La crittografia si estende agli URL visitati dagli utenti. Questa la novità introdotta da LastPass, azienda diventata popolare grazie al gestore di password tra i più utilizzati al mondo.

Con questa novità, LastPass intende incentivare la protezione della privacy e, nel medesimo tempo, vuole promuovere i sistemi Zero knowledge i quali, come approfondiremo in seguito, prevedono che un agente (detto verificatore) certifichi la correttezza di un’affermazione senza richiedere informazioni supplementari.

Ciò significa, tra le altre cose, che LastPass non avrà accesso ai dati degli utenti.

Per entrare nei meccanismi della crittografia degli URL ci siamo avvalsi del supporto dell’ingegnere Salvatore Lombardo, esperto ICT e membro Clusit.

In cosa consiste la crittografia degli URL

Quando si vista un sito web, LastPass verifica che nel deposito password dell’utente ci siano le credenziali per consentirgli di accedervi in modo automatico. Gli URL, per loro natura, tendono a fornire dettagli che specificano la tipologia del sito che si vuole raggiungere come, per esempio, servizi bancari o finanziari, account email o profili social.

Estendendo la crittografia agli URL associati agli account utente si rende più complessa la vita ai cyber criminali, che si trovano confrontati con una difficoltà in più per i loro intenti di violazione.

L’implementazione di questa nuova funzionalità di sicurezza avverrà in due fasi. Con la prima, prevista per il mese di giugno del 2024, verranno crittografati automaticamente i campi URL primari. La seconda fase, che verrà dispiegata nei mesi successivi ed entro la fine del 2024, andrà a crittografare gli URL con caratteri jolly, quelli di reindirizzamento e quelli personalizzati definiti dagli utenti stessi.

LastPass fa sapere anche che gli utenti non dovranno fare alcunché e, laddove fosse necessario il loro intervento, un’email spiegherà loro quali azioni intraprendere.

Il servizio di password management è nato nel 2008 ma, all’epoca, la scarsa potenza di elaborazione dei computer ha fatto sì che gli ingegneri non estendessero la crittografia agli URL ma oggi, con capacità di calcolo maggiori, i tempi sono maturi per estendere le misure di sicurezza senza rallentare le prestazioni di macchine e browser. Questa è la spiegazione fornita da LastPass a corredo dell’annuncio di questa novità. La prendiamo per buona ma ci facciamo comunque sorgere un dubbio sul quale ci soffermeremo più avanti.

I sistemi Zero knowledge

Di fatto sono protocolli crittografici che consentono a una parte (detta prover) di dimostrare al verificatore di essere in possesso di una certa informazione senza rilevare nulla al suo proposito.

Per fare un esempio, uno scambio classico vuole che il verificatore generi un numero casuale X al quale il prover aggiunge un numero Y comunicando al primo la somma dei due valori e l’entità del valore Y al fine di dimostrare come la somma è stata raggiunta. Così si dimostra di conoscere il numero casuale generato senza doverlo esplicitare.

Semplificando un po’ e uscendo per onore di chiarezza dall’ambito digitale, una spiegazione in favore di chiunque è questa: un’azienda di sicurezza privata rileva un allarma a casa di un proprio cliente. Il codice di sicurezza è 100 e l’operatore telefona al cliente dicendo 55. Se il cliente risponde 45 (per arrivare a 100) significa che è tutto ok, se comunica un numero diverso (magari perché sotto scacco di rapinatori) l’azienda di sicurezza interviene.

Un passo deciso, come dicevamo, sia verso la privacy sia verso l’implementazione di politiche Zero knowledge le quali, come spiega Salvatore Lombardo, “Saranno sempre più fondamentali in futuro per diverse ragioni. In un’epoca in cui la protezione dei dati e la privacy sono diventate priorità cruciali, i sistemi ZKP [Zero Knowledge Proof, ndr] offrono una soluzione efficace per quelle aziende alla ricerca di metodi che garantiscano la conformità al GDPR“.

“I sistemi ZKP”, continua l’esperto, “possono essere utilizzati per creare metodi di autenticazione sicuri e non invasivi, permettendo agli utenti di dimostrare la loro identità o di autenticarsi senza condividere informazioni personali sensibili”.

“Inoltre, la ricerca e lo sviluppo nei campi della crittografia e della sicurezza informatica stanno continuamente migliorando l’efficienza e l’applicabilità dei sistemi ZKP, rendendoli sempre più pratici e accessibili per un’ampia gamma di applicazioni. Per esempio, le tecnologie blockchain stanno adottando sempre più tali sistemi per migliorare la scalabilità e la privacy delle transazioni”.

L’anno nero di LastPass e l’anno zero

Nel 2022 LastPass è stata oggetto di due diversi attacchi che ne hanno minato la reputazione e questo offre un’interpretazione supplementare: perché si è atteso tanto per implementare la crittografia degli URL? Presa per buona la spiegazione restituita da LastPass secondo cui nei primissimi anni 2000 la potenza di calcolo disponibile non consentisse di muoversi in questa direzione, perché l’implementazione non è stata introdotta nel 2020 o nel 2021? Dispiegare oggi la crittografia degli URL può sembrare un tentativo di recuperare la fiducia degli utenti.

L’ingegnere Lombardo spiega che: “L’implementazione dell’architettura ZKP annunciata da LastPass nel proprio prodotto può essere vista sotto diverse prospettive: sia come un’opportunità per migliorare e innovare, sia come una sfida significativa per recuperare reputazione, competitività e fiducia. Le violazioni possono lasciare una macchia duratura sulla reputazione di un’azienda. I clienti potrebbero rimanere scettici nel lungo termine e la fiducia potrebbe essere difficile da recuperare completamente. Gli incidenti di sicurezza possono spingere i clienti a cercare alternative più sicure, favorendo la crescita di concorrenti nel mercato. Senza dubbio però la necessità di superare un incidente può portare a innovazioni che non solo riparano i danni, ma possono, come in questo caso, migliorare significativamente il prodotto”.

Insomma, quello che è stato è stato, l’importante è che si approfitti degli errori per migliorare, in modo che tutto assuma un senso.

È anche vero, come dimostra l’atteggiamento proattivo adottato da Zoom che ha introdotto sistemi di crittografia post-quantum per non dovere correre ai ripari in futuro, che il tetto va riparato quando non piove.