Tecniche di cifratura dei dati nei database relazionali = Data encryption techniques in relational databases

Nel mondo di oggi la tematica della sicurezza informatica sta diventando sempre più importante sia per il consumatore che per il venditore di servizi. Ormai i servizi digitali fanno parte della quotidianità di tutte le persone e il problema della privacy sta assumendo sempre più rilevanza. Infatti, il consumatore vuole avere garanzie sulla sicurezza dei propri dati memorizzati in un sistema remoto. Dall’altra parte le aziende devono attuare un certo livello di protezione sui propri sistemi per prevenire eventuali attacchi e furti di dati che possono rappresentare anche un danno d’immagine. Inoltre, ogni organizzazione deve essere conforme agli standard e leggi che regolano il trattamento dei dati personali. Affidarsi alla sicurezza perimetrale o al controllo dell’accesso al database non fornisce una sicurezza adeguata. Infatti, il controllo degli accessi applicato al database può essere aggirato in diversi modi. Per esempio, un intruso può infiltrarsi nel sistema che ospita il database e cercare di estrarre l’impronta sul disco. In questa trattazione si è effettuata un’analisi dello stato dell’arte delle tecniche di cifratura a livello database vista come valida alternativa alle classiche tecniche di cifratura a livello applicazione e sistema operativo che possiedono problemi legati alle performance, sicurezza e flessibilità. Di particolare interesse sono i database relazionali che, nonostante il grande successo recente avuto dai database NoSQL, sono ancora ampiamente diffusi per la memorizzazione dei dati. La cifratura dei dati può fornire una forte sicurezza per i dati a riposo ma la vera sfida è rappresentata dallo sviluppo di una corretta infrastruttura. La strategia di sviluppo deve infatti tenere in considerazione una moltitudine di fattori cercando di ottenere un buon compromesso tra requisiti di sicurezza e performance. Infatti, i processi crittografici aggiungono un overhead computazionale significativo. Uno dei fattori fondamentali che caratterizzano la Database Encryption è la gestione delle chiavi crittografiche. In questo lavoro un capitolo è interamente dedicato alla descrizione di tale problematica che deve essere necessariamente gestita in quanto cruciale per la sicurezza dei dati. Infatti, una pessima gestione delle chiavi può introdurre vulnerabilità sfruttabili da un attaccante che potrebbe ottenere la chiave di cifratura dei dati e potenzialmente effettuare operazioni illecite su di essi. Altri fattori che devono essere presi in considerazione sono il livello a cui deve avvenire la cifratura e con quale granularità. Si è effettuata un’analisi delle varie soluzioni mostrandone vantaggi e svantaggi. Una volta definita la strategia occorre scegliere il prodotto più conforme alle proprie esigenze. Molti vendors, sia open-source che proprietari, forniscono implementazioni per garantire la cifratura sui database come la Transparent Data Encryption. I vari prodotti sono stati analizzati e testati in modo da effettuare confronti in termini di impatto sulle performance e sulla dimensione del database. L’ultimo obiettivo di questo lavoro di tesi è stato quello di sviluppare una proof-of-concept di una soluzione clientside encryption usando Java e la Java Cryptography Extension (JCE). Il software sviluppato permette ad una generica applicazione client di abilitare la cifratura dei dati apportando numerosi benefici in termini di sicurezza.