Standard per la crittografia
Perché la "conoscenza zero" dovrebbe diventare il nuovo standard di crittografia. Un articolo di Istvan Lam.
Le rivelazioni sulla portata della sorveglianza da parte dell'NSA hanno provocato negli ultimi anni un importante ripensamento dell'uso dei media digitali. Nel frattempo, il 92% dei tedeschi si dichiara preoccupato per la Privacy dei loro dati online. Con l'avanzare della digitalizzazione delle aziende, sempre più informazioni aziendali sensibili vengono archiviate sui server dei fornitori di cloud. In caso di violazione dei dati, c'è la minaccia di azioni legali da parte dei clienti, di gravi sanzioni contrattuali e di spionaggio industriale. Tuttavia Finora, solo il 42 per cento dei crittografati delle aziende cripta i dati del cloud, anche se la maggioranza ritiene importante la crittografia dei dati. Una ragione della riluttanza nell'implementazione pratica potrebbe essere l'incertezza su quale tipo di crittografia offra una protezione adeguata. Le parole chiave "crittografia end-to-end" e "zero-knowledge" compaiono sempre più spesso in questo contesto - ma cosa si nasconde dietro questi termini?
L'industria si affida sempre più alla crittografia
Non esistono praticamente dati trasparenti sulla frequenza delle richieste di dati da parte del governo e degli attacchi degli hacker. A seconda della situazione legale del rispettivo Paese, gli utenti non devono necessariamente essere informati degli hack. E non sempre gli interventi statali vengono comunicati agli utenti interessati. Servizi come Twitter e Microsoft ha fatto causa al governo degli Stati Uniti per questo. L'industria informatica sta reagendo alla complicata situazione legale con la crittografia end-to-end, recentemente anche WhatsApp e presto Facebook. Un passo nella giusta direzione, ma per garantire una protezione ottimale dei dati c'è ancora da riflettere.
Il metodo della conoscenza zero
La crittografia end-to-end garantisce che i file o i messaggi sul proprio computer o smartphone siano criptati e raggiungano il server solo in forma criptata. Se si utilizza un algoritmo AES256 forte, tale crittografia non può essere decifrata con le capacità di calcolo oggi disponibili. Allo stesso tempo, però, molti provider memorizzano una copia della password di crittografia sugli stessi server, il che rende più facile per il provider mantenere l'offerta, ma può andare a scapito della sicurezza. Questo sforzo può essere paragonato all'investimento in elaborate serrature di sicurezza in un hotel, in cui però è sempre disponibile una chiave di riserva per il personale alla reception. È qui che entra in gioco la conoscenza zero. Se la procedura end-to-end è pensata coerentemente fino in fondo secondo lo standard zero-knowledge, non c'è copia della chiave; solo l'ospite dell'hotel o l'utente può aprire la serratura. In questo modo, il fornitore può garantire che gli errori dei dipendenti siano esclusi e che il furto non possa mettere in pericolo la privacy del cliente. La difficoltà per i servizi online è ora quella di trasferire questo semplice esempio pratico a sistemi informatici molto più complessi, garantendo così la conoscenza zero. Il cliente deve essere in grado di accedere al sistema senza che il fornitore di servizi di verifica conosca la password. A tal fine, la password "privata" del cliente viene accoppiata matematicamente alla password "pubblica" del verificatore. La password pubblica può essere facilmente generata dalla password privata, ma non viceversa. In questo modo, il provider non conosce la password privata dell'utente e può comunque verificare l'autorizzazione all'uso. Il fornitore di servizi è quindi "a conoscenza zero" della password privata, il che rende estremamente difficile l'accesso alle informazioni riservate da parte di terzi.
Il doppio tiene meglio
Una procedura così complessa a conoscenza zero è particolarmente importante per le industrie che non possono permettersi di commettere errori a causa dei loro dati sensibili. Ad esempio, i fornitori di servizi sanitari e finanziari, gli avvocati, i giornalisti e le organizzazioni per i diritti umani hanno una grande responsabilità per le informazioni altamente riservate. Anche gli utenti privati devono gestire i propri dati in modo sicuro. La conoscenza zero protegge i dati non appena lasciano il dispositivo finale in direzione del cloud, ma gli utenti devono comunque proteggere ulteriormente la loro password e il dispositivo. Come nelle automobili, dove oltre al sistema ABS sono necessari airbag e cinture di sicurezza, anche i programmi di protezione dai virus, le password forti, la verifica in due passaggi e la crittografia del disco rigido dovrebbero essere un obbligo per ogni utente.
Conclusione
Nell'era dei Big Data, gli utenti non hanno praticamente alcun controllo sui propri dati. Oltre agli inserzionisti e ai ricercatori, anche gli hacker e la sorveglianza di massa stanno attingendo a questo enorme bacino di dati. Nonostante il Privacy Shield e i progressi compiuti con il Regolamento generale sulla protezione dei dati dell'UE, al momento è difficile prevedere una legge sulla protezione dei dati uniforme a livello internazionale e orientata all'utente. La crittografia è quindi il modo migliore per gestire tecnicamente la complicata situazione attuale e restituire all'utente la sovranità dei dati. La conoscenza zero è il modo più coerente per attuarla. La crescente domanda di soluzioni a conoscenza zero ha quindi un grande potenziale per il futuro della privacy digitale.
Testo: Istvan Lam, CEO Tresorit