Un approccio completo alla sicurezza informatica
La maggior parte delle persone vive gioiosamente la propria vita digitale trascurando le continue minacce che circondano dispositivi e applicazioni. Il motivo è riconducibile al fatto che, in larga misura, la sicurezza di questi dispositivi è protetta da una miriade di componenti critici, tra cui librerie crittografiche, il protocollo Transport Layer Security (TLS), sistemi di sicurezza dei browser e protocolli di autenticazione singola. Eppure, come evidenziato dalla regolare insorgenza di attacchi informatici, questa configurazione è lungi dalla perfezione. «Sebbene questi componenti rimangano ampiamente utilizzati, non possediamo una comprensione solida del grado effettivo di sicurezza che forniscono», afferma Karthik Bhargavan, ricercatore presso l’Istituto nazionale per la ricerca nelle scienze e nella tecnologia digitali (Inria) con sede in Francia. «In realtà, persino il più piccolo bug nella codifica di un componente può comportare, e infatti comporta, attacchi imbarazzanti e di alto profilo.» Anziché tentare di risolvere ogni problema singolarmente, Bhargavan, grazie al sostegno del progetto CIRCUS, finanziato dall’UE, sta cercando di ampliare l’orizzonte di ricerca. «Invece di perdere tempo a caccia della prossima nuova minaccia, proponiamo di elaborare un quadro formale di verifica della sicurezza in grado di rilevare ed eliminare classi intere di vulnerabilità in un colpo solo», aggiunge.
Niente più scuse
Per cominciare, i ricercatori coinvolti nel progetto CIRCUS hanno contribuito alla progettazione, all’analisi e alla normalizzazione del protocollo TLS 1.3 ovvero l’ultima versione del protocollo TLS a favore di una navigazione in rete in sicurezza. «I nostri contributi in questo frangente sono stati riconosciuti nella norma pubblicata e la nostra ricerca di sostegno si è aggiudicata il premio di migliore articolo», osserva Bhargavan. La seconda fase del progetto sostenuto dal Consiglio europeo della ricerca si è concentrata sulla creazione di HACL*, la prima libreria ad alte prestazioni di algoritmi crittografici formalmente verificata. «Con HACL*, non esistono più scuse che tengano se si utilizza un codice crittografico non verificato nelle principali applicazioni critiche per la sicurezza», osserva. Secondo Bhargavan, una serie di aziende si è immediatamente offerta di promuovere la distribuzione del codice HACL* nei propri prodotti, tra cui Mozilla Firefox, Linux Kernel, WireGuard, Microsoft MsQuic, Tezos ed ElectionGuard. «Prelevare il software da un progetto di ricerca e migliorarne la qualità affinché fosse pronto per la produzione ha richiesto un intenso lavoro di apprendimento e ingegneria da parte nostra», afferma. «Nonostante ciò esulasse dai nostri piani originali per il progetto, ci ha permesso di velocizzare il trasferimento della nostra ricerca nelle applicazioni industriali reali.»
Trascendere i limiti della sicurezza informatica
Il progetto CIRCUS è riuscito a spingersi oltre i limiti della sicurezza informatica in termini di verifica formale e crittografia applicata. «Grazie al sostegno del finanziamento dell’UE, abbiamo dimostrato che è possibile eseguire una verifica formale di un software crittografico ad alte prestazioni e pronto per la produzione», conclude Bhargavan. Anche se il progetto è ormai volto al termine, il codice HACL* è disponibile gratuitamente tramite il sito web GitHub. Inoltre, Bhargavan e il suo gruppo continuano a portare avanti i temi individuati nel corso del progetto, quali l’esame di software crittografici scritti nei principali linguaggi orientati alla verifica, come Rust. I ricercatori sono anche nelle prime fasi di trasferimento delle nozioni e dei risultati della ricerca di CIRCUS a un’azienda privata e puntano a dare origine a una comunità industriale attorno ai software crittografici verificati.
Parole chiave
CIRCUS, sicurezza informatica, quadro di verifica della sicurezza, minaccia informatica, Transport Layer Security, attacchi informatici, codifica, HACL*, algoritmi crittografici, codice crittografico, crittografia
