La tua Chiave Privata non viene usata direttamente per cifrare i dati. Sarebbe troppo semplice e troppo vulnerabile. Viene invece elaborata attraverso un processo matematico rigoroso che la trasforma in qualcosa di enormemente più sicuro: una chiave crittografica AES a 256 bit.
Come funziona PBKDF2
L'algoritmo PBKDF2 (Password-Based Key Derivation Function 2) prende la tua Chiave Privata e la combina con un salt crittografico univoco — un valore casuale generato specificamente per il tuo account. Questa combinazione viene poi elaborata attraverso 150.000 iterazioni consecutive dell'algoritmo SHA-256.
Ogni iterazione prende il risultato della precedente e lo rielabora, creando una catena di trasformazioni matematiche che rende il risultato finale completamente imprevedibile a partire dall'input originale. Il risultato è una chiave AES a 256 bit — lo stesso standard crittografico che governi e forze armate di tutto il mondo considerano sicuro per proteggere informazioni classificate di massimo livello.
Perché 150.000 iterazioni?
Il numero di iterazioni ha un effetto diretto sulla resistenza agli attacchi. Ogni tentativo di indovinare la Chiave Privata richiede di ripetere tutte le 150.000 iterazioni per verificare se il tentativo è corretto. Questo significa che un attaccante che volesse provare un miliardo di chiavi diverse dovrebbe eseguire 150.000 miliardi di operazioni SHA-256 — e un miliardo di tentativi è una frazione infinitesima delle possibili combinazioni.
Con hardware specializzato di ultima generazione (GPU, FPGA o ASIC dedicati), il tempo necessario per un attacco brute-force completo si misura in milioni di anni. Non è un'iperbole: è un calcolo matematico basato sulla potenza computazionale attualmente disponibile e prevedibile per i prossimi decenni.
Il ruolo del salt univoco
Il salt crittografico è univoco per ogni utente. Questo significa che anche se due utenti scegliessero esattamente la stessa Chiave Privata, le chiavi AES risultanti sarebbero completamente diverse. Nessuna scorciatoia è possibile: un attaccante non può precalcolare tabelle di risultati (rainbow tables) perché ogni account ha il suo salt specifico.
Inoltre, il salt impedisce attacchi di tipo «dizionario» ottimizzati: anche conoscendo il salt di un utente specifico, l'attaccante dovrebbe comunque eseguire 150.000 iterazioni per ogni singolo tentativo, rendendo anche gli attacchi mirati estremamente costosi in termini computazionali.
Protezioni aggiuntive
A questa protezione matematica si aggiungono misure operative concrete: blocco progressivo dell'account dopo un numero configurato di tentativi errati, notifiche automatiche al titolare in caso di tentativi di accesso sospetti, e reset automatico delle sessioni dopo la soglia massima di errori. Anche nell'ipotesi improbabile che qualcuno disponesse di risorse computazionali illimitate, il sistema bloccherebbe i tentativi molto prima di raggiungere un numero significativo.
La sicurezza non è un'opinione. Non è un'impressione. Non è una sensazione di fiducia. È un calcolo. E i numeri parlano chiaro.