Forum programmazione

[Mips]

Questa legge è universale e non presenta eccezioni: occorre solo sapere se esiste una chiave e se è ben gestita. Come afferma Scott Culp nella sua legge n. 7, “I dati crittografati sono sicuri solo quanto lo è la chiave di decodifica”.
La crittografia utilizza la chiave per fornire la variazione quando tutti si servono del medesimo e ristretto insieme di algoritmi. Come già detto, creare algoritmi di elevata qualità è assai difficile e un solo schema si presta a numerosi compiti. Le nuove produzioni, tuttavia, non vengono richieste spesso, perché gli algoritmi attuali si prestano a svariate mansioni (firma dei messaggi, crittografia di blocco e così via); inoltre, dato che l’attacco più conosciuto (e prevedibile) contro un algoritmo è quello di forza bruta, che comporta tempi lunghi, le ragioni per cambiare sono davvero ridotte: anzi, i nuovi algoritmi dovrebbero destare sospetto. Agli apici della crittografia, gli schemi dipendevano per lo più dall’utilizzo dello stesso sistema delle parti comunicanti; non esisteva, di norma, alcun tipo di chiave e le due parti si accordavano su uno schema (per esempio spostare ogni lettera di 3 posizioni). Dopo che iniziava lo scambio.
Con il tempo entrarono in campo meccanismi di ben altra complessità, che dipendevano da una frase o parola finalizzata a impostare il meccanismo con cui dare il via al messaggio. Ciò consentiva al sistema di essere conosciuto e utilizzato da più parti, le quali potevano godere di un certo livello di sicurezza, purché tutte adottassero frasi diverse.
Questi due racconti spiegano la differenza concettuale fra codifica e crittografia: la prima non utilizza le chiavi e, se gli interlocutori desiderano tenere segrete le proprie comunicazioni codificate, devono tener segreto lo schema di codifica.
La crittografia, invece, adopera una o più chiavi che entrambe le parti devono conoscere; l’algoritmo può essere noto, ma diventa inutile se l’aggressore è sprovvisto della chiavi.
Il problema è che gli schemi di codifica possono restare segreti molto di rado: chiunque può ottenere una copia dell’algoritmo e decifrare le informazioni. Se non vi fossero le chiavi, tutti coloro che possedevano una copia del programma avrebbero potuto decodificare qualsiasi informazione codificata con il programma medesimo. La chiave fa sì che gli algoritmi di qualità vengano adoperati in diversi contesti. Che cosa si può fare dunque davanti a un prodotto che afferma di utilizzare la crittografia 3-DES senza ricordare le password richieste? Io consiglio di scappare! LoL. La forza di DES, e delle varianti come 3-DES, dipende dalla segretezza della chiave: se questa è nota, va da sé che il segreto può essere decodificato. Da quale fonte il prodotto reperisce la chiave con cui lavorare, se non dall’utente interessato? Semplicemente da qualche parte sul disco rigido.
Questa soluzione è forse migliore del semplice utilizzo di un cattivo algoritmo? Forse sì, se i file stanno per lasciare la macchina, magari attraverso la rete; se essi vengono intercettati là possono essere comunque al sicuro. Se però la minaccia è costituita dalle persone che accedono alla macchina, tutto è inutile poiché anche costoro possono reperire la chiave.
I crittografi hanno affinato la loro capacità di determinare lo schema di crittografia adottato e di decodificare il messaggio. Se si tratta di uno schema incorporato in un prodotto commerciale di qualsiasi sorta, la possibilità di tenerlo segreto diventa una chimera e gli aggressori avranno tutte le opportunità necessarie per stabilire il tipo di schema.
Se si ha che fare con un prodotto che non sembra richiedere uno scambio di chiavi e che sostiene di fornire comunicazioni crittografate, è saggio porre domande al produttore sull’esatto funzionamento.