Guida Completa alla Crittografia VPN

Published by Julia SJ on febbraio 18, 2019

La funzione più importante di una Virtual Private Network (VPN) è la crittografia. Lo scopo di una VPN è nasconderti quando sei su internet, renderti invisibile crittografando i tuoi dati. Le VPN sono uno dei migliori strumenti per la sicurezza attualmente disponibili, e sono ampiamente usati dalle masse. Ma conosci i complessi dettagli della crittografia VPN?

Una VPN crittografa i dati che intercorrono tra il tuo PC ed il suo server estendendo una rete privata ad una rete pubblica. Taglia fuori l’intermediario, permettendo all’utente di condividere dati con reti pubbliche o condivise come se il suo PC fosse direttamente connesso alla rete privata. Una VPN non solo incrementa e migliora la sicurezza, ma può anche essere impiegata per “saltare” le barriere, migliorare la funzionalità e fornire, in generale, una migliore gestione di una rete privata.
A VPN encrypts the dataIn un epoca di cyber-crimini e attività illegali su internet, non è mai stato così importante come oggi proteggere i propri dati. La Crittografia in ogni sua forma è il metodo più efficiente per proteggere i tuoi dati. Che venga utilizzata per evitare attacchi di hacker, fregature e virus, o per assicurarsi il buon stato di salute del proprio sistema, la crittografia VPN è uno dei mezzi migliori per evitare che qualcuno intercetti ed acceda ai tuoi dati.

Le VPN non sono utilizzate solo per un ulteriore livello di sicurezza, ma anche per accedere a contenuti bloccati in un dato Paese o per nascondere la posizione di un utente. Proprio per via dei suoi ampi scopi di utilizzo, la crittografia VPN è diventata una delle forme di crittografia più diffuse, grazie ai suoi costi relativamente bassi e al suo efficiente modo di proteggere i dati.

1 Quale tipo di crittografia offre la mia VPN?

Esiste una moltitudine di provider di servizi VPN, che forniscono una vasta gamma di tipi di crittografia. Con così tante possibilità e così tante dichiarazioni complicate (e a volte fasulle), potrebbe risultare difficile trovare quello adatto a te.

Quindi, la nostra Guida Completa alla Crittografia VPN cerca di offrirti una più chiara comprensione dell’argomento, per aiutarti ad analizzare le dichiarazioni dei provider di servizi VPN. Continua a leggere per saperne di più…

2 Cos’è la crittografia?

La crittografia codifica i dati in un linguaggio senza senso, affinché nessuno sia in grado di capirli a meno che non possegga la chiave per decifrarli. Un paio di chiavi (la stessa o unica chiave usata per la crittografia o la decifrazione) è solitamente condiviso tra gli utenti inziali e quelli finali.

La definizone standard di crittografia è: “il processo di convertire le informazioni o i dati in un codice, soprattutto per prevenire l’accesso non autorizzato.” Il modo più semplice per descriverla è usando l’esempio di un lucchetto: l’unica persona che può aprirlo è colui che ne possiede la chiave.

Possiamo dimostrare il concetto usando il seguente esempio. Magari desideri inviare un messaggio destinato a poche persone, come “il cane abbaia a mezzanotte”, che verrebbe crittografato come “148$%AsdjW34398J3Q(*(#q$wjklsaefQ(#$*02342kjsadf”. Questa informazione verrà inviata nella sua forma crittografata da un computer ad un altro, e potrà essere decodificata solo dalla persona che usa la chiave apposita.

3 Crittografia e VPN

I dettagli specifici della crittografia sono complessi da spiegare, ma possono essere descritti come segue:

Durante la crittografia, i dati vengono cifrati usando un algoritmo. È stato provato quanto sia improbabile che gli esseri umani siano in grado di decodificare da soli dei messaggi cifrati sofisticati, che anche con l’aiuto di supercomputer possono essere difficilmente decodificati. Bisogna tenere in conto, però, che i computer più sofisticati imparano in fretta, e riescono a decifrare nuovi codici con una rapidità eccezionale. Per questo motivo, è di vitale importanza usare un algoritmo complesso e sofisticato per limitare le possibilità che i tuoi dati vengano infiltrati.

Quando usi una VPN, i computer ad ogni capo del “tunnel di internet” criptano e decriptano dati: i dati che entrano da un capo vengono criptati, mentre dall’altro capo vengono decriptati grazie alla chiave. Però un paio di chiavi non sono l’unico modo con il quale una VPN applica la crittografia: per rendere sicuro il traffico vengono usati anche dei protocolli, di cui parleremo in modo più dettagliato più avanti.

Ogni VPN funziona in maniera diversa, quindi è importante stabilire se il livello di crittografia offerto dal tuo provider di servizi VPN è abbastanza buono per tenere i tuoi dati al sicuro.

4 Come funzionano le connessioni a internet ed i flussi di dati

Vediamo un po’ come funziona il tuo traffico su internet. Immagina la tua connessione ad internet come una serie di singoli cavi connessi tramite dei server, attraverso i quali viaggiano i tuoi dati.
Cyber SecurityTutti i dati che invii e ricevi su internet viaggiano tramite una connessione diretta al tuo internet service provider (ISP), quindi viaggiano su una rete internet più ampia rimbalzando tra diversi server, fino ad arrivare al punto di arrivo finale.

La connessione di rete al tuo ISP potrebbe avvenire tramite la connessione con fibra ottica da casa tua o, se usi uno smartphone, volerà nello spazio aereo fino ad arrivare ai trasmettitori 4G e poi fino allo scambio ISP. Negli USA il tuo ISP potrebbe essere Verizon, in Australia Telstra, in Italia Vodafone o TIM. Ogni Paese offre la possibilità di scegliere tra diversi ISP.

Il tuo ISP è il tuo punto di connessione a internet. Vedilo come una porta che si affaccia a internet: i dati possono entrare o uscire solo attraverso quella porta.

5 Crittografia HTTP/HTTPS ed il tuo ISP

Forse avrai notato che alcuni siti web sono “HTTP”, mentre altri sono “HTTPS”. Quella “S” aggiuntiva significa “secure”, o “sicuro”. Quando un sito web impiega solo il protocollo HTTP, il tuo ISP può vedere quale sito web stai visitando, nonché tutti i dati che tu e il sito vi scambiate. Inoltre, chiunque stia “osservando” in qualsiasi punto tra il tuo dispositivo e il tuo ISP, o nell’internet più ampio, è in grado di vedere il traffico.

Visitare un sito web HTTP è decisamente pericoloso se lo fai in una qualsiasi rete Wi-Fi che non possiedi o di cui non possa fidarti. Gli “ascoltatori” sulla stessa rete possono vedere tutto il tuo traffico, ed addirittura effettuare un attacco mirato al tuo dispositivo – noto come attacco “man-in-the-middle”. Questo tipo di attacco consiste nell’intercettazione, da parte di una terza parte, dei messaggi tra il te e il tuo ricevente, e nella loro alterazione in modo che appaiano come comunicazioni normali.

Ti raccomandiamo di usare una estensione per browser, come HTTPS Everywhere, per bloccare i siti con HTTP puro, anche se utilizzi già una VPN. Ciò è particolarmente importante quando ti connetti a reti pubbliche, come quelle di un caffé o di un aeroporto.

Con il protocollo HTTPS, tutti i dati inviati e ricevuti tra te ed il sito web sono crittografati (tramite una connessione SSL/TLS, di cui parleremo più avanti). Visto che i dati sono crittografati, essi risultano incomprensibili a tutti tranne che a te e al destinatario, gli unici in grado di vedere cosa viene trasmesso.

Ottimo, no? Beh, non proprio. Il protocollo HTTPS permette comunque al tuo ISP (o a qualsiasi ascoltatore) di capire quale sito web stai visitando e la quantità di dati che stai trasferendo.

Ora, tutto ciò è in relazione esclusivamente al tuo traffico su browser, come Chrome, Firefox, Safari, etc. Anche le app sul tuo telefono, tablet o PC portatile accedono a internet, con vari livelli di sicurezza e protocolli implementati. Parleremo anche di questo in modo più approfondito in seguito.

6 In cosa differisce la crittografia VPN rispetto a HTTPS?

Una VPN base è un server dove tutte le serie di connessioni tra il tuo dispositivo e quel server sono crittografate (almeno in teoria), compreso l’indirizzo di un sito web.

A questo livello, un ISP (e qualsiasi ascoltatore) può solo determinare che il tuo traffico è diretto verso quel particolare server VPN, e quanti dati in entrata e in uscita vengono inviati attraverso quella connessione. L’ISP o l’ascoltatore non non sanno cosa viene inviato, né conoscono la destinazione finale. Allo stesso modo, al ritorno, possono vedere solo la quantità di dati, il server VPN e te, ovvero la destinazione.

Tenendo questo a mente, puoi vedere come tutto ciò aggiunga un livello extra di oscurazione al tuo traffico sul web. Ricorda, però, che le varie VPN impiegano diverse tecniche di crittografia, e potrebbero essere obbligate dalla legge, a seconda del Paese, a seguire certe regole sul networking: ciò potrebbe significare che quella VPN non è tanto sicura quanto sembri.

Ora approfondiremo l’argomento per aiutarti a scoprire quanto sia davvero sicura una VPN…

7 I dati sono crittografati con HTTPS su app desktop e mobili?

Il tuo browser internet è solo uno dei software che si basa sull’utilizzo di internet: sui tuoi dispositivi desktop e mobili avrai senz’altro installato tante altre app che si connettono al web. Ad esempio, se usi le app di Facebook, WhatsApp o Uber sul tuo telefono, saprai che anche queste saranno tutte connesse a internet. Se usi sul tuo PC iTunes, Minecraft o VLC, saranno connesse a internet anche queste. Al giorno d’oggi, la maggior parte delle app per dispositivi mobili e desktop necessitano dell’accesso a internet per poter funzionare.

I grandi produttori di software desktop o mobili inviano aggiornamenti regolarmente per ovviare alle vulnerabilità della rete, ma se usi software (o app) meno sofisticati potrebbe non essere così.

8 Come vengono trasmessi i tuoi dati

Questo report del 2015 elaborato da Computer World ha scoperto che i dati delle chat scambiati sull’app per Android di OkCupid venivano inviati senza l’implementazione di protocolli SSL/TLS: un po’ come avere quella famosa connessione HTTP aperta.

Invece, in questo report del 2018 sulle piattaforme di trading di titoli azionari è stato scoperto che nove applicazioni desktop (su un campione di 16) trasmettevano dati non crittografati, come “passwords, saldi, portafogli, informazioni personali ed altri dati relativi al trading”, sia su protocolli HTTP che su altri protocolli obsoleti.

Queste informazioni fanno un po’ paura. Mentre rafforzare da solo le difese del tuo brower può essere facile, rafforzare la sicurezza di applicazioni mobili o desktop a livello di app è praticamente impossibile.

La soluzione è usare una VPN sofisticata e sicure durante l’utilizzo di app mobili e desktop: ricorda, il tuo browser non è il solo ad essere esposto a rischi.

9 La crittografia VPN è davvero sicura?

Virtual Private Network (VPN)Il tipo di crittografia che la tua VPN utilizza è vitale nell’assicurarsi che i dati che scambi, e con chi li scambi, rimangano indecifrabili e privati.

Ad esempio, “ExpressVPN implementa AES (Advanced Encryption Standard) con chiavi a 256-bit” (fonte ExpressVPN), mentre “Astrill VPN è resa sicura da una crittografia a 256-bit SSL” (fonte AstrillVPN).

Se sei aggiornato sulle ultime novità in materia di crittografia, saprai che il protocollo SSL è stato sostituito nel 2015 da TLS – un protocollo simile (quindi, perché Astrill parla ancora di SSL?).

Alcuni protocolli di crittografia sono ancora in uso, mentre altri sono stati sorpassati; ed è importante sapere se la crittografia fornita dalla tua VPN è stata già “sorpassata” o quanto ancora è attuale.

Molti servizi VPN offrono anche la possibilità di cambiare il tipo di crittografia che utilizzi. Ad esempio, potrebbe esserci un pulsante che ti permette di passare dalla crittografia AES-256 ad un altro tipo di crittografia, permettendoti di scegliere quella che preferisci o di passare ad un servizio più aggiornato.

10 A cosa corrispondono i diversi livelli di crittografia?

Quindi, qual è la differenza tra AES-128 e AES-256? Cos’è OpenVPN? SSL-256? Cosa significa quando una VPN vanta una crittografia di livello militare?

Di solito, quando si parla di crittografia, le sigle sopra menzionate (soprattuto quando seguite da un numero) si riferiscono all’algoritmo standard impiegato. AES, ad esempio, significa Advanced Encryption Standard. In altre situazioni si parla invece dei protocolli VPN utilizzati (vedi la sezione sotto: Capire i protocolli VPN).

L’algoritmo standard utilizzato viene anche chiamato “cifra”: un metodo complesso di cifratura matematica. La forza di un metodo di crittografia dipende dalla forza del suo algoritmo, dall’eventuale presenta di pecche o vulnerabilità, o dalla possibilità che altri matematici riescano a risolvere il problema più velocemente rispetto all’andare per tentativi.

Ad esempio, la cifra Blowfish, che per un periodo è stata un famoso algoritmo di crittografia, ha mostrato delle vulnerabilità che sfruttavano il cosiddetto Birthday Problem – un interessante paradosso di probabilità matematiche.
vpn security encryption

11 Capire i numeri: crittografia 128 bit contro 256 bit

Accanto alla maggior parte degli standard di crittografia che vedrai in giro noterai un numero, come AES-128 o AES-256. Quel numero rappresenta la lunghezza in bit della chiave impiegata per decifrare i tuoi dati. 128 = 2128 tentativi per capire la chiave. Sono parecchi. Anche i compuer più grandi e veloci del mondo devono ancora riuscire a risolvere una chiave di quella lunghezza (in AES) andando per tentativi continui. Quando invece si parla di AES a 256 bit, le opzioni possibili diventano 2256.

Un Brute Force Attack (Attacco di Forza Bruta) è il modo più semplice per ottenere l’accesso a qualsiasi elemento sia protetto da una password. Questo comporta una rapida successione di username e password per ottenere l’accesso, ed il modo più semplice per evitare che le tue informazioni vengano decifrate è utilizzando un algoritmo complicato.

Esiste anche la crittografia RSA che, a 2048 bits, è più o meno equivalente al tempo necessario per risolvere la crittografia AES a 128 bit. In cosa differiscono le due? AES è più resistente ai Brute Force Attacks – ovvero, sarebbe necessario più tempo per risolvere l’algoritmo. La risposta è quindi scegliere la chiave di crittografia più lunga possibile.

Circolano un sacco di chiacchiere sulla capacità dei governi di risolvere gli standard di crittografia più lunghi grazie all’aiuto di matematici che provano e cercano di risolvere la cifra dietro lo standard, procedimento noto come criptoanalisi. Questo articolo di Wired del 2013 fa cenno a cosa succeda dietro le quinte nella NSA, proprio in relazione a questa pratica.

In sintesi, con i computer che diventano sempre più veloci e potenti (usando la legge di Moore, il potere di elaborazione si raddoppia ogni due anni), è sempre più possibile che queste chiavi vengano risolte, se le agenzie non sono già riuscite a derivarle. Esiste anche la minaccia pendente del calcolo quantistico, che sarà capace di risolvere certi problemi (come i Brute Force Attacks) in una frazione del tempo necessario ai supercomputer tradizionali.

12 Cos’è la crittografia di livello militare?

Beh, prima prima di tutto dovrai verificare di quale livello militare stia parlando la tua VPN, e in quale anno la crittografia è stata applciata. Ad esempio, il governo Australiano utilizza la cosiddetta Counter Mode basata su AES con Cipher Block Chaining Message Authentication Code Protocol per la trasmissione su reti wireless di dati Sensibili o Confidenziali – e non stiamo neanche parlando di informazioni segrete su reti militari, ma solo di reti a livello governativo.

A meno che la tua VPN non dica per quale esercito e per quali tipi di livelli di segretezza sia valida la sua crittografia, e se si tratti di uno standard corrente di crittografia militare, è meglio prendere queste etichette di crittografia di “livello militare” con un grano di sale.

13 Qual è la differenza tra crittografia simmetrica e asimmetrica?

Potresti aver già sentito parlare di questi due termini – crittografia simmetrica e asimmetrica (ovvero chiave pubblica) in relazione agli algoritmi di crittografia. Un modo semplice per riuscire a comprendere meglio questi aggettivi è considerarli nei seguenti termini:

  • Simmetrica: Stessa chiave (privata) usata per crittografia e decifrazione.

Con la crittografia simmetrica, condividere questa chiave privata in due in modo sicuro potrebbe risultare difficile.

  • Asimmetrica: Unica chiave (privata) usata per crittografia e decifrazione.

Con la crittografia asimmetrica utilizzi la chiave pubblica di una persona per criptare un messaggio a lei diretto. Solo quella persona ha la chiave privata per decifrare il messaggio.

Quindi, perché non utilizzare sempre la crittografia asimmetrica? Perché il protocollo AES è simmetrico? Semplicemente perché la crittografia asimmetrica richiede un sacco di tempo. In questi tempi, il protocollo AES con la sua simmetricità è “abbastanza”.

Se vorresti una spiegazione della matematica dietro il protocollo AES, dai un’occhiata a questo cartone animato.

14 I protocolli VPN disponibili

Un protocollo VPN si riferisce a come il tuo provider di servizi VPN ha costruito il proprio prodotto (o come vuoi costruire la tua VPN), quale struttura sottostante di scambio di dati viene impiegata, e cosa offre in termini di funzionalità. Alcune VPN commerciali ti offrono la scelta di quale protocollo utilizzare, come ExpressVPN.

Sotto troverai una lista dei protocolli VPN disponibili. Non è una lista esaustiva, ma ti aiuterà a farti un’idea di quali sono i più veloci e più utilizzati oggigiorno sul mercato.

  • OpenVPN
    OpenVPN è un prodotto VPN open source attualmente impiegato dai fornitori di VPN più importanti al mondo. OpenVPN è uno dei capisaldi del settore, dal momento che è affidabile, veloce, degno di fiducia e funziona su tutti i sistemi. Le implementazioni OpenVPN impiegano la crittografia AES-256-CBC come default (sui nuovi prodotti), ma essa può essere impostata anche sui protocolli DES-CBC, RC2-CBC, DES-EDE-CBC, DES-EDE3-CBC, DESX-CBC, BF-CBC, RC2-40-CBC, CAST5-CBC, RC2-64-CBC, AES-128-CBC, AES-192-CBC o AES-256-CBC (fonte OpenVPN).
  • PPTP
    PPTP si riferisce al protocollo Point to Point Tunneling Protocol di Microsoft, un metodo di implementazione VPN obsoleto. La crittografia di questo protocollo è nota per essere stata aggirata, quindi non dovresti usarla se sei interessato ad un livello di protezione elevato. Detto ciò, questo protocollo offre delle connessioni veloci grazie alla sua debole crittografia, e funziona su sistemi operativi desktop e mobili Windows/Linux/Mac.
  • L2TP and IPSec
    L2TP/IPsec si riferisce alla combinazione di Layer 2 Tunneling Protocol + Internet Protocol Security, e funziona nativamente su tutti i dispositivi desktop e mobili con sistemi operativi Windows/Linux/Mac. Questa è un’altra implementazione simile a OpenVPN (ma nota per avere una performance più lenta), e con ciò vogliamo farti capire che esistono una varietà di algoritmi di crittografia differenti tra i quali scegliere, come AES 256 e 3DES. 3DES è attualmente considerato inferiore a AES per le nuove implementazioni VPN.
  • SSTP
    Anche il Secure Socket Tunneling Protocol è un prodotto Microsoft, quindi offre supporto nativo ai sistemi desktop Microsoft (ma non a quelli mobili). Questo prodotto è però piuttosto obsoleto, ed appare soprattutto in configurazioni ad accesso remoto Windows to Windows.
  • IKEv2
    IKEv2 è un protocollo impiegato in IPSec che si riferisce al modo in cui le associazioni di sicurezza e gli scambi di chiave vengono effettuati. Il payload criptato con IKEv2 raccomanda la crittografia con AES-128 CBC. Quando si usa IPSec, IKEv2 dovrebbe essere preferito rispetto al più scarso IKE.
  • WireGuard
    WireGuard è un recente protocollo che potrebbe presto venir preferito rispetto alla principale scelta attuale, ovvero OpenVPN. Esso implementa tecniche di virtual private network per fornire configurazioni sicure di tipo bridge o route, ed offre delle opzioni di sicurezza migliori rispetto a quelle dei suoi rivali.

15 Quindi, qual è la migliore crittografia VPN ed il miglior protocollo da utilizzare?

Al momento, AES-256 viene considerato “abbastanza buono” da essere usato come standard di crittografia principale. La complessità dell’algoritmo implica che, anche con eventuali vulnerabilità rilevate, ci vorrebbero anni prima che un supercomputer funzionante a pieno ritmo con metodo “brute force” riesca a sbloccare il codice.

OpenVPN è al momento il leader nell’ambiente dei protocolli VPN, anche se passare ad altri protocolli, in alcuni casi, potrebbe dare risultati migliori. Anche se noi forniamo dei dettagli sulle opzioni migliori, devi comuque fare delle ricerche per determinare quale protocollo sia il più adatto a te.

Considerando che questo è un panorama in continua evoluzione, e che la potenza di calcolo dei computer è sempre crescente, possiamo tranquillamente affermare che “le migliori VPN e protocolli da utilizzare” al momento potrebbero essere molto diversi tra pochi anni.

Per questo motivo, è estremamente importante restare aggiornati con riguardo alle più recenti vulnerabilità, aggiornamenti e problematiche per assicurarti che sia sempre al corrente di quale sia la migliore VPN per tenere il tuo PC ed i tuoi dati al sicuro.

Julia SJ
Scritto da Julia SJ
Scrittore di sicurezza web ed ex sviluppatore di software con un debole per viaggi, tecnologia e dati. Attualmente segue una deliziosa e salutare dieta a base di sicurezza informatica, privacy e leggi internazionali sui dati, blockchain, automazione e big data (oltre al caffè!)