Cybersecurity: cosa sono integrità e autenticità delle informazioni e come ottenerle – Agenda Digitale
Security by design
Informazioni fedeli alle originali: l’integrità è sempre desiderata ma poco espressamente richiesta. Ancor meno l’autenticità, cioè l’integrità per tutto il ciclo di vita dell’informazione. Ecco come funzionano le diverse garanzie per un approccio security by design
05 Ott 2022
Dipartimento Ingegneria Informatica, automatica e gestionale Antonio Ruberti, Sapienza Università di Roma
La sicurezza delle informazioni prevede vari requisiti: confidenzialità, integrità e disponibilità (detti requisiti CIA), che, a seconda dei casi, possono essere necessari oppure no. Tra tutti, il requisito dell’integrità è ampiamente sottovalutato: perché?
Firma digitale, la guida tecnica completa: tutti gli aspetti matematici le applicazioni
Definizione di integrità delle informazioni
Il requisito dell’integrità richiede che le informazioni a noi giunte (dalla rete, dal disco, da una penna USB) siano fedeli a quelle originali, e dunque non alterate, per errore di trasmissione o per volontà di un avversario.
WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Ciò premesso, appare abbastanza ovvio che tutti noi, nell’uso di un qualunque dispositivo, ci aspettiamo che le informazioni visualizzate siano originali e prive di contraffazione. In altre parole, potremmo dire che desideriamo sempre che le informazioni siano integre. Ciò significa dunque che il requisito dell’integrità è sempre desiderato.
Sottovalutazione del requisito di integrità
Da quanto osservato segue l’attributo di sottovalutazione: se il requisito è sempre voluto (chi vorrebbe consultare informazioni manomesse?), dovrebbe essere sempre esplicitato nei domini applicativi, ma ciò di fatto accade solo occasionalmente.
Molti operatori si affrettano a richiedere altri requisiti (ad esempio, la cifratura) ma non si soffermano sull’integrità, quasi lo considerassero ovvio. Eppure, in fase progettuale, dovrebbe essere sempre esplicitato (non dimentichiamo il celebre approccio vincente security-by-design). Per fortuna in alcune applicazioni che fanno uso della rete i (noti) protocolli TLS e IPsec, talvolta usati per altre ragioni, garantiscono l’integrità.
La garanzia di integrità: come funziona l’impronta
Nel modello di riferimento, denominiamo Alice la sorgente delle informazioni e Bob il destinatario: immaginiamo che Alice mandi un file a Bob, che ne richiede l’integrità. Alice e Bob non sono necessariamente persone ma possono essere dispositivi di memorizzazione (cloud incluso) o anche programmi in esecuzione (detti processi).
Se Bob ha richiesto l’integrità allora Alice, nel mandare a Bob un file F, invierà anche un altro file T (chiamato in molti modi, ma qui denominato
