Cifrare i dati è un buon metodo per proteggere le informazioni sensibili dalla lettura da parte di persone non autorizzate.
Cosa è la cifratura?
In termini molto semplici, la cifratura è una modalità di conversione del testo di partenza in una sequenza apparentemente casuale di lettere, numeri e caratteri speciali che solo la persona in possesso della corretta chiave di decifratura possa riconvertire nel testo originale.
La crittografia asimmetrica
La crittografia asimmetrica si basa su un algoritmo matematico che serve a cifrare un testo in modo da renderlo assolutamente incomprensibile a tutti salvo al destinatario, nonché di “autenticare” il testo stesso, apponendovi una firma digitale che è garanzia di certezza in merito alla provenienza del documento e alla sua integrità: il grado di tale certezza, se non assoluto, è comunque di gran lunga superiore a quello derivante dalla sottoscrizione di un documento cartaceo. L’algoritmo “de quo” è il notissimo RSA (dal nome dei suoi inventori: Rivest, Shamir e Adleman), ritenuto in tutto il mondo scientifico di massima affidabilità, è pressoché inviolabile allo stato delle attuali conoscenze.
Il software PGP
Ideato da Philip Zimmermann, il “Pretty Good Privacy”, brevemente PGP, software universalmente riconosciuto per la sua affidabilità, si basa su due chiavi, una detta pubblica e una detta privata. Si generano dapprima elettronicamente una coppia di chiavi: una privata, che bisogna conservare gelosamente, ed un’altra pubblica, che verrà distribuita agli utenti desiderati con cui scambiare la corrispondenza. In sostanza conoscere la chiave pubblica di qualcuno non aiuta a violare l’autenticità dei suoi documenti, poiché occorrerebbe conoscere anche la sua chiave segreta: le due chiavi sono indipendenti, e proprio per questo il sistema è anche definito “asimmetrico”, per distinguerlo da quello simmetrico in cui la stessa chiave viene usata per cifrare e decifrare, il che non consentirebbe alcuna certezza in termini giuridici.
Quale è la differenza tra la cifratura a chiave pubblica e le firma digitale di un documento?
Ambedue necessitano di un software del tipo PGP e di una coppia di chiavi che possono essere prodotte dal software stesso in base ad una password e ad altri elementi casuali.
Lo scopo della cifratura è la riservatezza, solo chi è autorizzato può leggere il documento, mentre quello della firma digitale è l’integrità e l’autenticità, cioè che il mittente ed il contenuto del messaggio non siano stati alterati durante la trasmissione. Sebbene la firma digitale e la cifratura possano essere usate separatamente, questi due processi possono coesistere aumentando il livello di sicurezza.
Come funziona la cifratura e la firma digitale a chiave pubblica?
Innanzitutto è necessario ottenere la chiave pubblica della persona con cui dobbiamo scambiare posta elettronica cifrata. Se invece otteniamo la chiave pubblica da un server pubblico, è raccomandabile contattare la persona direttamente per avere conferma del “fingerprint”.
Supponendo che A voglia trasmettere a B un testo che vuole mantenere riservato, A dovrà cifrare il documento utilizzando la chiave pubblica di B. La riservatezza è garantita dal fatto che solo B è in grado di decifrare il messaggio utilizzando la propria chiave privata. Per “autenticare” un messaggio con la “firma digitale”, A utilizza la sua chiave privata per firmare il messaggio che può essere autenticato utilizzando la chiave pubblica di A; questo garantisce che il messaggio è stato creato da A e non è stato manipolato durante la trasmissione.
Naturalmente, combinando le due modalità si può ottenere sia l’autenticazione del messaggio che la confidenzialità della trasmissione.
Il messaggio viene prima autenticato con la chiave privata di A e successivamente crittografato usando la chiave pubblica di B.
Il testo risultante può essere decrittato solo da B, mediante la sua chiave privata, e successivamente autenticato utilizzando la chiave pubblica di A.