Processi crittografici: una panoramica

Il numero degli spostamenti, secondo il quale venivano spostati i simboli, possono essere intesi in questo caso come la chiave della cifratura. Questo non veniva indicato in numeri, bensì con la lettera corrispondente dell’alfabeto. Uno spostamento di tre posizioni, corrispondeva dunque alla chiave “C”.

Mentre il principio dietro al cifrario di Cesare è relativamente facile da intuire, le cifrature moderne si basano oggi su funzioni matematiche complesse, i cosiddetti algoritmi, che combinano più sostituzioni e trasmutazioni e che vengono parametrizzate tramite la chiave sotto forma di password o codici binari. Questi procedimenti rappresentano chiaramente grossi ostacoli per i crittografi. Molti dei sistemi crittografici stabiliti risultano indecifrabili con i mezzi disponibili al giorno d’oggi.

Qualunque procedimento crittografico si basa su due componenti: un algoritmo crittografico e almeno una chiave segreta. Mentre l’algoritmo descrive la metodologia crittografica, come ad esempio lo “spostamento delle lettere lungo l’ordine di successione dell’alfabeto”, la chiave definisce il parametro, ad esempio “C = tre posizioni”. Una crittografia può dunque essere definita come procedura quando un algoritmo crittografico fornisce il testo in chiaro ed una chiave, e come risultato finale si ottiene un testo segreto.

Nei processi crittografici moderni le chiavi digitali vengono utilizzate sotto forma di stringhe di bit. Un criterio essenziale per la sicurezza della crittografia è la lunghezza in bit della chiave. Questa determina la misura logaritmica per il numero delle possibili combinazioni di chiavi; a questo proposito si parla anche di spazio delle chiavi. Maggiore è lo spazio delle chiavi, più resistente sarà la cifratura contro gli attacchi di forza bruta; ovvero una metodologia di decifratura che si basa sul tentare tutte le possibili combinazioni.

Con il cifrario di Cesare ad esempio, dove lo spazio di chiavi è di 25 possibilità, gli attacchi di forza bruta hanno vita facile, essendo la lunghezza della chiave minore di 5 bit. Chiunque voglia dunque decodificare tale crittografia dovrà solamente tentare un massimo di 25 combinazioni per venire in possesso del testo in chiaro. Perciò il cifrario di Cesare non rappresenta realmente un ostacolo. I cifrari moderni al contrario utilizzano chiavi che offrono invece molte più combinazioni. L’Advanced Encryption Standard (AES) ad esempio dà la possibilità di scegliere tra chiavi di lunghezza di 128, 192 o 256 bit; lo spazio di chiavi del procedimento scelto sarà quindi proporzionalmente grande.

Già con una crittografia a 128 bit si avranno 2128 possibilità, che corrispondono a più di 340 sestilioni di possibili combinazioni. Se invece si utilizza la crittografia AES a 256 bit, il numero delle possibili chiavi sarà di più di 115 dodiciliardi. Anche disponendo dell’attrezzatura tecnica adatta, ci vorrebbe un’eternità per provare tutte le possibili combinazioni. Con la tecnologia a disposizione gli attacchi di forza bruta risulterebbero impraticabili nello spazio di chiavi AES. Sarebbe infatti necessario un computer cluster di un bilione di computer, dei quali ognuno dovrebbe provare un bilione di chiavi al secondo, e nonostante ciò servirebbero ancora 10 milioni di anni per mettere alla prova tutte le possibili combinazioni e riuscire così a decodificare una cifratura a 128 bit.

Dato le lunghezze delle chiavi comunemente utilizzate oggi, gli attacchi di forza bruta non rappresentano una minaccia seria per i moderni processi crittografici. Infatti i crittografi cercano oggigiorno delle vulnerabilità nell’algoritmo, le quali consentirebbero di ridurre i tempi di calcolo per la decodifica di dati cifrati. Un altro approccio è quello di concentrarsi sui cosiddetti canali laterali, che prendono di mira l’implementazione di un sistema crittografico in un dispositivo o in un software. La segretezza di un cifrario diventa dunque controproducente per la sua stessa sicurezza.

Perciò il principio di Kerckhoffs, invece che basare la sicurezza di un sistema crittografico sulla segretezza dell’algoritmo, si basa su quella della chiave utilizzata. Auguste Kerckhoffs, già nel 1883, formulò uno dei principi fondamentali della moderna crittografia: per codificare in maniera affidabile un testo in chiaro, basterà corredare un procedimento conosciuto e ben definito con dei parametri segreti. Questa ipotesi è sostanzialmente rimasta immutata fino ad oggi.

Come tanti altri settori dell’ingegneria del software, anche alla base dello sviluppo dei meccanismi di codifica vi è l’ipotesi che l’open source non vada a discapito della sicurezza. L’utilizzo del principio di Kerckhoffs porta con sé tanti altri benefici, ovvero permette di scoprire più velocemente le falle negli algoritmi crittografici, poiché appositi processi hanno sempre addosso l’occhio critico degli esperti.

Gli utenti finali che vogliono cifrare o decifrare dei dati, non vengono solitamente a contatto con le chiavi, bensì utilizzano una stringa di più facile gestione: la password. Le password sicure hanno tra gli 8 e i 12 caratteri, formano una combinazione di cifre, numeri e caratteri speciali e hanno, al contrario delle stringhe di bit, un vantaggio decisivo, cioè quello che le password possono essere tenute a mente, senza eccessiva fatica, anche dagli uomini.

In quanto chiavi, le password sono inadatte all’utilizzo nell’ambito della cifratura, a causa della loro lunghezza insufficiente. Molti cifrari contengono perciò una tappa intermedia: la password della lunghezza che si preferisce viene convertita a seconda del sistema crittografico in una stringa di bit corrispondente. Altrimenti esistono anche procedimenti tramite i quali vengono generate chiavi in maniera del tutto casuale a seconda delle possibilità tecniche a disposizione.

Un metodo comunemente utilizzato per ottenere delle chiavi da password, è rappresentato dalla PBKDF2 (Password-Based Key Derivation Function 2). Nell’ambito di questo procedimento le password vengono integrate con una stringa pseudocasuale, il cosiddetto sale, e tramite una funzione crittografica di hash, vengono conseguentemente commutate in stringhe di bit della lunghezza desiderata.

Le funzioni di hash sono una funzione unidirezionale, ovvero calcoli comparabilmente facili da effettuare, ma che presentano non poche difficoltà per essere ripercorsi nel verso opposto. In crittografia un processo viene definito sicuro, quando a diversi documenti vengono assegnati diversi hash. Le password che vengono commutate in chiavi grazie all’utilizzo di funzioni unidirezionali, e sono dunque ricostruibili (se lo sono) solo con un considerevole processo di calcolo. Un paragone calzante potrebbe essere quello della ricerca in una rubrica telefonica: mentre risulta semplice trovare un determinato numero di telefono se si conosce il nome dell’intestatario, può risultare un problema irrisolvibile la ricerca di un nome avendo a disposizione solamente il numero di telefono.

La computazione matematica nel caso dell’utilizzo del PBKDF2 viene effettuata in numerose iterazioni, ovvero ripetizioni, al fine di proteggere la chiave generata in questo modo dagli attacchi di forza bruta. Il sale aumenta l’impegno necessario per la ricostruzione di una password sulla base di tabelle arcobaleno. La tabella arcobaleno è uno schema di attacco, tramite il quale i crittografi riescono ad ottenere una password sconosciuta partendo dai valori hash salvati.

Ulteriori procedimenti password-hashing sono scrypt, bcrypt e LM-Hash. Quest’ultimo tuttavia è da considerarsi obsoleto e poco sicuro.

Un problema centrale della crittografia è la questione su come far sì che delle informazioni possano essere codificate in un luogo e decodificate in un altro luogo differente. Giulio Cesare, già all’epoca, dovette confrontarsi con il problema della trasmissione delle chiavi. Ogni qualvolta il generale desiderasse inviare una comunicazione criptata da Roma al fronte germanico, egli doveva assicurarsi che il destinatario fosse nella condizione di decifrare il messaggio segreto. L’unica soluzione possibile era la seguente, cioè che sia il testo segreto, sia la chiave per decifrarlo fossero comunicate tramite un messaggero. Ma come fare in modo che la trasmissione della chiave potesse avvenire senza il rischio che andasse a finire nelle mani di terzi?

La medesima domanda mette alla prova i crittografi ancora oggi nell’ambito della trasmissione di dati cifrati in Internet. Le proposte per la soluzione di questo problema sono confluite nello sviluppo di diversi sistemi crittografici e protocolli di scambio delle chiavi. Il problema di trasmissione delle chiavi di sistemi crittografici simmetrici può essere inteso come la motivazione principale per lo sviluppo di cifrari asimmetrici.

Nella crittografia moderna si distingue generalmente tra cifrari simmetrici e asimmetrici. La classificazione dipende dall’utilizzo che viene fatto delle chiavi.

Nei sistemi crittografici simmetrici, la stessa chiave viene utilizzata sia per la codifica che per la decodifica di dati cifrati. Se due parti in comunicazione vogliono scambiarsi dei dati cifrati, dev’essere trovato un modo per trasmettere la chiave segreta comune senza comprometterne la segretezza. Al contrario, nei sistemi crittografici asimmetrici, ognuna delle due parti produce la propria coppia di chiavi: una chiave pubblica, chiamata Public Key, e una privata, Private Key.

Se invece viene utilizzata una combinazioni di cifrari simmetrici ed asimmetrici, allora si parlerà di un cifrario ibrido.

Fino agli anni settanta, la cifratura di informazioni si basava su sistemi crittografici simmetrici, le cui origini risalivano agli antichi procedimenti, come quello utilizzato da Giulio Cesare. Il principio alla base della cifratura simmetrica è che la cifratura e la decifratura avvengono entrambi grazie ad una stessa chiave. Se due parti vogliono comunicare in maniera cifrata, sia il mittente sia il destinatario devono disporre di una copia della chiave comune. Al fine di proteggere informazioni cifrate dagli attacchi di terzi, la chiave simmetrica va tenuta segreta. Si parla perciò di una crittografia a chiave privata.

Mentre i cifrari simmetrici classici lavorano sul livello delle lettere per trasformare il testo in chiaro in testo segreto, la cifratura dei sistemi crittografici assistiti da computer lavora sul livello dei bit. Si differenziano in questo caso due diversi tipi di cifrari: il cifrario a flusso, anche riferito come cifrario a caratteri, e il cifrario a blocchi.

• Cifrario a flusso o a caratteri: ogni carattere, ovvero bit, del testo in chiaro viene collegato ad un carattere o bit differente, derivante dal flusso di chiavi in uso; viene così convertito in un carattere cifrato.

• Cifrario a blocchi: i simboli o bit da cifrare vengono raggruppati in blocchi di lunghezza fissa e trasformati perciò in un testo cifrato, ugualmente di lunghezza fissa.

I comuni metodi di cifratura dei sistemi crittografici simmetrici sono operazione di facilità comparabile a quella dei cifrari a sostituzione e a trasposizione, i quali vengono utilizzati in combinazione e in cicli consecutivi (iterazioni), per i moderni procedimenti di cifratura dei testi in chiaro. Nei moderni algoritmi di cifratura simmetrici viene inoltre integrata l’aritmetica modulare assieme ad addizioni, moltiplicazioni e alle operazioni bit a bit XOR.

Tra i cifrari simmetrici più conosciuti vi sono anche il già superato Data Encryption Standard (DES) e il suo successore Advanced Encryption Standard (AES).

Negli anni novanta divenne palese che lo standard crittografico più utilizzato fino a quel momento, il DES, non era più all’altezza dello sviluppo tecnico; un nuovo standard era dunque necessario. Per questo motivo si stabilì come successore l’algoritmo Rijndael, il cui nome deriva dai suoi sviluppatori Vincent Rijmen e Joan Daemen. Questo algoritmo è un procedimento, che per via della sicurezza, flessibilità e performance venne utilizzato per un bando pubblico e successivamente, alla fine del 2000, certificato dal NIST come Advanced Encryption Standard (AES).

Anche AES suddivide il testo in chiaro da cifrare in blocchi, dunque entrambi questi due sistemi crittografici sono basati su un cifrario a blocchi. Lo standard AES supporta le chiavi a 128, 192 e a 256 bit. Invece che blocchi da 64 bit, con AES, i blocchi sono chiaramente più grandi, difatti vengono utilizzati i blocchi a 128 bit, i quali vengono cifrati secondo cicli consecutivi, grazie all’aiuto di una rete a sostituzione e permutazione (SPN). Anche il successore del DES utilizza una nuova chiave ad ogni ciclo, che deriva ricorsivamente dalla chiave in uscita, la quale viene collegata al blocco di dati da cifrare con un’operazione di XOR. Lo svolgimento della cifratura può essere grossolanamente riportato nei seguenti quattro passaggi: 

1. Espansione della chiave: come con DES, AES utilizza una nuova chiave di sessione ad ogni combinazione. Questa viene derivata dalla chiave in uscita tramite la ricorsività. In questo modo la chiave in uscita viene espansa in lunghezza, permettendo così di portare il numero delle sottochiavi a 128 bit. Ogni chiave di sessione si basa su di un segmento della chiave in uscita espansa. Il numero delle sottochiavi necessarie ammonta al numero dei cicli di cifratura (R) più una chiave di sessione per il preciclo (numero delle chiavi = R + 1).

2. Preciclo: nel preciclo viene riportato il blocco di partenza a 128 bit in una tabella bidimensionale (array) e viene connesso con la chiave di sessione tramite un’operazione di XOR (KeyAddition). La tabella si compone di 4 righe e 4 colonne, ed ogni cella contiene un byte (unità di misura corrispondente ad 8 bit) del blocco da criptare.

3. Cicli di cifratura: il numero dei cicli dipende dalla lunghezza di chiavi utilizzata: 10 cicli con l’AES128, 12 cicli con l’AES192 e 14 cicli con l’AES256. In ogni ciclo vengono compiute le seguenti operazioni:

• SubBytes: i SubBytes si trovano nella fase in cui avviene una sostituzione monoalfabetica. Ogni byte del blocco da criptare viene sostituito con un equivalente tramite le scatole di sostituzione.

• ShiftRows: la ShiftRow è invece una fase di trasformazione nella quale i byte vengono spostati ciclicamente verso sinistra nelle celle dell’array (vedi preciclo).

• MixColumns: anche questa è una fase di trasformazione; i dati all’interno delle colonne dell’Array vengono mescolati. Questo passaggio si basa su un nuovo conteggio di ogni singola cella. Inoltre le colonne dell’array vengono moltiplicati per la matrice e il risultato collegato tramite XOR.

• KeyAddition: Alla fine di ogni ciclo avviene un’ulteriore KeyAddition (espansione). Questo, come nel preciclo, si basa su un collegamento XOR del blocco dati con la chiave di sessione.

4. Ciclo finale: si tratta dell’ultimo ciclo crittografico. Diversamente dai cicli precedenti, l’ultimo ciclo salta la fase di mescolamento delle colonne (MixColumns). Al termine di questo ciclo si ottiene il testo segreto.

La decodifica dei dati cifrati secondo lo standard AES avviene tramite l’utilizzo dello stesso algoritmo di cifratura e fa riferimento sia ai vari passaggi sopra indicati sia alle operazioni ShiftRow, MixColumns e SubBytes, la cui direzione viene però invertita.

AES, grazie al suo algoritmo, garantisce un’elevata sicurezza. Tutt’ora non è conosciuto alcun attacco capace di decifrare i dati cifrati con questo procedimento. Gli attacchi di forza bruta risultano del tutto inefficaci a partire da una lunghezza delle chiavi di 128 bit. Dunque le operazioni ShiftRows e MixColumns offrono un mix di bit ottimale: alla fine dei conti ogni bit è dipendente dalla chiave. Questo sistema crittografico risulta quindi convincente per la sua facile implementazione e per l’alta velocità di criptazione. L’AES viene utilizzato nei cifrari delle WPA2, SSH e IPSec, oltre ad altri. In aggiunta a questi, l’algoritmo viene usato per la crittografia di archivi di file quali 7-Zip e RAR.

Tuttavia la sicurezza dei dati cifrati con lo standard AES è mantenuta fin quando la chiave rimane segreta. Venendo utilizzata la medesima chiave sia in fase di codifica sia in fase di decodifica, il sistema crittografico AES, così come qualunque altro cifrario simmetrico, è soggetto al problema di trasmissione della chiave. L’utilizzo sicuro dell’AES si limita dunque ai campi di utilizzo che non richiedono alcuna trasmissione di chiave o che permettono la trasmissione di quest’ultima tramite un canale sicuro.

Ad ogni modo le comunicazioni cifrate in Internet richiedono che i dati siano criptati su di un computer e decriptati su un computer differente. È per questo che vengono solitamente utilizzati sistemi crittografici asimmetrici, i quali permettono lo scambio in totale sicurezza delle chiavi simmetriche o che funzionano anche senza dover trasmettere alcuna chiave comune.

Come alternativa ad AES vi sono altri cifrari simmetrici a blocchi, come MARS, RC6, Serpent e Twofish; tutti questi erano i finalisti del bando per diventare il nuovo AES, al fianco dell’algoritmo Rijndael. Anche Blowfish, il predecessore di Twofish, è tuttora in uso. Merita considerazione anche il cifrario a flusso Salsa20, sviluppato nel 2005 da Daniel J. Bernstein, e finalista del progetto europeo eSTREAM.

L’algoritmo RSA vale come uno dei processi a chiave pubblica più sicuri e meglio definiti. L’idea di realizzare una codifica tramite una chiave di cifratura pubblica e una chiave di decifratura segreta è da attribuirsi ai crittografi Whitfield Diffie e Martin Hellman. Questo processo, pubblicato nel 1976 con il nome di scambio di chiavi Diffie-Hellman, permette a due interlocutori di accordarsi su una chiave segreta tramite un canale non sicuro. Per poterlo realizzare, hanno usato l’algoritmo del puzzle come base di partenza, sviluppato da Ralph Merkle. Infatti questo processo può anche essere identificato come lo scambio di chiavi Diffie-Hellman-Merkle (DHM).

Per questo algoritmo i crittografi utilizzarono funzioni unidirezionali matematiche, che sebbene siano semplici da utilizzare, sono invertibili solo con un considerevole sforzo di calcolo computistico. Questo processo per lo scambio delle chiavi è tutt’ora in utilizzo per l’intercambio di chiavi nell’ambito dei sistemi crittografici simmetrici. Un ulteriore merito del duo di ricercatori è rappresentato dal concetto di trabocchetto. Già dalla pubblicazione dello scambio di chiavi Diffie-Hellman erano state incluse delle scorciatoie nascoste, con lo scopo di rendere possibile l’inversione delle funzioni unidirezionali in minor tempo. Al tempo Diffie e Hellman non diedero indicazioni concrete, ma con la teoria del trabocchetto hanno spinto molti altri crittografi ad indagare sulle sue possibilità.

Gli stessi Rivest, Shamir e Adleman si misero alla ricerca di scorciatoie per le funzioni unidirezionali, originariamente spinti dalla motivazione di confutare la teoria del trabocchetto. Ma com’è chiaro, la loro ricerca si sviluppò in un’altra direzione e sfociò in quello che poi diventò il processo crittografico che prende appunto il loro nome. Ad oggi RSA è considerato il primo algoritmo scientificamente pubblicato che consente la trasmissione di dati cifrati senza che avvenga lo scambio di una chiave segreta.

Con RSA viene impiegato un algoritmo che si basa sulla moltiplicazione di numeri primi di grandi dimensioni. Mentre in generale la moltiplicazione di due numeri primi con 100, 200 o 300 cifre non presenta grandi problemi, non esiste ancora alcun algoritmo funzionale, capace di ripercorrere un’operazione di questo tipo al contrario, ovvero di individuare i numeri primi che moltiplicati diano il risultato di partenza. La fattorizzazione dei numeri primi è spiegabile con un esempio:

Se si moltiplicano i numeri primi 14.629 e 30.491, si otterrà il prodotto 446.052.839. Questo numero ottenuto ha solamente quattro possibili divisori: 1; se stesso, ovvero 446.052.839; e i due numeri primi che moltiplicati lo danno come risultato. Escludendo i primi due, poiché qualunque numero è divisibile per uno e per se stesso, si ottengono dunque unicamente i valori 14.629 e 30.491.

Questo schema è alla base della produzione delle chiavi per l’algoritmo RSA. Sia la chiave pubblica sia la chiave privata sono una coppia di numeri:

Chiave pubblica: (e, N)

Chiave privata: (d, N)

N corrisponde al cosiddetto modulo RSA, che è contenuto in entrambe le chiavi e deriva dal prodotto di due numeri primi scelti e molto grandi: p e q (N = p x q).

Al fine di generare la chiave pubblica, è inoltre necessaria e, un numero scelto casualmente con delle date limitazioni. Se si combinano N ed e si otterrà la chiave pubblica, la quale sarà presente nel testo in chiaro di entrambi gli interlocutori.

Per generare invece la chiave privata, oltre ad N si necessita d. d corrisponde ad un valore derivante dai numeri primi, casualmente generati, p e q, così come dal numero casuale e, i quali vengono calcolati gli uni con gli altri sulla base della funzione phi di Eulero (φ).

Per poter garantire la sicurezza della codifica RSA è necessario che i numeri primi che vengono utilizzati nel calcolo della chiave privata, rimangano segreti. Il prodotto di entrambi i numeri primi, al contrario, può essere utilizzato nella chiave pubblica all’interno del testo in chiaro, questo poiché si dà per certo che oggigiorno non esista alcun algoritmo capace di scomporre, in tempo rilevante, il prodotto di numeri primi nei vari fattori; risulta quindi impossibile rintracciare p e q partendo da N. Alla luce di ciò è possibile abbreviare il calcolo: il trabocchetto rappresenta il valore d, il quale è noto solamente al proprietario della chiave privata.

La sicurezza dell’algoritmo RSA è in gran parte dipendente dall’avanzamento tecnico. La capacità di calcolo dei computer raddoppia all’incirca ogni due anni. Non è quindi da escludere che nel prossimo futuro sarà disponibile un efficiente processo per la scomposizione dei fattori primi nell’ordine di grandezza comunemente utilizzato attualmente. In questo caso RSA offre la possibilità di adattare l’algoritmo allo sviluppo tecnico, utilizzando per il calcolo numeri primi di grandezza ancora maggiore.

La vulnerabilità principale dei sistemi crittografici asimmetrici è l’autentificazione utente. Nei processi crittografici classici a chiave privata la chiave pubblica non è in nessun modo legata all’identità del suo utilizzatore. Dovesse una terza persona riuscire a spacciarsi come uno dei partecipanti di una trasmissione dati criptata grazie alla propria chiave pubblica, l’intero sistema crittografico verrebbe scardinato, senza neanche che l’algoritmo o una delle chiavi private di decifrazione vengano attaccati direttamente. Già nel 1984 Adi Shamir, co-sviluppatore dell’algoritmo RSA, propose perciò un cifrario asimmetrico basato su ID, in modo da tentare di compensare questa sua vulnerabilità.

Riguardo alla crittografia basata sull’identità, che in inglese sta per identity-based encryption (IBE), la produzione della chiave pubblica degli interlocutori non dipende dalla chiave privata, bensì deriva da un ID univoco. In base al contesto di utilizzo è possibile utilizzare a questo scopo un indirizzo e-mail o un dominio. In questo modo viene meno l’autentificazione delle chiavi pubbliche tramite il Certificate Authority, il cui posto viene preso dal Private Key Generator (PKG), il cosiddetto generatore di chiavi private. Si tratta di un algoritmo centrale, che mette il destinatario di un messaggio criptato nella condizione di esporre la chiave per la decifrazione legata alla propria identità.

La teoria del cifrario basato su ID risolve in questo modo un problema fondamentale dei sistemi crittografici asimmetrici, ma porta con sé due ulteriori falle di sicurezza. Il primo punto critico sorge dal quesito riguardante la trasmissione della chiave privata per la decifrazione dal generatore di chiavi private al destinatario della comunicazione crittografata, ovvero su come debba avvenire tale trasmissione. Si ripresenta così ancora una volta il problema relativo alla trasmissione delle chiavi.

L’altro ulteriore svantaggio del processo basato su ID è rappresentato dal fatto che il destinatario della comunicazione cifrata non sia l’unico ad essere a conoscenza della chiave di decriptazione; il che rende la chiave privata utilizzabile abusivamente e perciò tutt’altro che privata. Teoricamente il generatore di chiavi private è in grado di decifrare senza autorizzazione tutte le comunicazioni. Questo problema può agevolmente essere aggirato generando la coppia di chiavi direttamente sul proprio computer, tramite l’utilizzo di un software open source.

Il processo basato su ID più conosciuto è quello sviluppato da Dan Boneh e Matthew K. Franklin.

Per crittografia ibrida si intende la combinazioni di cifrari simmetrici e asimmetrici nell’ambito della trasmissione dati su Internet. L’obiettivo di questa combinazione è quello di compensare le vulnerabilità presenti in un sistema con i punti di forza dell’altro sistema.

I cifrari simmetrici come AES risultano sicuri secondo gli standard tecnici odierni e permettono anche l’elaborazione di grandi quantitativi di dati in maniera rapida ed efficiente. Il design dell’algoritmo su base di una chiave privata comune, la quale deve essere scambiata in assoluta sicurezza tra il mittente e il destinatario di una comunicazione cifrata, pone tuttavia gli utilizzatori dei processi simmetrici dinanzi al problema della trasmissione delle chiavi, il quale può però essere risolto attraverso i sistemi asimmetrici. I processi come RSA si basano su una separazione netta delle chiavi pubbliche e private, permettendo così di aggirare alla base il problema della trasmissione.

Una protezione affidabile contro le crittoanalisi viene offerta dall’algoritmo RSA, ma solamente nel caso in cui la lunghezza delle chiavi sia di almeno 1.976bit. Questo risulta in lunghi processi di calcolo, che disqualificano l’algoritmo per la codifica e decodifica di grandi quantità di dati. Inoltre le dimensioni del testo segreto da trasmettere, codificato tramite l’algoritmo RSA, sono decisamente maggiori rispetto al testo in chiaro originale.

Per ciò che riguarda i processi di codifica ibridi, gli algoritmi asimmetrici non vengono utilizzati per la codifica di dati utenti, bensì per la trasmissione di una chiave di sessione simmetrica, al fine di assicurarne la trasmissione protetta tramite un canale pubblico. Così facendo ci si assicura la possibilità di decifrare un testo segreto efficientemente codificato tramite algoritmi simmetrici.

Il procedimento di una codifica ibrida è suddivisibile nei tre seguenti passaggi:

1. Amministrazione della chiave: nei processi ibridi la codifica simmetrica di una comunicazione viene inclusa all’interno di un processo asimmetrico. In tali processi è necessario generare sia chiavi simmetriche che asimmetriche:

• Prima di giungere al passaggio della trasmissione dei dati, entrambi gli interlocutori producono innanzitutto una coppia di chiavi asimmetriche: una chiave pubblica ed una privata. Successivamente avviene lo scambio delle chiavi pubbliche, nel migliore dei casi reso sicuro grazie ad un meccanismo di autentificazione. La coppia di chiavi asimmetriche serve per la codifica e la decodifica di una chiave di sessione simmetrica e viene normalmente utilizzata più volte.

• La codifica e decodifica di un testo in chiaro avviene sulla base di una chiave di sessione simmetrica. Questa viene generata nuovamente dal mittente ad ogni processo di codifica.

2. Codifica: nel caso in cui una comunicazione debba essere trasmessa tramite Internet in maniera sicura, il mittente emette innanzitutto una chiave di sessione simmetrica, con la quale saranno poi cifrati i dati in questione. Una volta terminato questo passaggio, entra in gioco la chiave pubblica del destinatario. Questa serve alla codifica asimmetrica della chiave di sessione. Sia i dati utente sia la chiave simmetrica saranno a questo punto cifrati e potranno essere inviati senza preoccupazioni.

3. Decodifica: una volta arrivato al destinatario il testo segreto e la chiave di sessione cifrata, il destinatario userà la propria chiave privata per decifrare asimmetricamente la chiave di sessione. Questa verrà in seguito utilizzata per decifrare i dati utenti simmetricamente codificati.

Seguendo questo schema è possibile realizzare un efficace processo di crittografia, con il quale è possibile codificare e decodificare autonomamente grandi quantità di dati utente in modo rapido e sicuro. Dato che solamente una chiave di sessione viene cifrata asimmetricamente, la complessità di calcolo e la derivante lentezza di codifica degli algoritmi asimmetrici non è un fattore rilevante nella cifratura ibrida. Il problema della trasmissione della chiave dei cifrari simmetrici viene invece ridotto, grazie alla cifratura asimmetrica della chiave di sessione, al problema relativo all’autentificazione dell’utente, che a sua volta è risolvibile attraverso l’utilizzo di cifrari asimmetrici puri, utilizzando firme e certificati digitali.

I processi ibridi vengono utilizzati sotto forma di IPSec, con il quale è possibile trasmettere comunicazioni in totale sicurezza anche tramite reti IP non sicure. Anche l’Hypertext Transfer Protocol Secure (HTTPS) punta con il TLS/SSL su un protocollo crittografico ibrido, il quale combina cifrari simmetrici ed asimmetrici. Inoltre una conversione del processo ibrido serve anche da base per altri standard crittografici come Pretty Good Privacy (PGP), GnuPG e S/MIME, i quali vengono utilizzati nel campo della codifica delle e-mail.

Una combinazione comune ritrovabile tra i processi ibridi è la crittografia simmetrica dei dati utente tramite AES e la conseguente codifica asimmetrica della chiave di sessione tramite RSA. Alternativamente la chiave di sessione può essere usata anche in relazione al processo Diffie-Hellman. In tal caso ci si riferisce al processo Diffie-Hellman in versione effimera e serve a fornire la Forward Secrecy, che può essere però soggetta agli attacchi Man in the Middle. Un sostituto dell’algoritmo RSA è rappresentato dal sistema di cifratura Elgamal: un processo a chiave pubblica sviluppato nel 1985 da Taher Elgamal, che si basa ugualmente sull’idea dello scambio di chiavi Diffie-Hellman e che viene utilizzato nella versione attuale del programma di cifratura PGP.