Lezione 13 Documento informatico: problemi tecnici Problemi tecnici certezza stabilità - “volatilità” autenticità inalterabilità
La soluzione La soluzione tecnica: La crittografia
la crittografia Etimologicamente “crittografia” deriva da due parole di greco antico il cui significato è “scrittura nascosta”; è una scienza che si occupa dei metodi di cifratura delle informazioni, al fine da rendere un messaggio leggibile ad un mittente e ad un destinatario, ma praticamente incomprensibile a terze persone.
“KRYPTOS GRAPHEN” “Criptare” è una parola proveniente dal greco “kriptos”, che significa nascosto. Gràphen significa scrivere La crittografia è la scienza che si occupa dei sistemi segreti di scrittura in codice, con il fine di rendere intelligibile un testo per chi non ne possieda l’autorizzazione.
Crittografia Esempi di sistemi
Cifrario di Cesare era il sistema utilizzato da Cesare per comunicare con i suoi generali. Sostituiva ad ogni lettera, un’altra lettera posta ad un certo numero di posizioni più avanti nell’alfabeto. Per esattezza utilizzava la chiave “3”, tutte le lettere venivano scalate di tre posizioni , la A diventava D, la B diventava la E ,la C diventava la F e cosi via…
Scitala Lacedemonica Scitala Lacedemonica -uno dei sistemi più antichi e più noti di crittografia è la “Scitala Lacedemonica”,risalente al IX° sec. a.C. Era un dispositivo costituito da un bastone e da un nastro di cuoio avvolto a spirale, (sullo stesso bastone), su cui il messaggio veniva scritto in colonne verticali. Sul nastro srotolato, le lettere risultavano trasposte in modo tale che solo ricorrendo ad un bastone identico,(scitala, appunto) a quello usato per scriverlo, si riusciva a ricomporre il testo.
Enigma Enigma - la “macchina Enigma” è l’ultimo passo prima della crittografia moderna. E’ una macchina elettromeccanica tedesca costruita durante la seconda guerra mondiale. Il testo in chiaro digitato su una tastiera,veniva crittato da un insieme di ruote. La chiave era il settaggio iniziale delle ruote, le quali potevano essere scalate di posizione ogni qualvolta si voleva. Fu attaccato e sconfitto dal matematico polacco Marin Rejewsky,proprio durante il conflitto bellico.
La Crittografia moderna Le basi teoriche della moderna crittografia, quella attualmente utilizzata, sono ancora giovani, e risalgono a circa 30 anni fa, a partire dal 1969 con le prime ricerche di James Ellis del quartiere generale governativo delle comunicazioni britanniche.
strong-encryption nasce nel 1978 il cifraio a chiave pubblica “RSA”, da tre ricercatori del MIT, (Masshachusetts Institute Of Tecnology), dai quali prende anche il nome, Ronald Vivest, Adi Shamir e Leonard Adleman. Con questo cifrario si inizia a parlare di “strong-encryption”, cioè di crittografia forte.
Crittografia- Algoritmi Ci sono due classi di algoritmi basati su chiavi algoritmi: Simmetrici Asimmetrici
algoritmi di crittografia Gli algoritmi di crittografia possono essere classificati in due principali categorie riguardanti il tipo di chiave utilizzata : simmetrici ( chiave segreta ) , asimmetrici ( chiave pubblica ) . Negli algoritmi a chiave simmetrica la chiave utilizzata nel processo di de/cifrazione è la stessa ; negli algoritmi a chiave asimmetrica invece ci sono due tipi di chiave , una privata ( segreta e personale ) e una pubblica (a disposizione di tutti )
Da Wikipedia, l'enciclopedia libera. La crittografia asimmetrica, conosciuta anche come crittografia a coppia di chiavi, crittografia a chiave pubblica/privata o anche solo crittografia a chiave pubblica è un tipo di crittografia dove, come si evince dal nome, ad ogni attore coinvolto è associata una coppia di chiavi: la chiave privata, personale e segreta, viene utilizzata per decodificare un documento criptato; la chiave pubblica, che deve essere distribuita, serve a crittare un documento destinato alla persona che possiede la relativa chiave privata.
procedimento L'idea base della crittografia con coppia di chiavi diviene più chiara se si usa un'analogia postale, in cui il mittente è Alice ed il destinatario Bob e i lucchetti fanno le veci delle chiavi pubbliche e le chiavi recitano la parte delle chiavi private: Alice chiede a Bob di spedirle il suo lucchetto, già aperto. La chiave dello stesso verrà però gelosamente conservata da Bob. Alice riceve il lucchetto e, con esso, chiude il pacco e lo spedisce a Bob. Bob riceve il pacco e può aprirlo con la chiave di cui è l'unico proprietario. Se adesso Bob volesse mandare un altro pacco ad Alice, dovrebbe farlo chiudendolo con il lucchetto di Alice, che lei dovrebbe mandare a Bob e che solo lei potrebbe aprire. Si può notare come per secretare i pacchi ci sia bisogno del lucchetto del destinatario mentre per aprire viene usata esclusivamente la propria chiave segreta, rendendo l'intero processo di criptazione/decriptazione asimmetrico.
Simmetrica Con crittografia simmetrica si intende una tecnica di cifratura. Uno schema di crittografia simmetrica è caratterizzato dalla proprietà che, data la chiave di cifratura "e", sia facilmente calcolabile la chiave di decifratura "d". Nella pratica, tale proprietà si traduce nell'utilizzo di una sola chiave sia per l'operazione di cifratura che quella di decifratura. La forza della crittografia simmetrica è dunque riposta nella segretezza dell'unica chiave utilizzata dai due interlocutori che la usano, oltre che nella grandezza dello spazio delle chiavi, nella scelta di una buona chiave e nella resistenza dell'algoritmo agli attacchi di crittanalisi. Generalmente gli algoritmi di crittografia simmetrica sono molto più veloci di quelli a Chiave pubblica , per questo vengono usati in tutte le operazioni di cifratura che richiedono performance. Oltretutto i cifrari a crittografia simmetrica permettono l'uso di uno spazio delle chiavi lungo quanto il messaggio: ad esempio nella codifica XOR (algoritmicamente semplicissima) è possibile scegliere una chiave lunga quanto il messaggio da cifrare, rendendo il messaggio cifrato assolutamente sicuro ! Alcuni esempi di cifratura simmetrica sono dati dal cifrario di Cesare
Autenticazione
Riservatezza
Crittografia asimmetrica a firma digitale
Crittografia: Il procedimento informatico in grado di generare, apporre e verificare una firma digitale è un meccanismo di crittografia a chiavi asimmetriche: 1.chiave privata: posseduta solo dal proprietario delle chiavi; 2.chiave pubblica: disponibile per tutte le persone che vogliano comunicare riservatamente con il proprietario della corrispondente chiave privata.
Principi della crittografia: 1) Ogni utilizzatore ha a disposizione una coppia di chiavi per la cifratura; 2) Ogni chiave può essere utilizzata per cifrare o decifrare; 3) La conoscenza di una delle due chiavi non fornisce alcuna informazione sull’altra. Le due chiavi sono complementari e indipendenti.
La definizione giuridica nel DPR 445/02 Vediamo proprio come la definizione nel Testo Unico D.P.R. 445/2000 di FIRMA DIGITALE sia: “il risultato della procedura informatica (validazione) basata su un sistema di chiavi asimmetriche a coppia, una pubblica ed una privata, che consente al sottoscrittore tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente,di rendere manifeste e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici”.
La definizione nel CAD codice della amministrazione digitale La firma digitale firma digitale: un particolare tipo di firma elettronica qualificata basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici;
La definizione nel CAD codice della amministrazione digitale La firma qualificata firma elettronica qualificata: la firma elettronica ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario e la sua univoca autenticazione informatica, creata con mezzi sui quali il firmatario può conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati, che sia basata su un certificato qualificato e realizzata mediante un dispositivo sicuro per la creazione della firma, quale l'apparato strumentale usato per la creazione della firma elettronica;
Aspetti normativi della crittografia. Il conflitto tra riservatezza e sicurezza delle informazioni telematiche.
I pregi ed i difetti della crittografia Uno dei pregi più significativi del sistema di crittografia asimmetrica è la possibilità di garantire che il contenuto di un messaggio venga letto, tramite una apposita decodificazione, solo dal suo destinatario; ciò determina,dall’altra parte, almeno secondo un orientamento prevalente in molti Paesi, il rischio di consentire ad organizzazioni criminali e terroristiche di utilizzare questo canale privilegiato di trasmissione, delle informazioni, per mettersi al riparo da qualsiasi ingerenza delle autorità investigative.
Diritto, riservatezza e criminalita’ Si pone, quindi, il problema della tutela del “diritto alla riservatezza delle comunicazioni telematiche” dei cittadini, senza con questo impedire eventuali attività tendenti alla repressione della criminalità telematica. Per disciplinare la materia,sono state preposte varie soluzioni differenti.
Le soluzioni Per ricordarne solo alcune, merita cenno il COCOM, (Cordinating Committee For Multilateral Export Controls), un’organizzazione internazionale per il mutuo controllo dell’esportazioni dei prodotti strategici e tecnologie che, nel 1991, decise di permettere l’esportazione di software di crittografia nel mercato di massa. Gli Stati Uniti, invece, preferirono regolamentarsi separatamente. L’obiettivo principale, era quello di impedire le esportazioni di crittografia, verso alcuni paesi, ritenuti pericolosi per i loro contatti con organizzazioni terroristiche come Libia, Iraq, Iran e Nord Corea. IL COCOM cessò di esistere nel marzo ’94.
Trattato di Wassenaar Nel 1995, 28 Paesi decisero di dare un seguito al COCOM con il “Trattato di Wassenaar”, le cui negoziazioni si conclusero nel luglio ’96 con la sottoscrizione di 31 paesi. Il trattato disciplina tuttora “l’esportazione delle armi convenzionali e dei beni e tecnologie a doppio uso”, (che possono cioè, essere usati sia a scopi militari, sia civili: la crittografia rientra in questa categoria). Il trattato è stato poi rivisto con gli accordi del dicembre ’98 di Vienna, con cui sono state stabilite precise restrizioni all’esportazione del software di pubblico dominio e alla crittografia.
i sistemi di KEY ESCROWED e di KEY RECOVERY Sono due sistemi di “compressione della crittografia”, le quali consentono di poter decifrare ogni documento. Nel primo caso,(K-E),il cittadino è costretto a depositare la chiave privata presso un ente governativo, per consentire quando necessario la decodifica dei suoi messaggi. Nel secondo caso,(K-R),invece, pur non essendo previsto il deposito della chiave, è possibile per la Pubblica Autorità, decifrare qualsiasi documento che sia stato in precedenza cifrato.
Soluzioni a favore della sicurezza Tra i Paesi che si sono particolarmente distinti per le soluzioni sbilanciate a favore della sicurezza e a danno della riservatezza, il primato spetta agli Stati Uniti, i quali hanno una lunga tradizione in queste attività repressive della libertà di comunicazione telematica. Addirittura gli USA, ritenevano che la c.d. crittografia “forte”, (cioè fondata su algoritmi di una certa robustezza che rendono assai improbabili i tentativi di crittoanalisi) presentasse la stessa pericolosità delle munizioni da guerra, e ne vietarono l’esportazione. Solo recentemente il governo USA ha indicato il suo nuovo orientamento in materia di crittografia, consentendo alla giustizia, (con la creazione di un organismo tecnico presso l’FBI) di poter decifrare informazioni di matrice criminosa e allo stesso tempo promuovendo il commercio elettronico, consentendo l’esportazione di crittografia forte a protezione dei dati sensibili. E’ evidente come l’Amministazione USA, rimanga sempre a favore dei prodotti basati sul key recovery, sia pure se con una semplificazione dei controlli, ma pur sempre a danno della Privacy.
Giudice federale Betty Fletcher In america - Giudice federale Betty Fletcher La norma che vieta l’esportazione della crtittografia – equiparata ad arma da guerra – e’ un norma in violazione del primo emendamento della costituzione che prevede che “ nessuna legge possa proibire la libertà di parola” Gli algorittimi sono opere di ingegno. Zimmermann accusato di aver esportato armi da guerra. PGP “Pretty Good Privacy”
diversi metodi di approccio dei governi il primo metodo di approccio alla regolamentazione crittografica è, come abbiamo appena visto, quello adottato da paesi come USA, CANADA e FEDERAZIONE RUSSA, i cui governi sono più sensibili e preoccupati al problema della sicurezza sia interna che esterna.
Secondo metodo il secondo metodo di approccio è quello perseguito dalla COMUNITA’ EUROPEA, che è tesa al raggiungimento di un alto grado di liberalizzazione dei servizi di telecomunicazione e di informatizzazione,ivi compreso l’uso ed il commercio di sistemi di codificazione,metodi di crittologia ecc..
Normativa italiana Diciamo subito che a livello legislativo ci si è concentrati esclusivamente sulle funzionalità della firma digitale,e per nulla sulla crittazione e sulla riservatezza delle comunicazioni.