Titolo

La guerra alla crittografia - alcune questioni tecniche

35 commenti (espandi tutti)

Un attimo, siccome i criminali possono usare sistemi come PGP allora noi rinunciamo a concordare con i produttori onesti l'uso di sistemi "key escrow"? Sarebbe come a dire che siccome un ladro esperto puo' entrare quando vuole in casa mia, tanto vale lasciare porte e finestra aperte.
O che siccome esiste bitcoin allora buttiamo a macero tutti i dollari.

Per prima cosa nel campo della telefonia bisogna vedere se possiamo individuare tecnicismi che impediscano l'uso di sistemi di crittigrafia che non seguano le regole stabilite dallo statro di diritto.  Intallare PGP su un telefonino potrebbe anche essere reso impossibile. A meno che PGP non si adegui alle regole.

Lo stesso sui PC. A meno che uno non sia in grado di farsi un sistema operativo tutto suo, l'uso di crittografia "segreta" potrebbe essere vietato. Nel senso di impedito fisicamente a chi non ha una determinata firma digitale. Insomma le soluzioni si trovano e di quelle che sono accettabili dalla assoluta maggioranza di persone oneste. Banditi, pirati e simili se ne faranno una ragione.

Lo stesso sui PC. A meno che uno non sia in grado di farsi un sistema operativo tutto suo, l'uso di crittografia "segreta" potrebbe essere vietato. Nel senso di impedito fisicamente a chi non ha una determinata firma digitale. Insomma le soluzioni si trovano e di quelle che sono accettabili dalla assoluta maggioranza di persone oneste. Banditi, pirati e simili se ne faranno una ragione.

Francesco, tecnicamente quello che dici non ha nessun senso. Non c'e' bisogno di farsi nessun sistema operativo da soli. Tra l'altro hai presente quanti soldi sono stati spesi per evitare che i ragazzini si scaricassero film, videogiochi e musica? Arrivi tu e dici "basta bloccare tutto"?

Comuque, tanto per ribadire il concetto, adesso ti mando un SMS criptato molto importante di cui solo io e te conosciamo il codice: "la nostra scintilla d'amore scoppiera' il giorno del compleanno della tartaruga filippo, nel giardino delle rose. porta lo champagne, MA FREDDO".

Puoi usare tutti i cavilli legali e i police enforcement che vuoi. Good luck ad impedirmi di mandare messaggi in codice cifrato.

 

 


...e qui e' dove si infrangono sempre i sogni di imposizioni ai "produttori" coltivati da chi vuole barattare liberta' per un po' di sicurezza. PGP non e' una societa': e' un programma originariamente sviluppato da Philip Zimmermann e altri sviluppatori, ed esistono disponibili a tutti varie versioni del codice sorgente . Per un certo periodo una versione commerciale fu prodotta da una societa' chiamata PGP Inc, che poi fu acquisita da Symantec. Nel frattempo gli stessi algoritmi furono incorporati in altri prodotti sempre open source: GnuPG (sotto licenza GPL), APG per piattaforme Android, e altri ancora.

E questo solo per una certa categoria di applicazioni! Esistono poi programmi di disk encryption (un tempo il piu' diffuso era TrueCrypt, non piu' manutenuto; oggi ce ne sono altri come AxCrypt); e programmi per comunicazioni real time, stile WhatsApp, di cui la migliore e' probabilmente Signal (codice sorgente qui). Questi ultimi in genere usano protocolli  con la proprieta' della "forward secrecy", cioe' in cui la chiave di sessione usata per cifrare i dati e' generata cooperativamente ai due estremi (Diffie e Hellman hanno ricevuto recentemente il Premio Turing per questa invenzione) ed e' distrutta a fine sessione, in modo che un eventuale intercettatore dei dati cifrati non potra' in alcun modo recuperare la chiave.

A questo punto che facciamo: vogliamo vietare la pubblicazione del codice sorgente, cosi' solo terroristi e criminali li avranno a disposizione e le persone oneste no? Quest'idea balzana fu accarezzata due decenni fa, quando fu vietata l'esportazione di software crittografico dagli Stati Uniti, ma falli' miseramente perche' la pubblicazione informa cartacea era protetta dal Primo Emendamento, e per esempio il codice di PGP fu stampato, spedito all'estero per posta, passato allo scanner, ricompilato e messo a disposizione sul gia' linkato www.pgpi.org . A parte cio', non e' che all'estero mancassero crittografi e programmatori; e alcuni americani (come Vince Cate, che rinuncio' anche alla cittadinanza americana), lasciarono gli Stati Uniti proprio per evitare queste restrizioni. I francesi provarono a bandire completamente il software crittografico, ma lasciarono perdere quando si resero conto del fatto che questo avrebbe significato niente e-commerce, niente Internet banking e cosi' via. Alla fine del millennio, la maggior parte delle restrizioni era stata consegnata al proverbiale immondezzaio della storia.

Ma sono passati due decenni, e risiamo daccapo a discutere di questioni che avrebbero dovuto essere capite da tempo.

Mi ricorda un po' la storia (o leggenda) dei costruttori delle camere interne delle piramidi, che furono murati vivi per non diffondere il segreto. Siamo tutto sommato alla paranoia e prima o poi si finisce prigionieri della panic room, senza fieto finale.
Il probema è politico e secondo me il mondo commerciale e con esso la tecnica si adegueranno.
Bastano i giusti incentivi.

Sull'altro piatto della bilancia una stupida escalation tra forza bruta, backdoors, algoritmi sempre piu' sofisticati, sistemi operativi sempre piu' complessi e costosi.
A chi conviene?

La discussione mi sembra affetta da una forma di "religiosita' techies" a causa della quale esiste un (immaginario) totem chiamato "privacy" che e' sia inviolabile di fatto per ragioni "tecniche" sia per principio perche' e' un "valore assoluto". 

Francamente, mi sembrano fantasie. Come Franz argomenta il problema politico esiste. Si puo' far finta che no, poi no lamentarsi se gli "altri" prendono decisioni sgradevoli perche' ci si e' rifiutati di partecipare al dibattito.

Infatti

marcomarkiori 29/3/2016 - 22:49

un modo per creare uno spazio di discussione politica è forse rinunciare al concetto vago di "privacy" come sfera privata, specificando di volta in volta di cosa sto parlando.
Ma se faccio così ecco che la contrapposizione fra due vaghi totem "privacy" e "sicurezza" cessa di aver senso, perché i sani vecchi principi possono trovare tranquillamente applicazione, senza fantomatiche alleanze fra lo Stato e la Tecnica uniti contro il Male.

non penso sia così semplice... C'è un motivo se tutti gli algoritmi e le implementazioni crittografiche sono open source... proprio per evitare le backdoor. La libreria che usa Apple per cifrare i dati dell'iPhone e' la stessa che protegge le nostre comunicazioni con la banca e anche le comunicazioni militari. Quello che cambia e' solo la lunghezza della chiave, non l'algoritmo. Quindi la backdoor o la chiave di emergenza apre tutto, non il singolo caso. Ragion per cui Apple vuole sapere come ha fatto l'FBI e questi non vuole dirglielo.

questo non vuol dire che al momento non ci siano falle, ma non per questo bisogna forzatamente metterne una "governativa" con su il cartello "riservato". Quanto pensate che resti segreta?

Sono d'accordo che c'e' un problema politico, e non ho idea di come risolverlo.

Ma Giorgio ed Enzo hanno ragione sul piano tecnico. Non ho bisogno del permesso di Apple o del governo americano per usare crittografia forte, ed in quel caso le uniche chances di decifrare i files e' sfruttare un baco nel software scelto o magagne nella scelta o gestione della password (cosa molto comune tra i non esperti di crittografia).

Questo non cambia i termini della questione, ma pone un problema di enforcement: da al governo la chiave degli iphone e chiunque voglia nascondere qualcosa al governo lo cifrera' con altri mezzi. Poi la NSA probabilmente all' occorrenza apre pure il mio PGP, ma l'asticella di cosa si riesce a monitorare finisce per essere piuttosto bassa, specie se la gente comincia a cifrare i messaggini all'amante per evitare che vangan portati in tribunale quando si litiga per gli alimenti

Un problema (conflitto) politico tra due esigenze diverse si risolve con un compromesso.
Questà è l'arte della politica. Non so dirti quale compromesso, tra i mille e mille possibili.
Lo troveranno i negoziatori.
Lo troveranno perché di solito un buon compromesso conviene a tutti, è win-win.

Mentre il conflitto non conviene  (solo ad alcuni, forse, tra cui i criminali).

Il problema dell'open-source è un falso problema.
In fase di decriptazione autorizzata dalla magistratura si useranno altri software, che accedono alla soluzione tecnica accettata in fase di compromesso (che sia "key escrow" o altro poi si vede).
Io ritengo che la tecnica non debba essere un ostacolo (lo è a livello di argomento dialettico) e che se lo fosse significa che ci siamo messi nella situazione di aver costruito una panic room e di esserci rimasti chiusi dentro. Il compromesso deve evitare che si finisca in questa situazione, che definirei altamente stupida, nel senso illustrato da carlo cipolla.

riguarderebbe i cittadini americani nei confronti del loro governo o anche le aziende europee e cinesi che dovrebbero utilizzare tecnologie per la segretezza che sono sotto il controllo del governo (ops magistratura) americana? il contrario sarebbe plausibile?

La partecipazione al dibattito e' fatta dall'apporto di argomenti (sia tecnici che legali) a favore o contro una certa proposta, ed e' quello che (tra gli altri) Giorgio e io stiamo facendo. Quello che non serve e' parlare senza cognizione di causa e, dopo eventi traumatici, correre sotto le ali del governo del giorno, perche' l'importante e' "fare qualcosa". Un po' come fare la guerra all'Iraq dopo 9/11: "give war a chance!", d'you remember? Non funziono' cosi' bene come avevano detto.

Purtroppo da qui non si scappa - dalla centralità dell'inviolabilità tecnica del totem, se vogliamo dir così.

Il totem della privacy nella società dell'informazione, tecnicamente, non sarà mai inviolabile. Nell'infinita escalation tecnica di difesa e offesa qualsiasi sistema sarà sempre virtualmente penetrabile.

E l'escalation infinita è nella natura del sistema, pensare di limitarla sarebbe come pensare di poter limitare la ricerca scientifica, il libero pensiero, o la spesa per gli armamenti, o la competizione nel libero mercato.

L'offesa di sua natura scalerà sempre al massimo (mossa dagli interessi degli attori più forti del mondo, gli stati-nazione e le organizzazioni criminali).

La difesa a disposizione di questi due gruppi di attori, anche.

Limitare le difese commercialmente disponibili per il pubblico generale porta principalmente ad indebolire le salvaguardie che la società civile può avere nei loro confronti.

La crittografia forte protegge da furti di proprietà (fisica e intellettuale), appropriazioni di identità, truffe, persecuzioni, ricatti, stalking, profilazione...

Nella società dell'informazione la compromissione della privacy indebolisce inevitabilmente i diritti civili, la sicurezza individuale, l'economia.

Pensiamo alla rivoluzione che vediamo schiuderci davanti agli occhi - droni e automazione, internet of things, wearables, interfacce uomo-macchina, analisi big-data...

Implementare sistemi complessi che siano sicuri è complicatissimo, transitare verso una società del genere senza un framework culturale condiviso sull'importanza di sicurezza e confidenzialità dei dati rischia veramente di portarci ad un mondo con una fortissima tendenza al controllo ed alla pressione sociale.

E non lo dico ironicamente, ma sul serio (anche se le tue due prime frasi mi sembrano contraddirsi, ma non importa visto che condivido il resto dell'analisi).

Riconoscere che la "competizione" fra chi, avendo bisogno di segretezza/sicurezza, cerca di rendere piu' complessi i sistemi di trasmissione dati e chi, volendo accesso a tali dati, cerca di violare tale segretezza, e' fondamentale.

Vale per l'informatica quello che vale per ogni altro "strumento di guerra" fra criminali e non e fra stati. Nel momento in cui riconosci, appunto, che gli strumenti informatici (crittografia compresa, quindi, come peraltro riconosciuto da decenni in molte legislazioni) sono una fra le tante armi usabili nella lotta degli uomini con i loro simili, DEVI porti il problema di come cercare di regolarne l'uso e l'accesso. Devi porti il problema del legittimo uso di tale strumento esattamente come, nel caso dell'energia nucleare o dell'avionics, ci siamo posti il problema di separare gli usi militari da quelli civili, quelli consentiti e quelli non. In questi due casi, per un misto di sforzo, fortuna e contingenze storiche, ci siamo decentemente riusciti. Sugli strumenti informatici the jury is out. Which is the all point of the discussion. 

Il fatto che si sia trovato (per ora) un modo per regolare la difussione di testate nucleari non implica che si possa fare lo stesso con qualsiasi arma. Le armi da fuoco negli USA ne sono un esempio lampante. Allo stesso modo, non vuol dire che un trade off sia efficace solo per il fatto di esistere. Prendi ad esempio i controlli agli aeroporti: l'idea che l'omino che mi controlla le scarpe all'aeroporto serva a sconfiggere le minacce del terrorismo e' un fantasico esempio di modello superfisso, no? Quello che succede e' che se il terrorista non si puo' far saltare sull'aereo, si fara' saltare sulla metropolitana o a teatro.

Lasciamo perdere un attimo il caso Apple. Come bisogna comportarsi per le comunicazioni cifrate in HTTPS? Anche attraverso tale protocollo possono essere trasmessi messagi criptati tra potenziali terroristi, creiamo una falla per poter permettere le intercettazioni? 

“E non lo dico ironicamente, ma sul serio (anche se le tue due prime frasi mi sembrano contraddirsi, ma non importa visto che condivido il resto dell'analisi).”

Yep quello a cui volevo alludere è che bisogna rovesciare il problema: il motivo per cui i “techies” son tanto preoccupati dagli attacchi alla privacy non è la difesa a oltranza di un privilegio alla riservatezza ritenuto ideologicamente inattaccabile.

È invece la consapevolezza che questo privilegio non esiste e non esisterà mai nella società dell’informazione.

In un mondo reale che è già, e sarà sempre più, letteralmente imbevuto di innumerevoli network digitali, una riservatezza assoluta non si dà, non si potrà mai garantire.

E una riservatezza “good enough” per garantire le interazioni che ci aspettiamo dalla società civile dipende da un *enorme* sforzo proattivo di implementazione di protocolli di sicurezza.

Ora parlando di cosa ci aspettiamo che sia “good enough”.

Se mi posso permettere un’altro parallelo traballante col mondo analogico, reale, dei millenni prima della società dell’informazione: il benessere fisico, materiale e spirituale dell’individuo in società si è sempre appoggiato ad una aspettativa di confidenzialità e esclusività. Solo io so la combinazione della mia cassaforte e che libro ho sul comodino; solo io posseggo le mie chiavi di casa e il mio libretto degli assegni; solo io so se ho digerito bene e se mi batte forte il cuore.

Sappiamo bene quanto sia sacra questa confidenzialità, una delle architravi della collettività, e infatti la difendiamo con tutti gli strumenti che abbiamo, dalla legge all’educazione. E al tempo stesso sappiamo che in determinate condizioni dobbiamo fare di tutto per violarla, accettando e promuovendo spionaggio, minacce, coercizione, circuizione, corruzione, tortura.

Son perfettamente d’accordo con te che il busillis sia tutto qui; il fulcro della discussione.

Ecco quello che i “techies”, con la loro veemenza nella difesa della privacy, cercano di mettere a fuoco (questo è il problema politico per me, leggermente fuori fase col punto in cui mi sembra lo collochi tu): come la ragionevole aspettativa di privacy è uno dei prerequisiti per l’interazione sociale, il “layer” della crittografia forte dei dati sensibili è uno dei prerequisiti per la ragionevole aspettativa.

Torniamo al parallelo con la realtà analogica: come vi sentireste a girare per strada con la consapevolezza che potreste incontrare molte persone capaci di ipnotizzarvi e farsi consegnare carta di credito, documenti, foto dei figli dal portafoglio, diario personale, filmino delle vacanze, agenda di lavoro, tabella degli allenamenti di fitness e ricette dei medicinali che usate – così, senza colpo ferire e senza che ve ne accorgiate?

Perché, grossomodo e a spanne, è ancora a questo punto che siamo nell’IT globale.

Ora è vero che un jedi-trick del genere sarebbe fantastico per le forze dell’ordine e tutti quelli che stanno a guardia delle cose che ci stan più care.

Però ecco penso che la mia peace of mind (che poi è quella che cerco di difendere dai terroristi) non se ne gioverebbe molto.

Nota bene, un’aspettativa di confidenzialità “pre-digitale” cospicuamente assente in questo discorso: a meno che mi abbiano visto o pedinato, solo io so dove sono e dove sono stato.

Parlando di trade-offs, nella transizione alla società dell’informazione abbiamo già barattato la privacy dei nostri spostamenti con la convenienza e la sicurezza.

I sistemi di localizzazione attiva dei nostri device personali, quelli passivi della sorveglianza elettronica, e i log delle nostre interazioni con sistemi informatici permettono alle forze dell’ordine di ricostruire ed essere aggiornati in real-time sui movimenti e sulle spese di qualsiasi cittadino che rispetti la legge e interagisca socialmente in maniera ordinaria.

La “sensorizzazione” incipiente del mondo reale poi esacerberà questo aspetto in maniere che faccio fatica ad immaginare.

Quando parliamo di trade-offs, non si può non soppesare gli enormi vantaggi che queste infrastrutture portano alle forze dell’ordine e agli apparati di controllo.

Abbiamo poi parimenti dato via “by design” (perché è inevitabile nell’interazione con un network pubblico) tutti i metadata sui nostri scambi di comunicazioni.

Gli header del traffico telefonico, sms, email, chat, http, sono, e resteranno sempre, a completa disposizione delle autorità, che i contenuti siano crittati o meno.

A meno di “going dark” con infrastrutture anonime a-la Tor, che però sono difficili da usare, e bucate a ripetizione dalle autorità.

Ora, la comunicazione crittografata a distanza real-time può aiutare moltissimo qualsiasi “wrong-doer”, ma anche qui c’è già un trade-off pendente verso i controllori.

Quindi fondamentalmente, riguardo la confidenzialità di comunicazioni e dati sensibili: ad oggi le autorità non hanno problemi a sapere chi siamo, dove siamo, con chi parliamo, quanto guadagnamo, dove mangiamo, facciamo acquisti e ci curiamo.

In molti casi (i PC windows e Mac e i device Android sono generalmente meno sicuri dei device iOS, e la gran parte degli utenti configura i suoi device, qualunque essi siano, con impostazioni di sicurezza troppo rilassate), non ha problemi nemmeno a sapere cosa nascondiamo.

In questo contesto dare alle autorità una back-door universale sui contenuti mi sembra un notevole sbilanciamento del trade-off sorveglianza-sicurezza.

NB, anche se fosse per assurdo dimostrabile che questa back-door non comprometta la sicurezza generale del sistema, fosse cioè la mitologica “golden-key” auspicata dai governi americani nel corso degli anni.
Questa è una mia posizione che capisco possa non esser condivisa, però poi resta il problema generale che la golden-key, a dar retta all’opinione della stragrande maggioranza degli esperti del settore, semplicemente non c’è.

Qui si ritorna all’inquadramento tecnico del problema che informa il dibattito politico.

Non vorrei sembrare qualunquista ma bisogna anche ricordarsi delle parti che storicamente informano la discussione.
La “voce” della cosa pubblica in questi decenni è sempre stata istruita dalle agenzie di intelligence e di pubblica sicurezza, in qualità di unici esperti in grado di illustrare lo status quo a governo, parlamento e organi d’informazione.
È inerente un certo bias dovuto alla ragion d’essere istituzionale di questi soggetti.

Purtroppo padroneggiare i contorni tecnici della questione per farsi un’opinione personale richiede un certo impegno nello studio di una materia difficile da sintetizzare per noi non addetti ai lavori.

Per finire è interessante che porti l’esempio del nucleare.
Un ambito dove con materie prime e tecnologie molto simili si possono costruire centrali elettriche o bombe atomiche, che è stato vantaggiosamente delimitato.
Il problema nell’analogia con l’IT è che, per dir così, anche per fare la spesa serve la bomba atomica. =D

L’IT è trasversale a tutti i settori della società.

Le infrastrutture critiche pubbliche e private hanno bisogno di sicurezza “military-grade”.

Il complesso militare/industriale e la sicurezza pubblica impiegano milioni di persone che per lo più usano elettronica di consumo fuori dal lavoro.

E ad esempio se vogliam parlare di terrorismo, divagando un po’, a me una cosa che dà da pensare, molto più di un telefono inviolabile, è il livello della sicurezza ancora oggi implementato nelle infrastrutture e nell'industria.
Ad esempio l’ubiquità di sistemi di monitoraggio e controllo SCADA con presupposti di sicurezza che precedono l’era di ARPANET.

Falle enormi che poi permettono a stati nazione come USA e Israele di confezionare il worm Stuxnet che congela il nucleare iraniano senza bombardamenti, ma grippandogli le centrifughe per l’uranio.
Oppure permettono a un sysadmin australiano che ha perso il lavoro di scombinare le valvole di un impianto di riciclo acque reflue inondando una contea. You can have it both ways. https://ciip.wordpress.com/2009/06/21/a-list-of-reported-scada-incidents/

"Sull'altro piatto della bilancia una stupida escalation tra forza bruta, backdoors, algoritmi sempre piu' sofisticati, sistemi operativi sempre piu' complessi e costosi.
A chi conviene?"
A te conviene! Senza questa escalation verso la maggior complessità dei S/O (io direi piuttosto sacrosanta robustezza) i tuoi dati sarebbero: cancellati, criptati, infettati o copiati/rubati.

A te conviene! Senza questa escalation verso la maggior complessità dei S/O (io direi piuttosto sacrosanta robustezza) i tuoi dati sarebbero: cancellati, criptati, infettati o copiati/rubati.

Si puo' avere un compromesso accettabile (soprattutto non stupido) anche senza vivere in una cassaforte.  Si possono e si devono avere dati sufficentemente protetti senza per questo dare vantaggio ai criminali. La mia chiave fisica di casa, per esempio, è di una tecnologia non copiabile ma che vede una copia a disposizione delle autorità (pompieri, polizia, eventualmente ambulanza se fossi da solo in casa chiuso a chiave) per gli accessi di emergenza.

Naturalmente io mi fido dell'autorità (sono un caso clinico?) mentre comprnedo che paranoici (casi psichiatrico) e criminali (caso da magistratura) invece no. Ma è un problema loro.
Il mio auspicio è che si adotti una soluzione che non crei problemi a me ma li crei ai criminali.

con la tecnologia commercialmente disponibile al momento non c'è alternativa, si rischia di creare un danno molto diffuso per uno scarso vantaggio a livello investigativo. Poi se esista un algoritmo o una teoria innovativa che permetta di superare l'attuale problema non so dirtelo, sarebbe da sentire il parere di un matematico esperto del settore.

con la tecnologia commercialmente disponibile al momento non c'è alternativa, si rischia di creare un danno molto diffuso per uno scarso vantaggio a livello investigativo.

Se mi permetti, questa è un'opinione. Rispettabile ma opinione. Considero anche molto addetti del settore sono troppo paranoici per saper dare un'opinone modrata a riguardo. Intendiamoci, nel campo della sicurazza un po' di paranoia non guasta. Troppa invece è un disastro.

è che quelli davvero paranoici saprebbero come cifrare i dati in modo da rendere la cosa complicata ANCHE per NSA e che qui non si parla di questo.

qua stiamo parlando di tecnologia commerciale che usa la cifratura per rendere la vita difficile ai cattivi in un mondo in cui ogni nostro dettaglio è digitalizzato e salvato sul cellulare.

infatti qua la crittografia c'entra poco (e vorrei che qualcuno mi smentisse nel caso) perche` a fronte di complessi algoritmi di cifratura ci sta un PIN di 6 caratteri + un meccanismo di autocancellazione.

questo rende la vita difficile ai cattivi perche` aggirare quella protezione non è semplice come provare un milione di password ma difficile come modificare un hardware proprietario miniaturizzato che controlla il processo (al 10 bang cancello una parte della chiave dalla memoria e i dati sono persi per sempre perchè SENZA QUELLA CHIAVE IN MEMORIA E SENZA IL PIN la cifratura diventa un problema ANCHE per NSA). molto difficile, comunque.

Il compromesso è che quindi Apple sblocchi gli iPhone, cosa che sicuramente può fare caricando il disco in una versione ad-hoc (software+hw) da dare al governo tramite il quale provare le password (PIN di 6 caratteri). easy.

Cosa accade a quel punto? Che i cattivi utilizzano password più lunghe e tu non devi più provare 6 caratteri numerici di PIN ma qualcosa di più complesso (non solo numerico) del tipo N5aN0nmya\Vr@1|\/|ay che è magari qualcosa che NSA può fare ma non puo` essere una standard practice per ogni investigazione.

Questo ovviamente FBI lo sa quindi cosa ci hanno capito i techies della sua richiesta (perchè se uno non è un economista chiaramente appartiene a una razza di subumani che possiamo chiamare così) anche alla luce di quel che ha detto Apple nel comunicato? Che FBI vuole un accesso privilegiato, una BACKDOOR, qualcosa che permetta a chi la conosce un accesso. Una backdoor in questo scenario è qualcosa del tipo: inserisco come pin IOSONOL'FBI e a prescindere dal pin che l'utente ha settato l'accesso è garantito.

Quello che i subumani stanno tentando di dirvi è che l'esistenza di questo(la backdoor! non l'aiuto di Apple nello sbloccare i singoli telefoni!) indebolisce la sicurezza del telefono, che prima o poi questa cosa viene fuori (ci sono interessi economici miliardari legati, questi si che sono incentivi) e che si aprono scenari apocalittici.

Soprattutto, dicono, che se passa ufficialmente il principio per il quale i prodotti destinati alla sicurezza (non alla privacy) hanno backdoor governativa siamo tutti trasparenti quando questi poi vengono scoperti (perche` se indebolisci deliberatamente qualcosa è più semplice che qualcuno anche senza le risorse di uno stato lo scopra).

Accade inoltre che sti prodotti non le vendi più in altri mercati.

...e neanche tanto preoccupato della mia privacy, trovo convincenti le ultime argomentazioni dei techies, in particolare questa di Dagnelli.

Aggiungerei che la decrittazione dei messaggi dei terroristi non mi pare una risorsa così importante nella lotta al terrorismo. Anche se lo Stato riuscisse sempre a decrittare i loro messaggi digitali, cosa peraltro incerta se ho ben capito, loro presto se ne accorgerebbero e ricorrerebbero ad altri modi di comunicazione. Forse più faticosi per loro, ma non so quanta differenza farebbe. Mi pare che già qualcun altro abbia fatta questa obiezione, che porta a valutare come esiguo il vantaggio nel trade off di cui si discute (dire zero, come ha detto credo Gilestro, mi sembra eccessivo), a fronte di svantaggi ben maggiori -- anche per chi come me tenga poco alla sua privacy.

No, il compromesso che suggerisco io è che ci sia una chiave (con metodo key escrow) custodita in luogo sicuro (tipo fort knox) e di uso singolo, che una volta applicata al telefono (o al dispositivo) mette in chiaro  il pin dell'utente, lungo o corto che sia. Questo continua a rendere difficile la vita ai cattivi che cercano di leggere i nostri dati ma rende possibile all'autorità leggere i dati che i cattivi a loro volta cercano di nascondere.

Poi sul piano tecnico la cosa funziona se
1) i produttori sono d'accordo e producono software adeguato alla soluzione

2) la soluzione si attua solo in laboratorio, con attrezzature che solo le autorità posseggono (con parte della chiave che verrà fornita a quel livello, anche qui di uso singolo e custodita in cartaceo e cassaforte)

3) la chiave custodita viene richiesta solo da un giudice di in certo grado gerarchico.

4) la soluzione è a disposizione della autorità che aderiscono ad una convenzione internazionale (tipo OCSE con il segreto bancario) e che ottemperano a requisiti in ordine alla garanzie democratiche ed al funzionamento dello stato di diritto. Questo stoppa ogni argomentazione apple sulle paure che poi si debba cedere anche alla Cina o a regimi totalitari che ne farebbero un uso distorto. 

Il che, riassumendo, dovrebbe far capire che la soluzione è in primo luogo politica, poi il tecnicismo, pur importante, si vedrà. Un po' come quando hanno deciso di andare sulla Luna. La decsione fu politica, poi i tecnici si fecero in 4 per applicarla.

I tecnici infatti sono bravissimi in questo. E lo dico perché anche io sono un tecnico informatico, dal 1978. Tuttavia a 40 anni, quando da analista- programmatore e poi  analista sono diventato  responsabile di progetti anche grossi, ho capito che saper manipolare bit non basta a saper prendere o proporre decisioni strategiche (politiche). 20 anni fa ho quindi iniziato ed estendere le mie conoscenze al di fuori della pura tecnica, riappropriandomi in primo luogo delle conoscenze scolastiche (filosofia) e via via matematica, teroia dei giochi, fisica, biologia, psicologia. Cose che tra l'altro sono utili se dirigi grossi gruppi. Una delle prime cose in cui mi imbattei fu l'analisi transazionale di eric berne. Ecco, diciamo che se i tecnici, invece di giocare a "perché no, sì ma" si applicassero a trovare una o piu' soluzioni, queste sarebbero già state trovate.  Non mi pare del tutto inverosimile che se invece prevale la paranoia, questi tecnici risultano dei forti giocatori psicotioci, nel senso proposto da EB. Di quel tipo di gioco che porta ad escalations e a situazioni tipo gioco del pollo, e finiscono entrambi nel dirupo.

Poi magari la soluzione operativa non sarà quella che ho illustrato io. Anzi sono sicuro che sarà sicuramente migliore. Ma spero che ci sarà.

Reputo inoltre che se aborro (spero non da solo) il concetto di predominio della politica, a maggior ragione credo si debba fare lo stesso con l'ipotesi di predominio della tecnica.
Quando vedo tecnici che singolarmente o raccolti soto tla voce voce "la maggioranza dei ..." affermano che solo loro possono conoscere cosa va bene per la salvezza del pianeta, mi permetto (pur essendo tecnico) un po' di sano scetticismo.

Il concetto di chiave "di uso singolo" non mi è del tutto chiaro.

Questa chiave, conservata su un suporto cataceo custodito a Fort Knox è attivabile solo su ordine di una autorità giudiziaria di un paese OCSE e funziona solo una volta, nel senso che quando viene utilizzata risulta "bruciata" per cui non può venire impropriamente sfruttata per accedere ad altri dispositivi?

Quello che mi sfugge è come si fa ad avvisare i milioni di dispositivi sparsi per il pianeta che questo è avvenuto, dicendo loro di bruciare una delle chiavi che potrebbero sbloccarli.

Ammesso di farlo attraverso un aggiornamento del software, e ammesso che tutti lo facciano, comunicare urbi et orbi questa informazione equivarrebbe a dire che un dispositivo marca X e modello Y è stato sbloccato. Forse questo potrebbe danneggiare il segreto istruttorio. Sbaglio?

Beh, il concetto è chiaro: una volta che la chiave è stata usata, non funziona piu'una seconda volta. E' quello che succede in banca quando i tecnici devono accedere a dati riservati per sistemare errori informatici e quindi occorre conciliare provacy e integrità dei dati.
Ora poni una domanda concreta che anche io mi pongo, ma se hai compreso il citato concetto del "perché no, sì ma" dovresti iniziare a proporre soluzioni, non nostacoli.

Le soluzioni sono molteplici ed una a cui non avevo pensato, in quanto farraginosa, è proprio quella dell'aggiornamento del software. E quindi ti ringrazio.

Ma questo ci mette di fronte a due tipi di soluzione:

1) hard-coded (che necessita di un aggiornamento software)
2) data-coded (che necessita solo dell'accesso in rete ad una lista di chiavi "bruciate")

Il che non basta, ovviamente, ma che puo' essere stimolo per trovare soluzioni praticabili e trasparenti. Una puo' essere che ogni dispositivo ha una sua unica chiave di accesso "protetta" ma qui la soluzione "custodia cartacea" si fa complessa. Un miliardo di telefononi = un miliardo di buste in cassaforte. La vedo dura ma non impossibile. Direi impraticabie per costi e tempi di ricupero quindi se ci sono soluzioni miglori ben vengano.

Dai, su! Noi tecnici in queste cose siamo bravissimi.
Io che sono solo un vetusto programmatore di 62 anni, qualche idea me la sono già fatta venire. Non vorrete, voi giovani virgulti, farvi fregare da un anziano (sicuro) e spento (forse) concorrente! Basta fare un concorso per la migliore soluzione e mettere un premio di un milione di dollari (ma che gli economisti calcolino loro il giusto incentivo!) e poi vediamo chi gioca a "si ma" e chi a propporre soluzioni valide.

Ok, giocare mi piace.

, la questione della chiave fisica (carta e cassaforte) va bene per le banche: 1 cassaforte per 1 sistema informatico. Con una distribuzione di apparecchi su scala globale la soluzione mostra la corda. Meglio un server centrale con mezza-chiave, L'altra mezza arriva dalla autorizzazione del giudice di un paese OCSE (e potrebbe essere anche fisica). Ad ogni uso la mezza chiave relativa su server verrebbe bruciata.

Ora ci sono due problemi (magari di più, per ora ne vedo solo 2):
A) La chiave, così come viene messa insieme, deve essere usata una sola volta. Non ho idea come fare in modo che questo accada. O meglio, tutte le idee che mi vengono si scontrano con il fatto che si potrebbe manomettere l'orologio della periferica per fargli credere che la password non sia già scaduta.

B) Chi controlla il server delle mezze chiavi? (abbiamo aumentato solo di un ordine la complessità del problema).

Il gioco può essere divertente per passare la domenica pomeriggio.

Ma, se il malintenzionato di turno installa sul suo device un software di crittazione forte la nostra soluzione, oltre a passare una bella domenica, servirebbe a ben poco.

Diversamente se qualcuno avesse una soluzione che salva capra e cavoli andrebbe a sventolarla a Cupertino (o a Mountain View). Anche senza un concorso, una idea del genere toglierebbe un bel po' di castagne dal fuoco, quindi qualcuno riconoscente non si faticherebbe a trovarlo.

Karl, entrambi i punti che sollevi possono essere risolti, almeno dal punto di vista teorico:

A) Per la "one-time key", il problema è che sia il device da sbloccare sia l'agente di escrow (per esempio, un'entità governativa) devono conoscere un numero potenzialmente molto alto di chiavi, e soprattutto devono rimanere sincronizzati su quale chiavi utilizzare. Così su due piedi mi verrebbero in mente due soluzioni:

- Usare un sistema di cifratura simmetrico (tipo AES) in counter mode. In particolare, si utilizza AES per generare una one-time key partendo da un valore iniziale (VI) condiviso tra agente di escrow e device. Ad ogni utilizzo di una one-time key, entrambe le parti incrementano il contatore ed applicano AES alla vecchia chiave, in modo indipendente. La nuova chiave dipenderà dal valore della vecchia e dal nuovo valore del contatore. Ovviamente, questo sistema funziona solo se VI rimane segreto, e solo se i contatori di entrambe le parti rimangono sincronizzati, problema che avevi già intravisto tu nel tuo commento. Ragionevolmente, uno può aspettarsi che il punto debole in questo schema sia il device anziché l'agente di escrow.

- Visto che nella prima soluzione per un attaccante sarebbe molto più facile compromettere un device anziché un agente di escrow (che magari potrebbe essere, come argomentato da Francesco, una struttura tipo Fort Knox), risolviamo il problema alla base: togliamo la chiave dal device. Dopotutto, il problema essenziale è che l'agente di escrow deve *dimostrare* al device di essere davvero chi sostiene di essere. Quindi la questione può essere vista come un problema di autenticazione. Questo può essere risolto, per esempio, usando protocolli di dimostrazione a conoscenza zero. In particolare, solo l'agente di escrow mantiene la chiave. Applicando il protocollo di dimostrazione, l'agente è in grado di dimostrare al device di conoscere effettivamente il valore della chiave, senza però dovergliela trasmettere. Il protocollo è soggetto ad una probabilità di errore, ovvero un attaccante che si finge l'agente di escrow può ingannare il device con una probabilità di 1/2. Questa probabilità può essere però ridotta a piacere ripetendo il protocollo più volte in modo indipendente (per esempio dopo 20 volte la probabilità di errore è meno di una su un milione, ovvero 1/2^20).

B) Il problema del controllo del server contenente le "mezze chiavi" può essere risolto usando gli schemi di condivisione dei segreti. L'idea è di suddividere la chiave in più server anziché uno solo, ciascuno controllato da un'entità/organizzazione diversa. La distribuzione di questi pezzi di chiave viene fatta da una terza parte. Lo schema funziona in modo che la chiave possa essere recuperata solo se almeno un certo numero di server tra cui essa è stata suddivisa mette a disposizione il proprio pezzo. A questo punto uno potrebbe obiettare che il problema di fiducia è stato semplicemente spostato: magari non ci fidiamo di alcune delle organizzazioni tra cui la chiave è stata condivisa (ma questo problema è risolto dalla proprietà dello schema di condivisione, visto che non tutti i server sono necessari al recupero), ma alla fine bisogna sempre fidarsi della terza parte che distribuisce i pezzi all'inizio. In realtà, anche questo problema può essere risolto usando schemi verificabili. Questi schemi permettono ai server di verificare che i pezzi di chiave siano consistenti, e che il dealer non abbia fatto il furbo.

Ovviamente, tutte queste soluzioni teoriche possono essere interessanti, ma i problemi fondamentali rimangono sempre la scalabilità e i costi di un sistema del genere. Senza contare poi il bypass facile che hai già puntualizzato tu, ovvero il fatto che un criminale/terrorista potrebbe svilupparsi per conto proprio i sistemi di cifratura da usare (probabilmente sbagliando pure ad implementarli e quindi rendendoli violabili).

Grazie

Filippo Riccio 3/4/2016 - 21:09

E' chiaro che dal punto di vista tecnico ne sai molto più di me. Per quanto riguarda le possibilità di enforcement di simili soluzioni (e i relativi costi) credo che ci sarà molto da dire quando arriveremo a dibatterne nel thread sotto il contributo politico e giuridico.

Per esempio la prima cosa che mi viene in mente è: chi garantisce poi che sul device non giri altro software di crittografia che non implementa l'algoritmo del governo? L'agenzia delle dogane che sequestra tutti i telefoni in ingresso agli USA? Un accesso casuale a devices per vedere se davvero i dati che sono stati cifrati sono stati cifrati con quelle chiavi e non con altre introdotte dall'utente? Tutto questo quando si può far girare un sistema di messaggistica nel browser semplicemente collegandosi a un sito internet basato chissà dove? Mah...

Grazie Luca per la risposta,

le mie erano solo idee buttate li' in una domenica piovosa senza un granpremio davanti a cui fare un sonnellino. Grazie anche per gli spunti interessanti, che ho approfondito in questi giorni.

Rimango dell'idea che l'utilita' di avere una passpartout universale e' relativa, per i tanti motivi che sono gia' stati dettagliatamente esposti.

Volendo restare nell'esempio, probabilmente la soluzione piu' semplice sarebbe inserire tutto il meccanismo a livello di cifratura del filesystem (il che amplierebbe la cosa a qualsiasi supporto di memorizzazione oltre ai soli telefoni).

Resterei sull'idea che per usare il passpartout sia necessario un accesso fisico al device e pertanto escluderei la cifratura AES in counter mode a favore dimostrazione a conoscenza zero.

Quanto alla condivisione dei segreti mi piacerebbe che la terza parte che li distrubuisce fosse una entita' indipendente (e tendenzialmente un po' paranoica, tipo EEF), perche' questo sarebbe un fardello notevole da portare.

«Ash nazg durbatulûk, ash nazg gimbatul,
ash nazg thrakatulûk, agh burzum-ishi krimpatul.»

Come succede quasi sempre quando si ha un'idea, tipicamente qualcuno l'ha già pensata, e l'ha realizzata in modo migliore di quanto si potesse già pensare.

Molti altri oltre a me, Francesco, hanno già fatto notare nei commenti a questo post che sistemi di key recovery, escrow et similia sono già stati realizzati in passato. Ed è proprio l'esperienza passata che ha mostrato la loro inadeguatezza e il loro fallimento. Inoltre, si sono rivelati fallimentari in un periodo storico (anni '90) in cui le comunicazioni globali non erano sviluppate e complesse come ora. E già allora, alla fine di quell'esperienza, diversi tecnici del settore mettevano in guardia sull'estrema complessità di realizzazione di un sistema di key escrow universale, scalabile, e utilizzabile solo dalle autorità.

Granted, ciò non implica che realizzare un sistema del genere rimarrà sempre fuori dalla nostra portata. Ma prima di buttarsi nella speculazione selvaggia su come poterlo realizzare, magari forse prima conviene documentarsi sulla letteratura a riguardo, ed apprezzare meglio le difficoltà tecniche in esso insite. Quindi, ti invito nuovamente a leggere questo paper:

  The Risks of Key Recovery, Key Escrow, and Trusted Third-Party Encryption

Lo so, leggere richiede tempo. Ma continuare a dibattere ignorando la letteratura scientifica a riguardo mi pare poco fruttuoso. D'altro canto, finora tu non hai portato alcuna documentazione a supporto dei tuoi claim. Tutte le tue argomentazioni sono impressioni e idee basate sulla tua esperienza lavorativa personale. Ovviamente, non metto in dubbio che la tua esperienza sia molto estesa e utile. D'altronde, nella mia limitatissima esperienza (sono ancora studente di dottorato) ho già notato che parecchi colleghi che lavorano in ambito IT quasi mai riescono ad apprezzare la complessità dei problemi affrontati in crittografia, e finiscono per affrontarli in maniera naive esattamente come stai facendo tu.

Di più, sempre dalla mia limitata esperienza ho notato che gli attori del mondo industriale (dove per "industriale" intendo "non accademico") finiscono per volere soluzioni *molto* più insicure ma, dal loro punto di vista, più "efficienti" e "praticabili". E questo considerando che le soluzioni tecniche allo stato dell'arte che gli si propone, in realtà, sono completamente fattibili e "within reach".

Icaro

Francesco Forti 3/4/2016 - 19:07

Beh, quel "quasi sempre" non mi convince perché se tu avessi ragione saremmo probabilmente ancora all'età della pietra. Non lo siamo e so che questo non significa affatto che ogni idea avuta in passato fosse per forza brillante. Le idee si valutano solo per quello che sono e capita che idee vecchie, che non erano realizzabili in passato, diventino realizzabili in seguoto, quanto la tecnica trova le soluzioni. Facile dire, nel 1700, che il mito di Icaro (idea vecchie e già carici di mitici fallimenti) fosse un sogno per pazzi. Oggi si vola normalmente ed è pure il sistema di trasporto piu' sicuro. In effetti con sistemi piu' complessi delle ali piumate di Icaro, ma ci siamo capiti, spero.Idem per andare sulla Luna.

Quanto al tuo consiglio di lettura, hai ragione nel dire che leggere (e capire) richiede tempo, nota risorsa scarsa. Sono anche d'accordo sul concetto che simili soluzioni implicano rischi e costi. Ma quello che forse non si è capito che siamo in presenza di un trade-off con ben altri costi e rischi (vite umane, sicurezza nazionale) e quindi alla fina una decsione va presa.

Si è capito, e continuare a metterlo in dubbio mi sembra anche abbastanza improduttivo.

Quando decidete come fare le norme sulla sanità, vi rivolgete ai medici per sapere quali sarebbero costi e benefici dei vari trattamenti possibili?

Quando decidete come fare le norme sulla radioprotezione, vi rivolgete ai fisici sanitari e agli ingegneri nucleari per sapere quali sono i rischi e le contromisure che si possono prendere contro tali rischi?

Ecco, vi siete rivolti agli esperti di crittografia e avete ricevuto una risposta chiarissima: "limitare la crittografia è pericoloso per la sicurezza". Anche nazionale. Non solo di qualche anarchico in lotta perenne contro il potere.

Ora potete decidere se ascoltare questo parere, oppure ignorarlo e discutere come si fa di sanità sui forum di omeopatia, o di radioprotezione su ecoblog...

Innanzitutto mi scuso: la frase con cui ho iniziato il mio commento l'avevo intesa come una battuta, ma per come l'ho scritta in effetti è abbastanza perentoria.

Venendo al tuo paragone con il volo e con il mito di Icaro, mi hai fatto venire in mente un'osservazione che avevo letto tempo fa sul "Artificial Intelligence: A Modern Approach" di Russell e Norvig. La faccenda in quell'ambito riguardava la possibilità di costruire "macchine pensanti", ma l'osservazione è di carattere puramente generale e prende spunto proprio dal caso del volo umano:

Gli esseri umani hanno imparato a volare quando hanno smesso di imitare gli uccelli.

Ed è esattamente ciò che riconosci anche tu scrivendo "con sistemi piu' complessi delle ali piumate di Icaro".

Mutatis mutandis, non pensi che per risolvere il problema di cui stiamo discutendo, forse, c'è anche la possibilità che la soluzione la troveremo cercando in un'altra direzione che non sia il key escrow (notare che per key escrow non mi riferisco a nessuna soluzione tecnica in particolare, ma alla questione generale di permettere l'accesso alle autorità a dati cifrati)? 

Sì, lo penso. Ritengo che se soluzione verrà trovata, sarà sicuramente migliore di key escrow ma probabilmente verrà trovata proprio approfondendo pro e contro di soluzioni come quella. Il che mi fa pensare che è solo continuando ad approfondire una soluzione che poi se ne risolvono i problemi, anche con innovazioni concettuali notevoli.

L'esempio che proponi:

Sarebbe come a dire che siccome un ladro esperto puo' entrare quando vuole in casa mia, tanto vale lasciare porte e finestra aperte. O che siccome esiste bitcoin allora buttiamo a macero tutti i dollari.

Non mi sembra centrato, direi piuttosto:

Sarebbe come a dire che siccome un ladro esperto puo' nascondere la sua refurtiva in modo inaccessibile all'FBI, e' inutile che questa chieda a tutti di lasciare la chiave sotto lo zerbino per facilitare una eventuale irruzione.