1. Scudetto-Mod  
        Mi trovi su: Homepage Homepage #4468480
    Salve a tutti!
    Anche sta settimana siamo arrivati al consueto appuntamento: la terza puntata di oggi, dedicata alla criptazione sarà così strutturata:
    1)Password
    2)Steganografia
    3)Criptografia
    4)Consigli e software

    *PASSWORD
    Una password (trad. "parola chiave", in italiano "parola d'ordine", o anche "parola d'accesso") è una sequenza di caratteri e numeri che viene usata per accedere in modo esclusivo ad una risorsa (sportello Bancomat, computer, connessione Internet, etc ).

    Ovviamente non è necessario che abbia senso compiuto e può essere costituita anche da una frase (vd. Passphrase ).

    Spesso si usa in coppia con un'altra parola, la User Id (in italiano "Nome Utente" o identificatore utente) con il fine di farci identificare in modo univoco dal sistema al quale chiediamo accesso, tra i tanti utenti che sono registrati a quel sistema.

    La coppia di Nome Utente e Parola d'accesso rappresentano le Credenziali di accesso ad un sistema e rappresentano una forma di Autenticazione.

    La password dovrebbe rimanere segreta a coloro i quali non sono autorizzati ad accedere alla risorsa in questione.
    L'uso di parole chiavi come forma di riconoscimento risale all'antichità: le sentinelle di guardia ad un'entrata erano solite chiedere una parola segreta a chi si avvicinava, e permettevano il passaggio solo a coloro che erano a conoscenza della password.

    Oggi le password sono usate per controllare l'accesso a servizi di varie tipologie, ad esempio quelli di natura informatica, come l'accesso ad una casella e-mail, ad aree riservate di computer, siti internet e reti. In questo caso, la password può avere un suggerimento tale da farla ricordare all'utente.
    Troviamo un comune esempio di password nei servizi bancari (i PIN di un bancomat o di carte di credito non sono altro che password numeriche), nell'ambito della telefonia mobile e in molti altri campi. Non si dovrebbero usare parole di senso compiuto o, peggio, dati personali per le passwords. Esse dovrebbero essere formate da una serie di almeno 8 caratteri e cifre, maiuscoli e minuscoli, scelti casualmente.

    *STEGANOGRAFIA
    Il termine steganografia è composto dalle parole greche stèganos (nascosto) e gràfein (scrittura) e individua una tecnica risalente all'antica Grecia che si prefigge di nascondere la comunicazione tra due interlocutori, e fu teorizzata dall'abate Tritemio attorno al 1500 nell'omonimo libro. La "Steganographia" di Tritemio si proponeva di poter inviare messaggi tramite l'uso di linguaggi magici, sistemi di apprendimento accelerato e senza l'utilizzo di simboli o messaggeri. L'opera iniziò a circolare in corrispondenze private e suscitò reazioni tanto allarmate che l'autore decise di non darla alle stampe e ne distrusse addirittura larghe parti, ritenendo che non avrebbero mai dovuto vedere la luce. Continuò comunque a circolare in forma di minuta e fu pubblicata postuma nel 1606.

    Nel campo dell'informatica, due utenti possono utilizzare la steganografia per inviarsi messaggi nascosti all'interno di file di "copertura" (filigrana elettronica), come immagini o altri file multimediali: in questo tipo di file l'alterazione di pochi bit non altera in modo evidente il contenuto.

    La steganografia, in sé, si basa sul concetto della sicurezza tramite segretezza: cerca di proteggere i dati semplicemente nascondendoli e non proteggendoli "davvero". Proprio per questo molti programmi di steganografia prevedono di nascondere non i file in sé, ma in forma cifrata: in questo modo si ha la sicurezza "certa" data dalla crittografia in aggiunta a quella "incerta" data dalla steganografia.

    I sostenitori della steganografia affermano che questa è utile soprattutto quando si vuole avere la possibilità di negare l'esistenza stessa di un'informazione in loro possesso


    *CRIPTOGRAFIA
    Esistono tre tipologie di criptografia:

    * a chiave simmetrica (o criptografia convenzionale), la chiave utilizzata per criptare e decriptare è la stessa;
    * a chiave asimmetrica (o chiave pubblica), si usano due diverse chiavi per le due operazioni;
    * ibridi (PGP), unisce i vantaggi delle precedenti.


    Criptografia convenzionale
    Nella criptografia convenzionale, la stessa chiave viene utilizzata sia nell'algoritmo per criptare il testo chiaro sia in quello per decriptare il messaggio cifrato.
    ll metodo piu semplice di criptografia convenzionale è la sostituzione, può avvenire traslando le lettere dell'alfabeto di un certo numero come nel'esempio di Giulio Cesare. Quindi partendo da:

    Codice:
    A B C D E F G H I J K L M N

    l'algoritmo sostituirà le lettere con:

    Codice:
    D E F G H I J K L M N O P Q

    In questo caso se volessimo inviare al direttore marketing il messaggio "meno dieci percento", dopo averlo criptato diventerebbe "phqr glhfl shufhqwr". A questo punto il direttore marketing, che conosce l'algoritmo e la chiave, può risalire al messaggio originale, mentre chiunque riesca a sbirciare il messaggio, vedrebbe solamente una sequenza incomprensibile di lettere.
    Questo metodo ha il vantaggio di essere semplice e veloce ma presenta il problema della sicurezza per la diffusione della chiave. Infatti, mentre il messaggio cifrato può anche essere visto da persone estrenee, la chiave invece, deve essere mantenuta segreta. Se la chiave viene intercettata, chi ne entra in possesso, può facilmente decifrare il messaggio e quindi modificarlo cambiando le informazioni in esso contenute.

    Criptografia a chiave pubblica
    Il precedente problema viene risolto con l'introduzione della criptografia a chiave pubblica (o asimetrica). In questo metodo esistono due chiavi, una pubblica ed una privata. La chiave pubblica può essere facilmente reperibile da chiunque, ma serve solamente per criptare, mentre la chiave privata è in possesso di una sola persona e può essere usata sia per criptare sia per decriptare. Se voglio mandare un messaggio a qualcuno, lo cripto usando la sua chiave pubblica, lo invio, e il destinatario lo decripterà utilizzando la sua chiave privata.
    Il metodo è sicuro perché, non esiste nessuna correlazione tra la chiave pubblica e quella privata e quindi non è possibile risalire alla seconda, anche se si entra in possesso della prima.
    La criptografia a chiave pubblica ha il vantaggio di aver eliminato il problema di trovare un metodo sicuro per inviare la chiave al destinatario del messaggio cifrato, tutta la trasmissione dei dati si basa sulla chiave pubblica, senza implicare l'utilizzo o l'invio della chiave privata.

    Ibridi
    PGP (Pretty Good Privacy) è un metodo di criptografia ibrido, che unisce i due metodi visti sopra. Nel momento in cui inizia il processo di incriptazione, PGP comprime il file. La compressione, oltre a ridurre le dimensioni del file, e quindi velocizzarne la trasmissione, ne aumenta la sicurezza. Quindi crea una chiave (session-key) in base ad alcuni parametri come il numero di tati premuti o i movimenti del mouse. Questa chiave è unica e viene utilizzata solo per la sessione in esecuzione. Il messaggio cifrato e la chiave vengono quindi criptati con la chiave pubblica del destinatario. E' come chiudere un oggetto in un bauletto e quindi mettere il bauletto e la chiave in un baule più grosso che viene chiuso con la chiave pubblica. Quando il baule giunge a destinazione, il destinatario apre la serratura con la sua chiave privata. All'interno trova il bauletto e la chiave che è stata utilizzata per chiuderlo e quindi può facilmente accedere al contenuto.
    La criptografia ibrida unisce i vantaggi della criptografia convenzionale e di quella a chiave pubblica. La prima è molto più veloce, la seconda introduce un metodo sicuro per distribuire la chiave.

    Le chiavi
    La chiave è un valore che fonziona con un algoritmo e produce il testo cifrato. Per essere più specifici, le chiavi sono sequenze alfanumeriche molto, molto lunghe. La lunghezza di una chiave si misura in bit. Più sono lunghe, più sono sicure e più il testo cifrato è difficilmente decifrabile. Allo stesso tempo la lunghezza della chiave è inversamente proporzionale alla velocità dell'algoritmo per cifrare e decifrare. Ad ogni modo, a parità di sicurezza, le chiavi della ciptografia convenzionale e quella a chiave pubblica non sono correlate. Una chiave convenzionale a 1024 bit è equivalente ad una chiave a 3000 bit di tipo pubblico, ma data la forte diversità degli algoritmi implicati, è come confrontare mele e arance.
    Le chiavi lunghe possono essere ritenute sicure per un lungo periodo di tempo. Se vogliamo criptare informazioni che devono rimanere private per lungo tempo, potrebbe non essere importante la velocità dell'algoritmo quanto il fatto che la decifrazione della chiave avvenga in tempi sufficientemente lunghi. Per i messaggi di invio quotidiano invece la situazione risiede nel compromesso tra sicurezza e velocità.

    Firma digitale
    Il metodo a chiave pubblica offre un ulteriore vantaggio, la possibilità di usare la firma digitale. Questo metodo permette al destinatario di essere sicuro sull'identità del mittente e anche di verificare che le iformazioni contenute nel messaggio non sono state modificate durante la spedizione. Inoltre la firma digitale permette di evitare che il mittente "ripudi" il messaggio dichiaranto di non averlo mai spedito. Per esempio, potrebbe non importarvi che tutti sappiano che avete appena depositato 10000 €, ma volete essere estremamente sicuri che la banca sappia esattamente con chi ha trattato l'operazione.
    La firma digitale ha le stesse funzioni della firma manuale, ma mentre la firma manuale può essere facilmente imitata, quella digitale è pressoché impossibile da contraffare.
    Il metodo con cui si crea la firma digitale è estremamente semplice. Utilizzando la sua chiave privata, il mittente cripta il messaggio e lo invia, chi lo riceve lo decifra utilizzando la chiave pubblica. Chiunque abbia la chiave pubblica del mittente può decriptare e leggere il messaggio, ma in ogni caso ognuno sarà certo del mittente, e del fatto che nessun altro ha apportato modifiche alle informazioni contenute nel messaggio.

    Hash Function
    Il sistema descritto sopra ha alcuni difetti, il più importante dei quali è dovuto alla dimensione dei file. In generale un file "firmato" ha dimensione almeno doppia rispetto alle originali. Un miglioramento della situazione si è avuto con l'introduzione delle hash functions. Una hash function produce output, chamato digest, sempre della stessa grandezza, a prescindere dalle dimensioni del file ed assicura che se il file viene modificato anche di un solo bit, l'output della funzione sarà completamente differente. A questo punto il mittente firma il digest con la sua chiave privata ed invia file e digest al destinatario. Ricevuto il file, il destinatario controlla con il digest che il file ricevuto non sia stato modificato durante il tragitto.

    Certificati digitali
    Il problema con il metodo delle chiavi pubbliche è che gli utenti devono costantemente essere sicuri di criptare i dati con la chiave della persona giusta. Potrebbe accadere che qualcuno intenzionato a carpire informazioni, metta in uso una chiave a nome del destinatario che intende controllare. Tutti i messaggi criptati con questa chiave possono quindi cadere nelle mani sbagliate. Diventa importante essere certi che la chiave pubblica che si sta utilizzando sia proprio del destinatario del messaggio. Potremmo limitarci all'utilizzo delle chiavi che ci sono state consegnate manualmente, ma come fare se dobbiamo inviare informazioni a qualcuno che non abbiamo mai nemmeno incontrato?
    I certificai digitali assolvono a questo compito, assicurandoci che la chiave pubblica in nostro possesso appartiene priprio a quella persona alla quale dobbiamo inviare il file.
    I certificati digitali sono del tutto simili ai certificati cartacei, contengono i dati personali, la firma del proprietario e la conferma di una terza persona che afferma la validità del certificato.
    Analogamente, un certificato digitale è composto da:

    * la chiave pubblica;
    * informazioni sull'identità dell'intestatario;
    * una o più firma digitali.


    Lo scopo delle firme digitali è quello di affermare he altre persone o entità hanno confermato la veridicità delle informazioni contenute nel certificato.

    Distribuzione dei Certificati
    Lo scambio dei certificati digitali viene utlizzato quando si rende necessario lo scambio di chiavi pubbliche. Per piccoli gruppi, lo scambio può avvenire attraverso disketti o mail. Questa viene detta distribuzione manuale delle chiavi pubbliche ed'è utile solo fino ad un certo punto.
    Oltre questo limite occorre mettere in funzione sistemi che forniscano la sicurezza, lo spazio e meccanismi di scambio che permettano ai colleghi, ai soci o agli estranei di comunicare se necessario.
    Questi possono essere sistemi in grado solamente di contenere e scambiare come i certificate server oppure possono essere più complessi come le infrastrutture delle chiavi pubbliche (PKI Public Key Infrastructure).
    Un certificate server (o key server) è un database che permette di inserire o reperire certificati e chiavi digitali. Un PKI ha le stesse funzioni di immagazzinamento e scambio dei certificati, come il key server, ma inoltre offre la possibilità di revocare e confermare la validità dei certificati. La principale innovazione del PKI è l'introduzione di:

    * Certification Authority (CA), che crea i certificati e li firma con la propria chiave pubblica;
    * Registration Authority (RA), è una persona (o un gruppo di persone) che verificano che la chiave pubblica


    appartenga alla persona specificata.



    -------------------------------------------------------------------------
    CONSIGLI E SOFTWARE UTILI/B]

    Detto tutto ciò, alcuni consigli:
    1)[B]in internet per account che usate in siti diversi, usate password diverse

    2)se avete un gran numero di password da ricordare, provate a usare un software apposito che vi gestisca le password:
    (ad es.: Password Manager XP oppure Password Director )
    3)per nascondere file dentro a immagini potete provareCamouflage completamente free
    4)Potete Provare e usare PGP con guida in italiano e link utili
    5) Altri utili programmi per criptare e decriptare li trovare qui non preoccupatevi per il messaggio che compare, è tutto legale e gratis

    6)Se avete esigenze particolari e ulteriore sete di conoscenza potete guardare anche quest' articolo con altri software segnalati e ulteriori nozioni in merito


    ----------------------------------------------------------------
    E anche per questa puntata mi sembra sia tutto, se avete domande chiedete pure. :D

    tutti i software citati sono presenti anche nella lista :cool:


    grazie a tutti per l'attenzione :ave: :ave:
    Appuntamento alla prossima settimana con il quarto speciale su: File Sharing e Sicurezza




    ARRETRATI:
    Speciale numero 1: Sicurezza PC
    Speciale numero 2: Registro di sistema
  2. Scudetto-Mod  
        Mi trovi su: Homepage Homepage #4468483
    Originally posted by digital_boy84
    su questo stesso argomento, fatevi un corso da 10 crediti all'università "internet: infrastrutture e sicurezza" :cool:



    considera che ho snellito...avrei potuto dilungarmi...ma siccome sta lezione voleva essere per quelli di livello basso, mi sono fermato qua ;)

  Speciale Rubrica Software-3^puntata: criptazione

Commenta

Per scrivere su Videogame.it devi essere registrato!

         

Online

Ci sono 0 ospiti e 0 utenti online su questa pagina