Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

Direttore responsabile Alessandro Longo

Privacy

Cameron attaccando la crittografia ambisce a un potere senza controllo

di Andrea Monti, Alcei

16 Gen 2015

16 gennaio 2015

L’analisi dello storico difensore dei diritti digitali. La storia si ripete: sono vent’anni che cercano di mettere fuori gioco la crittografia. Il potere non accetta limiti che siano conseguenza di diritti dei cittadini

L’idea del premier inglese David Cameron di bloccare servizi di comunicazione che sfruttano la crittografia non deve sorprendere. Il dibattito sulla crittografia si trascina stancamente da oltre vent’anni sempre negli stessi termini, fin da quando nel 1991 Phil Zimmermann sfidò il governo americano esportando il codice sorgente di PGP, il “padre” dei sofwtare crittografici.

Da un lato, i protettori dell’ordine costituito non perdono occasione di creare allarme sostenendo che la crittografia forte (quella senza “passepartout” che consentono di aggirare le protezioni dei messaggi) aiuta delinquenti, terroristi e pedofili.

Dall’altro, i paladini dei diritti civili che rispondono evidenziando che la crittografia debole (quella cpn il passepartout) indebolisce la sicurezza degli individui e non impedisce ai malintenzionati di usarne di più forte.

In mezzo, spregiudicati venditori di olio di serpente escono periodicamente sul mercato proponendo l’ennesimo algoritmo “proprietario” che garantisce massima sicurezza (anche se nessuno lo può collaudare perchè è “segreto”), o un rivoluzionario sistema di crittografia che può essere violata solo dai governi.

Ogni occasione è buona per cercare di far pendere la bilancia a favore dell’una o dell’altra tesi. Le rivelazioni di Assange e Snowden hanno dato fiato ai sostenitori della crittografia, il massacro di Charlie Hebdo ha consentito ai governanti di rimettere sul tavolo proposte di messa al bando della crittografia forte, in un continuo di corsi e ricorsi (anzi, “cicli e ricicli” come disse in un’intervista televisiva una nota soubrette).

La realtà, tuttavia, è molto più magmatica di quanto le posizioni radicalizzate dei due schieramenti (pro e contro la crittografia) lascino o possano intendere.

La crittografia è una branca della matematica ed è fatta di algoritmi che devono essere “tradotti” in software e poi fatti funzionare da computer o da apparati specializzati.

In ciascuno di questi passaggi si annida la possibilità di compiere errori che potrebbero anche sovrapporsi. Basta pensare al fatto che non esistono software privi di difetti e quante più sono le linee di codice che li compongono, tanto più aumento la probabilità che ci siano degli errori. E’ ciò che rende possibile la tanto diffusa attività di bug-hunting che, di tanto in tanto, guadagno gli onori della cronaca generalista quando viene scoperta questa o quella vulnerabilità di una piattaforma online o di un software molto utilizzato. Anche se si tratta di PGP o di TrueCrypt.

La potenza di calcolo e i metodi di crittanalisi a disposizione di chi ha veramente necessità di “rompere” protezioni crittografiche è cresciuta oltre l’immaginabile e chiavi o passphrase che qualche anno fa garantivano “millenni” di inviolabilità ora sono relativamente fragili.

Dall’altro lato, è anche vero che in certi casi il tempo necessario a rompere la protezione di un testo cifrato con un algoritmo non particolarmente robusto potrebbe fare la differenza fra la vita e la morte di un ostaggio o di una persona sequestrata e quindi sarebbe auspicabile che la crittografia non fosse così facilmente disponibile.

Ma seguendo questa linea di pensiero, allora dovremmo eliminare dalle nostre case trapani, martelli, coltelli da cucina e altri attrezzi pericolosi che spessissimo vengono utilizzati per commettere crimini efferati.

Stranamente, però, mentre sono disponibili i dati dei reati commessi utilizzando questi strumenti fisici, non ci sono ancora studi attendibili e imparziali che dimostrino se e in che modo la disponibilità di crittografia abbia impedito di individuare colpevoli oppure ostacolato indagini.

In tutti i convegni ai quali ho partecipato negli ultimi vent’anni, quando veniva fuori questo argomento, chi lo sosteneva non è mai stato in grado di “dare i numeri”, rifugiandosi dietro l’impossibilità di diffondere “informazioni riservate” o di “sicurezza nazionale”.

E’ evidente che le democrazie moderne che obbediscono a una logica di tipo hobbesiano secondo la quale il cittadino è un “nemico” e i totalitarismi di stampo kantiano basati sul concetto di Stato etico che “sa” cosa è bene per i propri cittadini sono infastiditi da una protezione difficile (attenzione, difficile, non impossibile) da aggirare.

Come è evidente che le prove storiche non consentono ai cittadini di “fidarsi” di chi dichiara di fare la “cosa giusta”.

Come se ne esce?

La soluzione è semplice ma impraticabile: rispondere alla antica domanda “Chi controlla i controllori?”

Il problema di Prism, Echelon e di tutte le varie incarnazioni dei progetti di sorveglianza globale che vedono nella libera disponibilità di crittografia forte il proprio nemico, è che partono dal presupposto di esercitare un potere senza alcuna forma di controllo efficace ed effettivo. Se, come diceva Spiderman, da un grande potere derivano grandi responsabilità, allora è semplicemente inaccettabile chiedere “atti di fede” ai cittadini, senza dare loro la possibilità di controllare in che modo sono stati utilizzati questi “poteri straordinari”.

E dunque, in attesa che gli Stati emanino leggi che oltre a dare loro poteri, attribuiscono i corrispondenti diritti ai cittadini, non resta che continuare a giocare alla solita, eterna rincorsa: da un lato si costruiscono algoritmi sempre più complessi, dall’altro si cercano metodi per violarli.

Così è stato, così è, così sarà sempre.

  • GERLANDO

    Ed in nome della Privacy INVIOLABILE dei Cittadini lasciamo ai Terroristi di tutti i credo l’utilizzo dei servizi crittografati per organizzare ogni sorta di attentati, senza alcuna possibilità ri essere individuati !
    Il nostro Monti è davvero disposto a sacrificare la vita di migliaia di persone per il SACROSANTO rispetto della PRIVACY ?
    Come diceva Totò,’ ma mi faccia il piacere ! ‘

  • Andrea Monti

    Gentile Gerlando,
    Credo di non essere stato chiaro nel mio articolo.
    Quello che intendo dire è che la contrapposizione fra “pro” e “contro” la crittografia è sbagliata perché, in termini fattuali, nessuna legge può bloccare l’evoluzione dei sistemi di cifratura e l’unico modo per gestire la situazione è far crescere, in parallelo, le tecniche di cifratura e quelle di decrittaggio.
    In termini regolamentari, inoltre, ho evidenziato la necessità di dare ai cittadini degli efficaci strumenti per controllare i controllori come forma di garanzia sull’uso di poteri invasivi che – a volte – è indispensabile utilizzare.
    Dal merito del suo commento mi pare di capire, infine, che a casa sua lei non ha porte blindate e sistemi d’allarme, in modo da facilitare l’ingresso delle forze di polizia nel caso – per qualsiasi ragione – dovessero aver bisogno di entrare.
    Ladri e delinquenti comuni sentitamente ringraziano…

  • Marco

    …per l’articolo che aiuta a riflettere su un punto così delicato del rapporto tra cittadino e Stato.

  • ComputArte

    Ma attenzione alle trappole artatamente congeniate per portarci a creder vero, ciò che non lo è.
    La criptazione dei dati ha il medesimo valore delle varie classi di serrature….da quella più semplice facilmente espugnabile da “quasi” qualunque malintenzionato, a quella più complessa e “sicura”, espugnabile solo da pochi ladri professionisti…
    Il diritto alla privacy è sacrosanto e va protetto.
    I terroristi hanno usato, usano ed useranno sistemi non comuni per comunicare.
    Ecco a cosa servono le agenzie di intelligence…
    La notizia la dice lunga sul teatrino che stanno facendo il “gatto e la volpe”.
    Sia Cameron che Obama sanno benissimo che le agenzie di intelligence, non hanno colpe se non nella misura in cui è dimostrato e dimostrabile che svolgevano e svolgono il loro compito ISTITUZIONALE, al di la delle loro mansioni e al di fuori delle regole.
    Chi veramente sta spiando TUTTO e TUTTI, per meri scopi commerciali e per accaparrarsi vantaggi competitivi NON meritati ed anzi, rubati e trafugati, sono le OTT….che, guarda caso, hanno i centri decisionali proprio in America ed Inghilterra…che hanno bilanci consolidati come quelli di stati di medie dimensioni ( grazie all’evasione quasi totale del carico fiscale)…che nella speranza di svincolarsi dalle responsabilità di questa verità nuda, cruda e laida stanno buttando fumo negli occhi con la criptazione end-to-end…
    …e che il gatto e la volpe di turno stanno contribuendo a rendere più credibile per la massa che ingenuamente crede a questo sistema (farlocco) di protezione della privacy!!!
    Prima considerazione:
    Se veramente fosse un sistema che rende i dati solamente visibili fra il mittente ed il destinatario, le OTT si taglierebbero i “dicotiledoni” da soli, non potendo spiare e quindi profilare
    Seconda considerazione
    Il “soluzione” end-to-end” avrebbe una solidità concreta se…il sistema operativo che gira sui due terminali ( nello specifico: smartphone, tablet e phablet ), quello del mittente e quello del destinatario, fosse blindato…ma haimè, stiamo disquisendo di Anroid, iOS e tizen….sistemi ingegnerizzati per trasmettere TUTTO ciò che c’è e transita per il cellulare…ivi inclusi algoritmi e chiavi…rendendo di fatto, più difficile ( e non impossibile!!! ) la intercettazione da parte del ficcanaso di turno, ma lasciando INALTERATA la capacità di vedere in chiaro tutti i contenuti alle OTT ( padrone dei server dove tutto confluisce)
    Terza ed ultima considerazione
    La consapevolezza apre il cervello e fa percepire opportunità e rischi: un utente deve essere libero di utilizzare il cloud e tutta la infrastruttura creata ad hoc per ciò che vuole condividere, ma per tutto il resto, deve avere la possibilità di utilizzare una tecnologia che sia ingegnerizzata per proteggere il suo diritto alla riservatezza.
    ….e su questa ultima considerazione nace una domanda…ma avete capito perché “la moda” vuole far passare a tutti i costi come “vecchio” ed “obsoleto” il PERSONAL computer?!?

Articoli correlati