Cos'è la crittografia?

La crittografia funziona utilizzando algoritmi di crittografia per codificare i dati in un formato indecifrabile. Solo le parti autorizzate possono decodificare i dati con la chiave segreta giusta, nota come chiave di decrittografia.

La crittografia può proteggere i dati inattivi, in transito e durante l'elaborazione, indipendentemente dal fatto che i dati si trovino in un sistema informatico on-premise o nel cloud. Per questo motivo, la crittografia è diventata fondamentale per la sicurezza del cloud e più in generale per le strategie di cybersecurity.

Secondo il report  Cost of a Data Breach di IBM del 2025, le organizzazioni che utilizzano la crittografia possono ridurre l'impatto finanziario di una violazione dei dati di oltre 200.000 USD.

La crittografia è inoltre sempre più necessaria per conformarsi ai requisiti normativi e agli standard come PCI, DSS e GDPR.

Gli investimenti nella crittografia sono in crescita, in quanto individui e organizzazioni si trovano ad affrontare un numero sempre maggiore di minacce e cyberattacchi.Secondo stime recenti, il mercato globale del software di crittografia raggiungerà i 20,1 miliardi di dollari entro il 2025, con un tasso composto di crescita annuale del 15,1% dal 2020 al 2025.

Inoltre, l'intelligenza artificiale (AI) ha modificato il panorama della crittografia. In particolare, le organizzazioni stanno esplorando il modo in cui l'AI può aiutare a ottimizzare la gestione delle chiavi e a migliorare gli algoritmi di crittografia.

La crittografia si è evoluta nel tempo in modo significativo. I primi esempi di crittografia e tecniche simili alla crittografia risalgono a civiltà antiche come quella egiziana e mesopotamica. La crittografia è stata successivamente resa popolare in tempo di guerra e di spionaggio ed è notoriamente associata alla macchina Enigma, un dispositivo di crittografia della seconda guerra mondiale utilizzato dai tedeschi per codificare messaggi segreti.

Al giorno d'oggi la crittografia è fondamentale per salvaguardare i dati sensibili, soprattutto quando le organizzazioni passano al cloud o utilizzano ambienti hybrid cloud. Questo cambiamento porta spesso alla complessità dei dati, inclusa l'espansione incontrollata dei dati e l'espansione delle superfici di attacco.

A causa di questa complessità dei dati, le violazioni dei dati possono diventare più costose e più frequenti. Secondo il report Cost of a Data Breach, il costo medio globale per porre rimedio a una violazione dei dati nel 2025 è stato di 4,44 milioni di dollari.

Con la crittografia, le organizzazioni possono impedire le violazioni dei dati o mitigarne la gravità. Ciò si ottiene assicurandosi che gli hacker non possano accedere ai dati più sensibili, inclusi numeri di previdenza sociale, numeri di carte di credito e altre informazioni di identificazione personale (PII).

Anche le organizzazioni, in particolare quelle dei servizi sanitari e finanziari, utilizzano la crittografia per soddisfare gli standard di conformità.

Ad esempio, il Payment Card Industry Data Security Standard (PCI DSS) impone ai commercianti di crittografare i dati delle carte di pagamento dei clienti che gestiscono. Allo stesso modo, il Regolamento generale sulla protezione dei dati (GDPR) evidenzia l'importanza della crittografia come misura fondamentale per salvaguardare i dati personali dall'accesso o dalla divulgazione non autorizzati.

Tuttavia, non sono solo le organizzazioni a richiedere la crittografia. Sempre più utenti ricercano la sicurezza che la crittografia è in grado di offrire. Signal, un'app di messaggistica che utilizza la crittografia end-to-end, ha segnalato un salto da 12 milioni a 40 milioni di utenti nel 2022 tra le preoccupazioni relative alle informative sulla privacy e alle pratiche di condivisione dei dati di WhatsApp.

Negli ultimi anni, i moderni algoritmi di crittografia hanno in gran parte sostituito standard obsoleti come il Data Encryption Standard (DES).

I nuovi algoritmi non solo mascherano i dati, ma supportano anche principi chiave di sicurezza delle informazioni come integrità, autenticazione e non ripudio. L'integrità garantisce che soggetti non autorizzati non manomettano i dati, l'autenticazione verifica l'origine dei dati e il non ripudio impedisce agli utenti di negare attività legittime.

Le tendenze attuali della crittografia si concentrano sul miglioramento degli algoritmi e dei protocolli di crittografia, così da consentire di stare al passo con l'evoluzione delle minacce informatiche e delle tecnologie.

La crittografia quantistica utilizza principi di meccanica quantistica per creare chiavi crittografiche teoricamente immuni agli attacchi brute force.

La crittografia omomorfica consente alle organizzazioni di eseguire calcoli su dati crittografati senza richiedere la decrittografia. Questo approccio significa che le organizzazioni possono utilizzare dati sensibili per cose come la formazione e l'analisi dei modelli di intelligenza artificiale senza compromettere la riservatezza o la privacy individuale.

I due principali tipi di crittografia sono:

• Crittografia simmetrica: crittografa e decrittografa i dati utilizzando una chiave simmetrica segreta che viene condivisa da tutte le parti coinvolte in una transazione.

• Crittografia asimmetrica (nota anche come crittografia a chiave pubblica): crittografa e decrittografa i dati utilizzando due chiavi diverse. Chiunque può utilizzare la chiave pubblica per crittografare i dati, ma solo i titolari della chiave privata corrispondente possono decrittografare tali dati.

Entrambi i metodi hanno i loro punti di forza e di debolezza. La crittografia simmetrica è più veloce ed efficiente. Tuttavia, richiede anche una gestione meticolosa delle chiavi perché chiunque ottenga la chiave simmetrica può decifrare i dati.

La crittografia asimmetrica, sebbene più lenta a causa della sua complessità, offre una sicurezza più solida in quanto evita la necessità di uno scambio di chiavi sicuro.

Una delle soluzioni più versatili e conosciute per la gestione della crittografia asimmetrica è una infrastruttura a chiave pubblica (PKI, public key infrastructure). Una PKI fornisce un framework completo per la comunicazione e l'autenticazione sicura, consentendo la creazione, la distribuzione e la convalida di coppie di chiavi pubbliche e private. La PKI può aiutare a proteggere varie applicazioni, tra cui e-mail, firme digitali e crittografia SSL/TLS per la navigazione web.

Le organizzazioni generalmente scelgono la crittografia simmetrica quando la velocità e l'efficienza sono fondamentali, ad esempio quando si crittografano grandi volumi di dati o si protegge la comunicazione all'interno di un sistema chiuso.

Quando la comunicazione sicura tra le parti su canali non sicuri è essenziale, come le transazioni online, la crittografia delle e-mail e le firme digitali, le organizzazioni potrebbero affidarsi alla crittografia asimmetrica.

La crittografia inizia identificando le informazioni sensibili che richiedono protezione. Queste informazioni possono essere messaggi, file, foto, comunicazioni o altri dati. Questi dati esistono in formato testo normale, il formato originale e leggibile che deve essere salvaguardato.

Gli algoritmi di crittografia trasformano questo testo semplice in testo cifrato crittografando i dati in una sequenza di caratteri illeggibili. Questo processo garantisce che solo i destinatari previsti possano leggere i dati originali.

Successivamente, vengono create le chiavi di crittografia. Una chiave di crittografia è come un codice complesso necessario per sbloccare una cassaforte. Senza la chiave crittografica corretta, non è possibile accedere ai dati crittografati. Una chiave di dimensioni maggiori offre una maggiore sicurezza in quanto rende il processo di decrittografia esponenzialmente più complesso.

Nella crittografia simmetrica (vedere "Tipi di crittografia dei dati"), viene utilizzata una singola chiave condivisa per la crittografia e la decrittografia. Nella crittografia asimmetrica (vedere "Tipi di crittografia dei dati") vengono create due chiavi: una chiave pubblica per la crittografia e una chiave privata per la decrittografia.

Per coloro che non dispongono di una chiave di decrittografia, i messaggi crittografati sono praticamente impossibili da decifrare. Tuttavia, gli utenti con la chiave di decrittografia possono decrittografare correttamente i dati, essenzialmente invertendo il processo di crittografia e convertendo nuovamente il testo cifrato in testo normale leggibile e non crittografato.

La decrittografia può anche comportare una fase di autenticazione, in cui i dati decrittografati vengono verificati per garantirne l'integrità e l'autenticità. Questo passaggio può includere la verifica delle firme digitali, delle funzioni hash (vedere la sezione successiva) o altre forme di autenticazione per confermare che i dati non siano stati manomessi durante la trasmissione.

Le funzioni hash sono strettamente correlate alla crittografia, ma questi strumenti risolvono problemi di sicurezza distinti.

Le funzioni di hash sono un tipo di algoritmo crittografico utilizzato principalmente per l'integrità e l'autenticazione dei dati. Funzionano prendendo un input (o messaggio) e producendo una stringa di caratteri di dimensioni fisse, nota come valore hash o codice hash.

La loro caratteristica distintiva è la loro natura deterministica. Dato lo stesso input, una funzione hash produrrà sempre lo stesso output. Questo processo le rende fondamentali per la verifica dell'integrità dei dati. Gli utenti possono confrontare i valori hash prima e dopo la trasmissione o l'archiviazione. Se i valori hash corrispondono, nessuno ha modificato i dati.

Mentre la crittografia è un processo reversibile, le funzioni hash sono irreversibili. È computazionalmente impossibile derivare i dati di input originali solo dal relativo valore hash. Per questo motivo, lo scopo principale delle funzioni hash non è mascherare i dati sensibili ma creare impronte digitali uniche che i professionisti della cybersecurity possano utilizzare per verificare l'integrità e l'autenticità dei dati.

La gestione delle chiavi è fondamentale per un'efficace crittografia dei dati. Per capire perché, consideriamo l'esempio di una cassaforte. Se una persona dimentica il codice di una cassaforte o questo codice finisce nelle mani sbagliate, rischia di perdere l'accesso ai suoi beni più preziosi o di vederseli rubare.

La stessa logica si applica alle chiavi crittografiche. Se le organizzazioni non gestiscono correttamente le proprie chiavi, possono perdere la capacità di decrittografare e accedere ai dati o esporsi a violazioni dei dati.

Per questo motivo, le organizzazioni spesso danno la priorità all'investimento in sistemi di gestione chiave. Questi servizi sono fondamentali dato che le organizzazioni gestiscono spesso una rete complessa di chiavi crittografiche e molti attori delle minacce sanno dove cercarle.

Le soluzioni di gestione delle chiavi di crittografia spesso includono funzionalità quali:

• Una console di gestione centralizzata per la crittografia e le policy e le configurazioni delle chiavi di crittografia

• Crittografia a livello di file, database e applicazione per i dati on-premise e cloud

• Controlli di accesso basati su ruoli e gruppi e registrazione di audit per aiutare a rispettare la conformità

• Processi automatizzati del ciclo di vita delle chiavi

• Integrazione con le tecnologie più recenti, come l'intelligenza artificiale, per migliorare la gestione delle chiavi utilizzando l'analytics e l'automazione

• Data Encryption Standard (DES): IBM ha introdotto il DES negli anni '70 come algoritmo di crittografia standard, ruolo che ha ricoperto per molti anni. Tuttavia, la lunghezza relativamente breve della chiave (56 bit) lo rendeva vulnerabile agli attacchi di forza bruta. Alla fine, è stato sostituito da algoritmi più sicuri.

• Triple DES (3DES): sviluppato come miglioramento del DES, il 3DES applica l'algoritmo DES tre volte a ciascun blocco di dati, aumentando significativamente la lunghezza della chiave e rafforzando la sicurezza. Nonostante la sua maggiore sicurezza rispetto al DES, il 3DES è ora considerato obsoleto, ed è stato ampiamente sostituito da AES.

• Advanced Encryption Standard (AES): spesso acclamato come il gold standard per la crittografia dei dati, l'AES è un algoritmo di crittografia simmetrica ampiamente adottato da organizzazioni e governi di tutto il mondo, tra cui il governo degli Stati Uniti e il National Institute of Standards and Technology (NIST) degli Stati Uniti. L'AES offre una forte sicurezza con lunghezze delle chiavi di 128, 192 o 256 bit.

• Twofish: Twofish è un cifrario a blocchi a chiave simmetrica noto per la sua velocità e sicurezza. Opera su blocchi di dati con una dimensione del blocco di 128 bit e supporta lunghezze di chiave di 128, 192 o 256 bit. Poiché è open source e resistente alla crittoanalisi, le organizzazioni si affidano spesso a Twofish quando la sicurezza e le prestazioni sono fondamentali.

• RSA (Rivest-Shamir-Adleman): l'RSA è un algoritmo di crittografia asimmetrica che prende il nome dai suoi inventori. Si basa sulla complessità matematica dei numeri primi per generare coppie chiave. Poiché utilizza una coppia di chiavi pubbliche e private per la crittografia e la decrittografia, questo lo rende adatto alla trasmissione sicura dei dati e alle firme digitali. L'RSA aiuta spesso a proteggere i protocolli di comunicazione come HTTPS, SSH e TLS.

• Crittografia a curva ellittica (ECC): ECC è un metodo di crittografia asimmetrica basato sulle proprietà matematiche delle curve ellittiche su campi finiti. Offre una sicurezza robusta con chiavi di lunghezza inferiore rispetto ad altri algoritmi, il che lo rende adatto per dispositivi con risorse limitate come smartphone e dispositivi IoT.

La crittografia può offrire diversi benefici in termini di protezione dei dati sia on-premise che nel cloud. Alcuni dei benefici più significativi includono:

La crittografia è tra gli strumenti di sicurezza dei dati più importanti e diffusi. Codificando il testo normale come testo cifrato, la crittografia aiuta le organizzazioni a proteggere i dati da una serie di attacchi informatici, inclusi ransomware e altri malware.

In particolare, l'uso del malware infostealer che esfiltra dati sensibili è in aumento, secondo l'IBM X-Force Threat Intelligence Index. La crittografia aiuta a combattere questa minaccia rendendo i dati inutilizzabili dagli hacker, vanificando lo scopo del furto.

I recenti progressi nei sistemi di crittografia con tecnologia AI hanno rivoluzionato anche le pratiche di sicurezza dei dati. Queste soluzioni utilizzano l'AI per regolare dinamicamente i parametri di crittografia in base a fattori contestuali come il traffico di rete, il tipo di dispositivo e il comportamento dell'utente. Questo approccio adattivo consente alle organizzazioni di ottimizzare gli algoritmi di crittografia in tempo reale e adattare le proprie strategie di protezione dei dati all'evoluzione delle minacce alla sicurezza.

Mentre i provider di servizi cloud (CSP) sono responsabili della sicurezza del cloud, i clienti sono responsabili della sicurezza nel cloud, compresa la sicurezza di qualsiasi dato. La crittografia dei dati a livello aziendale può aiutare le organizzazioni a proteggere i propri dati sensibili on-premise e nel cloud.

Molti settori e giurisdizioni hanno requisiti normativi e misure di sicurezza che impongono alle organizzazioni di utilizzare la crittografia per proteggere i dati sensibili. La conformità a queste normative aiuta le organizzazioni a evitare sanzioni legali e a mantenere la fiducia dei clienti.

Gli strumenti di crittografia, come le funzioni hash, possono aiutare a rilevare modifiche non autorizzate o tentativi di manomissione, il che può contribuire a garantire l'accuratezza e l'integrità dei dati archiviati e trasmessi.

La crittografia rende sicuri i canali di comunicazione, consentendo a persone e organizzazioni di scambiare informazioni sensibili, effettuare transazioni e collaborare con un rischio di intercettazione ridotto.

La crittografia limita l'accesso ai dati sensibili solo agli utenti che dispongono delle chiavi di decrittografia appropriate. Questa misura aiuta a combattere le minacce interne impedendo ai dipendenti di accedere (intenzionalmente o meno), di utilizzare in modo improprio o smarrire informazioni sensibili. Ad esempio, anche se il laptop fornito dall'azienda di un dipendente viene smarrito, i dati correttamente crittografati sul disco rigido rimangono inaccessibili.

Nonostante i suoi numerosi vantaggi, la crittografia è vulnerabile ad alcuni attacchi e usi impropri. Alcuni punti deboli comuni delle attuali tecnologie di crittografia includono:

L'ascesa del quantum computing minaccia i metodi di crittografia tradizionali. I computer quantistici potrebbero violare alcuni algoritmi di crittografia, come l'RSA ed l'ECC, eseguendo potenti algoritmi quantistici come l'algoritmo di Shor. L'algoritmo di Shor è in grado di fattorizzare in modo efficiente grandi numeri e di risolvere il problema del logaritmo discreto, un difficile problema matematico su cui si basano molti schemi di crittografia.

Tuttavia, le organizzazioni utilizzano anche l'intelligenza artificiale (AI) per sviluppare metodi di crittografia resistenti ai computer quantistici. Queste soluzioni di crittografia utilizzano l'AI per anticipare e adattarsi alle potenziali minacce dell'informatica quantistica, prima che queste possano infrangere gli algoritmi di crittografia tradizionali.

Negli attacchi brute force, gli hacker provano sistematicamente tutte le chiavi di crittografia possibili fino a scoprire quella corretta. Finora, per violare gli algoritmi di crittografia avanzati con metodi brute force occorreva un tempo eccessivo. Tuttavia, i progressi nella potenza di calcolo rischiano di rendere alcuni metodi di crittografia vulnerabili agli attacchi brute force.

Gli aggressori possono sfruttare le vulnerabilità negli algoritmi di crittografia per decifrare i dati crittografati. Una vulnerabilità significativa è il " Padding Oracle Attack, ", nel quale gli hacker manipolano il padding (bit aggiuntivi aggiunti al testo in chiaro) per rivelare dati in testo normale.

I side channel (canali laterali) sono percorsi involontari che comportano la perdita di informazioni, come discrepanze temporali e variazioni nel consumo di energia e nelle emissioni elettromagnetiche. Gli hacker possono utilizzare questi canali laterali per ottenere informazioni sul processo di crittografia e recuperare chiavi di crittografia o dati di testo normale.

Un esempio di attacco side channel potrebbe essere quello di nascondere le bobine di induzione sui sistemi di pagamento mobile. Questo approccio consentirebbe agli aggressori di registrare le transazioni ed estrarre le chiavi per falsificare le carte di credito o effettuare addebiti fraudolenti.

La sicurezza dei dati crittografati si basa generalmente sulla segretezza e sulla gestione delle chiavi di crittografia. Se le chiavi di crittografia vengono perse, rubate o compromesse, può verificarsi un accesso non autorizzato ai dati crittografati.

Tuttavia, i sistemi di AI possono anche aiutare ad automatizzare i processi di gestione delle chiavi, inclusa la generazione, la distribuzione e la rotazione delle chiavi. Questa automazione migliora l'efficienza e la sicurezza dei sistemi di crittografia, riducendo il rischio di errore umano e garantendo che le chiavi di crittografia siano regolarmente aggiornate e sicure.

La crittografia rappresenta spesso la prima e l'ultima difesa contro gli hacker e le violazioni dei dati. Le organizzazioni possono utilizzare diverse soluzioni di crittografia a seconda del livello di sicurezza desiderato, del tipo di dati, dell'ambiente normativo e di altri fattori.

Alcune delle soluzioni di crittografia più comuni includono:

• Software di crittografia: le organizzazioni di tutti i settori si affidano ai software di crittografia per proteggere i dati inattivi e in transito. Questo tipo di software ha generalmente caratteristiche e strumenti che facilitano le operazioni di crittografia e decrittografia, inclusa la gestione delle chiavi e le integrazioni con software esistenti come database, provider cloud e piattaforme di comunicazione.

• Reti private virtuali (VPN): le VPN crittografaro il traffico internet per garantire la privacy e la sicurezza. Sono essenziali per proteggere le comunicazioni sulle reti pubbliche, soprattutto quando i dipendenti lavorano in remoto o devono accedere a informazioni sensibili al di fuori delle reti aziendali sicure.

• Crittografia cloud: la crittografia cloud garantisce la riservatezza e l'integrità dei dati crittografando le informazioni sensibili prima di archiviarle in ambienti cloud. Queste soluzioni proteggono i dati nelle applicazioni, nelle piattaforme e nei servizi di storage basati su cloud dai rischi associati al cloud, tra cui l'accesso non autorizzato e l'esposizione dei dati.

• Crittografia di rete: la crittografia di rete crittografa i dati scambiati tra due endpoint su una rete per garantire riservatezza e integrità. Ad esempio, il protocollo Transport Layer Security (TLS), una versione aggiornata del Secure Sockets Layer (SSL), protegge i dati inviati tramite un browser, come i dati delle carte di credito inviate tramite un sito web di vendita al dettaglio online o le credenziali di accesso trasmesse durante le sessioni bancarie online.

• Crittografia dei database: la crittografia dei database crittografa le informazioni sensibili archiviate nei database, come i record dei clienti, i dati finanziari e la proprietà intellettuale, allo scopo di prevenire accessi non autorizzati o furti.

• Crittografia completa del disco: la crittografia completa del disco crittografa interi dispositivi di storage per proteggere i dati archiviati sui dispositivi endpoint, come laptop e dispositivi mobili.

• Crittografia basata sull'hardware: i componenti hardware specializzati contenuti nei dispositivi, come i chip o i moduli di crittografia, possono fornire una protezione aggiuntiva per i dati sensibili, soprattutto quando la crittografia basata su software non è sufficiente. Gli smartphone, i laptop e i dispositivi di storage sono spesso dotati di soluzioni di crittografia basate sull'hardware.

• Crittografia di file e cartelle: individui e organizzazioni utilizzano spesso la crittografia di file e cartelle per crittografare singoli file o cartelle sensibili su computer o reti, come foto, documenti e altre risorse digitali sensibili, allo scopo di impedire accessi non autorizzati.

• Crittografia delle e-mail:  la crittografia dei messaggi e degli allegati di posta elettronica per proteggere i canali di comunicazione garantisce che le informazioni sensibili condivise via e-mail rimangano riservate e protette da intercettazioni e manomissioni non autorizzate.

• Crittografia end-to-end (E2EE): la crittografia end-to-end è un processo di comunicazione sicuro che crittografa i dati sul dispositivo prima di trasferirli a un altro endpoint allo scopo di impedire manomissioni da parte di terzi. Le app di chat e messaggistica, i servizi di posta elettronica e altre piattaforme di comunicazione utilizzano spesso l'E2EE per proteggere la privacy e la riservatezza degli utenti.