Attribute Based Encryption (ABE): perché sta rivoluzionando il campo della crittografia
A cura di Filippo Capocasale, Director (“Security Architectures & Innovation” Practice Lead)
Con l'aumento delle minacce informatiche e delle violazioni dei dati, la crittografia si è rivelata uno strumento indispensabile per garantire la riservatezza e l'integrità delle informazioni. In questo contesto, il Gruppo NTT, storicamente all'avanguardia nella ricerca e sviluppo crittografico, ha dato un contributo significativo con l'innovativa tecnologia dell'Attribute Based Encryption (ABE). Proposta dal Prof. Brent Waters, che dirige i laboratori CIS di NTT Research, l'ABE è universalmente riconosciuta come un paradigma di crittografia asimmetrica rivoluzionario, offrendo nuove opportunità per la protezione dei dati sensibili.
Negli ultimi anni, il Prof. Brent Waters e i laboratori CIS di NTT Research (riconosciuti come un centro di eccellenza a livello mondiale per l’innovazione, la ricerca e lo sviluppo di algoritmi e tecnologie crittografiche) hanno svolto un ruolo di primo piano nello sviluppo e nell'avanzamento dell'Attribute Based Encryption (ABE).
L'ABE rappresenta una svolta nel campo della crittografia, perché consente di combinare l'encryption con l'Attribute Based Access Control (ABAC). Tradizionalmente, la crittografia asimmetrica si basa su un sistema di chiavi pubbliche e private, dove la chiave pubblica viene utilizzata per cifrare i dati e la chiave privata per decifrarli. Con l'ABE, tuttavia, l'accesso ai dati cifrati non dipende solo dalla chiave privata, ma anche da una serie di attributi che devono essere soddisfatti.
Grazie all'ABE, infatti, è possibile associare attributi specifici ai dati sensibili e definire politiche di accesso basate su combinazioni di attributi. Questo apre la strada a una gestione più flessibile dell'accesso ai dati, consentendo di definire politiche di accesso personalizzate e raffinate in base a una vasta gamma di attributi come il ruolo dell'utente, la posizione geografica, l'orario di accesso e molti altri.
NTT DATA Italia ha giocato un ruolo chiave nello sviluppo e nell'applicazione dell'ABE, contribuendo alla realizzazione di un layer di API di alto livello per l'utilizzo delle funzioni crittografiche di base di di ABE. Inoltre, il nostro impegno è stato riconosciuto e premiato all’Hackathon su ABE tenutosi a settembre 2022 a Sunnyvale (California), dove il nostro team ha vinto la medaglia d’argento con una menzione d’onore per l’approccio visionario nell’applicazione dell’ABE.
Come funziona l’Attribute Based Encryption (ABE): le 4 componenti fondamentali
Per comprendere appieno l’importanza dell’Attribute Based Encryption (ABE), è necessario approfondire il suo funzionamento e le sue componenti chiave. Nonostante la natura tecnica dell’argomento, in questo articolo divulgativo cercheremo di spiegarlo in modo semplice e accessibile a tutti.
L’ABE si basa su quattro componenti fondamentali: l’autorità (authority), la policy, il ciphertext e le operazioni di key generation e decryption. Vediamole una per una.
- L’autorità è l’entità responsabile della generazione delle chiavi per l’ABE. Essa definisce le politiche di accesso e assegna gli attributi ai dati sensibili. Ad esempio, in un contesto aziendale, potrebbe definire che solo gli utenti con l’attributo “Ruolo: Manager” possono accedere ai report finanziari sensibili.
- La policy rappresenta le regole di accesso che devono essere soddisfatte per accedere ai dati. Queste regole (espressioni booleane) possono essere complesse e combinate in base a una serie di attributi. Ad esempio, una policy potrebbe richiedere che l’utente abbia sia l’attributo “Ruolo: Manager” che l’attributo “Livello di accesso: Alto” per accedere a un determinato documento.
- Il ciphertext rappresenta i dati sensibili cifrati utilizzando l’ABE. Questi dati sono caratterizzati e protetti da una combinazione di attributi e possono essere decifrati solo dagli utenti che soddisfano le politiche di accesso corrispondenti.
- Le operazioni di key generation e decryption sono fondamentali per l’utilizzo dell’ABE. Durante la key generation, vengono generate le chiavi per gli utenti basate sugli attributi che possiedono. Ad esempio, se un utente possiede l’attributo “Ruolo: Manager”, verrà generata una chiave corrispondente a tale attributo. Durante la decryption, le chiavi degli utenti vengono utilizzate per decifrare il ciphertext e accedere ai dati sensibili.
L’ABE offre una soluzione flessibile e potente per la gestione dell’accesso ai dati sensibili. Consentendo di definire politiche di accesso basate su attributi, offre un controllo granulare sull’accesso ai dati e permette di adattarsi a scenari complessi.
Attribute Based Encryption (ABE), alcuni scenari applicativi
L’Attribute Based Encryption (ABE) trova applicazione in una vasta gamma di scenari, offrendo soluzioni innovative per la gestione dell’accesso ai dati sensibili. Vediamo alcuni dei principali use cases in cui l’ABE può essere utilizzato.
- Content Distribution
L’ABE può essere impiegata per il controllo basato sul contenuto nell’accesso ai dati. Ad esempio, in ambito di distribuzione di contenuti digitali come video, musica o documenti, è possibile cifrare il contenuto utilizzando l’ABE e specificare politiche di accesso basate su attributi come l’età, il genere o la posizione geografica. Ciò consente di garantire che solo le persone con gli attributi appropriati possano accedere al contenuto.
- Secure Data Sharing
L’ABE può essere utilizzata per implementare politiche di accesso basate sui ruoli nelle condivisioni sicure dei dati. Ad esempio, in un ambiente aziendale, l’ABE può essere impiegata per consentire l’accesso ai dati sensibili solo ai dipendenti con un determinato ruolo aziendale, come i manager o i membri del team di ricerca e sviluppo. Ciò garantisce che solo le persone autorizzate possano accedere ai dati rilevanti per le loro responsabilità.
- Privacy-Preserving eWallet
L’ABE può essere utilizzata per proteggere la privacy nella gestione dei portafogli elettronici. Ad esempio, in un sistema di pagamenti digitali, l’ABE può essere utilizzata per cifrare i dati del portafoglio e consentire l’accesso solo alle transazioni autorizzate dagli attributi corrispondenti. Ciò fornisce un livello aggiuntivo di sicurezza e privacy per gli utenti che desiderano proteggere le proprie informazioni finanziarie.
- Implementazione di controlli antifrode nelle operazioni dispositive bancarie
L’ABE può essere utilizzata per autorizzare e proteggere le transazioni bancarie, contribuendo a contrastare le frodi. Ad esempio, in una transazione bancaria, l’ABE può essere impiegata per cifrare i dettagli dell’operazione utilizzando attributi come la posizione geografica, l’orario e l’importo. La banca può inviare un “challenge”1 cifrato all'utente, che dovrà dimostrare di possedere una chiave che può decifrare il challenge per ottenere l'autorizzazione. Ciò aggiunge un ulteriore livello di sicurezza e protezione contro le frodi.
Questi sono solo alcuni esempi di come l'ABE può essere applicata in diversi contesti. La flessibilità dell'ABE consente di adattarsi a molteplici scenari e di garantire un accesso sicuro e controllato ai dati sensibili.
I principali benefici dell’Attribute Based Encryption (ABE)
L'Attribute Based Encryption (ABE) offre numerosi vantaggi che la rendono una tecnologia di grande valore per la protezione dei dati sensibili. Vediamo alcuni dei principali benefici dell'ABE.
- Accesso flessibile e granulare
L'ABE consente di definire politiche di accesso basate su una vasta gamma di attributi, offrendo un controllo granulare sull'accesso ai dati. Ciò significa che è possibile personalizzare e adattare le politiche di accesso in base alle specifiche esigenze del contesto. Ad esempio, in un ambiente aziendale, diverse persone possono accedere a diverse parti di un documento in base al loro ruolo o ai privilegi assegnati.
- Protezione della privacy
L'ABE permette di proteggere la privacy dei dati sensibili. Utilizzando politiche di accesso basate su attributi, è possibile garantire che solo le persone autorizzate possano accedere ai dati, senza dover rivelare informazioni sensibili sulla loro identità. Ciò è particolarmente importante in scenari in cui la privacy è fondamentale, come nelle transazioni finanziarie o nella condivisione di dati sensibili.
- Riduzione dei rischi di violazione dei dati
L'ABE riduce il rischio di violazione dei dati sensibili. La crittografia basata su attributi assicura che solo le persone che soddisfano le politiche di accesso corrispondenti possano accedere ai dati cifrati. Ciò rende più difficile per gli attaccanti ottenere accesso non autorizzato ai dati sensibili anche in caso di violazione dei sistemi di sicurezza.
- Semplificazione della gestione delle autorizzazioni
L'ABE semplifica la gestione delle autorizzazioni. Utilizzando politiche di accesso basate su attributi, è possibile definire regole di accesso più flessibili ed evitare la gestione di lunghe liste di controllo degli accessi per ciascun utente. Ciò semplifica la gestione dei diritti di accesso e riduce la complessità amministrativa.
- Scalabilità
L'ABE è altamente scalabile, consentendo di gestire grandi quantità di dati sensibili e un numero elevato di utenti con diverse politiche di accesso. Questa caratteristica è particolarmente importante in ambienti complessi come le grandi organizzazioni o i sistemi distribuiti, in cui è necessario gestire un'ampia varietà di utenti e dati.
L'ABE rappresenta un enabler chiave per una serie di scenari in cui è necessario proteggere i dati sensibili e controllare l'accesso in modo flessibile. La sua combinazione di crittografia e controllo degli accessi basato sugli attributi offre un approccio innovativo e potente per garantire la sicurezza dei dati in vari contesti.
L'Attribute Based Encryption (ABE), tra opportunità presenti e sviluppi futuri
L'Attribute Based Encryption (ABE) rappresenta un notevole avanzamento nella crittografia asimmetrica, consentendo di combinare l'encryption con un controllo flessibile degli accessi basato su attributi. Questa tecnologia offre una serie di benefici e può essere utilizzata in diversi contesti per proteggere i dati sensibili e controllare l'accesso in modo granulare.
Nel panorama della ricerca crittografica, il Gruppo NTT ha svolto un ruolo di primo piano nello sviluppo e nell'innovazione dell'ABE. Grazie al lavoro pionieristico del Prof. Brent Waters e dei laboratori CIS di NTT Research, l'ABE è diventato una realtà concreta e ha aperto nuove prospettive per la sicurezza dei dati.
NTT DATA Italia ha contribuito a portare l'ABE sul mercato, sviluppando un layer di API di alto livello per l’utilizzo di ABE e identificando alcune possibili applicazioni di questa tecnologia innovativa.
Attraverso use cases come la distribuzione di contenuti, la condivisione sicura dei dati, l’implementazione dei portafogli elettronici e il contrasto alle frodi bancarie, l'ABE dimostra il suo valore come strumento di sicurezza e controllo degli accessi. La flessibilità dell'ABE consente di adattarsi a diverse esigenze e di garantire un accesso sicuro e controllato ai dati sensibili.
Inoltre, l'ABE semplifica la gestione delle autorizzazioni, riduce i rischi di violazione dei dati e protegge la privacy degli utenti. Questi benefici contribuiscono a migliorare complessivamente la sicurezza dei sistemi e dei dati sensibili.
Grazie all'impegno del Gruppo NTT e alle applicazioni innovative sviluppate da NTT DATA Italia, l'ABE sta guadagnando sempre più attenzione e sta diventando una tecnologia chiave nel campo della crittografia. Il suo potenziale è ancora in via di esplorazione e ci aspettiamo che continui a evolvere per soddisfare le crescenti esigenze di sicurezza dei dati.
L'Attribute Based Encryption (ABE) ha già dimostrato di essere una tecnologia promettente per la protezione dei dati sensibili e il controllo degli accessi. Tuttavia, il suo sviluppo e la sua adozione non si fermano qui. Esistono diverse prospettive interessanti per il futuro dell'ABE.
- Miglioramento delle prestazioni
Attualmente, l'ABE può richiedere risorse computazionali significative per eseguire le operazioni di cifratura e decifratura, specialmente quando il numero di attributi coinvolti è elevato. Il futuro dell'ABE si concentrerà sul miglioramento delle prestazioni, con l'obiettivo di ridurre i tempi di elaborazione e rendere l'ABE più efficiente in termini di utilizzo delle risorse.
- Interoperabilità
Un'altra area di sviluppo futuro per l'ABE riguarda l'interoperabilità tra diverse implementazioni e standard. Attualmente, esistono diverse varianti di ABE con caratteristiche e funzionalità leggermente diverse. Sviluppare standard comuni e protocolli di interoperabilità consentirà una maggiore adozione e un utilizzo più ampio dell'ABE in diversi contesti.
- Integrazione con altre tecnologie
L'ABE può essere integrata con altre tecnologie di sicurezza, come la crittografia omomorfica o la blockchain, per creare soluzioni ancora più robuste e sicure. L'interazione tra queste tecnologie può aprire nuove possibilità e applicazioni per l'ABE, consentendo una protezione avanzata dei dati sensibili in scenari complessi.
- Quantum Resistance
È stata realizzata con successo una Proof of Concept (PoC) in cui si dimostra che l'ABE può essere resa "Quantum Resistant". Con i recenti progressi nella ricerca sui computer quantistici, è diventato fondamentale garantire che le tecnologie crittografiche siano resilienti contro gli attacchi quantistici. L'integrazione nell’ABE di meccanismi di sicurezza di Post-Quantum Cryptography garantirà una protezione a lungo termine dei dati sensibili.
- Sensibilizzazione e adozione
Infine, il futuro dell'ABE dipenderà anche dalla sensibilizzazione e dall'adozione da parte delle organizzazioni e della comunità tecnica. È fondamentale educare gli attori coinvolti sui vantaggi e le potenzialità dell'ABE, oltre a promuoverne l'implementazione e l'utilizzo in settori chiave come la sanità, la finanza e l'industria.
In conclusione, l'ABE rappresenta un importante passo avanti nella protezione dei dati sensibili e nel controllo degli accessi. Il suo futuro è promettente, con miglioramenti delle prestazioni, interoperabilità, integrazione con altre tecnologie, resistenza quantistica e una maggiore sensibilizzazione e adozione. Continuerà a evolversi per soddisfare le crescenti esigenze di sicurezza dei dati e fornire soluzioni innovative per una vasta gamma di scenari applicativi.
1. Per “challenge” si intende una “sfida di sicurezza”: è come se fosse la richiesta di una “parola d’ordine”, ma dinamica; solo chi sa come rispondere correttamente a questa “challenge” viene autorizzato.