CryptoAC: la sicurezza “senza intermediari” che nasce dalla ricerca FBK

Ogni volta che si accede a un servizio online, ad esempio aprendo un documento condiviso o utilizzando un’applicazione in Cloud, si attiva un meccanismo fondamentale: il controllo degli accessi. Il suo compito è intercettare tutte le richieste di  accesso e applicare con precisione le regole su chi (un utente o un altro componente software) può eseguire quali azioni (leggere, modificare, eliminare) su quali risorse (un file). La responsabilità di attuare il controllo degli accessi viene solitamente demandata al fornitore stesso di servizi online in maniera centralizzata. Oltre alla possibilità che il fornitore di servizi online sia “onesto ma curioso” rispetto ai dati delle applicazioni, questo approccio centralizzato mostra dei limiti nelle architetture moderne, dove un’applicazione non è più un unico blocco monolitico ma un insieme di microservizi. Questi ultimi sono piccoli moduli software che collaborano tra loro e possono essere distribuiti su infrastrutture diverse (ad esempio in Cloud oppure on-premise, ovvero installati e gestiti all’interno della sede fisica dell’organizzazione che ne fa uso). L’uso di microservizi rende le applicazioni più flessibili e scalabili, ma complica la protezione dei dati, perché ogni componente scambia continuamente informazioni che devono essere tutelate.

In contesti così distribuiti, continuare a centralizzare in un singolo meccanismo il controllo degli accessi può creare problemi di efficienza nonché vulnerabilità e rischi. È in questo contesto che nasce CryptoAC, lo strumento software sviluppato da Stefano Berlato durante il suo dottorato di ricerca. Stefano ha partecipato al programma di PhD internazionale della Fondazione Bruno Kessler, che si avvale di collaborazioni con numerose università italiane e internazionali: il suo percorso in “Security, Risk and Vulnerability” è stato svolto in collaborazione con l’Università di Genova. Da questa esperienza di ricerca ha preso forma la tecnologia alla base di CryptoAC, oggi ulteriormente evoluta e confluita nelle attività di SERICS, unico partenariato esteso finanziato dal PNRR sul tema della cybersecurity a cui il Centro per la Cybersecurity ha preso parte.

L’obiettivo di CryptoAC – dove Crypto si riferisce a crittografia e AC significa Access Control – è ripensare il modo in cui le applicazioni gestiscono il controllo degli accessi, adottando un approccio più adatto alle architetture distribuite. “Invece di delegare tutto a un controllore centralizzato, come accade solitamente quando condividiamo un file su una piattaforma Cloud, con CryptoAC è la crittografia stessa a definire e far rispettare le regole di accesso. In questo modo il controllo è distribuito all’interno dell’applicazione e dei suoi microservizi, senza dover dipendere da un unico punto centrale che decide per tutti. Anche la sicurezza diventa decentralizzata, coerente con l’architettura moderna dei software” , spiega il ricercatore Stefano Berlato.

Il funzionamento è semplice nel principio, anche se basato su tecniche avanzate: invece di avere un controllore centralizzato che verifica ogni richiesta di accesso ai dati, è la crittografia a stabilire chi può accedere a quali dati: solo chi possiede le chiavi corrette può leggere o modificarli. È come se ogni informazione fosse protetta alla fonte, e non in un unico “punto di controllo” che decide per l’intera applicazione. Questo approccio è particolarmente utile nelle applicazioni “cloud-native” o basate su microservizi, dove i componenti possono essere distribuiti tra più data center o servizi Cloud. CryptoAC garantisce una protezione end-to-end, cioè continua e coerente lungo tutto il percorso dei dati, anche quando attraversano ambienti eterogenei. 

CryptoAC – sviluppato da Stefano Berlato con il contributo di altri colleghi quali Simone Brunello e Roberto Carbone e attualmente in fase di re-engineering per elevarne qualità e affidabilità – prosegue oggi all’interno di SERICS (Security and Rights in CyberSpace), il partenariato nazionale che riunisce università, centri di ricerca e aziende per rafforzare l’ecosistema italiano della cybersicurezza. FBK contribuisce in particolare ai temi legati alla protezione dei sistemi operativi, alla virtualizzazione e alla sicurezza dei sistemi distribuiti, ambiti nei quali soluzioni come Crypto AC trovano applicazione diretta.

“L’importanza del Controllo degli Accessi non è mai stata così critica, poiché i servizi online delle organizzazioni si affidano sempre più ai cloud service provider per garantire un accesso anytime, anywhere.  In questo contesto, caratterizzato dalla spinta verso strutture sempre più distribuite per offrire servizi online scalabili e resilienti, la gestione centralizzata dei permessi risulta inefficace e la crittografia diventa un meccanismo chiave per decentralizzare il controllo degli accessi”, spiega Silvio Ranise, responsabile del centro Cybersecurity di FBK. “CryptoAC incarna perfettamente questa visione in un contesto tecnologico cruciale come quello dei microservizi. FBK pianifica di continuare lo sviluppo di CryptoAC e di integrarlo in altri progetti strategici, come l’iniziativa Europea 8ra, il cui obiettivo è costruire servizi cloud sicuri e distribuiti lungo il continuum cloud-edge.”

CryptoAC è un esempio di come la ricerca di base possa generare tecnologie capaci di rispondere alle esigenze reali delle applicazioni moderne, contribuendo alla costruzione di infrastrutture digitali più sicure e affidabili.

Benvenuti al programma di Dottorato Internazionale FBK 
Un programma di eccellenza pensato per dottorandi che desiderano immergersi in un contesto di ricerca di rilevanza internazionale, collaborando con prestigiose scuole di dottorato in Italia e all’estero.