Questo articolo della serie "Come funzionano le VPN" descrive come funziona la crittografia a chiave simmetrica. Se ti sei già perso, niente panico! Questa serie di articoli spiega i concetti e i metodi alla base delle VPN senza richiedere un'analisi approfondita della matematica che le alimenta.
Se sei completamente nuovo al concetto di VPN, dai un'occhiata a questa introduzione. Se conosci già un po' come funzionano le VPN e vuoi saperne di più, questa serie fa per te. Ogni articolo affronta un aspetto di come una VPN aiuta a proteggere i dati raccontando una storia che funge da metafora dei meccanismi logici coinvolti. Queste storie coinvolgono Adam e Burt che cercano di mantenere un segreto e una terza persona, Cesar, che cerca di scoprire il loro segreto in modo nefasto. Poiché le VPN non hanno un perfetto equivalente del mondo fisico, alcuni elementi possono estendere i limiti della credibilità (ad esempio, Cesar ha accesso a un raggio duplicatore). Ricorda, è solo una storia...
Ogni articolo ha anche sezioni espandibili (indicate con l'icona a forma di ingranaggio), che contengono una spiegazione leggermente più approfondita che è un po' più tecnica ma evita comunque di perdersi troppo nella matematica. Queste sezioni collegano un po' di più gli eventi della storia ai componenti o ai passaggi della crittografia o dell'autenticazione, ma non sono necessarie per ottenere una comprensione di base dell'argomento.
Crittografia di base della chiave simmetrica
Supponiamo che Adam e Burt stiano scrivendo un fumetto. Dal momento che vivono nelle città vicine e non possono incontrarsi di persona così spesso, si inviano le bozze del loro libro tramite l'ufficio postale della Greater Metropolitan Area. Non vogliono che nessuno dia un'occhiata al loro libro prima che sia finito, quindi usano una cassetta di sicurezza (crittografia) e fanno una copia della chiave (chiave di crittografia) per ciascuno di loro. Ora, quando Adam finisce uno script, può inviarlo a Burt in questa cassetta di sicurezza ed essere sicuro che solo Burt possa sbloccarlo quando lo riceve per posta.
Come una cassetta di sicurezza è come la crittografia di base a chiave simmetrica.
Questo meccanismo è analogo a uno dei primi standard di crittografia ampiamente utilizzati per i dati dei computer, DES (Digital Encryption Standard). DES è un algoritmo di crittografia a chiave simmetrica, il che significa che la chiave utilizzata per crittografare i dati viene utilizzata anche per decrittografarli. A livello semplificato, un algoritmo di crittografia a chiave simmetrica è un metodo per applicare una serie di passaggi matematici predefiniti e la chiave è una sorta di variabile cardine (si potrebbe dire una variabile "chiave") che si collega a quel metodo per produrre output unico:i dati crittografati. Questo processo può anche essere invertito applicando lo stesso metodo al contrario, sempre con la stessa chiave.
La minaccia
Ora, Cesar entra in scena. Cesar è ossessionato dal fumetto di Adam e Burt e non vede l'ora di saperne di più. Per il bene di questa storia, Cesar ha un raggio duplicatore. È anche un maestro del travestimento, quindi usa i suoi talenti per fingere di essere un impiegato delle poste. Il suo obiettivo finale è trovare un modo per intercettare la scatola che Adam e Burt inviano avanti e indietro per dare un'occhiata all'interno. Presto Cesar si insinua abbastanza profondamente nell'ufficio postale della Greater Metropolitan Area da poter accedere alla sala centrale di smistamento della posta e vede la scatola da Adam a Burt. Cesar non vuole destare sospetti né da Adam né da Burt per il ritardo nella consegna, quindi usa il suo raggio duplicatore per fare una copia della scatola. Purtroppo per Cesar, anche questa scatola è bloccata (crittografata), come l'originale. Ma, tra i suoi talenti, è un fabbro operaio, quindi porta questa scatola duplicata nella sua tana per tentare di aggirare la serratura.
Attacco Man-in-the-Middle.
Il traffico di rete viene inviato in unità discrete chiamate pacchetti. Quindi, sia che tu stia inviando qualcosa di piccolo (una breve e-mail) o qualcosa di grande (un video), i dati verranno segmentati in pacchetti facilmente gestiti prima di essere trasmessi. È l'equivalente di inviare un puzzle a qualcuno un pezzo alla volta. Una volta arrivato a destinazione, verrà rimontato.
Questo processo di esame del traffico di rete in transito è chiamato "ispezione dei pacchetti" (a volte chiamato in modo più informale "sniffing dei pacchetti" o "sniffing del filo"). L'ispezione dei pacchetti consente agli amministratori di rete di identificare e bloccare molto traffico ostile sulla propria rete. Può anche essere molto utile per aiutare a risolvere i problemi di connettività all'interno di una rete.
Può essere utilizzato anche per scopi meno costruttivi, come le intercettazioni. In queste circostanze, questo tipo di utilizzo è spesso chiamato attacco Man-in-the-Middle (MitM). Per qualcuno come Cesar, che riesce a inserirsi nel percorso di transito di questi messaggi, questo attacco consente a un intruso di copiare tutto il traffico in transito (senza ritardarlo e avvisare potenzialmente una delle due estremità che qualcosa potrebbe non funzionare) per analizzarlo in seguito. Il traffico non crittografato può essere facilmente riassemblato, consentendo a chiunque disponga degli strumenti adeguati di leggere l'e-mail o vedere la pagina web richiesta. I dati crittografati richiederebbero la conoscenza o la scoperta della chiave per decrittografare ciascun pacchetto prima di rimontarlo.
Crepa a forza bruta
Diciamo, quindi, che Cesar passa del tempo a lavorare su questo lucchetto e riesce finalmente a scassinare il lucchetto. Dopo un po' di pratica, impara a ridurre notevolmente questo tempo. Quindi, intercetta il pacchetto successivo che Burt invia ad Adam, lo copia e rimanda l'originale ad Adam. Ora, Cesar può scassinare la serratura a suo piacimento, e dato che Adam ha ricevuto il pacco senza indugio, lui e Burt non hanno idea che qualcosa possa andare storto. Quindi immagina la loro sorpresa e sgomento quando Cesar pubblica tutti i dettagli spoiler del loro nuovo fumetto sul suo blog (chiamato, naturalmente, "Il taglio cesareo").
Adam e Burt si rendono conto che dovranno sviluppare un modo migliore per scambiare messaggi in modo sicuro. Se dovessero riscrivere il lucchetto, probabilmente Cesar non impiegherebbe molto a imparare a scassinare questo nuovo lucchetto. Decidono di investire in un lucchetto con una chiave molto più complicata (un algoritmo di crittografia a chiave simmetrica più potente). Ma quanto tempo potrebbe volerci Cesar per rompere questo lucchetto?
Moderni standard di crittografia simmetrica.
DES non è più considerato un potente mezzo di crittografia, implementato da solo. Nel 2008, SciEngines GmbH ha annunciato di essere in grado di rompere il DES in meno di un giorno.
Una variazione chiamata Triple Digital Encryption Standard (abbreviato 3DES, solitamente pronunciato "triple-dez") ha, in molti casi, soppiantato DES. Come suggerisce il nome, funziona utilizzando l'algoritmo DES ma viene eseguito tre volte. La chiave è tre volte più lunga e, nella sua implementazione più forte, è composta da tre diverse chiavi DES, una per ogni iterazione dell'algoritmo DES. Può essere utile immaginare che questo algoritmo funzioni come se fosse un intricato puzzle. La prima chiave potrebbe essere la combinazione di colpi di scena e macchinazioni (come con un cubo di Rubik) richiesta per rivelare un puzzle in stile tessera scorrevole, che, una volta risolto (la seconda chiave), esporrebbe un buco della serratura per la tua chiave (la terza chiave) .
Un algoritmo di crittografia a chiave simmetrica ancora più potente è AES (Advanced Encryption Standard, anche se a volte potresti anche vederlo indicato con il suo nome originale "Rijndael", pronunciato "bambola della pioggia"). La forza di questo tipo di algoritmi è misurata dalla lunghezza effettiva delle loro chiavi (in bit). 3DES utilizza chiavi a 168 bit (nella sua implementazione più potente), sebbene alcuni attacchi abbiano dimostrato di ridurre quella forza equivalente a una chiave a 80 bit. AES può utilizzare chiavi a 128, 192 e 256 bit. Con l'aumentare della lunghezza di ciascuna di queste chiavi, aumentano anche la forza associata e i requisiti di calcolo.
L'evoluzione della crittografia
Naturalmente, Adam e Burt temono che mantenere questa soluzione lockbox, anche se è la migliore linea, potrebbero non essere sicuri come vorrebbero. Un cattivo come Cesar ha diversi mezzi per tentare di sconfiggere questo sistema. Può tentare di ottenere illecitamente una copia della chiave da Adam o Burt, o dai mezzi che usano per scambiare la chiave in primo luogo (soprattutto se questo scambio avviene su un supporto non protetto). Infine, dopo la pratica o il progresso tecnologico, può scoprire un modo per "indovinare" in modo più efficiente la chiave. Se vogliono stare al passo con Cesar, dovranno trovare nuovi modi per renderlo molto più difficile per lui trovare un modo per aggirare o superare.
Altro nella serie Come funzionano le VPN:
Parte 2:Crittografia a chiave pubblica
Parte 3:Scambio di chiavi condivise
Ulteriori informazioni sui nostri servizi di hosting VPS e sul prezzo di hosting VPS.