Bruce Schneier

Da Wikipedia, l'enciclopedia libera.
Vai alla navigazione Vai alla ricerca

«Come esperto di crittografia e sicurezza informatica, non ho mai capito l'agitazione attuale riguardo al movimento dei software open source. Nel mondo della crittografia consideriamo l'open source necessario per una buona sicurezza; [...] La sicurezza pubblica è sempre più sicura della sicurezza proprietaria. Ciò è vero per algoritmi di crittografia, protocolli di sicurezza e codici sorgente di sicurezza. Per noi, l'open source non è solo un modello di business; è un'intelligente pratica ingegneristica[1]

Bruce Schneier

Bruce Schneier (New York, 15 gennaio 1963) è un crittografo e saggista statunitense.

Ha scritto diversi libri su sicurezza informatica e crittografia, e ha fondato la Counterpane Internet Security[2], società divenuta BT Managed Security Solutions dopo essere stata acquisita, nel 2006, dal colosso inglese delle telecomunicazioni BT Group, del cui settore tecnologia e sicurezza Schneier diviene responsabile.

Schneier ha conseguito la laurea in informatica alla American University e un bachelor in fisica all'Università di Rochester. Prima di fondare la Counterpane lavorava al Dipartimento della Difesa degli Stati Uniti, e quindi ai laboratori Bell.

Testi di crittografia[modifica | modifica wikitesto]

Il libro di Schneier Crittografia pratica (Applied Cryptography) è famoso come libro di riferimento per la crittografia. Schneier ha progettato, e collaborato alla progettazione, di diversi algoritmi di crittografia a blocchi, tra cui Blowfish, Twofish e MacGuffin, e i generatori di numeri pseudo-casuali crittograficamente sicuri Yarrow e Fortuna. Ha elaborato inoltre un algoritmo, Solitaire, sviluppato per l'uso senza un calcolatore: tale algoritmo veniva chiamato Pontifex in un romanzo di Neal Stephenson intitolato Cryptonomicon.

In seguito, tuttavia, Schneier ha valutato in modo negativo il proprio iniziale successo, considerandolo una visione naif, matematica e da turris eburnea accademica, di ciò che è fondamentalmente un problema di persone. In Crittografia Applicata, afferma che tecnologie e algoritmi implementati in maniera corretta promettono sicurezza e segretezza, e che i protocolli di sicurezza che seguono, senza che il rendimento degli altri abbia alcuna importanza[frase appesa]. Schneier ora ritiene che le garanzie matematiche incontrovertibili mancano il proprio obiettivo.

Come viene descritto in Secrets and Lies, un'azienda che usa il protocollo RSA per proteggere i propri dati senza, però, considerare il fatto che le chiavi di crittografia vengono gestite dagli impiegati tramite computer "complessi, instabili, buggati" non ha conseguito l'obiettivo di proteggere le proprie informazioni. Una soluzione di sicurezza che possa essere valida deve tener in conto non solo la propria tecnologia intrinseca, ma anche le varietà di combinazioni di hardware, software, reti, persone, strutture economiche e aziende possibili. Schneier parla delle persone che provano ad implementare sistemi davvero sicuri nel nuovo libro, scritto in collaborazione con Niels Ferguson, Practical Cryptography.

Schneier scrive in una newsletter mensile liberamente disponibile sul suo sito internet di argomenti informatici e di problematiche di sicurezza Crypto-Gram[3] e sul suo blog[4]. Le sue affermazioni riguardanti l'informatica e i problemi di sicurezza vengono spesso riprese dalla stampa, specialmente quelle che evidenziano difetti nelle implementazioni di sicurezza e di crittografia, non ultimi i problemi di biometrica alle misure di sicurezza aerea adottate dopo gli attentati dell'11 settembre 2001.

Algoritmi crittografici[modifica | modifica wikitesto]

Schneier è stato coinvolto nella creazione di numerosi algoritmi di crittografia.

Cifrari a flusso:

Generatori di numeri pseudocasuali:

Cifrari a blocco:

Punti di vista[modifica | modifica wikitesto]

Crittografia[modifica | modifica wikitesto]

Per Schneier, la revisione dei pari e l'analisi degli esperti sono molto importanti per la sicurezza dei sistemi crittografici[5]. La crittografia matematica in genere non è il punto più debole della catena della sicurezza, la sicurezza effettiva però richiede che la crittografia sia combinata con altre cose[6]. il termine legge di Scheier è stato coniato da Cory Doctorow nel suo discorso riguardo ai Digital rights management per Microsoft Research[7], che è incluso nel suo libro del 2008 Content: Selected Essay on Technology, Creativity, Copyright and the Future of the Future. La legge è espressa come:

«Ogni persona può inventare un sistema di sicurezza così intelligente che nemmeno egli stesso può immaginare un metodo per violarlo.»

Egli attribuisce questo principio a Bruce Schneier, presumibilmente facendo riferimento al suo libro Applied Cryptography, nonostante il principio preceda la sua pubblicazione. Nel libro The Codebreakers, David Kahn afferma:

«Poche idee false hanno più presa salda sulle menti di così tanti uomini intelligenti come quella che, se solo provassero, potrebbero inventare un cifrario che nessuno possa decifrare.»

Allo stesso modo, in A Few Words On Secret Writing sul Graham's Magazine (Luglio 1841), Edgar Allan Poe afferma:

«Poche persone possono essere portate a credere che non è una cosa semplice inventare un metodo di scrittura segreta che potrebbe confondere l’investigazione. Nonostante ciò, è possibile asserire che l’ingenuità umana non può architettare un cifrario che l’ingenuità umana non può risolvere.»

Digital Rights Management[modifica | modifica wikitesto]

Schneier è critico rispetto ai Digital rights management(DRM), e ritiene che essi permettano ai venditori di aumentare il Profit lock-in[8]. Un'implementazione propria di una sicurezza basata sul controllo per l'utente via trusted computing è molto difficile, e la sicurezza non è la stessa cosa del controllo[8]

Sicurezza interna[modifica | modifica wikitesto]

Schneier ritiente che i soldi della sicurezza interna andrebbero spesi sull'intelligence, investigazione e risposta d'emergenza.[9]. difendersi dalla minaccia estesa del terrorismo è generalmente meglio che concentrarsi su un potenziale piano terroristico specifico[9]. Secondo Schneier, l'analisi dei dati dell'intelligence è difficile, ma è uno dei mezzi migliori per gestire il terrorismo globale.[10] l'intelligenza umana ha dei vantaggi rispetto all'analisi automatica e computerizzata, inoltre aumentare i dati raccolti dall'intelligence non aiuta a migliorare il processo di analisi[10]. Le agenzie pensate per combattere la guerra fredda, potrebbero avere una cultura che impedisce loro di condividere le informazioni; la pratica della condivisione di informazioni è molto più importante e meno pericolosa per la sicurezza, quando si ha a che fare con un avversario decentralizzato e poco finanziato, come al Qaeda[11].

Riguardo a PETN - l'esplosivo che è diventato l'arma preferita dei terroristi - Schneier ha scritto che solo i tamponi e i cani possono individuarla. Ritiene che i cambiamenti nella sicurezza aeroportuale in seguito agli attentati dell'11 settembre, siano più dannosi che altro. riguardo all'argomento, ha vinto per 87% contro il 13%, un dibattito online dell'Economist con Kip Hawley, precedente capo dell'amministrazione della sicurezza sui trasporti americana[12]. È largamente accreditato per aver coniato il termine security theater, per descrivere alcuni di questi cambiamenti. Come membro del Berkman Center for Internet & Society, Schneier sta esplorando un'intersezione di sicurezza, tecnologia e persone, con particolare enfasi sul potere[13] .

System Design[modifica | modifica wikitesto]

Schneier ha criticato l'approccio di sicurezza che prova a prevenire eventuali incursioni maliziose, affermando che, sistemi che falliscano correttamente sono più importanti[14]. Il progettista di un sistema, non dovrebbe sottostimare le capacità di un attaccante; la tecnologia potrebbe rendere possibili in futuro cose che ad oggi non sono possibili[5] Sotto il Principio di Kerckhoffs, la necessità per una o più parti del sistema crittografico di rimanere segrete, aumenta la fragilità del sistema stesso; qualora i dettagli riguardo a un sistema dovessero essere oscurati in dipendenza dalla disponibilità delle persone che possono farne buon uso, contro il potenziale per gli attaccanti di usare l'informazione in maniera maliziosa[15]

«Segretezza e sicurezza non sono la stessa cosa, nonostante possa sembrare così. Solo la sicurezza scadente si basa sulla segretezza; una buona sicurezza funziona, anche se i dettagli sono resi pubblici[16]»

Full Disclosure[modifica | modifica wikitesto]

Schneier è un sostenitore della full disclosure, ad esempio rendendo pubblici i problemi di sicurezza.

«Se i ricercatori non si espongono pubblicamente, le cose non possono essere corrette. Le compagnie non lo vedono come un problema di sicurezza, lo vedono come un problema di pubbliche relazioni[17]»

Altri scritti[modifica | modifica wikitesto]

Schneier e Karen Cooper sono stati nominati nel 2000 per l'Hugo Award, nella categoria best Related Book, per il loro Minicon 34 Restaurant Guide, un'opera originariamente pubblicata per la convention di fantascienza di Minneapolis Minicon, che ha guadagnato un pubblico internazionale tra i fan di fantascienza per la sua sagacia e il suo umorismo.[18]

Nella cultura di massa[modifica | modifica wikitesto]

Bruce Schneier viene menzionato nel libro Il codice da Vinci. A pagina 199 dell'edizione americana si legge:

«Da Vinci fu un pioniere della crittografia, Sofia lo sapeva, sebbene gli sia stato dato raramente credito. I professori di Sofia all'università, quando presentavano i metodi informatici di criptazione per mettere al sicuro i propri dati, elogiavano i crittografi moderni come Zimmermann e Schneier, ma dimenticavano di menzionare che fu Leonardo ad inventare una delle prime forme rudimentali di crittografia a chiave pubblica secoli fa.»

Note[modifica | modifica wikitesto]

  1. ^ Crypto-Gram: September 15, 1999
  2. ^ Real-time security monitoring — Understand what is really on your network — Understand what is really on your network - Solutions - Global Services - BT United Kingdom
  3. ^ Newsletter Crypto-Gram
  4. ^ Il blog di Scheiner, su schneier.com. URL consultato il 30 aprile 2019 (archiviato dall'url originale il 18 novembre 2015).
  5. ^ a b Schneier, Bruce, Why Cryptography Is Harder Than It Looks, su schneier.com, 1997. URL consultato l'8 aprile 2011.
  6. ^ Ferguson, Niels; Schneier, Bruce, Practical Cryptography: Preface, su schneier.com. URL consultato l'8 aprile 2011.
  7. ^ Cory Doctorow, Microsoft Research DRM talk, su dashes.com, 17 giugno 2004. URL consultato il 31 dicembre 2006 (archiviato dall'url originale il 2 dicembre 2006).
  8. ^ a b Schneier, Bruce, With iPhone, 'Security' Is Code for 'Control', su schneier.com, 7 febbraio 2008. URL consultato l'8 aprile 2011.
  9. ^ a b Schneier, Bruce, Terrorists Don't Do Movie Plots, su wired.com, Wired News, 8 settembre 2005.
  10. ^ a b Schneier, Bruce, Homeland Insecurity, su schneier.com, 9 gennaio 2004. URL consultato l'8 aprile 2011.
  11. ^ Schneier, Bruce, Fixing intelligence failures – SFGate, su articles.sfgate.com, SFGate, 15 gennaio 2010. URL consultato l'8 aprile 2011.
  12. ^ "International terrorism: AQAP tries again: Good intelligence work still leaves questions over airport security", The Economist, dated 12 May 2012.
  13. ^ Berkman Center Announces 2013–2014 Community, su cyber.law.harvard.edu, Berkman Center for Internet & Society at Harvard University, 8 luglio 2013. URL consultato l'8 luglio 2013.
  14. ^ Homeland Insecurity Archiviato il 28 settembre 2011 in Internet Archive., Atlantic Monthly, September 2002
  15. ^ Schneier, Bruce, Crypto-Gram: May 15, 2002, su schneier.com, 15 maggio 2002. URL consultato l'8 aprile 2011.
  16. ^ Doctorow, Cory. Little Brother. New York: Tor Teen, 2008, page 129.
  17. ^ "Charlie Miller's Punishment By Apple Tests A Complex Relationship" Huffington Post, 2011.
  18. ^ Hugo Awards Nominations, in Locus Magazine, 21 aprile 2000.

Bibliografia[modifica | modifica wikitesto]

Voci correlate[modifica | modifica wikitesto]

Altri progetti[modifica | modifica wikitesto]

Collegamenti esterni[modifica | modifica wikitesto]

Controllo di autoritàVIAF (EN24690424 · ISNI (EN0000 0001 0856 0158 · SBN PUVV165823 · LCCN (ENn93043083 · GND (DE123003180 · BNF (FRcb124202781 (data) · J9U (ENHE987007528573105171 · NSK (HR000318766 · NDL (ENJA00516052 · CONOR.SI (SL30742883 · WorldCat Identities (ENlccn-n93043083