Corso di Privacy

Le soluzioni per la privacy dei dati sensibili

 

Le possibili soluzioni utilizzabili al momento per la trasmissione di dati sensibili su Internet possono essere raggruppate sotto le seguenti categorie:

- accettare la non privacy
- la cifratura a livello end-user
- il protocollo SET
- il protocollo SSL

Accettare  la mancanza di privacy

La coscienza dell’insicurezza del mezzo potrebbe essere gestita evitando la trasmissione di dati riservati. Questa soluzione non rappresenta tuttavia la soluzione in grado di soddisfare le crescenti esigenze commerciali di chi opera in rete, dato che impone di fatto grosse limitazioni in quanto consente soltanto di reperire le informazioni che le altre aziende rendono disponibili e lo scambio di posta elettronica priva di ogni riferimento di business.

La cifratura a livello end user

Questa è la scelta fatta da chi utilizza soluzioni intranet, oppure collegamenti tra diverse sedi aziendali gestite tramite Internet. Il vantaggio di questa soluzione consiste in una forte riduzione dei costi, ma occorre predisporre la cifratura dei dati ricorrendo anche a soluzioni proprietary che in questo contesto non hanno controindicazioni, in quanto non è necessario che i messaggi siano disponibili ad utenti esterni.
La stessa soluzione può essere adottata per lo scambio di messaggi di posta elettronica; quando questa è la soluzione, i corrispondenti hanno concordato un metodo di cifratura e si sono scambiati le chiavi necessarie. La necessità di uno scambio preventivo di chiavi rappresenta il limite per l'utilizzo di questi sistemi su vasta scala. L'uso di algoritmi di cifratura a chiave pubblica può tuttavia rappresentare una possibile soluzione per un utilizzo allargato anche a corrispondenti occasionali.

Il protocollo SET

Questo protocollo è stato realizzato con la compartecipazione di Visa, Mastecard, GTE, IBM, Microsoft, Netscape, Saic, Terisa e VeriSign. Le prime specifiche sono state rilasciate nel settembre '95 e sono state rese disponibili su Internet perché tutti potessero verificare eventuali punti deboli e contribuire alla loro correzione. Con tale metodo sono state raccolte 3.000 proposte di modifica, di cui molte accettate. Il protocollo è nato per il commercio elettronico con pagamenti tramite carte di credito o di debito e, quindi, non si pone come obiettivo la possibilità di stabilire una connessione sicura, come invece si propone SSL.

Per poter utilizzare SET:

- il cliente deve farsi rilasciare un certificato e le sue chiavi di cifratura basate sull'algoritmo RSA detto anche "cifratura a chiave pubblica";

- il negoziante deve farsi rilasciare un certificato e le sue chiavi di cifratura;
- anche l'organismo che svolge la funzione di acquirer e che verificherà la validità della carta presentata per il pagamento, concedendo l'autorizzazione, deve essere munito di un certificato e delle relative chiavi.

Il protocollo prevede lo scambio di messaggi cifrati ed autenticati solo tra entità in possesso di un certificato valido. Ogni attore (cliente, commerciante, acquirer) può decifrare solo le informazioni che lo riguardano e verifica le "firme" di chi invia i messaggi. Il grosso vantaggio di questo protocollo è dato dal fatto che, un potenziale cliente potrà essere certo che, se un ipotetico negoziante si presenta con un certificato valido ed è in grado di condurre una transazione secondo le specifiche di SET, questo significa che vi è una sottostante convenzione con un ente emittente di carte di credito che, indirettamente, avalla la credibilità del negoziante stesso.

Fonti

INTERNET-LE CHIAVI DELLA SICUREZZA  di Arturo Salvatici-Istinform liberamente disponibile su http://www.privacy.it
LA SICUREZZA NELL’INFORMATICA di Adriano Cattaruzza Consigliere Assintel (pubblicato sul n. 4/96 di Bancaforte, rivista dellA.B.I. sulla sicurezza) liberamente disponibile su http://www.privacy.it
L’ESPLOSIONE DELLE SOLUZIONI HI-TECH METTE A RISCHIO LA PRIVACY DELL’INDIVIDUO di Miran Pecenik dallinserto informatica del Sole 24 Ore del 25 aprile 1997 liberamente disponibile su http://www.privacy.it
IL COMMERCIO ELETTRONICO E L’IMPRESA di Allegra Stracuzzi 1999 Il Sole 24 Ore

Nel prossimo articolo esamineremo invece il protocollo SSL.

 

Torna all'indice Generale del corso di Corso di Privacy di Software Planet