Titolo

La guerra alla crittografia - alcune questioni tecniche

2 commenti (espandi tutti)

Infatti

Filippo Riccio 3/4/2016 - 21:01

Infatti ho parlato appunto di una specifica, non di codice scritto dal governo che gira sui telefoni.
Ora, se si assume che il governo voglia aver accesso ai dati tramite l'implementazione di una qualche specifica "obbligatoria", ovviamente ci sarà almeno una implementazione usata dal governo per garantire l'accesso a tali dati... altrimenti di cosa stiamo parlando? Se invece si sta pensando ad obbligare le aziende, ciascuna a suo modo, ad implementare un qualche tipo di accesso privilegiato, senza una specifica dettata dal governo... be', sarebbe pure peggio: perché l'accesso non sarebbe garantito (in linea di principio) solo al governo, ma anche all'azienda stessa, e non crederete che l'utente di un iPhone si fidi di Apple più di quanto si fidi dell'FBI! In tal caso apparirebbe probabilmente un qualche tipo di standard di fatto (dissezionato accuratamente dai guru della crittografia), e open source, con la garanzia dell'accesso demadata a un qualche sistema di chiavi private, il che ci porta a una situazione del tutto equivalente al caso iniziale. Ricordo peraltro che sui telefoni girano anche sistemi operativi open source; in realtà sulla maggior parte dei telefoni gira Android, e non c'è nessun problema a scaricare ed installare la versione di Android prodotta in Finlandia, Mongolia o Botswana in cui la libreria di crittografia di Google viene sostituita immediatamente e senza colpo ferire con quella senza accesso garantito al governo (o, nella tua variante, a Google nel caso il giudice USA ordini a Google di accedere). Anzi probabilmente si creerebbero istantaneamente due mercati, uno "indebolito per USA", e uno "sicuro per il resto del mondo", con grande gioia di Putin e di altri "alfieri della libertà"...

Mi aspetto di poter discutere delle implicazioni di tutto questo nel thread che si aprirà sotto il contributo politico e giuridico, ammesso che vengano presentate delle possibili implementazioni "almeno in linea di principio" pratiche. Da cui si potrebbe cercare di inferire le conseguenze sia in termini di possibilità di enforcement, sia in termini di pericoli per la sicurezza. Se no possiamo anche aprire una discussione sulle opere letterarie di William Gibson.

Beh le persone devono già fidarsi dei dipendenti di apple e google per utilizzare i loro servizi, nell' ambito del programma Prism sono le aziende che consegnano gli account, dati metadati e comunicazioni nelle mani dell' NSA, non c'è nessun accesso prvilegiato del governo a questi dati, vengono presi e consegnati dalle aziende stesse e ovviamente sono ancora i dipendenti di apple e google  che corregono eventuali falle zero day nei prodotti dell' aziende e  potrebbero farne uno uso sbagliato(venderle?), gli utenti possono solo fidarsi o non usare il servizio... Detto questo io, de facto, non posso in alcun modo impedire l' uso di una determinata crittografia o sistema operativo, esattamente come non posso impedire a due persone di parlare in codice al telefono, io dico semplicemente che si potrebbe rendere l' accesso all' uso della crittografia un po' più complicato, l' Android Botswana edition potrebbe esistere, ma potrebbe essere castrato dal mancato accesso ad alcuni servizi come il palystore o whatsapp ecc. che sono cose stupide ma rendono  certamente complessa la comunicazione e la reperibilità di determinato software che andrebbe o scritto da zero o reperito nei circuiti P2P o attraverso Tor, complicando un po' le cose, quanto ? beh dipende dalle capacità di chi cerca di aggirare l' ostacolo, ma molto anche dalla politica, se Usa e UE sono divisi come sembra, allora possiamo  anche smettere di pensarci, quello che volevo dire è che se vovessimo fare una gurra alla crittografia non dovremmo porre i nostri sofrzi lato decrittazione ma cercare di scoraggiarne l' uso e che il principale ostacolo di una guerra alla crittografia è la sua efficacia(ostacolo non da poco) e non  tanto il rischio sicurezza degli utenti...