In prima approssimazione, si può riassumere il procedimento della crittografia come l’uso di un algoritmo matematico per operare una trasformazione su di una sequenza di caratteri in cui la trasformazione del testo dipende dal valore di una chiave segreta e la segretezza di questa chiave è il punto cruciale della sicurezza. In altre parole, per cifrare un testo devono usarsi: un algoritmo (che prima o poi sarà) pubblico e una chiave (che deve essere mantenuta) segreta. Il cifrario di Cesare, che è uno dei primi di cui si ha notizia, è definito da: 1 – algoritmo: sostituisci ogni lettera con la N-esima lettera successiva dell’alfabeto ricominciando da capo quando al termine della sequenza; 2 – chiavi: chiave di cifratura N, chiave di de-cifratura -N.
Tradizionalmente, i metodi di creazione di algoritmi di crittografia si basano su due sistemi principali, il primo c.d. a sostituzione (confusion) che consiste nel rendere confusa la relazione tra il testo in chiaro e quello cifrato, tipicamente tramite la sostituzione di un carattere secondo una tabella e, il secondo c.d. a permutazione (diffusion) che consiste nel distribuire l’informazione su tutto il testo cifrato ad esempio trasponendo (permutando) i caratteri.
Inoltre, è possibile operare una distinzione fra le varie tecniche di crittografia esistenti, basandosi sul tipo di chiave utilizzato: si individuano così, due categorie di sistemi, quelli a repertorio, che sostituiscono a ciascuna parola una determinata serie di lettere e numeri e quelli a cifratura letterale, che provvedono alla sostituzione di lettere (sistemi a sostituzione monoalfabetica), di gruppi di lettere (sistemi a sostituzione poligrammica), o di frazioni di lettere (sistemi tomogrammici).
Sempre in funzione del tipo di chiave utilizzato, si distinguono due ulteriori tipi di tecniche crittografiche: quelle che richiedono l’uso di una sola chiave segreta per criptare e decriptare il messaggio, e perciò dette simmetriche e quelle che utilizzano una coppia di chiavi diverse per chiudere ed il documento, di cui una viene resa pubblica, dette allora, asimmetriche.
Di queste ultime, le prime, funzionano partendo da una medesima chiave, segreta, posseduta dall’emittente e dal destinatario, che serve per la cifratura e la decifrazione, sono efficaci per esigenze di genuinità del documento nel momento della sua conservazione, ed implicano conseguenze negative che ne compromettono l’efficienza, nel momento in cui l’attività relativa al documento diviene dinamica, dovendo scambiarsi le parti la chiavi di criptazione, la cui trasmissione implica tutelarne la sicurezza – la chiave potrebbe perdersi, o essere intercettata e, in caso di comunicazione con diversi soggetti, si ha la necessità di adottare chiavi diverse per ognuno di essi.
Le seconde, dette sistemi asimmetrici di criptazione, o sistemi a chiave pubblica, sono state rese operative dal 1977, attraverso la scoperta di uno specifico algoritmo, che prese il nome di RSA dai nomi dei suoi creatori.
In applicazione di tale algoritmo, ciascuna persona risulta in possesso di due chiavi, una pubblica e l’altra privata, necessarie per applicare l’algoritmo matematico che permette la cifratura del documento e utilizzabili con finalità diverse, ora per criptare, ora per decriptare con la conseguenza che non è più necessario che le parti si scambino informazioni riservate relative al metodo di protezione del documento; – tale forma di crittografia è suscettibile di due distinte utilizzazioni, potendo essere impiegata a fini di segretezza ovvero a scopo di autenticazione ove per autenticazione si intende il processo in forza del quale il destinatario di un messaggio digitale ha la certezza dell’identità del mittente e/o dell’integrità e non ripudiabilità del messaggio stesso.
All’interno del quadro tecnologico descritto, dal punto di vista giuridico, sembra imprescindibile, per chi scrive, consentire che l’esercizio dei diritti di c.d. cittadinanza digitale, dei quali il rispetto delle norme contenute nel GDPR costituisce prerequisito sostanziale, si attui in condizioni di sicurezza , vale a dire in condizioni tali da consentire, che siano garantite, ad ogni livello, l’inviolabilità delle comunicazioni e l’attribuibilità delle condotte.
Sia sul versante della inviolabilità delle comunicazioni attuate per mezzo di strumenti elettronici di elaborazione, sia su quello, non meno importante, della attribuibilità delle manifestazioni di volontà contenute nelle comunicazioni predette, sia, infine, sul versante della loro trasmissione a distanza, mediante tecnologie telematiche, non può prescindersi, allo stato della tecnologia attuale, dall’impiego di tecniche crittografiche, per la protezione dei contenuti e per l’identificazione dei loro autori.
In mancanza di crittografia i nostri conti correnti bancari, le nostre cartelle cliniche, le nostre conversazioni telefoniche e più in generale la nostra stessa esistenza e qualunque dato (a noi riferibile) conservato su supporto informatico sarebbe nella libera disponibilità di chiunque volesse, senza alcuna limitazione, con effetti disastrosi già tipici nel passato dei regimi più totalitari che, nel corso della storia hanno a vari livelli compresso i diritti della persona, non ultimo il diritto alla privacy.
Ciò chiarito, occorre ora constatare che, la sicurezza di un sistema informativo, non dipende solo da aspetti tecnici ma, anche, se non principalmente, da quelli organizzativi, sociali e legali e deve essere pertanto ritenuta come caratteristica complessiva di un sistema, in grado di assicurare e mantenere, dinamicamente, con l’evolversi delle necessità e delle tecnologie, il desiderato livello di disponibilità, integrità e riservatezza delle informazioni e dei servizi da esso erogati.
A tale stregua si definisce sicuro un SIA (Sistema Informativo Automatizzato) che possa soddisfare a tutti i livelli del suo funzionamento, almeno, le seguenti proprietà: disponibilità e cioè, l’informazione ed i servizi che eroga devono essere a disposizione degli utenti del sistema compatibilmente con i livelli di servizio; integrità, vale a dire, l’informazione ed i servizi erogati possono essere creati, modificati o cancellati solo dalle persone autorizzate a svolgere tale operazione; autenticità, intesa come garanzia e certificazione della provenienza dei dati; riservatezza, nel senso che l’informazione deve poter essere fruita solo dalle persone autorizzate.
