- Cos'è il cloud computing?›
- Hub dei concetti di cloud computing›
- Sicurezza, identità e conformità›
- Cos’è la crittografia dei dati?
Cos’è la crittografia dei dati?
Argomenti della pagina
- Cos’è la crittografia dei dati?
- Come funziona la crittografia dei dati?
- A cosa serve la crittografia dei dati?
- Quali tipi di dati devono essere crittografati?
- Qual è la differenza tra hashing e crittografia dei dati?
- Qual è la differenza tra firme digitali e crittografia dei dati?
- Quali sono gli standard comuni di crittografia dei dati?
- Quali aspetti considerare nella scelta di una tecnica di crittografia dei dati?
- In che modo AWS può contribuire ai requisiti di crittografia dei dati?
Cos’è la crittografia dei dati?
La crittografia dei dati codifica un dato, rendendolo illeggibile per qualsiasi persona, servizio o dispositivo in assenza della chiave per sbloccarne il contenuto. La crittografia rende privati i file, i dischi, gli oggetti, i flussi e altri tipi di dati tra un crittografatore e un detentore di chiavi. Anche se una terza parte ha accesso ai dati crittografati, non può accedere ai dati senza la chiave. La crittografia dei dati è una parte fondamentale della sicurezza informatica aziendale.
Come funziona la crittografia dei dati?
I moderni sistemi di crittografia utilizzano in genere la crittografia simmetrica o asimmetrica, entrambe forme di crittografia.
Crittografia simmetrica
La crittografia a chiave simmetrica si avvale di un’unica chiave privata per crittografare e decrittografare i dati. Il funzionamento delle chiavi simmetriche implica che il mittente e il destinatario devono possedere in anticipo la chiave di crittografia.
In genere, la crittografia simmetrica è più veloce ed efficiente della crittografia asimmetrica, il che la rende adatta per la crittografia di grandi quantità di dati.
Crittografia asimmetrica
La crittografia simmetrica utilizza una coppia di chiavi pubbliche e private:
- Una chiave pubblica è una chiave utilizzata per crittografare i dati inviati da altre persone. Condividi questa chiave di crittografia pubblicamente con i tuoi contatti. Non è necessario che sia segreta.
- Una chiave privata è una chiave che mantieni segreta e che usi per decrittografare i dati riservati che le persone ti inviano con la chiave pubblica.
Questo sistema elimina la necessità di scambiare in modo sicuro una chiave condivisa, che è una delle limitazioni più significative della crittografia simmetrica.
Le organizzazioni utilizzano spesso la crittografia asimmetrica nei seguenti modi:
- Utilizzo delle firme digitali
- Protezione delle sessioni di navigazione web (HTTPS)
- Crittografia dei messaggi sensibili tra parti che non hanno precedentemente scambiato le chiavi
La crittografia asimmetrica è talvolta chiamata anche crittografia a chiave pubblica.
A cosa serve la crittografia dei dati?
Individui e organizzazioni utilizzano metodi di crittografia per proteggere i dati e rispettare gli standard normativi. È possibile crittografare i dati a riposo, in transito e end-to-end tra dispositivi su una rete.
Crittografia a riposo
I dati a riposo sono i dati che hai in archivio. I dati archiviati possono essere dati archiviati su un disco rigido, nel cloud o in un database. Ad esempio, le organizzazioni spesso mantengono un backup sincronizzato dei dati critici, crittografati a riposo, nel cloud.
Crittografia in transito
I dati in transito si riferiscono ai dati trasferiti da un sistema all'altro su una rete. Un esempio è dato dall’interazione tra un browser web e un server. Quando visiti un sito web sicuro, come una banca, il browser e il server utilizzano una forma di crittografia in transito. Questa crittografia delle comunicazioni in transito è denominata Transport Layer Security (TLS). Qualcuno potrebbe intercettare questi dati bancari sulla rete, ma sarebbero illeggibili.
Crittografia end-to-end (E2EE)
La crittografia dei dati end-to-end crittografa i dati sul sistema di invio prima del trasferimento. Il sistema ricevente utilizza una chiave di decrittografia localmente dopo averla ricevuta. Ad esempio, un’app di messaggistica sicura esegue la crittografia end-to-end sul contenuto dei messaggi sul dispositivo. I dati vengono decrittografati solo dopo che il contatto approvato li riceve nella sua app.
Quali tipi di dati devono essere crittografati?
Le organizzazioni utilizzano comunemente la crittografia per proteggere i dati sensibili o regolamentati.
Dati finanziari
La crittografia dei dati, sia durante la loro conservazione sia durante il trasferimento, rappresenta una prassi fondamentale per proteggere informazioni finanziarie sensibili, come transazioni, dettagli dei conti e storici creditizi. Nel settore finanziario, numerose normative di conformità, come il Payment Card Industry Data Security Standard (PCI-DSS), richiedono rigide regole e processi di crittografia dei dati. L’uso della crittografia contribuisce a prevenire frodi e accessi non autorizzati.
Dati commerciali
Molte organizzazioni scelgono di crittografare anche dati aziendali sensibili, come proposte commerciali, contratti con clienti, accordi sui livelli di servizio (SLA) e contratti con fornitori. Alcuni settori e Paesi richiedono il rispetto di leggi e regolamenti specifici, come il Regolamento generale sulla protezione dei dati (GDPR), che includono standard per la crittografia. La protezione dei dati tramite crittografia permette alle aziende di ridurre il rischio di danni finanziari o di reputazione in caso di violazioni.
Dati del personale
Le normative federali e locali disciplinano in genere le modalità con cui le organizzazioni devono proteggere i dati del personale, in particolare le informazioni di identificazione personale (PII) dei dipendenti. I dati delle risorse umane vengono spesso condivisi con piattaforme di terze parti, aumentando il rischio che vengano divulgati o intercettati.
Informazioni di identificazione personale (PII)
Le informazioni di identificazione personale (PII) comprendono tutti quei dati che, se divulgati, potrebbero permettere l’identificazione di un individuo. Nomi, indirizzi e numeri di previdenza sociale sono tutti esempi di PII. La crittografia delle PII aiuta le organizzazioni a prevenire il furto di identità e garantisce la conformità alle leggi globali sulla privacy.
Ad esempio, normative come il GDPR nell’Unione Europea e il California Consumer Privacy Act (CCPA) richiedono alle organizzazioni di proteggere le informazioni personali in loro custodia. La crittografia è uno strumento comunemente utilizzato per soddisfare questi standard.
Informazioni sanitarie protette (PHI)
Gli operatori sanitari, gli assicuratori e i dipartimenti delle risorse umane gestiscono le informazioni sanitarie protette (PHI), ossia dati medici o informazioni sulla salute legate a un individuo. Esempi di PHI includono cartelle cliniche elettroniche, cronologie dei trattamenti e dati sulle prescrizioni farmaceutiche.
Leggi come l’Health Insurance Portability and Accountability Act (HIPAA) negli Stati Uniti impongono l’implementazione di misure di sicurezza dei dati. Queste misure proteggono la riservatezza, l’integrità e la disponibilità delle PHI elettroniche (ePHI). Come per le PII, la crittografia è uno strumento comune utilizzato per soddisfare gli standard HIPAA e altri standard PHI.
Qual è la differenza tra hashing e crittografia dei dati?
Un algoritmo di hashing prende dati, come un file o un messaggio, e calcola una stringa di caratteri univoca per i dati, chiamata hash. Se qualcuno o qualcosa altera i dati originali, anche leggermente, cambia anche il valore hash. Pertanto, gli hash vengono spesso utilizzati per aiutare a verificare l’integrità e l'autenticità dei dati.
A differenza della crittografia, gli algoritmi di hashing sono funzioni matematiche unidirezionali. Non hanno chiavi crittografiche e non possono essere invertite. Le organizzazioni utilizzano spesso hashing e crittografia insieme per verificare che i dati siano autentici e inalterati.
Qual è la differenza tra firme digitali e crittografia dei dati?
Le firme digitali sono uno strumento per verificare l’autenticità di un mittente. Le firme digitali utilizzano sia la crittografia dei dati a chiave pubblica che l’hashing.
Le firme digitali funzionano attraverso il seguente processo:
- Un mittente crea un hash dei propri dati per dimostrare che sono autentici e inalterati.
- Il mittente crittografa quindi tale hash per creare una firma digitale.
- Il destinatario riceve i dati insieme alla firma associata. Eseguono la chiave di decrittografia sulla firma e generano un nuovo hash dei dati da confrontare con l’originale decrittografato.
Se entrambi gli hash corrispondono, il destinatario può essere sicuro che il mittente identificato ha inviato i dati e che non si è verificata alcuna alterazione nella trasmissione.
Quali sono gli standard comuni di crittografia dei dati?
Lo standard di crittografia simmetrica oggi più diffuso è l’Advanced Encryption Standard (AES), e gran parte del traffico internet mondiale è protetto proprio tramite AES. Lo standard asimmetrico più comune è il Rivest-Shamir-Adleman (RSA). Rispetto ad AES, RSA richiede maggiori risorse computazionali ed è quindi impiegato più spesso per cifrare piccole quantità di dati, come le firme digitali.
AES e RSA possono essere utilizzati in combinazione. RSA, essendo più efficiente con piccoli volumi di dati, può servire a cifrare le chiavi AES impiegate nelle comunicazioni ad alto traffico protette da crittografia simmetrica.
Advanced Encryption Standard (AES)
AES è una specifica per la crittografia simmetrica stabilita nel 2001 dagli Stati Uniti. U.S. National Institute of Standards and Technology (NIST). AES utilizza un algoritmo di crittografia sviluppato dai crittografi Joan Daemen e Vincent Rijmen e supporta chiavi di crittografia di dimensioni di 128 o 256 bit (note come AES-128 e AES-256).
RSA
Il nome di RSA deriva dagli scienziati del MIT che lo svilupparono nel 1977: Rivest, Shamir e Adleman. RSA si basa su coppie di grandi numeri primi generati segretamente per creare chiavi private e pubbliche. Il modello di cifratura di RSA si fonda sul cosiddetto “problema della fattorizzazione”: non esiste un metodo computazionalmente efficiente per decodificare i fattori primi di numeri eccezionalmente grandi, come quelli utilizzati per generare chiavi RSA.
Data Encryption Standard (DES)
Il Data Encryption Standard (DES) è uno standard di crittografia più datato, ritirato dal NIST nel 2002 a favore di AES. Utilizza una chiave a 56 bit per crittografare i dati in blocchi a 64 bit, che i ricercatori hanno scoperto essere soggetti ad attacchi di forza bruta. Sebbene vulnerabile alle moderne tecniche di accesso e alle violazioni dei dati, il DES è ancora oggi utilizzato nei sistemi legacy.
Quali aspetti considerare nella scelta di una tecnica di crittografia dei dati?
Le tecniche di crittografia dei dati scelte non devono servire solo a proteggere le informazioni. Queste tecniche devono essere in linea con gli obiettivi aziendali e rispettare i requisiti normativi.
Ecco quattro fattori da tenere in considerazione nella scelta delle tecniche di cifratura più adatte alla tua organizzazione.
Valutare la sensibilità degli asset
Non tutti i dati richiedono la stessa sicurezza. I dati sensibili possono richiedere una crittografia completa end-to-end. I dati meno sensibili possono richiedere una crittografia ridotta o assente.
Comprendere l’ambiente di sicurezza
Alcune organizzazioni sono potenziali obiettivi nel loro complesso, come istituzioni finanziarie o agenzie governative. Altri, come le società di app, potrebbero avere una quantità minima di dati a riposo sulla propria infrastruttura, il che potrebbe rappresentare un rischio per la sicurezza. Seleziona le tecniche appropriate al profilo di rischio di ogni set di risorse digitali all’interno della tua organizzazione.
Usare standard moderni
Non tutti gli algoritmi di crittografia offrono lo stesso livello di protezione. Il DES, il suo 3DES derivato e altri standard precedenti in genere non sono in grado di proteggere dagli attacchi moderni. Cerca servizi di crittografia che utilizzino gli standard attuali, come la crittografia AES-256 e RSA con chiavi a 2048 bit.
Soddisfare i requisiti di conformità
Molti settori e giurisdizioni hanno normative specifiche che richiedono la crittografia per proteggere i dati sensibili. Ad esempio, il PCI-DSS impone alle organizzazioni di elaborare e trasmettere in modo sicuro i dati delle carte di credito dei consumatori.
In che modo AWS può contribuire ai requisiti di crittografia dei dati?
AWS offre una gamma di servizi per supportare la crittografia e la gestione delle chiavi basate su cloud.
AWS CloudHSM consente di generare e utilizzare chiavi crittografiche su istanze dedicate HSM (Federal Information Processing Standards) 140-2 di livello 3. AWS CloudHSM promuove la conformità utilizzando istanze HSM single-tenant di proprietà del cliente eseguite nel tuo cloud privato virtuale (VPC).
Il servizio AWS di gestione delle chiavi (AWS KMS) consente di creare e controllare le chiavi utilizzate per crittografare i dati all’interno delle applicazioni. AWS KMS utilizza la libreria di crittografia dei dati SDK di crittografia AWS (kit di sviluppo software).
AWS Payment Cryptography semplifica le operazioni di crittografia in applicazioni di pagamento ospitate nel cloud.
AWS Secrets Manager crittografa le chiavi segrete su disco con chiavi di crittografia gestibili manualmente tramite AWS KMS.
Inizia a usare la crittografia dei dati su AWS creando un account gratuito oggi stesso.