proposte di legge

Nessuno tocchi la crittografia: ecco perché è pericoloso indebolirla e quali alternative ci sono per le indagini

Arriva dagli Stati Uniti l’ennesima proposta di indebolire le protezioni crittografiche delle comunicazioni per fornire al Governo un modo per accedere alle informazioni scambiate. Vediamo tutti i rischi legati all’introduzione di una backdoor e gli strumenti alternativi per la sicurezza

29 Ott 2019
Claudio Telmon

Clusit, P4I


I rischi legati all’indebolimento della crittografia sono considerati dalla comunità scientifica del settore quasi unanimemente troppo alti rispetto ai potenziali benefici. L’opposizione all’introduzione di backdoor è forte, perché si sa che un piccolo cedimento sarebbe la crepa attraverso la quale tutte le mura potrebbero crollare.

E nonostante queste evidenze di tanto in tanto tornano a riaffacciarsi proposte di legge o pressioni istituzionali volte a indebolire la crittografia, in nome degli interessi di polizia e di sicurezza pubblica. Adesso la battaglia è di nuovo molto forte, soprattutto negli Usa, Australia e Regno Unito, come contro altare all’aumento dell’uso della crittografia nelle comunicazioni internet (ormai quasi standard; una conseguenza degli scandali delle intercettazioni di massa a opera dell’agenzia Nsa americana).

Ma quali strumenti rimangono allora per contrastare la criminalità, senza buttare il bambino (la crittografia) al mare con tutta la culla? Ce ne sono vari, con efficacia diversa a seconda delle condizioni di utilizzo e del tipo di reato che si vuole contrastare.

La (ennesima) proposta di indebolire le protezioni crittografiche

Lo spunto per queste riflessioni viene dall’ennesima proposta di indebolire le protezioni crittografiche delle comunicazioni per fornire al Governo (in questo caso, degli Stati Uniti) un modo per accedere alle informazioni scambiate. In pratica, le comunicazioni dovrebbero essere protette dall’accesso di chiunque tranne da chi avesse una “chiave” che permetta in qualche modo di accedere al traffico.

La discussione su questi temi è vecchia di trent’anni.

Negli anni ’80, quando buona parte delle tecnologie di cifratura utilizzate a scopo civile nel mondo occidentale venivano dagli Stati Uniti, la soluzione per permettere alle agenzie governative degli Stati Uniti di accedere al traffico degli altri paesi era stata di permettere l’esportazione solo di strumenti che usassero crittografia “indebolita”: le prime applicazioni di home banking in Europa, ad esempio, usavano l’algoritmo allora più diffuso, DES, con chiavi lunghe 40 bit, anziché 56 bit com’era invece negli Stati Uniti. Sono numeri che fanno sorridere (adesso si usano, per la stessa tipologia di algoritmi, chiavi di almeno 128 bit), ma allora la differenza fra 40 bit e 56 si riteneva fosse quella che permetteva alla National Security Agency degli USA di decifrare le comunicazioni fuori dagli USA, mantenendo invece protette le comunicazioni delle aziende e dei cittadini americani.

Negli anni successivi la produzione di strumenti di cifratura divenne abbastanza diffusa fuori dagli USA da rendere questo vincolo solo più uno svantaggio per le esportazioni da parte delle aziende USA, e quindi fu eliminato.

È utile ricordare che in quegli stessi anni era operativo il programma Echelon, un sistema di analisi globale delle comunicazioni messo in atto dagli USA insieme a Canada, Regno Unito, Australia, e Nuova Zelanda, noti come i “Five Eyes”. Altre attività di sorveglianza di massa da parte degli stessi paesi sono state ipotizzate anche successivamente, ad esempio sulla base dei documenti pubblicati da Snowden.

L’utilizzo diffuso di crittografia robusta mette in difficoltà qualsiasi attività di intercettazione, legittima o illegittima che sia, che si tratti di sorveglianza globale o di intercettazione di singoli sospetti. In generale non la vanifica del tutto: a meno che l’intercettato non utilizzi reti di anonimizzazione come TOR, è comunque possibile sapere chi comunica con chi, pur non vedendo il contenuto dei messaggi. Dal punto di vista delle indagini si tratta di un’informazione certamente preziosa, ma per avere una “prova” è probabile che senza il contenuto della comunicazione, si debba cercare altrove.

WHITEPAPER
Best practise su come rimediare a un attacco ransomware
Sicurezza

Come ricorda l’articolo, nei primi anni ’90, durante l’amministrazione Carter, fu proposto di imporre l’utilizzo di un chip per la cifratura delle comunicazioni, chiamato “Clipper”, che avrebbe consentito alle agenzie del governo USA di accedere alla chiave di cifratura delle comunicazioni. Il progetto fallì quasi immediatamente.

Le motivazioni dietro la richiesta di indebolire la crittografia

Le proposte si ripetono periodicamente, e le motivazioni presentate sono principalmente due: la lotta al terrorismo e quella alla pedopornografia. Entrambe fanno presa su sentimenti molto forti, perché è difficile dire di no a strumenti che le polizie possano utilizzare per contrastare questi fenomeni. Tuttavia, questo no è stato detto a gran voce dalla maggior parte degli esperti di sicurezza almeno europei e statunitensi. Non dico da tutti solo perché cercando, qualcuno favorevole da qualche parte probabilmente si riesce a trovare. Se le posizioni fra agenzie governative ed esperti di crittografia sono così diverse, può essere utile esaminare le diverse motivazioni a favore dell’una e dell’altra.

Prima di tutto, consideriamo la principale obiezione tecnica a questo tipo di progetti: fare sicurezza è difficile già senza backdoor, perché ogni errore si traduce in debolezza delle difese, spesso rendendo inutile tutto quello che si è realizzato. Per questo, le protezioni sono su più livelli (difesa in profondità): perché così il cedimento di un livello sarà in qualche modo compensato dal livello successivo, che permetterà alle protezioni di rimanere efficaci. Introdurre una backdoor che attraversi tutto questo sarebbe molto difficile, volendo mantenere il livello di protezione che oggigiorno si richiede alle comunicazioni.

Backdoor, un esempio per chiarire il problema

Per capire la difficoltà del problema, prendiamo la classica analogia con le mura di una città. A differenza di una casa, le mura di una città non hanno finestre, balconi o altro, perché sarebbero tutti punti che permetterebbero di entrare o arrampicarsi. Idealmente, il progettista delle mura le vorrebbe alte, robuste, con un bel fossato e senza passaggi. Purtroppo, le risorse sono limitate, e quindi le mura non sono mai tutte così alte e robuste e i fossati così larghi e profondi, ed è necessario avere delle guardie a protezione degli spalti. Ma soprattutto, i cittadini devono entrare ed uscire nelle diverse direzioni. Le mura quindi hanno non una, ma più porte, ognuna delle quali è un punto debole. Per questo, le porte sono comunque poche, e le protezioni sono su più livelli: il ponte è levatoio, le mura sono rinforzate con bastioni, e le porte delle città sono protette da più grate e da guardie. Nonostante questo, rimangono un punto debole. Il nemico che assedia la città le può studiare con calma, individuare quelle più deboli e concentrare lì il proprio attacco, rendendo inutili tutti gli sforzi fatti per rendere robusti gli altri punti delle mura.

Ora immaginiamoci che il signore del posto vada dal governatore della città dicendo: siccome le mie guardie devono poter entrare in città velocemente e di nascosto per catturare i criminali, devi realizzarmi un’altra porta nella tua città, che si possa aprire semplicemente con una chiave, e quindi senza ponti levatoi, grate o altro. Ma non ti preoccupare, io darò quella chiave solo a persone di fiducia e solo quando la necessità è la cattura dei criminali peggiori.

Il governatore a questo punto ha due problemi. Il primo è che quella porta sarà certamente il punto più debole di tutte le mura, proprio perché non ha altre protezioni su più livelli: la necessità di entrare “senza autorizzazione” rende impossibile realizzare i livelli di difesa delle altre porte. Inutile ipotizzare di poter rendere il muro e la porta robusti a piacere in quel punto, la debolezza rimane la porta, che comunque deve potersi aprire con quell’unica chiave. Questa debolezza rende di fatto inutile tutto il lavoro fatto sulle altre porte.

Il secondo problema è naturalmente che quando il nemico arriva ad assediare la città, il governatore si dovrà chiedere se non sia già in possesso di una copia della chiave, ottenuta rubandola o comprandola da una delle persone fidate del signore del posto. Perché anche qui, basta che una di queste non sia così fidata per rendere inutile la fedeltà di tutte le altre.

Naturalmente, oltre a questi problemi tecnici, se ne pone un altro: ma siamo sicuri che il signore del posto e le sue persone fidate utilizzeranno quella chiave solo per la cattura dei criminali peggiori, e non anche per i propri affari e interessi? Uscendo dall’analogia, siamo sicuri che queste backdoor non verranno usate per spionaggio industriale, per colpire gli avversari politici o altro?

I rischi legati all’indebolimento della crittografia

Abbiamo quindi due ordini di problemi.

Il primo è che sarebbe molto, molto difficile costruire il meccanismo richiesto senza che risulti estremamente vulnerabile, sia dal punto di vista crittografico che da quello delle procedure di accesso alla chiave. Non dimentichiamo che una debolezza negli algoritmi crittografici o nei protocolli che li usano si traduce potenzialmente nella possibilità di accesso da parte di malintenzionati a tutte le comunicazioni di tutti, con le conseguenze che si possono immaginare.

Il secondo è che ci vorrebbe davvero molta fiducia nel comportamento di chi è legittimamente autorizzato ad accedere. Ritornando al progetto Echelon, la stessa Wikipedia riporta un numero considerevole di utilizzi impropri che sarebbero stati fatti della rete di intercettazione, fra cui, negli anni ’90, favorire un’azienda USA rispetto all’europea Airbus in una gara per un contratto da sei miliardi di dollari, che Airbus ha perso.

E qui si arriva all’ultima, grossa difficoltà: quali agenzie di quali governi dovrebbero avere accesso a queste chiavi, e chi lo deciderebbe? Le valutazioni che un cittadino degli Stati Uniti può fare su questi temi sono necessariamente diverse da quelle di un cittadino dell’Unione Europea, o cinese o russo, sia per quanto riguarda il proprio governo che per il comportamento del governo degli Stati Uniti. Perché quando si parla di backdoor da inserire in Facebook Messenger, o in WhatsApp, o in buona parte delle comunicazioni che utilizziamo via satellite o via cavo sottomarino, parliamo di aziende che in qualche modo rispondono prima di tutto al governo degli Stati Uniti.

C’è un ulteriore problema che vale la pena di riportare. Nel momento in cui fosse noto che i criminali vengono scoperti grazie a debolezze nella crittografia di uno strumento come Messenger, i criminali non dovrebbero fare altro che usarne uno diverso, o aggiungere un ulteriore strato di crittografia sopra a quello debole. In questo modo, come già è stato detto da tempo, “solo i criminali finirebbero per avere crittografia robusta”. L’obiezione è che spesso i criminali sono “meno furbi” di quanto ci si aspetterebbe: tutt’ora, molti delinquenti vengono incastrati dall’analisi delle posizioni nelle celle della telefonia mobile, o dai tabulati dei numeri chiamati, e questo nonostante questa tracciabilità sia nota da tempo.

Quali strumenti “alternativi” per contrastare la criminalità

Quali strumenti rimangono allora per contrastare la criminalità, che possano compensare l’intercettazione del traffico? Ce ne sono vari, con efficacia diversa a seconda delle condizioni di utilizzo e del tipo di reato che si vuole contrastare.

Prima di tutto, come già detto, l’analisi del traffico, anche cifrato, fornisce molte informazioni. Poi, esistono i cosiddetti “captatori informatici”, chiamati informalmente anche “malware di stato”, ovvero software che viene installato nascostamente sui dispositivi degli indagati: si tratta di uno strumento decisamente più potente delle intercettazioni, ma non sempre facile da utilizzare se l’indagato è molto attento agli strumenti che usa (ma in questo caso, sarebbe anche molto attento a come proteggere le proprie comunicazioni).

Ci sono poi due strumenti meno tecnologici ma almeno altrettanto importanti.

Il primo è l’analisi efficace delle informazioni raccolte. Particolarmente nel contrasto al terrorismo, è un tema che è stato spesso evidenziato come carente nella prevenzione degli attacchi: le informazioni c’erano, ma non erano state considerate adeguatamente. È il rischio della facilità nelle intercettazioni, evidenziato da più parti: si punta tutto sulla raccolta di grandi quantità di informazioni, dedicando meno attenzione al loro utilizzo efficace.

Il secondo strumento è l’attività sotto copertura, particolarmente utilizzata ed efficace per smascherare reti di pedofili su internet. Non si può che essere solidali con gli agenti coinvolti in questo tipo di indagini, e viene quindi particolarmente difficile negare loro strumenti che potrebbero ridurre il fenomeno o quantomeno facilitare le indagini. Ma l’introduzione di backdoor nelle protezioni crittografiche delle comunicazioni personali rischierebbe di esporre troppo i cittadini ad un’inefficacia di protezioni che sono ormai indispensabili nella quotidianità.

Nel complesso quindi, strumenti alternativi alle intercettazioni ce ne sono. Quella delle intercettazioni è sicuramente una strada che potrebbe portare vantaggi nel contrasto alla criminalità, ma i rischi nel percorrerla sono decisamente maggiori. Da almeno trent’anni la comunità degli specialisti di crittografia si oppone all’inserimento di backdoor, e non credo che smetterà di farlo in un futuro prevedibile. Tentativi di inserire backdoor senza il supporto dei maggiori esperti porterebbero senz’altro ad un disastro, e possiamo quindi solo augurarci che questo tipo di proposte non riesca a passare.

WHITEPAPER
Sicurezza OT: tutto quello che c’è da sapere
Sicurezza

@RIPRODUZIONE RISERVATA

Articoli correlati