In seguito ai recenti attacchi terroristici, le accuse ai mezzi criptati di comunicazione online si sono levate, ancora una volta, più alte. Tuttavia, le soluzioni proposte potrebbero creare ulteriori problemi.
I governi di tutto il mondo, dalla Russia agli Stati Uniti, dalla Cina al Regno Unito, sembrano predicare lo stesso mantra: le comunicazioni della gente sono così criptate che il governo non può accedervi nemmeno in caso di necessità. Si è detto che questo sia il motivo principale per cui la polizia non riesca a indagare efficacemente in casi di pedofilia e terrorismo, quindi “bisogna fare qualcosa al riguardo”.
Le soluzioni proposte dai governi presuppongono, in sostanza, che gli attuali sistemi crittografici contengano certe vulnerabilità, di modo che le agenzie nazionali possano intercettare la corrispondenza quando occorra.
In un recente articolo, il Washington Post ha coniato un termine piuttosto poetico per quest’approccio: Golden Key, la Chiave d’Oro. Gli autori citano vari casi di rapimento o altre azioni criminali in cui gli investigatori non poterono approfondire le loro indagini per il mancato impiego del sistema della “chiave d’oro”. I giornalisti affermano che tutte le aziende IT, comprese Google, Apple, Facebook e Telegram, dovrebbero concedere queste “chiavi d’oro” ai governi.
The Washington Post Urges That A Compromise Is Needed On Smartphone Encryption http://t.co/qcKk2PWBjp
— Digg Tech (@diggtech) October 5, 2014
Mettendo per adesso l’etica da parte (altrimenti questa discussione durerebbe secoli), in un contesto dove l’onesto poliziotto possiede la suddetta chiave, c’è una concreta probabilità che anche dei mascalzoni vi accedano.
Ci sono numerosi esempi dell’idea della “chiave d’oro” riferiti alla vita reale. Prendiamo il caso più ovvio: i lucchetti TSA, create dalla Transportation of Security Administration. Il concetto è semplice: i viaggiatori utilizzano lucchetti per i bagagli approvati dalla TSA, con un buco della serratura tale che le autorità non li distruggano in caso di perquisizione. Ci sono dieci chiavi master (“d’oro”) da utilizzare sulla maggior parte di lucchetti per i bagagli. L’idea si basa sul presupposto che solo la TSA abbia l’accesso alle chiavi master, mentre i delinquentelli che assaltano i portabagagli devono utilizzare altri sistemi per rompere il lucchetto.
Tuttavia, di recente le immagini di tutte le chiavi TSA sono trapelate online, seguite dai loro modelli in 3D. Adesso una quantità di mercati cinesi offre un set completo di chiavi d’oro della TSA, disponibili a chiunque. Cosa si potrebbe fare per porre rimedio alla situazione? Purtroppo, ben poco: non si possono sostituire tutti i lucchetti del mondo.
https://twitter.com/J0hnnyXm4s/status/642396940261531648
Un altro esempio di tali sistemi sono gli store online di app, come l’Apple App Store. Nel loro caso, l’intero paradigma di sicurezza si basa sul principio che solo i dipendenti possono pubblicare le app: prima controllano le app alla ricerca di eventuali malware e poi firmano con il loro certificato digitale.
Ovviamente, le chiavi di Apple non sono state compromesse, ma gli hacker hanno trovato un altro modo per aggirare i severi controlli di sicurezza. Alcuni sviluppatori sono stati gabbati dai cybercriminali e inavvertitamente hanno usato il development framework Xcode modificato che ha iniettato nelle app un codice dannoso nascosto. Il problema non è stato scoperto in tempo dagli ingegneri di sicurezza di Apple, quindi l’App Store, una volta fortezza digitale inespugnabile, è stata inondata da dozzine di applicazioni dannose, inclusa una di messaggistica istantanea molto popolare.
Allegedly 40 apps on App Store are infected https://t.co/UTSGwvWccj #apple pic.twitter.com/moLosQwB9V
— Kaspersky (@kaspersky) September 23, 2015
Tuffiamoci a fondo nella storia della tecnologia e ricordiamo un sistema di protezione criptato per DVD, un tempo largamente pubblicizzato. Alla fine del ventesimo secolo, i DVD utilizzavano una protezione criptata basata sul famigerato algoritmo CSS, progettato per restringere l’accesso al contenuto del DVD ad altri paesi. Bene, tutti noi ricordiamo la fine vergognosa di quella tecnologia. Gli attivisti digitali decrittarono una serie di chiavi e le pubblicarono per l’uso libero. Adesso i DVD si possono vedere ovunque, indipendentemente dal paese codificato nel CSS.
Il codice di decrittazione dei DVD venne anche stampato sulle magliette.
La morale della favola è semplice: il sistema, che si basa sul presupposto che i buoni possiedano le informazioni necessarie e i cattivi no, prima o poi crollerà. Una volta che i cattivi ottengono le chiavi, possono compromettere i dati dei comuni cittadini in tutte le maniere immaginabili, e le loro possibilità corrispondono in tutto e per tutto a quelle della polizia o dei governi.
È un risultato altamente indesiderabile, allo stesso modo è difficile sostituire tutti i lucchetti delle valigie e il firmware su tutti gli smartphone del mondo. Il danno che potrebbe provocare la violazione delle “chiavi d’oro” usate dai governi, ne eclissa facilmente i vantaggi.
Le moderne #comunicazioni sono così criptate che il #governo non può accedervi. È un male? #sicurezza
Tweet
Esiste anche la possibilità che quest’idea della “chiave d’oro” non sia affatto così efficiente: terroristi e criminali spesso utilizzano inconsueti sistemi crittografici di nicchia, quindi si nascondono con successo da quelli ufficiali. Tenendo questo presente, i governi dovrebbero sviluppare altri modi per tenere d’occhio i criminali, più proficui e meno invadenti per il cittadino.