Glossario di sicurezza e crittografia
Spiegazioni in linguaggio semplice dei concetti di sicurezza alla base di Vaulted.
AES-256-GCM
AES-256-GCM è un algoritmo di cifratura simmetrica che combina l'Advanced Encryption Standard con una chiave a 256 bit e la modalità Galois/Counter, offrendo in un'unica operazione sia la riservatezza dei dati sia la verifica integrata dell'integrità.
Architettura zero-knowledge
L'architettura zero-knowledge è un design di sistema in cui il fornitore di servizi non ha alcuna capacità di accedere, leggere o decifrare i dati che archivia per conto degli utenti, perché tutte le operazioni di cifratura e decifratura avvengono lato client.
Attacco Brute-Force
Un attacco brute-force è un metodo crittoanalico che tenta di determinare una password, una chiave di cifratura o altro segreto provando sistematicamente ogni possibile combinazione finché non viene trovato il valore corretto.
Attacco Man-in-the-Middle
Un attacco man-in-the-middle (MITM) è un cyberattacco in cui un avversario intercetta segretamente — e potenzialmente altera — le comunicazioni tra due parti che credono di comunicare direttamente tra loro.
Audit Log
Un audit log è una registrazione cronologica e a prova di manomissione di eventi e attività all'interno di un sistema — incluse le azioni degli utenti, i tentativi di accesso, le modifiche alla configurazione e gli eventi di sicurezza — mantenuta per accountability, conformità normativa e analisi forense.
Autenticazione a Più Fattori
L'autenticazione a più fattori (MFA) è un metodo di autenticazione che richiede a un utente di presentare due o più credenziali indipendenti appartenenti a categorie diverse — qualcosa che sai, qualcosa che hai, o qualcosa che sei — prima di concedere l'accesso.
Autorità di Certificazione
Un'autorità di certificazione (CA) è un'organizzazione terza fidata che emette, firma e gestisce certificati digitali usati per verificare l'identità di entità — come siti web, organizzazioni o dispositivi — all'interno di un'infrastruttura a chiave pubblica.
bcrypt
bcrypt è una funzione di Password Hashing basata sul cifrario a blocchi Blowfish che incorpora un salt integrato e un fattore di costo configurabile, progettata per essere computazionalmente costosa in modo da resistere specificamente all'accelerazione tramite GPU e hardware dedicato.
Cifratura a riposo
La cifratura a riposo è la pratica di archiviare i dati in forma cifrata su storage persistente — come dischi, database o supporti di backup — in modo che i dati rimangano protetti anche se il supporto di archiviazione viene compromesso.
Cifratura asimmetrica
La cifratura asimmetrica è un sistema crittografico che usa una coppia di chiavi matematicamente correlate — una chiave pubblica che chiunque può usare per cifrare i dati e una chiave privata che solo il proprietario possiede per decifrarli — eliminando la necessità di condividere in anticipo una chiave segreta.
Cifratura end-to-end
La cifratura end-to-end (E2EE) è un metodo di comunicazione in cui i dati vengono cifrati sul dispositivo del mittente e possono essere decifrati solo sul dispositivo del destinatario, garantendo che nessun intermediario — incluso il fornitore di servizi — possa accedere al contenuto in plaintext.
Cifratura in transito
La cifratura in transito è la pratica di cifrare i dati mentre viaggiano tra due sistemi su una rete, tipicamente implementata tramite TLS (Transport Layer Security) o il suo predecessore SSL, per prevenire intercettazioni e manomissioni.
Cifratura lato client
La cifratura lato client è la pratica di cifrare i dati sul dispositivo dell'utente — tipicamente in un browser o un'app nativa — prima di trasmetterli a un server, garantendo che il server riceva e archivi solo dati cifrati.
Cifratura simmetrica
La cifratura simmetrica è un metodo crittografico in cui la stessa chiave segreta viene usata sia per la cifratura che per la decifratura. Sia il mittente che il destinatario devono possedere la stessa chiave identica per cifrare e decifrare i dati.
Ciphertext
Il ciphertext è l'output cifrato di un algoritmo crittografico — una rappresentazione scrambled dei dati originali che è illeggibile senza la corrispondente chiave di decifratura.
Condivisione di segreti
La condivisione di segreti, nel contesto della gestione delle credenziali, è la pratica di trasmettere informazioni sensibili — come password, chiavi API o chiavi private — tra parti attraverso un canale progettato per minimizzare l'esposizione, limitare la persistenza e prevenire l'accesso non autorizzato.
Controllo degli Accessi
Il controllo degli accessi è l'insieme dei meccanismi e delle policy di sicurezza che regolano quali utenti, sistemi o processi sono autorizzati ad accedere a specifiche risorse e quali azioni sono autorizzati a eseguire su di esse.
Controllo degli Accessi Basato sui Ruoli
Il controllo degli accessi basato sui ruoli (RBAC) è un modello di controllo degli accessi in cui i permessi vengono assegnati a ruoli — come amministratore, editor o visualizzatore — e gli utenti ottengono i permessi essendo assegnati a ruoli, piuttosto che avere permessi concessi direttamente ai singoli account.
Data Loss Prevention
La data loss prevention (DLP) è un insieme di strategie, strumenti e processi progettati per rilevare e prevenire la trasmissione non autorizzata, la perdita o l'esfiltrazione di dati sensibili da un'organizzazione — sia intenzionale sia accidentale.
Derivazione della chiave
La derivazione della chiave è il processo di trasformare un valore sorgente — tipicamente una password, una passphrase o un segreto condiviso — in una o più chiavi crittografiche ad alta entropia usando un algoritmo deterministico progettato per produrre materiale chiave di qualità.
Escalation dei Privilegi
L'escalation dei privilegi è una tecnica di attacco in cui un avversario sfrutta una vulnerabilità, una configurazione errata o una credenziale rubata per ottenere permessi di livello superiore rispetto a quelli originariamente autorizzati — tipicamente passando da un utente normale a un account amministratore o root.
Esfiltrazione dei Dati
L'esfiltrazione dei dati è il trasferimento non autorizzato di dati dai sistemi di un'organizzazione verso una posizione esterna controllata da un attaccante, tramite tecniche basate sulla rete, supporti fisici o account compromessi.
Firma digitale
Una firma digitale è uno schema crittografico che usa una chiave privata per generare una firma su un messaggio o documento, che chiunque con la corrispondente chiave pubblica può verificare per confermare l'autenticità e l'integrità dei dati.
Frammento URL
Un frammento URL è la parte di un URL che appare dopo il simbolo cancelletto (#). In base all'RFC 3986, i browser elaborano i frammenti esclusivamente lato client e non li includono mai nelle richieste HTTP inviate al server.
GDPR
Il Regolamento Generale sulla Protezione dei Dati (GDPR) è una legge completa sulla protezione dei dati adottata dall'Unione Europea che disciplina come le organizzazioni raccolgono, trattano, archiviano e condividono i dati personali degli individui nell'UE e nello Spazio Economico Europeo.
Gestione delle credenziali
La gestione delle credenziali è l'insieme delle politiche, dei processi e degli strumenti usati per gestire in modo sicuro l'intero ciclo di vita delle credenziali di accesso — inclusa la creazione, l'archiviazione sicura, la condivisione controllata, la rotazione regolare e la revoca tempestiva.
HIPAA
HIPAA (Health Insurance Portability and Accountability Act) è una legge federale statunitense che stabilisce standard nazionali per la protezione della privacy e della sicurezza delle informazioni sanitarie individualmente identificabili, note come Protected Health Information (PHI).
HMAC
HMAC (Hash-Based Message Authentication Code) è un meccanismo crittografico che combina una funzione hash crittografica con una chiave segreta per produrre un codice di autenticazione di dimensione fissa, consentendo al destinatario di verificare sia l'integrità che l'autenticità di un messaggio.
Infrastruttura a Chiave Pubblica
L'infrastruttura a chiave pubblica (PKI) è un framework completo di ruoli, policy, hardware, software e procedure usato per creare, gestire, distribuire, archiviare e revocare certificati digitali e le relative coppie di chiavi pubblica-privata.
JSON Web Token
Un JSON Web Token (JWT) è un formato di token compatto e URL-safe definito dall'RFC 7519 che rappresenta claim tra due parti come oggetto JSON firmato digitalmente, abilitando l'autenticazione stateless e lo scambio di informazioni.
Key Wrapping
Il Key Wrapping è un'operazione crittografica che cifra una chiave (la chiave payload) usando un'altra chiave (la wrapping key o chiave di cifratura della chiave), fornendo riservatezza e protezione dell'integrità al materiale crittografico durante l'archiviazione o il trasporto.
Messaggi autodistruttivi
I messaggi autodistruttivi sono messaggi o dati condivisi progettati per essere eliminati automaticamente e definitivamente dopo essere stati consultati un numero specificato di volte o dopo la scadenza di un periodo di tempo definito.
Nonce
Un nonce (number used once) è un valore univoco, tipicamente casuale o sequenziale, che viene usato esattamente una volta in un'operazione crittografica per garantire che input identici producano output diversi, prevenendo attacchi di replay e analisi di pattern.
OAuth
OAuth 2.0 è un framework di autorizzazione aperto che consente a un'applicazione di terze parti di ottenere accesso limitato alle risorse di un utente su un altro servizio — come il suo profilo o i suoi dati — senza che l'utente debba condividere la propria password con la terza parte.
Password Hashing
Il Password Hashing è la pratica di applicare una funzione crittografica computazionalmente costosa e unidirezionale a una password — combinata con un salt unico — per produrre un digest di lunghezza fissa che può verificare la password senza archiviarla in forma recuperabile.
PBKDF2
PBKDF2 (Password-Based Key Derivation Function 2) è un algoritmo di derivazione della chiave definito nell'RFC 8018 che applica iterativamente una funzione pseudocasuale — tipicamente HMAC-SHA-256 — a una password e a un salt per produrre una chiave derivata computazionalmente costosa da forzare.
PCI-DSS
PCI-DSS (Payment Card Industry Data Security Standard) è un insieme di requisiti di sicurezza stabiliti dal PCI Security Standards Council per proteggere i dati dei titolari di carta e garantire che tutte le organizzazioni che trattano, archiviano o trasmettono informazioni di carte di credito mantengano un ambiente sicuro.
Phishing
Il phishing è un attacco di social engineering in cui un avversario invia comunicazioni fraudolente — tipicamente email, SMS o messaggi istantanei — che si spacciano per un'entità attendibile per indurre i destinatari a divulgare informazioni sensibili, cliccare su link malevoli o installare malware.
Plaintext
Il plaintext è il dato nella sua forma originale, non cifrata e leggibile dagli esseri umani. In crittografia, si riferisce all'input di un algoritmo di cifratura o all'output di un algoritmo di decifratura.
Principio del minimo privilegio
Il principio del minimo privilegio è un concetto di sicurezza che stabilisce che ogni utente, processo o sistema dovrebbe ricevere solo il livello minimo di accesso — e per il tempo minimo — necessario per svolgere la propria funzione autorizzata.
Ransomware
Il ransomware è un malware che cifra i file di una vittima o la blocca fuori dai propri sistemi, richiedendo poi un pagamento — tipicamente in criptovaluta — in cambio della chiave di decifratura o del ripristino dell'accesso.
Rotazione delle Chiavi
La rotazione delle chiavi è la pratica di sicurezza che consiste nel sostituire periodicamente le chiavi crittografiche o le credenziali attive con nuove generate ad hoc, ritirando o revocando quelle vecchie, per limitare la finestra di esposizione in caso di compromissione.
RSA
RSA (Rivest-Shamir-Adleman) è un algoritmo crittografico asimmetrico che deriva la propria sicurezza dalla difficoltà computazionale di fattorizzare il prodotto di due grandi numeri primi, usato per cifratura, firme digitali e scambio sicuro di chiavi.
Salt (crittografia)
Un salt crittografico è un valore casuale che viene combinato con una password o un altro input prima che venga elaborato da una funzione hash o da una funzione di derivazione della chiave, garantendo che input identici producano output diversi e rendendo inefficaci le tabelle di attacco precalcolate.
Secrets management
Il secrets management è la disciplina di archiviare, distribuire, ruotare e verificare in modo sicuro le credenziali sensibili — come chiavi API, password, token, certificati e chiavi di cifratura — tra applicazioni, infrastruttura e team.
Segreti effimeri
I segreti effimeri sono elementi di dati sensibili — come password, token o chiavi — intenzionalmente progettati per esistere solo per un periodo di tempo limitato o un numero limitato di accessi prima di essere distrutti definitivamente e irrecuperabilmente.
SHA-256
SHA-256 (Secure Hash Algorithm a 256 bit) è una funzione hash crittografica della famiglia SHA-2 che prende un input di lunghezza arbitraria e produce un digest fisso a 256 bit (32 byte), progettata come funzione unidirezionale in cui l'output non rivela nulla sull'input.
Single Sign-On
Il Single Sign-On (SSO) è uno schema di autenticazione che consente a un utente di autenticarsi una volta con un provider di identità centrale e poi accedere a più applicazioni e servizi indipendenti senza che gli vengano richieste nuovamente le credenziali.
SOC 2
SOC 2 (System and Organization Controls 2) è un framework di audit sviluppato dall'AICPA che valuta i controlli di un'organizzazione di servizi in relazione a sicurezza, disponibilità, integrità del processo, riservatezza e privacy — noti come Trust Services Criteria.
Social Engineering
Il social engineering è una classe di tecniche di attacco che manipolano la psicologia umana — fiducia, paura, urgenza o disponibilità ad aiutare — per indurre le persone a divulgare informazioni riservate, concedere accessi non autorizzati o compiere azioni che compromettono la sicurezza.
TLS/SSL
TLS (Transport Layer Security) è un protocollo crittografico che fornisce riservatezza, integrità dei dati e autenticazione per le comunicazioni tra due parti su una rete. SSL (Secure Sockets Layer) è il suo predecessore deprecato; i moderni riferimenti a "SSL" quasi sempre intendono TLS.
Vettore di inizializzazione
Un vettore di inizializzazione (IV) è un valore casuale o pseudocasuale usato come input aggiuntivo a un algoritmo di cifratura insieme alla chiave, garantendo che plaintext identico cifrato con la stessa chiave produca ciphertext diversi tra le operazioni.
Violazione dei dati
Una violazione dei dati è un incidente di sicurezza in cui dati sensibili, protetti o riservati vengono consultati, divulgati o rubati da una parte non autorizzata, che si tratti di hacking, minaccia insider, errata configurazione o esposizione accidentale.
Web Crypto API
La Web Crypto API è uno standard W3C che fornisce un'interfaccia JavaScript a un insieme di primitive crittografiche — tra cui cifratura, decifratura, generazione di chiavi, hashing e firma — implementate nativamente nel browser.
Zero Trust
Zero Trust è un'architettura di sicurezza che elimina la fiducia implicita basata sulla posizione di rete e richiede invece una verifica continua di identità, stato del dispositivo e autorizzazione per ogni richiesta di accesso a qualsiasi risorsa.