetta da un PIN, una password o un sistema di autenticazione hardware.
Nella maggior parte dei casi, la crittografia a riposo utilizza quello che viene chiamato un algoritmo simmetrico in modo che i dati possano essere rapidamente crittografati e decrittografati come richiesto. L’ultima cosa che vuoi è che la crittografia rallenti le prestazioni dei tuoi sistemi. La chiave stessa deve essere protetta, tuttavia. Per questo, è possibile utilizzare un PIN, o una password, o un sistema più sofisticato come un certificato tenuto su una smart card. Se la chiave è protetta correttamente, diventa quasi impossibile per un utente malintenzionato accedere ai file.
Un ulteriore modo per proteggere i file a riposo è l’hashing degli algoritmi per calcolare il loro valore e confrontarlo in seguito per rilevare eventuali modifiche apportate ai dati. Questi checksum o hash sono spesso utilizzati per convalidare i file che sono stati scaricati da Internet, garantendo in tal modo che siano la versione corretta. Sempre più spesso, gli hash vengono utilizzati nelle indagini forensi per garantire che le copie fatte di dischi rigidi siano un facsimile esatto dell’originale.
Se si dispone di supporti che lasciano l’ufficio, ad esempio backup fuori sede, laptop o unità flash USB, la crittografia su questi dispositivi dovrebbe essere resa obbligatoria come mezzo per mantenere i dati sicuri. Ci sono unità esterne disponibili che hanno un built-in tastiere o lettori di impronte digitali che rendono far rispettare la crittografia semplice. Per la massima sicurezza, è necessario crittografare i dati sui server troppo. Questo lo protegge dalle attività di addetti ai lavori dannosi e ha il vantaggio che se è necessario sostituire un’unità non è necessario preoccuparsi della possibilità che i dati vengano recuperati da quello vecchio.
Data on the move
Quindi, in che modo la crittografia mantiene i dati al sicuro quando sono in transito? Innanzitutto, è importante definire cosa intendiamo per dati in transito. In sostanza, si tratta di qualsiasi dato a cui si accede tramite una rete e quindi ha il potenziale per essere intercettato da qualcun altro che accede alla stessa rete. Questa può essere una rete interna o Internet.
Sulle reti wireless, è possibile proteggere dall’accesso non autorizzato crittografando tutto il traffico sulla rete. La maggior parte dei router ora dispone di crittografia WPA (WiFi Protected Access) abilitata, ma le reti aziendali possono essere protette ulteriormente utilizzando WPA2 Enterprise. Le reti pubbliche come quelle che si trovano nelle caffetterie o negli hotel non sono protette, quindi dovresti diffidare di utilizzarle per accedere a informazioni riservate.
I livelli di protezione possono essere ulteriormente migliorati adottando protocolli di comunicazione più sicuri. I protocolli Internet standard come HTML, FTP e POP non sono protetti e il traffico può essere facilmente letto se intercettato. È possibile proteggere le informazioni utilizzando SSL o TLS, come descritto sopra, o protocolli tra cui Secure File Transfer Protocol FTP (SFTP). Quando i dati vengono crittografati in transito in questo modo, è a rischio solo se la chiave è compromessa.
La crittografia dei dati in transito funziona in modi diversi. In alcuni casi, utilizza la crittografia simmetrica che richiede una chiave di sessione fissa, ma la maggior parte dei sistemi moderni utilizza un certificato e una crittografia asimmetrica. Ciò significa che una chiave di sessione viene scambiata in modo sicuro all’inizio della sessione e quindi utilizzata per fornire la crittografia e la decrittografia più veloci. Con SSL o TLS, ad esempio, i certificati vengono utilizzati per scambiare le chiavi pubbliche all’inizio della sessione. Le chiavi pubbliche vengono quindi utilizzate per scambiare in modo sicuro le chiavi private. Questo rende il traffico quasi impossibile per gli hacker di leggere.
Molti protocolli crittografati includono anche un algoritmo di hashing per verificare che i dati non siano stati modificati in transito. Questo può aiutare a sconfiggere i cosiddetti attacchi Man-in-the-Middle (MitM), perché se un hacker decrittografa e ricripta i dati, la firma sarà cambiata anche se i dati non lo sono.
Gli attacchi MiTM coinvolgono gli aggressori che ti ingannano nell’usarli come proxy o ti fanno ignorare un avviso di certificato in modo da fidarti del loro certificato piuttosto che di uno reale. Questo è uno dei motivi per cui l’utilizzo di certificati da un’autorità di terze parti è importante e perché quando il software ti avverte che un certificato non è attendibile non dovresti accettare.
Idealmente, la crittografia in transito dovrebbe essere obbligatoria per qualsiasi traffico di rete che trasporta dati privati. Molte aziende ora scelgono di crittografare i loro siti Web pubblici e vedrai sempre più HTTPS apparire negli indirizzi web. Utilizzando la crittografia per i dati-sia a riposo che in transito-puoi assicurarti che le tue informazioni siano mantenute al sicuro e che il tuo personale e i tuoi clienti siano sicuri che tutti i loro dettagli siano protetti.