20
- ELETTRONICA OGGI 440 - OTTOBRE 2014
TECH INSIGHT
CRITTOGRAFIA
Un’analisi delle tecniche
di crittografia “white box”
I
n questo articolo sono analizzate diverse tecniche di crit-
tografia di tipo “white box”, utilizzate per proteggere dati e
operazioni crittografiche all’interno di ambienti dove è possi-
bile che si verifichino attacchi di tipo “white box”. La necessi-
tà dell’uso della crittografia “white box”, la descrizione delle
tecniche e delle metodologie di una tipica implementazione
della crittografia “white box”, l’esame delle modalità utilizzate
dalla crittografia “white box” per prevenire attacchi contro
dati e operazioni crittografiche critiche e le principali carat-
teristiche di una realizzazione “white box” sono gli argomenti
trattati nel corso dell’articolo.
Vista la crescente esigenza di adottare la crittografia softwa-
re e il contemporaneo aumento di minacce e attacchi stretta-
mente correlati alla diffusione della tecnologia IoT (Internet
of Things), la crittografia “white box” deve essere considera-
ta un elemento essenziale per proteggere le operazioni crit-
tografiche in qualsiasi sistema software.
La necessità della crittografia “white box”
I numeri della crescita di Internet of Things sono sicura-
mente da record. Con una stima di oltre 200 miliardi di uni-
tà connesse entro il 2020, non c’è dubbio che i dispositivi
collegati a Internet stiano influenzando quasi tutti gli aspetti
della nostra vita. Internet of Things è una tecnologia che in-
cide su una molteplicità di mercati, dalla robotica ai sistemi
PoS (Point of Sales), dai dispositivi di elaborazione mobili
alla stampa 3D. I sistemi embedded destinati a questi mer-
cati svolgono una pluralità di funzioni: tengono informati gli
utilizzatori, prendono decisioni autonome, comunicano con
i partner commerciali e sono persino in grado di gestire le
finanze personali.
L’accesso ai dati, ai sistemi informativi e ai contenuti digita-
li presenti su questi sistemi sono di solito protetti mediante
cifratura. Per proteggere le informazioni cifrate
ª
indispen-
sabile che la chiave crittografica utilizzata per la cifratura
di tali dati non venga mai rivelata. Nelle implementazioni
di crittografia tradizionale sia la chiave sia l’algoritmo sono
vulnerabili a fenomeni di manomissione e di “reverse engi-
neering” – per ogni sistema crittografico il singolo punto di
vulnerabilità – SPOF (Single Point of Failure) si verifica quan-
do la chiave viene utilizzata. Questo punto di vulnerabilità è
facilmente identificabile nei moderni sistemi utilizzando ana-
lisi di firma, di pattern e della memoria. Ad esempio, attacchi
per l’estrazione della chiave, condotti contro chiavi codifica-
te sotto forma di serie di dati letterali in software non protetti,
possono essere condotti e completati con esito positivo nel
giro di poche ore.
Uno sguardo sulla crittografia “white box”
La crittografia “white box” è un metodo molto ben docu-
mentato, utilizzato per offuscare un algoritmo crittografico
in modo che il materiale della chiave sia sufficientemente al
riparo da occhi indiscreti. Obbiettivo della crittografia “white
box” è impedire che le informazioni critiche (come ad esem-
pio la chiave) relative alle operazioni di crittografia siano ri-
velate a un potenziale aggressore che ha accesso completo
al sistema
.
Il nome crittografia “white box” trae la sua origine da un par-
ticolare tipo di attacco denominato appunto attacco “white
box”. Contrariamente a quanto accade nel caso di attacchi
“black box”, nei quali un aggressore non ha accesso al siste-
ma, negli attacchi “white-box” il potenziale aggressore ha il
completo accesso al sistema, alla sua memoria, alle sue rou-
tine software e così via. Si può affermare che, nel momento
in cui i sistemi sono sempre più aperti e mobili (laptop, tablet,
cellulari), diventano accessibili con maggior facilità e risul-
tano quindi più vulnerabili agli attacchi “white box” se non si
prendono misure di sicurezza adeguate.
Un algoritmo “white box” è solitamente offuscato in modo
tale che l’accesso o la conoscenza dell’implementazione
Gregory R. Ellis
Vice president operation
Product line manager
Microsemi PMG Security
Solutions
All’aumentare delle minacce e degli attacchi
strettamente correlati alla diffusione della tecnologia
IoT (Internet of Things), la crittografia “white box”
deve essere considerata un elemento essenziale per
proteggere le operazioni crittografiche in qualsiasi
sistema software
