La crittografia simmetrica, anche detta a chiave privata, permette di cifrare informazioni in chiaro scambiate tra due o più utenti, al fine di renderle inaccessibili a terzi.
A differenza della crittografia asimmetrica, impiega un’unica chiave privata sia nel processo di crittazione che in quello di decrittazione.
Ma come viene implementata e in quali ambiti trova maggiormente impego?
In questo articolo ci occuperemo di approfondirne caratteristiche e modalità di funzionamento, al fine di comprenderne l’importanza nel campo della cybersecurity.
Sommario degli argomenti
La crittografia simmetrica consiste in un algoritmo di cifratura che, come già accennato, sfrutta una sola chiave privata, detta chiave di sessione,
- sia per crittografare l’informazione in chiaro (o testo semplice)
- che per de-crittografare il messaggio cifrato.
E’ importante sottolineare che questa chiave non rimane uguale a se stessa, ma viene aggiornata ad ogni sessione, così da salvaguardare la privacy degli utenti.
Come funziona la crittografia simmetrica
Il meccanismo di funzionamento della crittografia simmetrica è alquanto lineare:
- il mittente critta con una chiave crittografica privata un messaggio in chiaro (o plain text), sfruttando ovviamente un apposito cifrario, ovvero un algoritmo di crittografia
- il destinatario, a sua volta, utilizzerà la stessa chiave per decrittare il messaggio cifrato (CypherText)
Da ciò si può dedurre che il presupposto fondamentale affinché questo tipo di procedura possa aver luogo è che entrambi gli attori coinvolti nello scambio d’informazione siano in possesso della chiave.
Come vedremo, questo rappresenta uno dei principali punti di debolezza di questo specifico schema crittografico.
Ciò non toglie l’oggettiva difficoltà che si riscontra nel forzare la chiave: basti pensare che con la potenza di calcolo di un comune pc servirebbero milioni di anni per risalire a una chiave di soli 128 bit.
Da ciò consegue che più è lunga la chiave, più sicura sarà la comunicazione.
Quello della crittografia simmetrica è uno degli algoritmi crittografici più antichi al mondo.
Uno dei più celebri cifrari è noto proprio come cifrario di Cesare, in onore del celeberrimo condottiero romano. Si esplica con la sostituzione monoalfabetica di ogni lettera di una parola con un’altra presente in una determinata posizione.
Dall’antico Impero Romano, al cifrario di Rijndael utilizzato nel protocollo AES, attualmente in ambito informatico si possono distinguere principalmente due schemi di cifratura, ovvero:
- cifrario a blocco
- e cifrario a flusso
Il cifrario a blocco (o block cipher) attua questa conversione di testo semplice in testo cifrato non per bit, ma direttamente in blocco, cioè accorpando i dati del messaggio in pezzi più grandi di dimensioni già definite.
Il cifrario a flusso (o stream cipher), d’altro canto, trasforma il testo semplice in testo cifrato bit per bit, ovvero pezzo per pezzo.
Passiamo ora a indagare i principali ambiti applicativi della crittografia simmetrica.
Nei sistemi informatici più moderni, in larga misura la crittografia simmetrica è stata soppiantata dal metodo asimmetrico, perché ritenuto generalmente più sicuro.
Ciò che distingue la crittografia simmetrica da quella asimmetrica risiede in una pluralità di fattori.
Vediamone insieme i dettagli.
Chiavi di cifratura
Il primissimo, e più evidente, fattore di differenziazione sta nel numero di chiavi che le due tipologie di crittografia mettono in campo
- nella crittografia simmetrica viene generata un’unica chiave, che è indispensabile scambiare per far sì che il trasferimento di dati possa effettivamente aver luogo
- mentre nella controparte asimmetrica, a garantire la sicurezza dell’operazione è la possibilità di rendere pubblica soltanto una delle due chiavi, preservando la riservatezza dell’altra.
Generalmente, quindi, la crittografia simmetrica è considerata meno sicura in quanto è molto più probabile che quell’unica chiave di sessione venga intercettata da potenziali pirati informatici durante l’iter di scambio.
Velocità
Uno dei maggiori punti di forza della crittografia simmetrica è la velocità d’esecuzione. Trattandosi di una procedura pressoché lineare che richiede minore complessità computazionale, necessita di conseguenza di minor tempo per poter essere eseguito.
Al contrario, per ciò che riguarda la crittografia asimmetrica, la maggiore complessità del processo crittografico fa si che questa si realizzi con tempi più dilatati.
Ambiti d’impiego
Data la loro differente natura, le due tipologie di crittografia vengono impiegate in ambiti prettamente differenti:
- da un lato, infatti, la crittografia simmetrica viene utilizzata essenzialmente nei nella criptazione di file e dati, quando si rende necessario trasferire grandi blocchi di informazione,
- mentre, la crittografia asimmetrica si trova impiegata, oltre che nella cifratura vera e propria, anche nelle procedure di autenticazione come le firme digitali.
Diamo ora un’occhiata ai principali algoritmi in cui viene impiegata la crittografia simmetrica:
- AES (Advanced Encryption Standard), utilizzata soprattutto per la protezione di informazioni personali. E’ impiegata in app create per la comunicazione, in dispositivi hardware e in sistemi di archiviazione. L’Advanced Encryption Standard è un cifrario a blocco, nel quale si ricorre a blocchi di 256, 192 e 128 bit;
- DES (Data Encryption Standard), popolare negli anni ’70, ma poi valutato sempre più inefficace contro gli attacchi brute force, è stata col tempo soppiantata con l’AES;
- Triple DES (Triple Data Encryption Standard), anch’essa considerata, come il DES, non abbastanza sicura da essere utilizzata come efficiente scudo di protezione;
- IDEA (International Data Encryption Algorithm), basato sempre su un cifrario a blocchi alla portata di tutti, nonostante sia stato grandemente superato anch’esso dall’Advanced Encryption Standard (AES);
- TWOFISH, succeduto ufficialmente all’algoritmo BLOWFISH, attualmente utilizzato negli standard OpenPGP, il più utilzzato sistema crittografico di qualità nel mondo;
- SSL/TLS (Transport Layer Security e Secure Sockets Layer), impiegati sia in crittografia simmetrica che asimmetrica e adoperati come protocolli internet per consentire la trasmissione sicura delle informazioni in rete.
Esempi concreti d’impiego della crittografia simmetrica si possono rintracciare
- nella criptazione di file e dati personali
- nei sistemi di messaggistica come le e-mail, dove ad ogni indirizzo viene associata una chiave privata tale da permettere la lettura della posta soltanto a mittente e destinatario esplicitamente dichiarati
- o nel protocollo HTTPS che garantisce l’attendibilità e la sicurezza delle pagine web.
Alla luce di quanto detto, è importante stilare una lista dei pro e dei contro nell’adozione di un sistema di crittografia asimmetrica.
Tra i vantaggi va menzionato
- maggiore semplicità, che si traduce in una minore potenza di calcolo richiesta per generare l’unica chiave utilizzata.
- una conseguente elevata velocità d’esecuzione
- bassi costi
- un livello di sicurezza che può essere consolidato con l’aumento della lunghezza delle chiavi, cioè aggiungendo dei bit per rendere la chiave inattaccabile soprattutto attraverso brute force
Per ciò che riguarda gli svantaggi, un ruolo cruciale è rivestito dalla necessità di condivisione dell’unica chiave privata tra gli utenti.
Infatti, basta avere una connessione non protetta per far sì che terzi intercettino la chiave di sessione. Per tale motivo, in un numero notevole di sistemi, si utilizza un ibrido di crittografia simmetrica e asimmetrica, in modo da scongiurare ulteriormente un potenziale data breach.
In questo articolo, sono stati trattati i motivi per i quali la crittografia simmetrica si rivela ancora indispensabile in svariati sistemi, merito soprattutto della sua velocità e vantaggiosità in termini di costi economici e computazionali.
Il fatto che il suo funzionamento sia basato su un’unica chiave privata condivisa costituisce, però, un importante fattore di debolezza, qualora questa dovesse essere intercettata da terzi non autorizzati.
Ragion per cui spesso la si trova combinata con sistemi di crittografia a chiave pubblica, che ne imitano i fattori di vulnerabilità sfruttandone al contempo tutti i vantaggi applicativi.
- Autore articolo
- Gli ultimi articoli
Responsabile Marketing per due aziende leader nel settore della Sicurezza Informatica: organizzo e progetto iniziative di diffusione della cultura cybersecurity e dei rischi cyber-crime attraverso contenuti web, eventi on e off line e materiale info-grafico. Ho una naturale propensione per far coesistere il lato metodico e preciso del mio carattere con la parte più creativa, visionaria e ambiziosa di me. Sono curiosa, riflessiva e non metto freni alla mia fame di conoscenza.