Da
questa pagina di The
Last Day in the Web
potrete criptare le vostre web pages in modo semplice e veloce. In questo
modo potrete pubblicare il vostro sito senza che qualcuno rubi le vostre
pagine per inserirle nel proprio sito. Una pagina HTML criptata richiede che
l'utente abbia il
Javascript
attivo altrimenti non
vedrà la vostra creazione.
1)
Aprite il vostro documento con un editor di testo o comunque nel modo che si
possa trovare il codice HTML. Copiate l'intero codice (dall'espressione
<HTML>
a quella </HTML>)
e incollatelo qui sotto, nell'area di testo.
2)
Una volta inserito il codice della vostra pagina web clikkate su
C
R I P T A
3)
Nel campo qui sopra apparirà il codice criptato. Copiatelo e inseritelo qui
di seguito al posto della scritta "
Inserire
qui il codice criptato
"
4)
Infine selezionate tutto il codice qui sopra e copiatelo in un documento
vuoto al posto del codice HTML. NON SI AVVERTIRANNO DIFFERENZE A LIVELLO DI
USO (naturalmente necessita del Javascript attivo), MA SE QUALCHE FURBETTO
VORRA' PORTARCI VIA I NOSTRI PICCOLI CAPOLAVORI AVRA' QUALCHE PROBLEMINO.
Best
Crypt permette di creare dischi virtuali protetti sui quali è
possibile memorizzare i dati in forma crittografata e non
accessibile. E' possibile creare più di un disco e a ognuno
associare una diversa password e un diverso algoritmo di
crittografia scelto tra Blowfish, Gost o Twofish. Il programma è
immediato da usare e sicuramente costituisce un'ottima soluzione per
chi ha bisogno di crittografare una grande mole di dati.
Il
punto di forza di DpCrypt è sicuramente la sua semplicità di
utilizzo. L'interfaccia grafica è tra le più semplici e immediate
ed è consigliato per gli utenti meno smaliziati che vogliano
muovere i primi passi nel mondo della crittografia. Il programma
supporta una vasta rosa di algoritmi crittografici tra cui il nuovo
e potente Twofish. DpCrypt non viene fornito con uno strumento di
cancellazione sicura e la sua principale debolezza è la mancanza di
integrazione con il sistema. Il prodotto è distribuito
gratuitamente.
F-Secure
Desktop permette di proteggere cartelle e file di Windows in maniera
automatica: ultimata l'installazione il programma lancerà una
procedura guidata di configurazione durante la quale è necessario
indicare il nome utente e le password che si vogliono utilizzare per
proteggere i dati; quindi indicare i file e le cartelle che si
vogliono proteggere da occhi indiscreti. Esistono due livelli di
protezione: Secret, che codifica i dati all'uscita di Windows e li
ricodifica all'avvio; e Top Secret, che invece non decodifica i
file automaticamente all'avvio di Windows. All'avvio del sistema il
programma mostrerà una finestra che richiederà di autentificarsi
con il nome e la password scelte nella fase di configurazione del
programma. Il programma mette a disposizione dell'utente anche la
possibilità di codificare e decodificare i dati tramite un
procedimento manuale: è sufficiente utilizzare le nuovi voci di
menu che si possono visualizzare premendo il tasto destro del mouse
sopra il file che si vuole proteggere.
Nonostante
l'uscita di Kremlin risalga all'anno scorso, il programma è ancora
uno dei migliori in circolazione nel mondo dello shareware. La
versione non registrata è perfettamente funzionante, con la sola
limitazione che non è possibile utilizzare gli algoritmi
crittografici più potenti. Kremlin permette di codificare file e
cartelle, sia in modo manuale sia in modo automatico. Il programma
si integra perfettamente con Explorer e il desktop del sistema, così
codificare e decifrare file è immediato: è sufficiente trasportare
i documenti da crittografare sull'icona di Kremlin, che sarà
presente sul desktop dopo la fase d'installazione; interessante è
la possibilità di scegliere password diverse per file diversi. Per
la decodifica è sufficiente un doppio clic sul file codificato e
specificare la password. Si possono anche selezionare le cartelle e
i file che si vogliono automaticamente crittografare alla fine della
sessione di lavoro. Il pacchetto offre anche un sistema di
cancellazione sicura (wipe) dei file. E' possibile anche programmare
il wipe di file o cartelle da eseguire in determinati giorni a una
certa ora. Il pacchetto comprende anche un editor di testo (Kremlin
Text) con cui si può crittografare quello che si scrive e inviarlo
via e-Mail. La lista degli algoritmi di crittografia che si possono
utilizzare comprende l'ottimo Blowfish, Cast, Rc4. Si sente la
mancanza di un'integrazione con i programmi di posta elettronica ed
è da sottolineare l'impossibilità di decifrare i file su un'altra
macchina.
Lo
scopo di quest'applicazione è la protezione di intere cartelle;
l'algoritmo utilizzato è lo stesso di ThunderSafe: il Blowfish con
chiavi da 448 bit. Il programma è semplice da utilizzare, grazie
all'interfaccia intuitiva, ma l'utente esperto potrebbe trovare
limitate le funzionalità messe a disposizione e rivolgersi ad altri
prodotti più completi.
Utilizza
l'algoritmo Blowfish con chiavi da 448 bit per la codifica dei dati.
ThunderSafe permette di proteggere i file singolarmente o a gruppi e
ha la possibilità di creare degli eseguibili che potranno essere
decifrati anche su computer dove il programma non è installato. I
file eseguibili creati dal programma potranno essere inviati come
allegati e-Mail o inseriti in un dischetto da passare a un collega.
Altra funzione del programma è quella di permettere di
crittografare i testi all'interno di un qualsiasi editor (Word,
Outlook Express, ecc.): è sufficiente selezionare con il mouse il
testo da codificare (o da decodificare) e attivare la relativa icona
nella traybar di Windows. L'ottimo algoritmo di crittografia e la
semplicità d'uso rendono ThunderSafe un prodotto completo adatto a
molti utenti.
Per
trovare guide e software riguardanti la crittografia e links utili clikka
sul banner qui
sotto, ti collegherai alla web page "Encryption" di Bismark:
Se
sei un esperto di crittografia o sul tuo sito hai del materiale interessante che
riguarda questo
argomento avrai la possibilità di aggiungere il tuo URL al database di Bismark.
Occhio
alla POLICY però, siti non conformi alle regole non verrano presi in
considerazione.
Nell’era
dello sviluppo economico attraverso il digitale, con l’aumentare del numero
delle comunicazioni parallelamente crescono i sistemi d’ascolto, le
intercettazioni, le operazioni di spionaggio. Per chi sta pensando d’implementare
meccanismi per il commercio elettronico o mantenere dati confidenziali
proteggendoli da alterazioni e spionaggio o, ancora, scambiare regolarmente
informazioni con altri utilizzando la posta elettronica o il Web, Internet da
sola non basta. Chiunque intercetti un messaggio via Internet può manometterlo:
anche piccole alterazioni come cambiare una data o muovere un punto decimale
potrebbero avere drammatiche ripercussioni. Con una previsione di questo tipo,
possiamo permetterci di lasciare i nostri affari più delicati in balia di un
qualsivoglia esperto di spionaggio informatico?
È
necessario a questo punto correre ai ripari implementando meccanismi che
garantiscano il rispetto dei basilari criteri di sicurezza, quali:
l’inviolabilità
della corrispondenza (riservatezza);
la
conformità del duplicato trasmesso all’originale del documento
(integrità dei dati);
l’effettiva
provenienza del documento da colui che appare come mittente
(autenticazione);
il
cosiddetto “non ripudio”; cioè, chi trasmette non deve poi poter negare
di avere trasmesso, così come chi riceve non deve poter negare di aver
ricevuto.
Come
abbiamo ampiamente descritto nel Dossier “Sicurezza: a che punto siamo?”
dello scorso novembre, per ottenere questi risultati, gli esperti si sono
indirizzati alla crittografia, termine che fino a pochi anni fa evocava ricordi
di guerra, spionaggio, avventure, mistero: basti ricordare la famosa macchina
Enigma di Arthur Scherbius, un complicato dispositivo meccanico impiegato
durante il secondo conflitto mondiale dai tedeschi per criptare e decodificare i
messaggi fra i loro comandi. O, per andare ulteriormente indietro nel tempo, il
sistema adottato da Giulio Cesare per inviare messaggi segreti: la regola del
cosiddetto “spostamento a tre”, la sostituzione, cioè, di ogni lettera dell’alfabeto
con la terza successiva (A con D, B con E ecc). Questi metodi di scambio dei
messaggi utilizzano la cosiddetta crittografia, la tecnica con il più
alto grado di capacità funzionale. È proprio in quest’area che le aziende
dell’Information Technology stanno investendo in uomini e mezzi.
Supponiamo
che qualcuno desideri inviare un messaggio a un destinatario e voglia essere
sicuro che nessun altro possa leggerlo. Nella terminologia della crittografia,
il messaggio è chiamato testo in chiaro. Con il termine crittografare
s’intende codificare il contenuto del messaggio in modo che risulti non
comprensibile da esterni. Il messaggio crittografato è quindi denominato testo
cifrato. Il processo di recupero del testo in chiaro dal testo cifrato è
denominato decrittazione. I processi di codifica e decodifica fanno
normalmente uso di una chiave e il metodo di codifica è costruito in modo che
la decodifica possa essere effettuata soltanto conoscendo la chiave appropriata.
Cifra è il nome di ogni metodo di codifica e decodifica. La moderna
crittografia tratta tutti gli aspetti della messaggistica sicura, dell’autenticazione,
delle firme elettroniche, del denaro elettronico e altre applicazioni. I moderni
algoritmi non possono essere eseguiti da esseri umani, ma solo da computer o
dispositivi hardware specializzati: essi utilizzano una chiave che viene
sottoposta ai due processi di codifica e decodifica in modo che un messaggio
possa essere decrittato solo se la chiave corrisponde a quella di crittazione.
Ci sono due classi di algoritmi basati su chiave: simmetrici (o
a chiave segreta) e asimmetrici (o a chiave pubblica).
La
differenza è rappresentata dal fatto che gli algoritmi simmetrici utilizzano la
stessa chiave per la codifica e la decodifica, mentre quelli asimmetrici ne
usano una differente per i due processi; inoltre la chiave per la decodifica non
può essere derivata da quella di codifica. Gli algoritmi asimmetrici permettono
di rendere pubblica la chiave di codifica, cosicché chiunque può essere in
grado di codificarli, ma solo chi conosce la chiave di decodifica (chiave
privata) può interpretare il messaggio. I sistemi a crittografia pubblica
offrono alcuni vantaggi rispetto a quelli a chiave simmetrica. Per esempio, la
chiave pubblica può essere facilmente distribuita senza il timore di
compromettere la sicurezza; non è neanche necessario inviarne una copia a tutti
i corrispondenti: essa può essere prelevata da un server di chiavi pubblico
mantenuto da un’autorità di certificazione. Un altro vantaggio della
crittografia a chiave pubblica è quella di permettere di autenticare l’originatore
del messaggio. Nella pratica, come, per esempio, nell’implementazione di PGP http://www.pgpi.com
gli algoritmi a chiave asimmetrica e quelli a chiave simmetrica sono spesso
utilizzati insieme: con la chiave pubblica viene codificata una chiave di
crittografia generata casualmente, quest’ultima è utilizzata per
crittografare il messaggio utilizzando un algoritmo simmetrico. Molti ottimi
algoritmi di crittografia sono disponibili pubblicamente attraverso libri,
uffici brevetti o Internet: proprio per questo motivo, l’algoritmo di pubblico
dominio è soggetto alla revisione di centinaia di esperti che ne scoprono e
sistemano le eventuali debolezze; questo rappresenta sicuramente un vantaggio.
La
sicurezza degli algoritmi
Anche
se un algoritmo è sicuro contro attacchi analitici, quegli attacchi cioè che
cercano di derivare le chiavi dai risultati della codifica, se la chiave è
troppo corta potrebbe essere vulnerabile nei confronti di attacchi mediante
forza bruta. In un attacco a forza bruta, l’attaccante tenta ogni possibile
chiave fino a trovare quella giusta. Quanto tempo ci impiegherà dipende dalla
grandezza della chiave e dalla disponibilità di risorse computazionali in suo
possesso. Uno dei migliori trattati sulla lunghezza delle chiavi e gli sforzi
richiesti per romperle è contenuto nel capitolo 7 del libro Applied
Cryptography, di Bruce Schneier, una vera e propria bibbia sulla
crittografia. La tabella seguente è un condensato della sua stima dei costi e
dei tempi richiesti per rompere chiavi di una certa lunghezza.
Tipo
di attaccante
Lunghezza
delle chiavi simmetriche in bit
40
5
64
80
128
Singolo
hacker con PC (1.000 dollari)
5
h
37
anni
10.000
anni
700
milioni di anni
1021
anni
Piccola
azienda (100.000 dollari)
2
s
35
h
1
anno
70.000
anni
1019
anni
Dipartimento
grossa azienda
(1
milione di dollari)
1
s
3.5
h
37
giorni
7.000
anni
1018
anni
Grossa
azienda (100 milioni di dollari)
2
ms
2
minuti
9
h
70
anni
1016
anni
Intelligence
Agency
(1 miliardo di dollari)
2
ms
13
s
1
h
7
anni
1015
anni
Naturalmente
questa situazione non è statica; secondo la legge di Moore, la potenza dei
computer è sempre in crescita, mentre il loro costo diminuisce: sarà quindi più
semplice nel futuro rompere chiavi più grandi.
Gli
algoritmi crittografici si applicano anche nel campo delle firme elettroniche.
Come abbiamo più volte scritto nei mesi scorsi, la firma elettronica, prodotto
derivato direttamente dagli strumenti messi a disposizione dalla moderne
tecnologie, è la possibilità di attribuire piena validità giuridica a
qualsiasi documento redatto con sistemi informatici. Dal momento che le firme
digitali utilizzano un algoritmo di chiave asimmetrica, chi vuole utilizzare un
sistema di firma digitale deve munirsi di una coppia di chiavi asimmetriche. Una
verrà resa pubblica mediante il deposito presso un registro accessibile per via
telematica. L’altra, invece, dovrà essere custodita con ogni attenzione dal
proprietario. Sarà la chiave pubblica a permettere la verifica della firma
generata utilizzando la corrispondente chiave privata. In Italia è già una
realtà grazie all’articolo 15 della legge 15 marzo 1997 n. 59 (nota come
“Legge Bassanini 1”) che attribuisce piena validità agli atti formati e
stipulati con mezzi informatici, nonché alla loro archiviazione e trasmissione.
La firma digitale di un documento arbitrario viene creata calcolando un sommario
matematico del documento concatenandolo con informazioni sull’autore, sulla
data ecc.; l’informazione così creata viene codificata utilizzando la chiave
privata del firmatario. Il blocco di bit risultante è la firma, spesso
distribuita insieme a informazioni sulla chiave pubblica del firmatario. Per
verificare una firma, il destinatario decodifica il messaggio con la chiave
pubblica dell’autore: se la firma viene correttamente decodificata e
l’informazione corrisponde a quella del messaggio la firma è considerata
valida.
Per
chi non si accontenta della “mera” crittografia e desidera raggiungere un
livello di sicurezza superiore, esiste la steganografia (scrittura
nascosta), cioè l’arte e la scienza di comunicare in modo che l’esistenza
della comunicazione venga nascosta. In contrasto con la crittografia, dove
all’intruso è permesso intercettare e modificare i messaggi senza essere in
grado di interpretarli, il fine della steganografia è nascondere le
comunicazioni all’interno di altri veicoli in modo che non sia neppure
possibile la semplice scoperta della presenza di un messaggio segreto. Uno dei
primi esempi di steganografia, utilizzato già nell’Evo Antico, prevedeva la
rasatura della testa di un messaggero e il tatuaggio del messaggio sul suo cuoio
capelluto. Il messaggio non poteva essere scoperto una volta che i capelli erano
ricresciuti. Un’altra forma comune di steganografia, in uso nella seconda
guerra mondiale, era l’inchiostro invisibile: una lettera apparentemente
innocente poteva contenere tra le righe un messaggio molto diverso. Con
l’evoluzione della tecnologia e l’avvento di Internet, la steganografia
avanzata diventa alla portata di tutti: è possibile, infatti, nascondere un
messaggio segreto all’interno di un qualsiasi documento in formato
elettronico, come , per esempio, un file grafico o un file audio. Il programma S-Tools
4:
ftp://idea.sec.dsi.unimi.it/pub/security/crypt/code/s-tools4.zip
costituisce il modo più semplice per nascondere uno o più file all’interno
di un file grafico come GIF o BMP o audio in formato WAV, crittografandone il
contenuto utilizzando algoritmi a chiave simmetrica. Ovviamente, il file grafico
o audio risultante differisce dal precedente per il contenuto, ma ai nostri
occhi o alle nostre orecchie appare esattamente come il file originario.
Gli
Stati Uniti sono il maggior produttore ed esportatore mondiale di software, ma i
programmi crittografici che possono esportare, e che noi compriamo, sono
considerati deboli a causa delle severe regole che ne limitano l’esportazione.
Considerata di pericolosità pari a quella di una munizione, fino alla fine del
1996 l’esportazione di crittografia era regolamentata dalla legge sul traffico
internazionale di armi.
Da
quella data, però, è il Dipartimento del Commercio che, tramite le
Regolamentazioni sull’Amministrazione delle Esportazioni, ha facoltˆ di
decisione. La nuova legge permette la libera esportazione di software di
crittografia con chiavi simmetriche lunghe fino a 40 bit (e quindi attaccabili
con successo mediante forza bruta), riservandosi invece di esaminare proposte
per chiavi fino a 56 bit. Inoltre, viene considerata esportazione la diffusione
di software di crittografia su Internet o su una BBS, fino a che non venga
impedito l’accesso a paesi stranieri (avete mai provato a prelevare il
software PGP da www.pgp.com?).
Non
ci sono invece limitazioni per quanto riguarda la circolazione della
crittografia all’interno dei confini di Stati Uniti e Canada. In campo
internazionale, in seguito all’accordo di Wassenaar del 1995, 31 paesi
occidentali si sono impegnati a non esportare beni di doppio uso (militare e
civile, come il software crittografico) a nazioni considerate pericolose, quali
Libia, Iran e Iraq. Per quanto riguarda il vecchio continente, il Consiglio
d’Europa ha emanato alcune disposizioni sull’esportazione di beni di doppio
uso: in generale, è richiesta una licenza per tale esportazione fuori
dall’Unione Europea, con l’eccezione del software del mercato di massa e di
pubblico dominio. L’Italia si è uniformata alle normative europee in vigore,
la Francia, viceversa, si discosta dal resto dell’Europa, prevedendo regole
oltremodo restrittive: fino all’agosto scorso la crittografia considerata
robusta, cioè non forzabile in breve tempo, era completamente bandita
all’interno dei confini francesi, se non per scopi militari. Ma dal decreto
del ’97, che fa seguito a una legge sulle telecomunicazioni del luglio 1996,
la crittografia a 40 bit è permessa su tutto il territorio nazionale: il primo
ministro Lionel Jospin ha ammesso il ritardo con il quale il suo Paese ha
riconosciuto il potenziale di Internet e ha promesso iniziative per recuperare
il tempo perduto.
Quando
la crittografia digitale fa gola alla malavita e al Cracking
La
crittografia è utilizzata come strumento per nascondere informazioni in diverse
attività illecite quali frode finanziaria, furto d’informazioni proprietarie,
crimini al computer, droga, pedofilia, terrorismo, spionaggio economico e
militare. Ecco una carrellata di usi quantomeno illeciti.
1)
Secondo il Centro per il Crimine e la Tecnologia della Polizia di Stato
italiana, la mafia, per sfuggire ai controlli, sta cercando sempre più di
utilizzare la crittografia, considerata dai vertici investigativi come il suo più
grande limite nel campo delle indagini. Sembra inoltre che i mafiosi, anziché
rivolgersi a esperti per creare nuovi codici, abbiano scaricato copie di PGP da
Internet;
2)
Pochi anni fa, la AccessData Corporation http://www.accessdata.com
azienda operante nel campo della sicurezza dati, diede un notevole
contributo alla lotta contro i narcotrafficanti boliviani decodificando alcuni
file sequestrati in un’operazione antidroga : il caso terminò con una delle
più grandi operazioni antidroga nella storia della Bolivia.
Ramsey
Yousef fece parte del gruppo terroristico internazionale responsabile delle
esplosioni al World Trade Center di New York nel 1994 e all’aereo di linea
della Manila Air nel 1995. Quando il suo laptop fu sequestrato a Manila,
l’FBI trovò alcuni file crittografati. Questi file, poi decodificati con
successo, contenevano informazioni relative a ulteriori progetti di far
esplodere 11 aerei di linea commerciali in Estremo Oriente.
Dei
criptovirus, una nuova forma di terrorismo finanziario, sono stati
introdotti in almeno nove sistemi finanziari a Londra. Questi frammenti di
codice ostile sono come gli altri virus, eccetto che codificano i dati
anzichè danneggiarne il sistema: in questi casi i virus mettevano in cifra
dati e file bancari. Le compagnie venivano in seguito contattate da hacker
che richiedevano riscatti fino a 100.000 dollari.
In
diversi casi l’FBI ha reso noto il ritrovamento di messaggi di posta
elettronica e file codificati nelle corso di indagini relative a pedofili e
pornografia infantile. In molti casi i soggetti utilizzavano il noto
programma PGP o mascheravano messaggi nelle immagini che venivano scambiate
o rese disponibili sul loro sito Internet.
ICQ: