Privacy

Pubblicato da Mattia Felici il

Reading Time: 5 minutes

Privacy

Lo strumento principale per mantenere i dati privati nei repository cloud è la crittografia.

I dati non crittografati nell’archiviazione cloud sono soggetti a intrusioni in diversi modi.

Le autorità governative possono richiedere l’accesso con mandati di perquisizione, citazioni in giudizio o altre forme di autorizzazione legale.

Il sistema del provider potrebbe essere violato e i dati potrebbero essere presi o manomessi.

Un dipendente del provider cloud può accedere ai dati ed esporli, sia consciamente che per errore.

Un errore operativo o amministrativo nel servizio potrebbe esporre involontariamente i dati.

Una qualche forma di interruzione dell’attività, ad esempio un fallimento o un’acquisizione ostile, può causare caos aziendale e operativo che espone i dati, li rende inaccessibili o li distrugge.

Gli esperti di sicurezza spesso distinguono tra dati in transito e dati inattivi. I dati devono essere protetti in entrambi gli stati.

I dati in transito e i dati inattivi sono concetti importanti quando si parla di sicurezza nel cloud.

I dati inattivi sono dati memorizzati almeno in modo semipermanente e possibilmente permanente. I dati in transito sono dati trasmessi su una rete, spesso Internet.

Per le persone, i dati inattivi sono generalmente dati che sono stati archiviati su un disco o su un dispositivo di archiviazione a stato solido, su un dispositivo personale o un’unità di archiviazione un cloud.

I dati in transito sono in movimento, in viaggio tra una posizione di partenza, un server cloud, e un dispositivo personale.

Sia i dati inattivi che i dati in transito devono essere protetti per essere sicuri. I dati inattivi sono generalmente protetti crittografando i dati.

La chiave per la decifrazione deve essere accessibile sul computer dell’individuo e può essere accessibile anche al cloud provider.

La crittografia può essere simmetrica, in cui il provider e l’utilizzatore finale condividono la stessa chiave, o asimmetrica, in cui il provider e il consumatore hanno chiavi diverse.

La protezione dei dati in transito presenta ulteriori sfide.

I dati devono essere crittografati come per i dati inattivi, ma c’è un’ulteriore vulnerabilità; i dati crittografati possono essere dirottati, inviati alla destinazione sbagliata e accessibili da eventuali intrusi.

Anche se i dati sono crittografati, gli attaccanti possono decifrarli a loro piacimento.

Un protocollo ampiamente utilizzato verifica il target tramite firme crittografiche e crittografa i dati inviati.
Questo protocollo è chiamato Secure Socket Layer (SSL) o Transfer Layer Security (TLS).

SSL è una versione precedente del protocollo che è stata dichiarata non sicura e sostituita da TLS.
SSL è usato raramente ora, ma il nome è ancora usato spesso. Quando vedi https anziché http in un indirizzo del browser, sta usando TLS per proteggere i dati in transito.

Tieni presente che, indipendentemente dalla forza della crittografia, dato il tempo e le risorse, la crittografia può essere violata.

Alla fine, ogni forma crittografia diventa insicura man mano che il settore si evolve. Lo scopo della crittografia è rendere proibitivo il costo in tempo e risorse per violare la chiave crittografica rispetto al valore dei dati crittografati.

Possiamo ragionevolmente affermare che in qualsiasi momento i dati crittografati 10 anni prima siano ora facilmente decifrabili.

Attualmente l’Advanced Encryption Standard (AES) è l’algoritmo più generalmente accettato per la crittografia sicura.

È stato sviluppato dal governo degli Stati Uniti e pubblicato dal National Institute of Standards (NIST) nel 2007.

AES è utilizzato dal governo degli Stati Uniti per crittografare i documenti classificati. Sebbene abbia delle criticità, è generalmente accettato come lo standard di crittografia più forte.

Esistono funzioni crittografiche diverse da AES, ma AES è la scelta più nota e sicura.

Lo standard supporta chiavi che possono essere lunghe 128, 192 o 256 bit.
Questi sono indicati come AES 128, AES 192 e AES 256.

Il governo federale degli Stati Uniti richiede AES 256, ma la maggior parte degli esperti ritiene che AES 128 sia ora praticamente sicuro come AES 256.

Il numero di possibili chiavi a 128 bit è un numero decimale di 39 cifre, il numero di possibili chiavi a 256 bit è un numero decimale di 78 cifre.
Teoricamente, AES 256 è molto, molto più forte di AES 128.

Tuttavia, la differenza pratica di forza è trascurabile perché crackare AES 128 con la migliore tecnologia attuale richiederebbe più di 13,7 miliardi di anni, l’età dell’universo.
AES 256 richiederebbe molto più tempo, ma chi avrebbe tutto questo tempo?

La maggior parte, se non tutti, i servizi in cloud cifrano i dati.

Chiunque abbia qualche preoccupazione per la privacy dei dati dovrebbe scegliere un servizio con crittografia.

I dati devono essere crittografati sia a riposo che in transito.

La maggior parte dei prodotti cloud-storage cifra i dati che rimangono nel cloud e utilizza TLS per proteggere i dati in transito da snooping e forme di attacco man-in-the-middle.

Anche la posizione in cui sono archiviate le chiavi di crittografia è importante. Alcuni provider di repository cloud mantengono le chiavi di crittografia sul proprio sistema.

Questo è conveniente perché gestiscono e proteggono le chiavi al posto dell’utente finale.

È un po’ come il vecchio sistema alberghiero in cui lasci la chiave della tua camera alla reception, il che è comodo ma l’addetto alla reception potrebbe dare la chiave alla persona sbagliata.

Allo stesso modo, un provider cloud potrebbe essere obbligato a fornire la chiave a qualcuno che potresti non autorizzare, come un agente governativo, a visualizzare i tuoi dati.

Se l’utente detiene l’unica chiave, il fornitore non è in grado di rivelare i tuoi dati in nessun caso, anche in virtù di un mandato di comparizione o di altro tipo di mandato.
D’altra parte, una chiave gestita dal provider sarà probabilmente ben scelta e non andrà persa o dimenticata.

Probabilmente il punto debole più significativo della crittografia AES, o di qualsiasi crittografia, non è l’algoritmo, ma le implementazioni errate dell’algoritmo, che vengono introdotte nel codice sorgente.

Se l’algoritmo AES non è codificato correttamente, le chiavi di crittografia non sono gestite bene e questo porta a molti altri potenziali difetti, che rendono, di fatto, la crittografia vulnerabile.

Un’alternativa per garantire la privacy assoluta è crittografare i dati prima che vengano consegnati al servizio di repository cloud.

Esistono diversi prodotti sul mercato che supportano la crittografia locale indipendente.

Questo comporta un maggior “lavoro” da parte dell’utente, ma i dati risultano essere più al sicuro e protetti.

Categorie: Cloud
Tag:

Articoli correlati

Cloud

PaaS: Platform as a Service

PaaS: Platform as a Service PaaS comprende sia IaaS che SaaS e aggiunge un’altra funzionalità nel tentativo di risolvere il problema. Come descritto in precedenza, le persone cercano di controllare i costi, eliminare grandi esborsi, Leggi tutto…

DevOps

Configuration Management con Ansible

Introduzione ad Ansible Ansible è uno strumento di Configuration Management (CM) in grado di orchestrare il provisioning di infrastrutture come macchine virtuali. Ansible utilizza uno stile di configurazione dichiarativo, il che significa che consente di Leggi tutto…

Cloud

IaaS: Infrastructure as a Service

IaaS: Infrastructure as a Service In tutto il settore IT, l’hardware è stato ampiamente ignorato per molto tempo. I server fisici non erano “attraenti” come le controparti applicative e lo sviluppo software. Non c’era gloria Leggi tutto…

error: Content is protected !!

La maggior parte dei contenuti del blog ComputerSec vengono pubblicati a beneficio di tutti e in modo completamente gratuito.
Tuttavia per supportare il blog, e per avere ulteriori vantaggi, puoi decidere di abbonarti e sfruttare al 100% tutti i contenuti!
Abbonati Ora!

Complimenti! Ti sei iscritto alla nostra Newsletter

C'è stato un errore durante l'invio della richiesta. Per favore riprova.

Computer Security will use the information you provide on this form to be in touch with you and to provide updates and marketing.