scryp
Tutti gli articoli
8 min di lettura

Crittografia lato server vs. lato client: la differenza decisiva

Quasi tutti i servizi di trascrizione pubblicizzano la “crittografia”. Ma non ogni forma di crittografia protegge allo stesso modo. La differenza decisiva non sta nell’algoritmo – ma in chi possiede la chiave.

Questo articolo spiega la differenza tra crittografia lato server e lato client e perché fa una differenza fondamentale per i tuoi file audio.

Cosa significa davvero “crittografia at rest”

“Crittografia at rest” significa: i dati vengono memorizzati crittografati. Il punto: la chiave la possiede il provider. Ogni dipendente con accesso al database, ogni amministratore cloud e ogni hacker che compromette il server può decrittare i dati.

La maggior parte dei servizi cloud cripta i dati una volta che si trovano su disco. Questo protegge dal furto di dischi fisici – uno scenario che si verifica raramente nei data center professionali. Non protegge invece da:

  • Attacchi all’applicazione: Chi viola l’applicazione ha accesso alla funzione di decrittazione.
  • Accesso interno: Gli amministratori del provider possono leggere i dati in qualsiasi momento.
  • Richieste delle autorità: Il provider può decrittare i dati e consegnarli.
  • Addestramento dell’IA: Il provider potrebbe usare i tuoi dati per migliorare i propri modelli.

In breve: la crittografia lato server protegge il disco, non i tuoi dati.

Cosa fa diversamente la crittografia lato client

Con la crittografia lato client, il tuo file audio viene crittografato nel browser prima di raggiungere il server. Il server memorizza solo blob crittografati – non possiede la chiave. Nemmeno il provider può leggere i dati memorizzati.

Il processo in dettaglio:

  • 1. Generare una chiave: Per ogni file viene generata nel browser una chiave dedicata a 256 bit (File Encryption Key).
  • 2. Crittografare localmente: Il file audio viene crittografato con AES-256-GCM direttamente nel browser. Il server riceve solo byte crittografati.
  • 3. Mettere al sicuro la chiave: La chiave del file viene crittografata con la tua master key personale e memorizzata così sul server. Senza la tua password, nessuno può accedervi.

Il risultato: sul server si trovano sempre e solo dati crittografati. Nessun dipendente del provider, nessun hacker e nessuna autorità può decrittarli senza la tua chiave.

Il confronto diretto

La tabella seguente mostra la differenza a colpo d’occhio:

  • Chi cripta? Crittografia lato server: il provider. Crittografia lato client: il tuo browser.
  • Chi possiede la chiave? Crittografia lato server: il provider. Crittografia lato client: solo tu.
  • Il provider può leggerli? Crittografia lato server: sì. Crittografia lato client: no.
  • Protezione in caso di violazione? Crittografia lato server: limitata (spesso anche la chiave è compromessa). Crittografia lato client: completa (la chiave non è sul server).
  • Divulgazione alle autorità? Crittografia lato server: il provider può decrittare. Crittografia lato client: il provider può fornire solo blob crittografati.
  • Art. 34, par. 3, lett. a) GDPR? Crittografia lato server: obbligo di notifica in caso di violazione. Crittografia lato client: nessun obbligo di notifica, perché i dati sono illeggibili.

Cosa viene memorizzato sul server

Con la crittografia lato client, sul server vengono memorizzati in modo permanente solo dati crittografati. La trascrizione è memorizzata crittografata e può essere decrittata solo dall’utente stesso. I file audio originali vengono eliminati automaticamente dopo l’elaborazione – sul server resta solo una versione di riproduzione crittografata.

Il risultato: nemmeno noi, in quanto provider, possiamo leggere le trascrizioni e i file audio memorizzati.

Come capire quale tipo di crittografia usa un servizio

Se un servizio di trascrizione dice “i tuoi dati sono crittografati”, chiedi in modo specifico:

  • “Chi possiede la chiave di decrittazione?”– Se la possiede il provider, è crittografia lato server.
  • “I vostri dipendenti possono leggere le mie trascrizioni?” – Con provider onesti che usano la crittografia lato server, la risposta è: teoricamente sì.
  • “Cosa succede in caso di violazione dei dati?”– Se il provider menziona obblighi di notifica ai sensi dell’art. 34 GDPR, ciò indica dati decrittabili.
  • “Posso verificare io stesso la crittografia?”– Con la crittografia lato client, puoi controllare nella scheda di rete del browser che vengano caricati solo byte crittografati.

Quando è sufficiente la crittografia lato server?

La crittografia lato server non è intrinsecamente negativa. Per contenuti non critici – come la trascrizione di un podcast pubblico – può essere sufficiente. Ma per:

  • Dettature mediche e colloqui con i pazienti
  • Colloqui con i clienti negli studi legali
  • Riunioni del consiglio e discussioni strategiche
  • Interviste giornalistiche con fonti riservate
  • Colloqui HR e valutazioni dei dipendenti
  • Udienze in tribunale e deposizioni di testimoni

… la crittografia lato client è l’unica architettura che offre una protezione reale. Perché qui la questione non è se un provider abusi dei tuoi dati – ma che tecnicamente non possa.

Conclusione

“Crittografato” non è la stessa cosa di “protetto”. La differenza decisiva sta in chi controlla la chiave. La crittografia lato server protegge i dischi. La crittografia lato client protegge i tuoi dati – anche dal provider stesso. Chiunque lavori con registrazioni audio riservate dovrebbe conoscere questa differenza.

Crittografia lato server vs. lato client: la differenza decisiva