La crittografia, l'FBI, la privacy e altre cose (6)

Regolamentare la crittografia.



[ZEUS News - www.zeusnews.it - 07-10-2001]

Leggi la quinta parte - Diagnosi degli insuccessi dell'intelligence

Sulla scia dei devastanti attacchi al World Trade Center e al Pentagono, il senatore [USA, Ndt] Judd Gregg ed altri membri di alto livello del governo [statunitense, Ndt] hanno rapidamente colto l'occasione per risuscitare limitazioni alla crittografia "forte" e sistemi di "key escrow" che garantiscono che il governo abbia accesso ai messaggi cifrati.

Credo che questa sia una pessima mossa. Farà ben poco per ostacolare le attività dei terroristi, ma nel contempo ridurrà significativamente la sicurezza della nostra infrastruttura vitale. Sono argomenti che abbiamo già discusso in passato, ma i legislatori sembrano avere la memoria corta. Ora spiego perché tentare di porre limiti alla crittografia è deleterio per la sicurezza su Internet.

Primo: non c'è modo di impedire il propagarsi della crittografia. La crittografia non è altro che una branca della matematica, e la matematica non si può vietare. L'unica cosa che si può vietare è una serie di prodotti che usano quella branca della matematica, e questo è tutt'altra cosa. Anni fa, durante le discussioni sulla crittografia, fu redatto un sondaggio internazionale in materia, che rilevò quasi mille prodotti dotati di crittografia forte provenienti da oltre cento paesi. Può anche darsi che sia possibile controllare i programmi di crittografia in una manciata di paesi industrializzati, ma questo non impedirebbe ai criminali di importarli. Li si dovrebbe vietare in ogni paese, e anche così non basterebbe. Qualsiasi organizzazione terroristica con un minimo di competenza è in grado di scriversi il proprio software di crittografia. E comunque non s'è mai visto un terrorista che rispettasse i divieti di legge.

Secondo: qualsiasi controllo sulla diffusione della crittografia comporterà più danni che vantaggi. La crittografia è uno dei migliori strumenti di sicurezza di cui disponiamo per proteggere il nostro mondo elettronico: intercettazioni, accessi non autorizzati, interferenze, denial of service [paralisi del servizio, sistema usato spesso negli attacchi informatici ai siti, Ndt]. Certo controllando la diffusione della crittografia forse si potrà impedire ad alcuni gruppi terroristici di usarla, ma lo si impedirà anche alle banche, agli ospedali e ai controllori del traffico aereo (e ricordate che comunque i terroristi possono sempre procurarsela altrove, come detto sopra). Abbiamo una considerevole infrastruttura elettronica da proteggere e ci serve tutta la crittografia sulla quale riusciamo a mettere le mani. Semmai dobbiamo rendere più diffusa la crittografia forte, se le aziende continuano a mettere online le infrastrutture vitali del nostro pianeta.

Terzo: il key escrow non funziona. Breve ripasso: il key escrow è il concetto secondo il quale le aziende dovrebbero essere obbligate ad implementare nei prodotti di crittografia delle backdoor [metodi di accesso che scavalcano le protezioni crittografiche, come un passepartout apre qualsiasi serratura, Ndt], in modo tale che le forze dell'ordine, e soltanto loro, possano sbirciare e intercettare i messaggi cifrati. I terroristi e i criminali non lo userebbero (come già spiegato nel primo punto).

Inoltre il key escrow rende più difficile a chi è dalla nostra parte tenere al sicuro le cose importanti. Tutti i sistemi di key escrow richiedono l'esistenza di una chiave segreta, o di una serie di chiavi, che è estremamente riservata ma al tempo stesso deve essere ampiamente disponibile e va mantenuta in modo sicuro per un lungo periodo di tempo. Questi sistemi devono rendere rapidamente accessibili alle forze dell'ordine le informazioni di decifrazione senza avvisare i proprietari delle chiavi. Davvero c'è qualcuno che pensa di poter realizzare questo genere di sistema in condizioni di sicurezza? Sarebbe un compito di portata inimmaginabile, che credo non abbia la benché minima speranza di riuscita. Non siamo in grado di realizzare un sistema operativo sicuro, figuriamoci un computer sicuro e una rete sicura.

Immagazzinare le chiavi in un unico posto è un rischio grandissimo, che sembra quasi invitare attacchi o abusi. A chi dovrebbe appartenere il sistema di sicurezza digitale di cui dovreste fidarvi ciecamente per proteggere tutti i più importanti segreti del paese? Quale sistema operativo useremmo? Quale firewall? Quali applicazioni? Per quanto possa sembrare allettante, un sistema di key escrow funzionante ed utilizzabile è al di sopra delle possibilità attuali dell'informatica.

Anni fa, un gruppo di colleghi ed io scrivemmo un documento in cui delineavamo il motivo per cui il key escrow è una pessima idea. Le argomentazioni dell'epoca sono tuttora valide, e consiglio a chiunque di leggerle. Non si tratta di un documento particolarmente tecnico, ma descrive tutti i problemi insiti nel realizzare un'infrastruttura di key escrow sicura, efficace e scalabile.

Gli eventi dell'11 settembre hanno convinto molte persone che viviamo in tempi pericolosi e che ci serve più sicurezza che mai. Hanno ragione. La sicurezza è stata pericolosamente trascurata in molti settori della nostra società, ciberspazio compreso. Man mano che l'infrastruttura vitale del nostro paese diventa digitale, dobbiamo accettare la crittografia come parte del soluzione, non come parte del problema.

Link di approfondimento:
Il mio vecchio rapporto "Risks of Key Recovery" [I rischi del "key recovery", la possibilità di recuperare le password, Ndt]
Articoli sull'argomento:
Zdnet
Wired
Pc World
Newscientist
Zdnet
Al-Qaeda non ha usato la crittografia per pianificare questi attacchi.
Un sondaggio che indica che il 72% degli americani crede che delle leggi contro la crittografia sarebbero "piuttosto" o "molto" utili nell'impedire che si ripetano attacchi terroristici come quello della scorsa settimana al World Trade Center e al Pentagono. Non vi è alcuna indicazione della percentuale di intervistati che ha effettivamente capito la domanda.

Leggi la settima parte - Terroristi e steganografia

di Bruce Schneier
Traduzione di Paolo Attivissimo

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Commenti all'articolo (0)

Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Fidanzati sospettosi o inguaribili diffidenti, qual è la vostra arma preferita tra quelle che Facebook mette a disposizione di voi gelosoni per controllare il vostro partner?
I cuoricini in bacheca: un segno per far sentire sempre e dovunque la propria presenza, nonché un espediente per marcare il territorio del partner.
L'applicazione "Chi ti segue di più?": bisogna convincere il partner a usare questa applicazione (apparentemente innocua) per scovare eventuali vittime da annotare sulla propria black list.
Facebook Places: permette di taggare compulsivamente il partner e rendere noto al mondo intero il fatto che lei e il suo lui si trovano sempre insieme.
L'auto tag nelle foto: indispensabile strumento per essere certi di ricevere notifiche qualora un'altra persona osasse commentare o piazzare "Mi piace" alle foto del/della partner.
I commenti minatori: il simpatico approccio ossessivo-compulsivo verso chi tagga il partner o ne invade la bacheca. Di solito consiste in un discreto: "Che bello il MIO amore!"
Il profilo Facebook in comune: un unico profilo scoraggia anche il più audace dei rivali dal tentare un approccio.
La password nota al partner: Della serie: "Amore, se non mi nascondi niente allora posso avere la tua password?". Nessun messaggio di posta, commento o notifica è al sicuro.
Il tasto "Rimuovi dagli amici": una volta in possesso della password del partner, qualsiasi rivale dalla foto profilo provocante o la cui identità è sconosciuta verrà subito rimosso dagli amici.
La trappola: spacciandosi per il partner (password nota), si inizia a contattare i presunti rivali e testare le loro intenzioni con domande e allusioni per far cadere in trappola anche i più astuti.
Il Mi piace minatorio: post, foto, tag, nuove amicizie sono regolarmente marchiati da un Mi piace del partner. Dietro una parvenza di apprezzamento, dimostrano quanto in realtà NON piaccia l'elemento.

Mostra i risultati (437 voti)
Settembre 2025
n. 3993 del 17-09-2025
Windows 11, lo speed test si integra nella barra: misura velocità di up/download e latenze
n. 3992 del 15-09-2025
ISEE, titoli di studio e certificati arrivano su IT Wallet. Il portafoglio digitale si espande
n. 3991 del 12-09-2025
Microsoft contro ValueLicensing: fine delle licenze di Windows e Office a prezzi stracciati?
n. 3990 del 10-09-2025
Il web aperto è ufficialmente in crisi: lo ammette pure Google. La colpa è anche della IA
n. 3989 del 08-09-2025
Intelligenza artificiale per le automobili, licenziati 54 ricercatori a Torino
n. 3988 del 05-09-2025
Dolcificanti a zero calorie e declino cognitivo: una ricerca brasiliana scopre un preoccupante legame
n. 3987 del 03-09-2025
WinToUSB trasforma una chiavetta USB in un sistema Windows perfettamente funzionante
n. 3986 del 01-09-2025
Meta accede a tutto il rullino fotografico senza permesso. Ma disattivare si può: ecco come
Agosto 2025
n. 3985 del 28-08-2025
Google, stop all'obbligo di usare Gmail per gli account Android
n. 3984 del 27-08-2025
Browser IA, l'allarme di Malwarebytes: ingannare gli assistenti e rubare dati è fin troppo semplice
n. 3983 del 26-08-2025
Lo script che estende gli aggiornamenti di sicurezza di Windows 10 anche senza account Microsoft
n. 3982 del 25-08-2025
La Danimarca saluta la posta cartacea: la consegna delle lettere terminerà alla fine dell'anno
n. 3981 del 21-08-2025
PayPal, allarme sicurezza: i dati di 15,8 milioni di account in vendita sul dark web
n. 3980 del 19-08-2025
Volkswagen, microtransazioni nelle auto: per utilizzare tutti i cavalli bisogna abbonarsi
n. 3979 del 18-08-2025
Windows 11 24H2, dopo l'aggiornamento i dischi scompaiono. E i dati possono corrompersi
Tutti gli Arretrati
Vecchi articoli
Accadde oggi - 17 settembre
2024
Smartphone, patentino obbligatorio per i giovani
2022
Sfida su TikTok: cucinare il pollo nello sciroppo della tosse
2021
È morto sir Clive Sinclair, creatore dello ZX Spectrum
2020
The Pirate Bay perde due domini
2019
Windows 10, l'aggiornamento causa più problemi di quanti ne risolva
2018
Linus Torvalds lascia lo sviluppo di Linux
2017
Conclusa l'inchiesta sull'incidente di guida ''autonoma''...
2016
Arrivano i limiti di velocità in Google Maps
2015
Falla in Android, così si sblocca lo smartphone senza password
2014
Il miglior smartphone
2013
Telecom Tutto, chiamate illimitate verso tutti e in più l'ADSL
2012
Lampada e caricatore Usb che va ad acqua e sale
2011
I rifugiati dal Wi-Fi
2010
Il meglio dal forum Privacy
2009
In prova: Qnap TS-239 Pro Turbo (seconda parte)
2008
Uscire senza cellulare? Come essere nudi
2007
Arrivano le liste civiche di Beppe Grillo
2006
Tra l'Iri e i Tronchetti
2005
La Manutenzione Coop di Telecom Italia licenzia
2004
UE e Microsoft, il prossimo passo
2003
Sul futuro del Wi-Fi
2002
Comiche verità (parte terza)
2001
Il primo attacco americano viene dalla rete
Olimpo Informatico


 
web metrics