Crittografia dei dati a riposo

I dati "a riposo" sono dati archiviati da qualche parte: su un dispositivo mobile, laptop, server o disco rigido esterno, ad esempio. Quando i dati sono a riposo, non si sposta da un luogo a un altro.

Un esempio di una forma di crittografia che protegge i dati a riposo è la crittografia "full-disk"(talvolta chiamata anche "crittografia del dispositivo"). L'abilitazione della crittografia a disco intero crittografa tutte le informazioni memorizzate su un dispositivo e protegge le informazioni con una passphrase o un altro metodo di autenticazione. Su un dispositivo mobile o laptop, questo di solito appare come una tipica schermata di blocco del dispositivo, che richiede un passcode, passphrase o identificazione digitale. Tuttavia, il blocco del dispositivo (ovvero la richiesta di una password per "sbloccare" il dispositivo) non significa sempre che la crittografia dell'intero disco è abilitata.

Assicurati di controllare in che modo il tuo sistema operativo abilita e gestisce la crittografia dell'intero disco. Mentre alcuni sistemi operativi hanno la crittografia del disco completo abilitata per impostazione predefinita, alcuni sistemi operativi non lo fanno. Ciò significa che qualcuno potrebbe accedere ai dati sul dispositivo mobile semplicemente interrompendo il blocco del dispositivo, ma senza dover rompere la chiave di crittografia poiché il dispositivo stesso non è crittografato. Alcuni sistemi archiviano ancora testo in chiaro non crittografato su RAM , anche quando si utilizza la crittografia a disco intero. La RAM è una memoria temporanea, il che significa che poco dopo la disattivazione del dispositivo la memoria in genere non può essere letta, ma un sofisticato avversario potrebbe tentare un attacco di avvio a freddo e recuperare il contenuto della RAM.

La crittografia di tutto il disco può proteggere i tuoi dispositivi da persone che hanno accesso fisico a loro. Ciò è utile se si desidera proteggere i dati da coinquilini, colleghi o datori di lavoro, funzionari scolastici, familiari, partner, agenti di polizia o altri funzionari delle forze dell'ordine. Protegge inoltre i dati sui dispositivi in ​​caso di furto o smarrimento, ad esempio se si lascia il telefono accidentalmente su un autobus o in un ristorante.

Esistono altri modi per crittografare i dati a riposo. Un'opzione, nota come "crittografia dei file", crittografa solo i singoli file specifici su un computer o altro dispositivo di archiviazione. Un'altra opzione è "crittografia unità" (nota anche come "crittografia del disco"): consente di crittografare tutti i dati su un'area di archiviazione specifica su un dispositivo.

È possibile utilizzare questi diversi tipi di crittografia a riposo in combinazione. Ad esempio, supponiamo di voler proteggere le informazioni sensibili sui documenti medici. È possibile utilizzare la crittografia dei file per crittografare separatamente un singolo file medico memorizzato sul dispositivo. È quindi possibile utilizzare la crittografia dell'unità per crittografare la parte del dispositivo su cui sono memorizzate queste informazioni mediche. Infine, se hai abilitato la crittografia dell'intero disco sul tuo dispositivo, tutto, tutte le informazioni mediche e ogni altro file sull'unità, inclusi i file per il sistema operativo del computer, sono crittografati.

Su Surveillance Self-Defense, abbiamo scritto un paio di guide per abilitare la crittografia sui tuoi dispositivi. Sebbene sia possibile trovare descrizioni approfondite della crittografia sulle opzioni di riposo online (e qui su SSD!), Tenere presente che queste opzioni cambiano frequentemente e le istruzioni possono essere superate rapidamente.

Crittografia dei dati In transito

I dati "in transito" sono informazioni che si spostano su una rete da un luogo a un altro. Quando si invia un messaggio su un'app di messaggistica, ad esempio, tale messaggio si sposta dal dispositivo, ai server della società app, al dispositivo del destinatario. Un altro esempio è la navigazione sul Web: quando si visita un sito Web, i dati di tale pagina Web vengono trasferiti dai server del sito Web al browser.

Alcune app popolari offrono funzionalità che sembrano proteggere i messaggi, ad esempio la scomparsa dei messaggi. Tuttavia, solo perché una comunicazione (come una chat o messaggio) può sentirsi sicuro, non significa che in realtà è sicuro. I computer che passano lungo il tuo messaggio potrebbero essere in grado di guardare il contenuto del tuo messaggio.

È importante verificare che le conversazioni tra te e il tuo destinatario siano crittografate e sapere se sono crittografate tramite crittografia a livello di trasporto o crittografia end-to-end .

Ci sono due modi per crittografare i dati in transito: la crittografia a livello di trasporto e end-to-end . Il tipo di crittografia supportato da un fornitore di servizi può essere un fattore importante nel decidere quali servizi sono corretti per te. Gli esempi seguenti illustrano le differenze tra la crittografia a livello di trasporto e la crittografia end-to-end.

Crittografia a livello di trasporto

La crittografia a livello di trasporto, nota anche come Transport Layer Security (TLS), protegge i messaggi mentre viaggiano dal dispositivo ai server dell'applicazione e dai server dell'applicazione al dispositivo del destinatario. Nel mezzo, il tuo fornitore di servizi di messaggistica, o il sito web che stai navigando, o l'app che stai utilizzando, possono vedere copie non crittografate dei tuoi messaggi. Poiché i tuoi messaggi possono essere visti da (e sono spesso memorizzati su) server aziendali, possono essere vulnerabili alle richieste di applicazione della legge o perdite se i server dell'azienda sono compromessi.

Esempio di crittografia a livello di trasporto: HTTPS

Noti il ​​blocco verde e "https: //" accanto all'indirizzo web di ssd.eff.org nella parte relativa all'indirizzo web della finestra del browser? HTTPS è un esempio di crittografia a livello di trasporto che incontriamo frequentemente sul web. Fornisce più sicurezza di HTTP non criptato. Perché? Poiché i server del sito Web HTTPS in cui si sta navigando possono vedere i dati immessi sul proprio sito (ad esempio, messaggi, ricerche, numeri di carte di credito e accessi) tuttavia questa informazione è illeggibile agli intercettatori sulla rete.

Se qualcuno sta spiando la rete e sta cercando di vedere quali siti web gli utenti stanno visitando, una connessione HTTP non offre alcuna protezione. Una connessione HTTPS, d'altra parte, nasconde la pagina specifica su un sito web a cui si naviga, cioè tutto "dopo la barra". Ad esempio, se si utilizza HTTPS per connettersi a " https: //ssd.eff. org / it / module / what-encryption "un intercettatore può vedere solo" https://ssd.eff.org ".

Il web si trova nel bel mezzo di un grande passaggio all'utilizzo di HTTPS per tutte le pagine web. Questo perché HTTP non ha alcuna sicurezza significativa e HTTPS è sicuro per impostazione predefinita. Le pagine Web che arrivano su HTTP sono vulnerabili alle intercettazioni, all'iniezione di contenuti, al furto di cookie, al furto di login e password , alla censura mirata e ad altri problemi.

Ti consigliamo di utilizzare l' estensione del browser di EFF HTTPS Everywhere per ricevere la massima protezione con HTTPS. HTTPS Everywhere garantisce che se un sito web che conosciamo offre HTTPS e HTTP, utilizzerai sempre la versione HTTPS sicura del sito.

Solo perché un servizio utilizza HTTPS non significa che il servizio protegge necessariamente la privacy dei suoi utenti che visitano il suo sito web. Ad esempio, un sito protetto da HTTPS potrebbe ancora utilizzare cookie di tracciamento o malware host .

Esempio di crittografia a livello di trasporto: VPN

Una rete privata virtuale (VPN) è un altro esempio di crittografia a livello di trasporto. Senza una VPN, il tuo traffico viaggia sulla connessione del tuo fornitore di servizi Internet (ISP). Con una VPN, il tuo traffico viaggia ancora attraverso la connessione dell'ISP, ma verrà crittografato tra te e il tuo provider VPN. Se qualcuno sta spiando la tua rete locale e sta provando a vedere quali siti web stai visitando, saranno in grado di vedere che sei connesso a una VPN, ma non sono in grado di vedere quali siti Web stai visitando. Il tuo ISP può rilevare chi è il tuo provider VPN.

Mentre l'utilizzo di una VPN nasconde il tuo traffico dal tuo ISP, espone anche tutto il tuo traffico al provider VPN stesso. Il provider VPN sarà in grado di vedere, memorizzare e modificare il tuo traffico. L'utilizzo di una VPN sposta sostanzialmente la fiducia dall'ISP alla VPN, quindi è importante assicurarsi che il provider VPN sia sicuro per proteggere i dati.

Per ulteriori consigli sulla scelta di una VPN adatta a te, leggi la guida SSD su VPN.

Crittografia end-to-end

La crittografia end-to-end protegge i messaggi in transito dal mittente al ricevente. Garantisce che le informazioni vengano trasformate in un messaggio segreto dal mittente originale (la prima "fine") e decodificate solo dal destinatario finale (la seconda "fine"). Nessuno, inclusa l'app che stai utilizzando, può "ascoltare" e origliare la tua attività.

L'accesso a messaggi crittografati end-to-end in un'app sul dispositivo in realtà significa che l'azienda app non è in grado di leggerli. Questa è una caratteristica fondamentale della buona crittografia : anche le persone che la progettano e la distribuiscono non possono romperle.

In Surveillance Self-Defense, offriamo guide per l'utilizzo di strumenti di crittografia end-to-end nella nostra guida Comunicare con gli altri .

Crittografia a livello di trasporto o crittografia end-to-end ?

Domande importanti da porre per decidere se è necessaria la crittografia a livello di trasporto o la crittografia end-to-end sono: ti fidi dell'app o del servizio che stai utilizzando? Ti fidi della sua infrastruttura tecnica? Che ne dici delle sue politiche per proteggere dalle richieste di applicazione della legge?

Se rispondi "no" a una di queste domande, allora hai bisogno di una crittografia end-to-end. Se si risponde "sì" a loro, un servizio che supporta solo la crittografia del livello di trasporto può essere sufficiente per voi, ma in genere è meglio andare con servizi che supportano la crittografia end-to-end quando possibile.

Abbiamo creato l'animazione seguente per dimostrare come funzionano la crittografia end-to-end e di livello di trasporto per i dati in transito. A sinistra c'è uno strumento di chat per la crittografia end-to-end (una chat che usa il protocollo crittografato di messaggistica istantanea off-the-record (" OTR") ).A destra, è una casella di chat per la crittografia del livello di trasporto (crittografata tramite l'uso del sito Web di Google Hangouts di HTTPS ).

Nella GIF, l'utente principale digita un messaggio nella casella di chat di Google Hangouts:

"Ciao! Questo non è crittografato end-to-end. Google può vedere la nostra conversazione. "

Questo utente ha anche una casella di chat Off-the-Record (OTR) aperta e attiva l'impostazione "conversazione privata". Nella casella della chat OTR, il testo descrittivo dice:

"Tentativo di avviare una conversazione privata con [account gmail]. La conversazione privata con [account gmail] è iniziata. Tuttavia, la loro identità non è stata verificata. "

Allo stesso tempo, nella chat di Google Hangouts, viene scambiato un testo cifrato senza senso, a dimostrazione del fatto che gli utenti si trovano ora nel protocollo di crittografia end-to-end Off-the-Record (OTR). Ogni messaggio passato attraverso la chat OTR appare anche nella finestra di chat di Google Hangouts, tuttavia, invece di essere leggibile, appare senza senso. L'altro utente digita un messaggio nel client OTR:

"Sembra incomprensibile per chiunque altro."

L'utente principale scrive:

"Sì, sembra un'assurdità."

L'altro utente invia un'emoticon sorridente.

Cosa crittografia in transito Does Not Do

La crittografia non è un toccasana. Anche se invii messaggi crittografati, il messaggio verrà decifrato dalla persona con cui stai comunicando. Se gli endpoint (i dispositivi utilizzati per la comunicazione) sono compromessi, le comunicazioni crittografate possono essere compromesse. Inoltre, la persona con cui stai comunicando può prendere screenshot o tenere registri (log) della tua comunicazione.

Se si archiviano automaticamente i backup delle conversazioni crittografate su "the cloud" (altri computer), prestare attenzione a che i backup siano anche crittografati. Ciò garantisce che le tue conversazioni non siano solo criptate in transito, ma anche a riposo.

Se si cripta dati in transito, proteggerà il contenuto delle tue comunicazioni, ma non crittograferà i metadati . Ad esempio, puoi usare la crittografia per confondere i messaggi tra te e il tuo amico in termini privi di senso, ma non nasconde:

• che tu e il tuo amico state comunicando.
• che stai usando la crittografia per comunicare.
• altri tipi di informazioni sulla tua comunicazione, come la posizione, i tempi e la durata della comunicazione.

Le persone con problemi di sorveglianza intensificati (come quelli preoccupati per il monitoraggio attivo delle loro reti) possono esporsi al rischio utilizzando la crittografia solo in momenti delicati o per attività specifiche. Perché?Se a volte usi solo la crittografia, potrebbe legare i tuoi metadati a date e orari importanti. Pertanto, utilizzare la crittografia il più possibile, anche per attività banali.

Inoltre, se sei l'unica persona che utilizza la crittografia su una rete, questi metadati potrebbero essere considerati sospetti. Questo è il motivo per cui molti appassionati di crittografia incoraggiano tutti a utilizzare gli strumenti crittografati quando sono in grado di: normalizzare l'uso della crittografia per le persone che ne hanno realmente bisogno.

Mettere tutto insieme