Sicurezza Informatica e Crittografia

Questions and Answers

Quale dei seguenti principi AAA è principalmente responsabile della registrazione delle attività degli utenti e degli accessi alle risorse?

• Confidenzialità
• Autorizzazione
• Autenticazione
• Accounting (correct)

In un attacco DDoS, quale principio fondamentale della sicurezza informatica viene direttamente compromesso?

• Confidenzialità
• Disponibilità (correct)
• Integrità
• Autenticazione

Quale algoritmo di crittografia simmetrica è considerato un'alternativa moderna ad AES, particolarmente adatta per dispositivi mobili e utilizzato in VPN come WireGuard?

• 3DES
• RSA
• AES
• ChaCha20 (correct)

In un sistema che utilizza il modello RBAC, quale principio AAA è direttamente applicato quando si definiscono i permessi di un ruolo per accedere a specifiche risorse?

Autorizzazione (A)

Quale caratteristica principale distingue la crittografia asimmetrica da quella simmetrica in termini di gestione delle chiavi?

La crittografia asimmetrica utilizza due chiavi diverse (una pubblica e una privata), mentre quella simmetrica usa la stessa chiave per entrambe le operazioni. (B)

Se si desidera garantire che un documento non sia stato alterato durante la trasmissione, quale strumento di sicurezza informatica sarebbe il più appropriato da utilizzare?

Funzioni hash come SHA-2 o SHA-3 (B)

Supponendo di dover scegliere un algoritmo di crittografia asimmetrica per firmare digitalmente un contratto, garantendo autenticità e non ripudio, quale algoritmo sarebbe più appropriato e perché?

ECC, perché offre sicurezza comparabile a RSA con chiavi più corte, migliorando l'efficienza. (A)

In un'architettura di sicurezza che mira a proteggere i dati sia in transito che a riposo, quali combinazioni di tecnologie sarebbero più efficaci per garantire confidenzialità e integrità?

Crittografia simmetrica (AES) per i dati a riposo e crittografia asimmetrica (RSA) per la trasmissione, combinate con funzioni hash (SHA-3) per l'integrità. (D)

Quale delle seguenti affermazioni descrive meglio il processo di crittografia ibrida (AES + RSA)?

Il messaggio è cifrato con AES, e la chiave AES è cifrata con RSA. (C)

Quale proprietà fondamentale non è garantita da una firma digitale?

Confidenzialità (B)

Come viene utilizzata la chiave pubblica nel processo di firma digitale?

Per verificare la firma digitale decifrando l'hash. (A)

Quale delle seguenti caratteristiche non è una proprietà fondamentale di una funzione hash crittografica?

Reversibilità (B)

In quale dei seguenti scenari l'uso di MD5 è considerato meno appropriato a causa delle sue vulnerabilità?

Protezione delle password degli utenti in un database. (C)

VPN WireGuard utilizza ChaCha20. Qual è il vantaggio principale nell'utilizzare ChaCha20 in questo contesto?

Maggiore velocità e prestazioni su piattaforme embedded. (A)

In un'architettura di firma digitale, cosa succede se l'hash di un documento cambia dopo essere stato firmato?

La firma digitale diventa automaticamente invalida, indicando una possibile alterazione del documento. (C)

Qual è il ruolo di SHA-2 nella tecnologia blockchain come Bitcoin?

Garantire l'integrità del blocco precedente nella catena. (D)

Quale algoritmo è consigliabile utilizzare per lo scambio di chiavi simmetriche?

RSA (D)

Quale delle seguenti è una best practice per la protezione delle password?

Utilizzare SHA-3 per l'hashing delle password. (D)

Flashcards

Confidenzialità

Proteggere i dati da accessi non autorizzati.

Integrità

Garantire che i dati non vengano alterati.

Disponibilità

I dati e i servizi devono essere sempre accessibili.

Autenticazione

Verifica l’identità di un utente.

Autorizzazione

Definisce i permessi di accesso alle risorse.

Accounting

Registra attività e accessi per audit e monitoraggio.

Crittografia Simmetrica

Usa la stessa chiave per cifrare e decifrare i dati.

Crittografia Asimmetrica

Usa una coppia di chiavi: una pubblica per cifrare e una privata per decifrare.

Crittografia Ibrida

Combina AES e RSA per sicurezza ed efficienza. AES cifra il messaggio, RSA cifra la chiave AES.

Firma Digitale

Garantisce autenticità, integrità e non ripudio di un documento digitale.

Funzione Hash

Trasforma un input di qualsiasi dimensione in un output fisso (digest) per verificare l'integrità dei dati.

Proprietà Fondamentali delle Funzioni Hash

Lo stesso input produce sempre lo stesso hash; non si può risalire al dato originale.

SHA-2

SHA-256 e SHA-512 sono sicuri e usati in blockchain come Bitcoin.

TLS/SSL (HTTPS)

Protegge le connessioni web tramite crittografia ibrida.

Email Sicure (PGP, S/MIME)

Usano crittografia asimmetrica e firma digitale per proteggere le email.

Blockchain

Assicura integrità e autenticità dei dati tramite SHA-2 e firme digitali.

WireGuard

Utilizza ChaCha20 per maggiore velocità e sicurezza nelle connessioni VPN.

Crittografia Ibrida (AES + RSA)

Standard per connessioni sicure, usa AES per la velocità e RSA per lo scambio sicuro delle chiavi.

Study Notes

• Approfondimento dettagliato sulla sicurezza informatica e la crittografia, con una struttura chiara e concetti ben collegati.

Principi Fondamentali della Sicurezza

CIA (Confidentiality, Integrity, Availability)

• CIA è un modello per la sicurezza delle informazioni che garantisce la protezione, l'affidabilità e l'accessibilità dei dati.
• La Confidenzialità protegge i dati da accessi non autorizzati tramite crittografia e autenticazione forte.
• La crittografia (simmetrica, asimmetrica, ibrida) è utilizzata per garantire la privacy dei dati.
• L'autenticazione forte (password, MFA, certificati digitali) è impiegata per proteggere l'accesso. la protezione dei dati si assicura tramite funzioni hash e firme digitali
• L'integrità garantisce che i dati non vengano alterati attraverso funzioni hash (SHA-2, SHA-3) e firme digitali.
• La Disponibilità rende dati e servizi sempre accessibili tramite sistemi di backup, ridondanza e mitigazione degli attacchi DDoS, oltre a piani di disaster recovery.

AAA (Authentication, Authorization, Accounting)

• AAA è un framework per controllare l'accesso alle risorse di rete e monitorare l'attività degli utenti.
• L'autenticazione verifica l'identità di un utente tramite password, OTP, biometria e certificati digitali.
• L'autorizzazione definisce i permessi di accesso a risorse specifiche, usando modelli come RBAC (Role-Based Access Control).
• L'Accounting registra attività e accessi per audit e monitoraggio tramite log di sicurezza e controllo degli accessi nei sistemi aziendali.

Crittografia: Protezione dei Dati

Crittografia Simmetrica

• La crittografia simmetrica impiega la stessa chiave per cifrare e decifrare i dati.
• Gli algoritmi principali includono AES (Advanced Encryption Standard), sicuro ed efficiente, utilizzato in VPN, database e dischi cifrati.
• 3DES (Triple DES) utilizza tre passaggi di cifratura DES, essendo più sicuro ma più lento.
• ChaCha20 è un'alternativa moderna ad AES, più veloce su dispositivi mobili, e utilizzata in VPN (WireGuard).
• Veloce ed efficiente per grandi volumi di dati, la crittografia simmetrica presenta lo svantaggio della condivisione della chiave, che se intercettata compromette la sicurezza.

Crittografia Asimmetrica

• La crittografia asimmetrica usa una coppia di chiavi: una pubblica per cifrare e una privata per decifrare.
• Gli algoritmi principali includono RSA, basato sulla fattorizzazione di numeri primi, usato per firme digitali e scambio di chiavi.
• ECC (Elliptic Curve Cryptography) è più efficiente di RSA, offrendo la stessa sicurezza con chiavi più corte (256 bit ECC ≈ 3072 bit RSA).
• Non richiede la condivisione di segreti, rendendola sicura per autenticazione e firme digitali, ma è più lenta rispetto alla crittografia simmetrica.

Crittografia Ibrida

• La crittografia ibrida combina AES (simmetrica) e RSA (asimmetrica) per sicurezza ed efficienza.
• Il funzionamento prevede la cifratura del messaggio con AES, e poi la chiave AES è cifrata con RSA e inviata al destinatario.
• Il destinatario usa la chiave privata RSA per decifrare la chiave AES, e poi AES per decifrare il messaggio.
• Esempi di utilizzo includono TLS/SSL (HTTPS), email sicure (PGP, S/MIME) e VPN (OpenVPN, WireGuard – usa ChaCha20).

Firma Digitale

• La firma digitale garantisce autenticità, integrità e non ripudio dei documenti.
• L'autenticità conferma chi ha creato il documento, l'integrità assicura che non sia stato alterato, e il non ripudio impedisce al firmatario di negare la firma.
• Il processo consiste nel calcolare l'hash del documento, cifrare l'hash con la chiave privata dell'utente, e verificare la firma decifrando l'hash con la chiave pubblica.
• Impiegata in documenti legali e contratti, transazioni bancarie e software.

Funzioni Hash: Integrità e Autenticità

• Le funzioni hash trasformano un input di qualsiasi dimensione in un output fisso (digest) per verificare l'integrità dei dati.
• Le proprietà fondamentali includono determinismo (stesso input = stesso hash), irreversibilità (impossibile risalire al dato originale) e resistenza alle collisioni (difficile trovare due input con lo stesso hash).
• Gli algoritmi più usati includono MD5 (obsoleto), SHA-2 (SHA-256, SHA-512, sicuro) e SHA-3 (più resistente).
• Utilizzate per la protezione di password, la firma digitale e la verifica dell'integrità dei file.

Applicazioni Pratiche della Crittografia

• TLS/SSL (HTTPS, VPN) usa crittografia ibrida per proteggere le connessioni web.
• Email Sicure (PGP, S/MIME) usa crittografia asimmetrica e firma digitale.
• Blockchain usa SHA-2 per l'integrità e firme digitali per l'autenticità.
• Autenticazione avanzata include MFA, certificati digitali e hardware token (YubiKey).
• VPN (WireGuard, OpenVPN) usano ChaCha20 per maggiore velocità.

Conclusioni e Best Practices

• Utilizzare AES o ChaCha20 per proteggere i dati (veloce e sicuro).
• Utilizzare RSA o ECC per scambiare chiavi in sicurezza.
• Impiegare firme digitali per garantire autenticità e integrità.
• Utilizzare hashing (SHA-2, SHA-3) per proteggere password e verificare file.
• La crittografia ibrida (AES + RSA) è lo standard per connessioni sicure.

Description

Studio approfondito della sicurezza informatica e della crittografia. Esplora i principi fondamentali come CIA (Confidenzialità, Integrità, Disponibilità). Tecniche di crittografia e metodi di autenticazione vengono analizzati.