La crittografia e le chiavi crittografiche dovrebbero essere uno dei capisaldi attorno al quale erigere le politiche aziendali di cyber security. Questo perché, se ridotta all’essenziale, la sicurezza è la protezione del dato e poche tecniche come la crittografia consentono di tutelarlo al meglio.
Non è un caso che l’articolo 21 della Direttiva NIS2 si concentri anche sull’uso della crittografia alla quale il mercato sta dedicando particolare attenzione per garantirne l’impiego futuro sfruttando anche le potenzialità del quantum computing.
Nonostante ciò, il discorso non si esaurisce con la crittografia tout-court, ci sono diverse variabili di cui tenere conto e queste comprendono anche le chiavi crittografiche che vanno a loro volta protette e gestite.
Indice degli argomenti
La gestione delle chiavi crittografiche
L’obiettivo della crittografia è quello di rendere leggibili i dati solo alle parti autorizzate, ovvero chi ha le chiavi utili a decifrarli. Ciò significa che chiunque sia in possesso delle opportune chiavi ha di fatto accesso alle informazioni crittografate.
Le chiavi crittografiche hanno un ciclo di vita che include la loro generazione, l’archiviazione, la rotazione e la rimozione.
Non va dimenticato che la protezione dei dati corrisponde anche alla protezione della reputazione di un’organizzazione e, pure da questo punto di vista, la gestione delle chiavi crittografiche diventa questione di efficacia e fiducia.
L’uso della crittografia si suddivide principalmente in tre tipi di tecniche, in ognuna delle quali le chiavi giocano un ruolo diverso.
Le principali chiavi
Le chiavi simmetriche fanno riferimento all’uso della medesima chiave per crittografare e decriptare i dati. Hanno un vantaggio pratico nella rapidità, sono infatti indicate per le comunicazioni in tempo reale ma anche per l’accesso a risorse Big data. Va però considerato che chi fosse in possesso della chiave avrebbe accesso ai dati che questa è deputata a proteggere.
La crittografia asimmetrica fa leva sulla logica delle coppie di chiavi pubbliche e private: la chiave pubblica crittografa i dati e quella privata li decripta. Viene meno la necessità di condividere una medesima chiave ma ciò comporta una lentezza relativa rispetto alla crittografia simmetrica. Trova ragione d’essere laddove è necessario stabilire comunicazioni su reti non certificate come affidabili.
Le chiavi hash, infine, verificano l’integrità e l’autenticità dei dati senza crittografarli in modo diretto.
I sistemi di gestione delle chiavi
Qui prendiamo in analisi i sistemi esterni. Il mercato offre una quantità di metodi per la gestione delle chiavi, siano questi software oppure fisici.
Infatti, tra i sistemi più diffusi, figurano i cosiddetti HSM, (Hardware Security Module) ossia dispositivi fisici i quali, oltre a gestire la creazione e l’archiviazione delle chiavi, eseguono compiti di crittografia. Tutto ciò avviene in un ambiente protetto e controllato direttamente da chi possiede il dispositivo.
Ci sono versioni software che emulano il concetto degli HSM e, in luogo dei dispositivi fisici, mettono a disposizione sistemi di gestione virtuale delle chiavi. Sono spesso usati per l’accesso alle risorse cloud.
I Software KMS, pure utilizzati in larga misura per l’accesso al cloud, offrono il controllo centralizzato dell’intero ciclo di vita delle chiavi, integrandosi peraltro con un numero crescente di applicazioni. Parallelamente, le soluzioni KMaaS, ricalcano il medesimo principio ma fornendo ai clienti delle soluzioni in abbonamento con una formula As a Service.
Anche osservando le tante offerte sul mercato, appare evidente che la gestione delle chiavi non è argomento da prendere sottogamba e che, al contrario, richieda un uso attento e non lasciato al caso.
I rischi della malagestione delle chiavi
La gestione delle chiavi crittografiche è vitale quanto lo è la crittografia e merita una pianificazione puntuale. Ci sono quindi degli aspetti che vanno considerati per evitare errori le cui conseguenze possono essere deleterie:
- Robustezza delle chiavi: evitare l’uso di algoritmi non più attuali.
- Archiviazione: anche le chiavi archiviate devono essere protette e non lasciate a riposo in chiaro.
- Reimpiego delle chiavi: in caso di compromissione di una o più chiavi, il loro riutilizzo rappresenta una falla per la protezione dei dati. Questo porta anche alla necessità di una corretta distruzione delle chiavi, proprio per impedirne il riutilizzo.
- Rotazione: la rotazione delle chiavi le rende meno esposte e quindi meno appetibili per i criminal hacker.
Le organizzazioni che fanno ricorso a tecniche di crittografia devono comunque monitorare le attività a queste associate, non basta la protezione dei dati, resta sempre valida la necessità di rilevare eventuali usi non autorizzati.
La conformità
La crittografia – e di conseguenza le chiavi crittografiche – assolve anche compiti di conformità (la compliance).
L’articolo 32 del GDPR cita la crittografia tra le tecniche che il titolare o il responsabile del trattamento dei dati devono attuare per tutelare i dati personali.
NIS 2 e GDPR appoggiano la crittografia e ne incentivano l’uso. Non ci sono più ragioni né motivi validi per farne a meno e ciò significa anche adottare politiche sane e lungimiranti nella gestione delle chiavi per garantirne la piena efficacia.
