Crypto Wars: le Guerre della Crittografia

Nel 1991 Philip Zimmerman realizzò e rese disponibile gratuitamente PGP (Pretty Good Privacy), un software tuttora ampiamente usato per cifrare le email tramite crittografia a chiave pubblica e garantire così che i messaggi criptati, se intercettati, non possano essere decodificati da persone diverse dal legittimo destinatario. Diversi governi, preoccupati dal vantaggio che i criminali avrebbero potuto trarre dalla cifratura delle proprie comunicazioni, imposero limitazioni legali volte a indebolire deliberatamente la crittografia, ad esempio forzando l’utilizzo di microchip che rendessero le comunicazioni cifrate vulnerabili alle intercettazioni delle agenzie governative. Queste risoluzioni scatenarono la reazione degli esperti di sicurezza, che nel corso degli anni Novanta riuscirono a dimostrare l’inefficacia di questa scelta ed i rischi ad essa connessi, vincendo quella che viene ricordata come la prima “Crypto War” -la Guerra della Crittografia.

A distanza di vent’anni il dibattito si è riacceso.

La Seconda Guerra della Crittografia

SmartphoneIn seguito alle rivelazioni di Snowden, dal 2013 è cresciuta sensibilmente la domanda di servizi crittografici da parte degli utenti. Mai come in questi anni la sorveglianza di massa è stata favorita dalla tecnologia: gli smartphone registrano chiamate, spostamenti e comunicazioni scritte, i social network documentano le relazioni private e professionali, i servizi di e-commerce profilano le preferenze. Apple e Google hanno risposto alle preoccupazioni degli utenti migliorando sensibilmente la robustezza delle tecniche di cifratura dei dati utilizzate su smartphone e tablet e provocando di conseguenza la reazione delle agenzie di intelligence. La Seconda Guerra della Crittografia vede contrapporsi gli stessi schieramenti degli anni Novanta:

  • da un lato, alcuni rappresentanti di governi e di agenzie di intelligence che sostengono la necessità di disporre di un accesso privilegiato a dati cifrati per condurre efficaci controlli antiterrorismo;
  • dall’altro, esperti che evidenziano come i rischi introdotti da questo scenario supererebbero di gran lunga i potenziali benefici.

Stati Uniti e Regno Unito appartengono al primo schieramento: mentre il direttore del Federal Bureau of Investigation chiede alle industrie che ricorrono alla crittografia di predisporre delle backdoor (ovvero dei punti di accesso privilegiato che consentano di bypassare i meccanismi di sicurezza), il governo di David Cameron promuove un protocollo di cifratura per la rete telefonica che consente le intercettazioni.

Sul fronte opposto, rappresentanti di altri governi, aziende ed esperti di sicurezza evidenziano come la crescita economica oggi sia fortemente incentivata dalla disponibilità di canali di comunicazione sicuri e autenticati ed elencano una serie di argomenti a sostegno della crittografia forte.

Prima di tutto vi sono delle ragioni economiche e pratiche:

  • la presenza di backdoor introduce una seria vulnerabilità che può favorire attacchi da parte di criminali, competitor e servizi di intelligence stranieri, e che quindi compromette la sicurezza e l’integrità di servizi IT che oggi ricoprono un ruolo strategico per la società o per il business. Questo è il principale argomento sostenuto dal governo Olandese e da quello Francese, probabilmente anche alla luce dei recenti eventi che hanno coinvolto le aziende Juniper e Fortinet;
  • i prodotti crittografici di aziende costrette dalla normativa nazionale ad introdurre backdoor non sono competitivi in un mercato internazionale che, in base ad una ricerca di Bruce Schneier, già oggi conta più di 400 prodotti (gratuiti o a pagamento) che possono essere utilizzati per cifrare dati o messaggi;
  • la credibilità delle imprese che dovessero introdurre vulnerabilità nei propri prodotti sarebbe compromessa e porterebbe a gravi danni economici. Proprio per evitare questo BlackBerry ha recentemente annunciato che rinuncerà al mercato del Pakistan pur di non introdurre nei suoi prodotti la backdoor richiesta dal governo Pakistano.

In seconda battuta, le richieste di Stati Uniti e Regno Unito sollevano dei problemi tecnici:

  • fornire ad una terza parte un mezzo per decifrare dati cifrati richiede di rinunciare ad una serie di best practice attualmente utilizzate per rendere Internet più sicuro, come la forward secrecy -ovvero il ricorso a chiavi di decifrazione immediatamente distrutte dopo l’uso, che consentono di minimizzare il danno in caso di furto della chiave utilizzata per la cifratura;
  • l’implementazione di tecniche per l’accesso privilegiato a dati cifrati risulterebbe in un sostanziale incremento della complessità dei sistemi, che oggi contano milioni di app diverse e di servizi interconnessi. La complessità dello scenario rende estremamente difficile l’individuazione di errori e vulnerabilità;
  • le terze parti a cui verrebbe garantito l’accesso privilegiato ai dati diventerebbero degli obiettivi ambìti di attacchi e rappresenterebbero importanti elementi di criticità del sistema.

Quali implicazioni per le imprese

In questo scenario tuttora in evoluzione è fondamentale per le imprese, e in particolare per il settore IT, seguire attentamente il dibattito per:

  • individuare le sfide poste da eventuali regolamentazioni della crittografia e le nuove opportunità ad esse correlate, così da poterne analizzare costi e benefici;
  • monitorare la normativa dei mercati in cui si opera, per valutare gli eventuali adeguamenti ai propri prodotti e servizi o le possibili opzioni alternative;
  • monitorare la normativa a cui sono soggetti i fornitori dei prodotti e servizi crittografici in uso, per anticipare eventuali restrizioni che potrebbero compromettere l’efficacia dei sistemi.

Facebook Comments

LEAVE A REPLY

Please enter your comment!
Please enter your name here