PDF Basket
Le minacce alla sicurezza informatica sono in continua evoluzione, per cui risulta necessario che anche le soluzioni crittografiche si evolvano. Per garantire la sicurezza degli utenti di Internet, esiste attualmente un’elevata domanda di soluzioni crittografiche sofisticate che si adattino alle loro esigenze specifiche.
«Purtroppo, dato che spesso queste soluzioni erano afflitte da difetti di progettazione e soggette a errori, molte di esse sono diventate oggetto di attacchi di alto profilo», afferma Karthikeyan Bhargavan, direttore della ricerca presso l’Istituto nazionale francese per la ricerca in scienza e tecnologia digitale (Inria).
Specializzato in materia di protezione dello scambio di dati su Internet, Bhargavan ha visto l’opportunità di colmare questa lacuna di sicurezza. Con il sostegno del progetto Circus, finanziato dall’UE, il suo team si è proposto di sviluppare un nuovo quadro di verifica della sicurezza che fosse in grado di identificare ed eliminare intere classi di minacce informatiche.
Da questo sforzo è nata una ricerca premiata che ha contribuito alla progettazione dell’ultima versione dello standard Transport Layer Security, ovvero TLS 1.3. Questo insieme di protocolli crittografici, oggi utilizzato da quasi tutti i principali browser esistenti, consente alle applicazioni di comunicare in modo sicuro su Internet.
Il progetto Circus, in collaborazione con Microsoft Research e CMU, ha inoltre realizzato HACL*, la prima libreria di algoritmi crittografici ad alte prestazioni formalmente verificata.
Dal laboratorio al mercato
Il team, disponendo di due soluzioni fondamentali del genere, è stato presto contattato da aziende Internet come Mozilla, Linux e Microsoft; tuttavia, essendo un progetto di ricerca, Circus non aveva in programma di fornire soluzioni commerciali.
Grazie al sostegno del Consiglio europeo della ricerca, Bhargavan ha lanciato il progetto CRYSPEN. «Il nostro obiettivo era quello di creare un’azienda che prendesse in considerazione tutta la ricerca sviluppata nell’ambito del progetto Circus e la trasformasse in soluzioni crittografiche verificate, pronte all’uso e commercialmente valide», spiega.
L’azienda, anch’essa chiamata Cryspen, si dedica alla creazione degli strumenti di verifica formale e delle soluzioni software matematicamente provate di cui le aziende hanno bisogno per acquisire fiducia nei propri sistemi critici per la sicurezza.
«Uno dei nostri principali elementi di differenziazione riguarda il fatto che non aiutiamo solamente le aziende a mettere da parte le loro soluzioni crittografiche tradizionali, ma lo facciamo adottando un approccio basato sulla ricerca che garantisce la correttezza dimostrata e la sicurezza verificata di tutto ciò che forniamo», aggiunge Bhargavan.
Tre anni più tardi, il portafoglio dell’azienda comprende contratti con aziende Internet di alto profilo e società più piccole, tra cui di attive in settori quali criptovalute e privacy su Internet.
Lavorare da dietro le quinte
Anche se probabilmente non ne siete consapevoli, è molto probabile che siate protetti da una soluzione di Cryspen, possibilmente proprio ora mentre leggete questo articolo. «Il nostro software e gli standard a cui contribuiamo lavorano per garantire la vostra sicurezza da dietro le quinte», osserva Bhargavan.
Oltre a proteggere la maggior parte dei browser web, grazie a Cryspen si mantiene anche la sicurezza dei servizi di messaggistica, poiché l’azienda ha contribuito allo sviluppo del nuovo standard Messaging Layer Security (MLS).
«Cryspen produce un software premiato in grado di aiutare le aziende ad adottare il nuovo standard MLS e a integrarlo in modo sicuro nel proprio stack tecnologico», spiega Bhargavan.
Lo standard è già utilizzato da aziende del calibro di Cisco, Matrix e Wire; Bhargavan, inoltre, ritiene che la maggior parte dei principali servizi di messaggistica non avrà presto altra scelta che iniziare anch’essa a utilizzare il protocollo aperto MLS. «I nuovi regolamenti, come la normativa sui mercati digitali, richiedono alle aziende di adottare l’interoperabilità, soprattutto per quanto riguarda le comunicazioni e la messaggistica», osserva.
Sviluppi per far fronte alle mutevoli minacce alla sicurezza informatica
Secondo Bhargavan, la prossima grande evoluzione sarà quella della crittografia post-quantistica. «Data la crescente minaccia dell’informatica quantistica, le aziende e le organizzazioni devono iniziare a pianificare la transizione post-quantistica», aggiunge Bhargavan, che conclude: «Ciò significa effettuare la migrazione dei loro processi e applicazioni ai fini dell’utilizzo della crittografia post-quantistica, resistente agli attacchi dei computer quantici.»
Fortunatamente, grazie ai finanziamenti dell’UE, queste aziende e organizzazioni potranno contare sulle soluzioni garantite e basate sulla ricerca di Cryspen.