False promesse

GENUINE FAKE WATCHESMolte persone non tecniche credono che un algoritmo di crittografia inattaccabile in tempi ragionevoli favorisca solamente i criminali.

Chiariamo subito che la frase “se non hai nulla da nascondere, non devi nascondere nulla” è tipica dei regimi dittatoriali o totalitari e deve essere ribaltata in “se non ho nulla da nascondere non devi venire a cercare nulla qui da me”.

Dobbiamo partire dal principio inviolabile che la privacy sia un diritto non negoziabile e mantenere saldo questo principio, ad ogni costo.

Le comunicazioni cifrate rese, quindi, private ad occhi terzi rispetto al mittente e destinatario non sono prerogativa delle associazioni criminali, ma sono un diritto inalienabile dei cittadini. Questa non è una novità, basti pensare alla garanzia di libertà e segretezza della corrispondenza che non solo è garantita dalla nostra Costituzione (art. 15: La libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione sono inviolabili. La loro limitazione può avvenire soltanto per atto motivato dell’autorità giudiziaria con le garanzie stabilite dalla legge.), ma è inclusa nella Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali del 1950 (art. 21, comma 1: ogni persona ha (…) libertà di ricevere o di comunicare informazioni o idee senza che vi possa essere ingerenza da parte delle autorità pubbliche e senza considerazione di frontiera). La nostra legge vigente in merito alle intercettazioni delle comunicazioni dice che l’autorizzazione è data con decreto motivato quando vi sono gravi indizi di reato e l’intercettazione è assolutamente indispensabile ai fini della prosecuzione delle indagini (art. 267 del Codice di Procedura Penale).

Se più d’uno nel corso degli anni si è preso il disturbo di mettere nero su bianco su questi documenti la libertà di corrispondenza e i limiti dell’azione delle intercettazioni c’è ben più di una valida ragione.

La presunzione che con meno crittografia ci sarebbe meno criminalità non ha riscontri nella realtà dei fatti ed è una pura illusione. La cronaca relativa alle attività della criminalità organizzata dimostra che i criminali efferati (non i ladri di polli) sono ben attenti a non utilizzare metodi tecnologici intercettabili per le loro comunicazioni.

La crittografia dei dati serve a proteggere da utilizzi abusivi di ciò che viene scritto; gli esempi sono molteplici e vanno dal vicino di casa che lavora come impiegato nel centro analisi mediche dove vi siete recati, ai dati del vostro conto corrente, alla corrispondenza con la persona amata, alle barzellette sconce che vi scambiate con gli amici. Tutto quanto scritto in un contesto privato deve rimanere tale by design, ovvero deve essere la tecnologia utilizzata per scambiare i dati a garantire strutturalmente che le comunicazioni restino segrete.

Se una persona può essere minacciata da qualcuno che potrebbe rivelare dati sensibili o imbarazzanti non è una persona libera, ma vive sotto il giogo di chi la minaccia. Chi tenta di estorcere denaro o controllare le persone con la minaccia di rivelare o utilizzare dei dati personali sono solamente i criminali e gli stati totalitari. Ecco quindi che la crittografia ci protegge dai criminali, organizzai od occasionali che siano.

È quindi fondamentale utilizzare metodi di crittografia riconosciuti come sicuri. Tra questi non ci sono certamente le società che fanno discorsi da santone della tecnologia rivelata e “garantiscono” che il loro algoritmo super-segreto o il loro chip segreto super-sicuro sono inattaccabili. Tutta propaganda. Anche qui la storia ha dimostrato che la sicurezza attraverso la segretezza degli algoritmi è fallimentare e più di una volta si è scoperto che molti sedicenti algoritmi super segreti erano poco più che degli XOR.

Al contrario, si ha una maggiore segretezza se gli algoritmi utilizzati sono pubblici, condivisi e analizzabili da chiunque (attenzione: gli algoritmi, non le chiavi!) perché se un algoritmo è pubblico c’è statisticamente una maggior probabilità che qualcuno trovi dei bachi o dei metodi per migliorarlo. Chi scrive software sa benissimo che quando nessuno o pochi controllano è umanamente portato a prendere scorciatoie, mentre se sa che il suo codice verrà letto da altri è molto più attento a non commettere errori.

Ad ulteriore dimostrazione che i temi della falsa promessa di sicurezza sono tutt’altro che nuovi, va ricordata questa frase di Benjamin Franklin: coloro i quali rinuncerebbero al diritto fondamentale della libertà per acquistare un pochino di sicurezza temporanea non meritano né libertà né sicurezza.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

Un pensiero riguardo “False promesse”

  1. Domandina per tutti quelli che dicono “io non ho nulla da nascondere”

    Quando spedisci una lettera, la busta ce la metti oppure no?

Spazio per un commento