Titolo

La guerra alla crittografia - alcune questioni tecniche

11 commenti (espandi tutti)

(e poi taccio per sempre)

io ammetto di non capire i problemi tecnici, ma, Giorgio ed Enzo, voi non capite il problema politico. La gente comune è terrorizzata, molto oltre la gravità pratica del problema del terrorismo (il numero di morti è una frazione minima di quelli per incidenti stradali). Reclama che si faccia qualcosa. Ci sono molti populisti disposti a suggerire soluzioni disastrose (espellere i musulmani, costruire muri ai confini, introdurre la pena di morte etc.). La soluzione ragionevole è una combinazione di diplomazia+operazioni militari mirate in Medio Oriente, propaganda anti-radicale e azione di intelligence in Occidente. tanto più la soluzione ragionevole è perseguita con coerenza e decisione, tanto meno grave è il terrorismo quindi tanto meno grave il rischio di vittoria dei populisti. OK?

 Una componente essenziale dell'intelligence è la decrittazione dei messaggi dei terroristi, OK?

  Ammettiamo che esista il programma di crittografia perfetto e che sia impossibile impedire che alcuni terroristi lo usino. Non sarà possibile decrittare i loro messaggi. Male - è come un terremoto di grado 9.9 nella scala Richter.

Ma ci sono anche i terremoti inferiori, e questi possono essere prevenuti costruendo case antisismiche. Io ritengo opportuno farlo, e credo che siano d'accordo anche i cittadini (o almeno i loro rappresentanti in parlamento che hanno votato le leggi antisismiche)

Lo stesso vale per la crittografia. Secondo me le ditte devono collaborare, e la Apple fa male ad opporsi ad una richiesta del giudice (forma legittima e democratica). Se lo faccia per motivi ideologici o di marketing è indifferente. Se dietro alla richiesta stia la Spectre  o no, è giudizio personale.

Ovviamente l'analogia non regge nella misura in cui i terremoti sono sempre negativi, mentre la crittografia è utile. Il punto di equilibrio è un problema politico - sono i cittadini che devono decidere quale livello di privacy vogliono.  La privacy NON E' UN VALORE ASSOLUTO - molti possono preferire meno privacy e più protezione. Il compito dei tecnici è quello di spiegare le alternative (che possono comprendere anche 'non si può far nulla contro il software X'), non quello di decidere che la privacy è più importante della lotta al terrorismo. E' lo stesso caso del debito pubblico. Gli economisti possono dire 'è meglio ridurre le spese che aumentare le tasse' o 'oltre il livello X il debito è insostenibile' etc. ma poi alla fine è il popolo (o le lobbies) che deci de. Nel caso della privacy, ho l'impressione che il livello preferito, almno in Italia, sia abbastanza basso, sia per la diffusione dei social media (una forma di esibizionismo) sia per il caso della lotta all'evasione. Da oggi lo stato ha accesso a tutte le informazioni sui conti correnti

Giovanni, non so se hai notato che nonostante le tue accuse di paranoia io finora non ho mai parlato di privacy. Mai neanche una volta, perche' la privacy e' tutto un altro discorso ancora in cui non voglio nemmeno entrare perche' molto molto piu' complesso.

Fino ad adesso, io e tanti altri in questo thread abbiamo solo cercato di spiegare come all'atto pratico, non sia possibile impedire al terrorista di non usare la criptografia, punto e basta. Tu continui a sostenere che a) i terroristi usano crypto b) bloccare crypto blocca i terroristi e c) bloccare i terroristi blocca l'ascesa dei populisti. Nessuna delle tre affermazioni ha ALCUN supporto, si tratta soltanto di tue congetture personali e wishful thinking. 

 

 

 

 

 

sulle perverse intenzioni dell'FBI.

Buonanotte

No carissimo. Se ti riferisci al fatto che FBI ci tenesse a creare un precedente legale, lo ha affermato FBI stesso come ha linkato anche Enzo piu' sopra: http://www.theguardian.com/technology/2016/feb/25/fbi-director-james-com...

Se ti riferisci a cio' che sappiamo dei programmi di sorveglianza globale, sono tutti largamente confermati: https://en.wikipedia.org/wiki/Global_surveillance_disclosures_(2013%E2%80%93present)

Se ti riferisci ad altro, mi stai mettendo in bocca cose che non ho scritto da nessuna parte.

Come giustamente affermi più su: lo decide la Supreme Court.

Sempre più su affermi: "Ci sono molti populisti disposti a suggerire soluzioni disastrose (espellere i musulmani, costruire muri ai confini, introdurre la pena di morte etc.)."

Qual è il problema quindi? Ci sta la Supreme Court no? O il problema è che Trump alla Casa Bianca non fa dormire (te) sonni tranquilli mentre la Clinton sì? E` la democrazia e qualcuno che adesso non dorme bene dormirà meglio in quel caso. O no?

Cio` detto i governi hanno già tutti i mezzi per accedere alle comunicazioni dei cittadini (soprattutto dei loro) nella stragrande maggioranza dei casi (elettronica\software commerciale).

A naso ritengo che la NSA sia già in grado di rompere molte delle cifrature pubbliche considerate inviolabili senza ricorrere al bruteforce ma questo è (probabilmente) poco pratico nel caso si voglia, ad esempio, collezionare dati e metadati indiscriminatamente per il semplice motivo che se fosse semplice qualcun altro (e non mi riferisco a un altro stato) presto o tardi lo troverebbe.

Il miglior compromesso possibile è a parer mio che certe cose si possano fare ma con uno sforzo che, per le risorse tempo\potenza di calcolo necessarie, siano esclusiva (per un intervallo temporale sufficientemente lungo) degli stati.

Cioè come adesso.

che sull'onda del terrore causato dall' 11 settembre gli americani hanno concesso e preteso un Patriot Act che già molto prima del 2011( primo decennio dalla strage dell'11 settembre) una buona fetta di cittadini si sente oppressa dalla invasione sulla propria libertà personale causata dalla cascata di ritorno che il Patriot Act ha causato nella società USA.  Nonostante ciò il fatto che queste misure limitative della libertà hanno prodotto di fatto l'assenza di altri fatti identici all'undici settembre fanno sopportare tutta l'invasione agli spazi personali in aereoporto.

Per me la privacy non è un valore assoluto e se una ditta come Apple potesse aiutare a bloccare i pazzi che si fanno esplodere uccidendo civili e lasciando menomati a vita centinaia di persone lo troverei un atto assoluto di influenza positiva sulla società.

poi si sa, il Dio Denaro vale più di qualsiasi altro oppio dei popoli 

 

solo un esempio

Nonostante ciò il fatto che queste misure limitative della libertà hanno prodotto di fatto l'assenza di altri fatti identici all'undici settembre fanno sopportare tutta l'invasione agli spazi personali in aereoporto.

Ecco un altro esempio molto comune di non sequitur. Questa e' una logical fallacy anche nota come monster under the bed: mio papa' mi ha dato un orsacchiotto magico che dorme vicino a me e scaccia i mostri da sotto il letto. So che funziona perche' da quando ce l'ho non ho mai visto nessun mostro. 

TSA security controls fanno soltanto quello che si chiama Security Theatre: infatti, quando il governo ha commissionato test in incognito, il 95% delle armi da fuoco e' passato attraverso TSA senza che nessuno se ne accorgesse.

L'unica cosa che e' servita ad avitare altri 9/11 e' stata l'esperienza, insieme alle porte blindate in cabina. Poi ovviamente le porte blindate sono state responsabili degli incidenti germanwings and egyptair ma si sa che il diavolo fa le pentole ma non i coperchi...


Trade-off

ASTROLOGO 31/3/2016 - 16:05

Ammetto di fare molta fatica a seguirla in tutta questa discussione. La contrapposizione privacy vs sicurezza, che qui è accettata acriticamente, mi sembra affetta da un bias Occidente-centrico, per così dire. Cioè chi la propone pensa evidentemente che la privacy non abbia da fare con la sicurezza. L'assunzione implicita è che le pubbliche autorità siano sempre e comunque i buoni e che difendano i cittadini dai cattivi. Non è pacifico che sia così. Per chi in Russia o in Turchia è giornalista, politico, attivista, forse anche cittadino qualunque, non mettere in sicurezza i propri dati può significare la perdita della libertà o della vita. Ossia, la privacy non è una fisima liberal, come potrebbe sembrare a un occidentale con il suo corredo di diritti civili garantiti. (E comunque, anche in Occidente, non sempre e non ovunque le autorità pubbliche sono i buoni e i diritti dei cittadini garantiti).

La stessa definizione di criminale e terrorista, che per lei e per altri paiono non essere problematiche, sono tutt'altro che univocamente definite. Per Putin tutti coloro che combattono Assad sono terroristi. Per gli USA Snowden è un criminale, non così per altri Stati, anche occidentali. La Russia gli ha dato asilo politico.

Da che cosa deriva la sicurezza che il "compromesso" sia, oltre che auspicabile, anche possibile? In che cosa consisterebbe concretamente? quale esperto di sicurezza ha proposte che vanno in quella direzione? Perchè limitarsi a dire che un compromesso è solo una questione di  buona volontà e non andare oltre è un atto di fede. A supportare la posizione di Apple ci sono esperti di sicurezza, aziende high tech e associazioni per la difesa dei diritti civili. Dalla parte dell'FBI ci sono politici e enti pubblici. Già questo dovrebbe rendere chiaro il quadro della situazione, cioè chi voglia cosa. Per lo meno dovrebbe far drizzare le antenne.

"La privacy NON E' UN VALORE ASSOLUTO"

ritorna fuori il concetto su cui ho risposto all'inizio e, visti i commenti, cerco di spiegarmi meglio, in pratica con un "ossimoro":

"PER ME la mia privacy e' un valore ASSOLUTO!"

..e cerchero' di difenderla con le unghie e con i denti, alleandomi con chi la pensa allo stesso modo.

per gli altri, facciano come gli pare meglio. comincino pure a scrivere le loro lettere personali sulle cartline invece che dentro alle buste postali, magari si risparmia pure sul francobollo (una volta era cosi' qui in Italia).

e per fortuna che per le tecnologie informatiche, allo stato in cui siamo adesso, il modello "bottom up" puo' ancora dire qualcosa, vedasi come un SO come Gnu/Linux (e "cugini" aperti ma meno "bazaar") in 20 anni e' passato da inseguitore a leader in tutti gli aspetti critici del trattamento digitale dei dati.

Scusa Giovanni, ho una domanda che magari ti sembrerà ingenua:

Posto che uno dei grossi problemi relativi al terrorismo (almeno, nel tuo ragionamento mi pare sia preponderante) è l'errata percezione del rischio dell'"uomo medio", non credi che forse sarebbe più utile lavorare sulla corretta comunicazione di questo rischio?

Cerco di mettermi nei tuoi panni, probabilmente esagerando le tue credenze reali: ammetti tu stesso di non riuscire ad apprezzare le difficoltà tecniche nella realizzazione di un "sistema di backdoor" universale, scalabile, e che possa essere usato soltanto dalle autorità. Inoltre, la comunità dei techies, quella che dovrebbe risolvere queste difficoltà tecniche, sembra essere refrattaria a qualsiasi mediazione ed eccessivamente tranchante sull'(im)possibilità di realizzare questo sistema. Supponiamo perfino di non poterci fidare di questi techies, perché la loro prospettiva è completamente distorta dalla loro expertise, e ciò li pone decisamente in una torre di avorio.

Concentrarsi sulla comunicazione corretta del rischio, d'altro canto, è un problema squisitamente politico, con cui la crittografia non c'entra assolutamente nulla. E a me, personalmente, sembra il metodo più fattibile per evitare le tragiche conseguenze che evochi nel tuo intervento (ascesa dei populisti, soluzioni disastrose per la società, ecc.)

Mi piacerebbe inoltre precisare una cosa del tuo intervento. Questa tua frase:

"Una componente essenziale dell'intelligence è la decrittazione dei messaggi dei terroristi, OK?"

in realtà, non è affatto scontata e andrebbe dimostrata. E se ci fai caso, il commento con cui ho aperto al thread creato da Michele Boldrin verte esattamente su questo aspetto: l'utilità dei dati dei terroristi decifrati dalle autorità. Curiosamente, nessuno sembra avere notato questa mia domanda, quindi ti chiederei gentilmente, se possibile, di elaborare su questo problema. Perché reputi che la "decrittazione dei messaggi dei terroristi" sia "una componente essenziale dell'intelligence"?. Notare che per "decrittazione" intendo dire esattamente la realizzazione di un sistema di backdoor universale, scalabile e impiegabile soltanto dalle autorità. Intesa in un senso più ampio (come "intercettazione") la risposta è banalmente intrinseca allo scopo stesso delle agenzie di intelligence.