Il cloud: ne facciamo tutti uso, dalle più grandi aziende fino ai singoli privati. Quello che molti non sanno è che i dati che noi carichiamo sul cloud sono sì crittografati, ma dal fornitore di servizi: ciò significa che possono accedervi liberamente, in ogni momento. Una situazione che molti utenti non trovano ideale, e che sarebbe possibile risolvere adottando un sistema già largamente diffuso: quello della crittografia end-to-end. La domanda quindi è: si tratta di una soluzione fattibile?
Il cloud è sicuro? Sì, ma ricordiamo che i fornitori possono accedere ai nostri file
La maggior parte dei servizi di cloud storage, come Google Drive, Dropbox e OneDrive, cifrano i dati caricati dagli utenti prima che vengano archiviati. Questo aiuta a proteggere l’integrità e la riservatezza dei dati nel caso in cui un aggressore riesca a compromettere i server dei fornitori di servizi cloud. Infatti, i dati sono cifrati seguendo gli standard crittografici più recenti e sicuri, come AES-256.
Tuttavia, questo metodo di cifratura e poi archiviazione presenta dei problemi. Dal momento che sono i provider dei servizi cloud a cifrare i dati, essi possono accedervi liberamente dato che posseggono le chiavi private per la decifratura. Ciò significa che, ad esempio, Google può consultare tutti i documenti (che, ricordiamo, sono cifrati) presenti su Google Drive.
Questo può essere considerato un compromesso giustificato. L’accesso a file non cifrati consente al provider di offrire ulteriori servizi ai propri utenti. Pensiamo ad esempio alla collaborazione in tempo reale, o l’integrazione di strumenti di AI generativa per l’analisi dei file. Oppure, banalmente, per recuperare i dati nel caso l’utente proprietario smarrisca la password per accedere al servizio.
Il vantaggio di poter accedere liberamente ai file non è solo in favore degli utenti, ma anche dei fornitori stessi. Una delle principali motivazioni è deduplicazione dei dati, ossia la pratica di archiviare una sola copia di file identici caricati da diversi utenti. E la quantità di spazio risparmiato è elevata: secondo le stime di Microsoft, la deduplicazione consente di risparmiare dal 30% all’80% di spazio su disco.
Non si tratta solo di questioni di natura economica, ma anche pratica e legale. Infatti, i dati non cifrati possono essere utilizzati per addestrare modelli di machine learning, o per aiutare le forze dell’ordine a identificare criminali che condividono materiale illecito.
Allora perché adottare la crittografia end-to-end nel cloud?
Come abbiamo visto, pare sia più vantaggioso lasciare che siano i provider e non gli utenti a cifrare i dati sul cloud. Ma cosa succede quando questo non è il caso?
Ci sono diversi motivi per cui gli utenti potrebbero voler prendere in mano le redini dei propri dati. Ad esempio, potrebbero semplicemente voler essere prudenti e non fornire a nessuno l’accesso ai loro dati, oppure potrebbero preferire specificamente che i loro dati non vengano usati per l’addestramento di algoritmi.
Inoltre, gli utenti a rischio potrebbero desiderare una protezione aggiuntiva per i documenti altamente sensibili. Pensiamo ad esempio ai giornalisti investigativi in un regime autoritario, che vivono nel timore che i fornitori di cloud siano obbligati a divulgare i loro dati al governo, mettendo così in pericolo la loro vita.
Anche se si confida nella protezione fornita dai servizi cloud, c’è sempre la possibilità che si verifichino incidenti di sicurezza o fughe di informazioni dovuti a errori di implementazione, oltre al rischio che il fornitore venga compromesso da un avversario esterno.
La risposta a queste preoccupazioni è il passaggio dalla crittografia server-side (fatta dai fornitori) a una client-side (fatta dagli utenti). In questo modo, il fornitore di servizi cloud avrebbe accesso soltanto a file cifrati. Questo metodo è chiamato crittografia end-to-end (E2EE).
La crittografia end-to-end non è una novità, e vede ampio uso in altri ambiti dell’informatica. Ad esempio, la maggior parte del traffico Internet oggi è cifrato end-to-end tramite protocolli come TLS. Anche applicazioni di messaggistica come Telegram e WhatsApp utilizzano la crittografia end-to-end per garantire maggiore privacy ai loro utenti.
Le sfide della crittografia end-to-end
Dato che la crittografia end-to-end vede già così tante applicazioni, perché non implementarla anche nel cloud?
Il problema più critico è intrinseco nella natura stessa della crittografia end-to-end, ed è la gestione delle chiavi private. Queste sono necessarie per recuperare i dati una volta cifrati: una volta perse, i dati diventano irrecuperabili.
Oltre al problema dello smarrimento delle chiavi, bisogna tenere in considerazione anche come trasmetterle in maniera sicura nel caso si vogliano implementare funzionalità di accesso su dispositivi differenti. Nelle applicazioni di messaggistica istantanea questo processo è più semplice, dato che ci si affida a chiavi private “usa e getta“, e i dati non permangono sui server per lungo tempo.
È proprio il problema della persistenza che frena l’adozione della crittografia end-to-end nel cloud. Non è possibile utilizzare gli stessi sistemi implementati dalle applicazioni di messaggistica, né è fattibile ricalcolare ogni volta le chiavi private di ogni utente.
Nonostante le sfide, la crittografia end-to-end per il cloud rimane un campo di ricerca molto attivo e ricco di opportunità. Il successo di questo paradigma dipenderà però da uno sforzo congiunto da parte di crittografi, venditori e fornitori.
- Aumasson, Jean-Philippe (Autore)
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techbusiness
📈 SAP NOW 2024 l'intelligenza artificiale per il business conquista Milano💸 Come calcolare il ritorno sugli investimenti nell’Intelligenza Artificiale
👨⚖️ Direttiva NIS2 e cybersecurity nelle PMI italiane obblighi e opportunità
🔫 Metà degli attacchi informatici in Italia prende di mira le supply chain
📰 Ma lo sai che abbiamo un sacco di newsletter?
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!