La guerra alla crittografia - alcune questioni tecniche

28 marzo 2016 giorgio gilestro

[Nota della Redazione. Pubblichiamo oggi questo stimolante contributo di Giorgio Gilestro pur avendo, come redazione, sostanziali dubbi sul suo contenuto. Non tanto sul sul contenuto tecnico (punti 1-4 e, parzialmente, 5) ma sulla parte politico-valutativa finale (parte del punto 5 e seguenti). Ci eravamo ripromessi di accompagnarlo con un contributo redazionale che intendeva rendere evidente perche', una volta chiariti i dettagli tecnici, la questione politica e giuridica rimanga e non abbia l'univoca interpretazione che GG offre e sia invece molto complessa e per nulla risolta. Ne', forse, facilmente risolvibile. Gli impegni di lavoro ce lo hanno impedito e, visto che ce lo impediranno per i prossimi giorni a venire, non ci e' sembrato opportuno ritardare ulteriomente la pubblicazione del contributo di Giorgio. Apriamo quindi la discussione consapevoli che esiste spazio sostanziale per ulteriori interventi e chiarificazioni, che sono benvenuti e ripromettendoci di intervenire appena gli impegni professionali ce lo permettono. Grazie a Giorgio Gilestro per la pazienza dimostrata. ]

Negli ulitmi mesi si è parlato molto di crittografia, a vari livelli. In particolare, si è parlato dell'uso criminale di sistemi crittografici e di cosa uno stato dovrebbe fare per difedendersi. Provo a dare un po' di strumenti tecnici sulla questione, sperando di aiutare a capire la portata del problema – e anche le intenzioni politiche più o meno esplicite.

1. A cosa serve la crittografia?

La crittografia, come dice la parola stessa, serve a nascondere un messaggio. In sostanza, a rendere un'informazione accessibile soltanto a chi è in grado di decifrare il crittogramma. Nella vita di tutti i giorni, questo si traduce in una miriade di operazioni informatiche che vanno dall'uso del bancomat al commercio online, alle comunicazioni cifrate di forze dell'ordine e militari.

2. Esistono tanti tipi di crittografia?

All'atto pratico, la crittografia moderna si divide in sostanzialmente solo due tipi di algoritmi: crittografia a chiave unica o simmetrica e crittografia a chiave pubblica. Nel primo caso, come è facile intuire, la stessa chiave deve essere usata per cifrare e decifrare il messaggio. Quando cifriamo i files su un computer o uno smartphone, è questa che usiamo il più delle volte. Si basa su algoritmi di sostituzione progressiva che sono tanto complessi quanto più è complessa la chiave: per fare un paragone un po' azzardato ma comprensibile, pensate a quei "quadrati magici" che si trovavano una volta nelle patatine, numerati da 1 a 15 o figuranti una immagine. Scombinare il quadrato equivale a cifrare il messaggio: più caselle si spostano, più è lunga la chiave e più è difficile tornare alla situazione di partenza.

Il gioco del 15 - Un esempio concettuale di crittografia di sostituzione.

Il secondo tipo di crittografia, invece, si usa quasi esclusivamente per passare messaggi da un mittente ad un recipiente oppure per "firmare" digitalmente un messaggio e richiede quattro chiavi: due private, che sono note soltanto al mittente e al ricevente rispettivamente e due pubbliche che sono note al mondo intero – così pubbliche, che sono pubblicizzate attraverso database: ad esempio la mia chiave pubblica si trova qui. Per mandarmi un messaggio sicuro, avrete bisogno della vostra chiave privata e della mia chiave pubblica. Per decifrare il messaggio cifrato, io userò la mia chiave privata e la vostra pubblica. Il sistema a chiave pubblica è molto ingegnoso ed affascinante perché si basa su moltiplicazioni di numeri primi molto grandi e su concetti anarchici di "web of trust"; entrambi concetti molto cari ai techies (se un vostro amico vi confida di essere stato a un "key signing party", sappiate che può vestire il badge di nerd con grandissimo orgoglio). In sostanza la crittografia a chiave pubblica, che è stata inventata negli anni 60, è quello che la PEC avrebbe dovuto essere se i nostri politici non avessero per qualche motivo deciso di reinventare la ruota.

3. Quando una crittografia è “sicura”?

Una crittografia è sicura quando si verificano tre condizioni:

  1. La chiave usata per cifrare il messaggio è tenuta sicura
  2. La chiave usata per cifrare il messaggio è complessa abbastanza da non poter essere indovinata
  3. L'algoritmo usato per cifrare il messaggio è ben implementato

Il primo caso è semplice da capire. La chiave può essere il pin del vostro bancomat o la password della casella di posta elettronica. Possono essere complicatissime, ma se rimangono scritte su un post-it attaccato al monitor o dentro il portafogli, allora la chiave non è molto sicura. Un esempio un pochino più tecnologico – e all'atto pratico più utile - riguarda come i siti Internet con cui normalmente interagite salvano la vostra password. Per loggarvi a nFA, voi userete un username e una password, che il server di nFA dovrà salvare da qualche parte per potervi riconoscere ogni volta. Lo username è di solito salvato in chiaro. La password, invece, dovrebbe essere salvata crittata, con un algoritmo così detto di "hashing". L'hashing è quella che in inglese si chiama trapdoor function, cioé una funzione matematica asimettrica che permette di andare facilmente da A -> B ma molto difficilmente da B -> A. Diffidate sempre dei siti web che sono in grado di ricordarvi via email quale è la vostra password perché se lo fanno, vuol dire che la salvano nel loro database senza farne un hash – il che significa che chiunque riesca a impossessarsi di quel database in maniera fraudolenta avrà accesso alla vostra username e alla vostra password. Può sembrare un problema innocuo, ma non lo è perché la maggiorparte degli utenti commette l'errore fatale di usare sempre le stesse credenziali per tutti i siti web (vedi alla voce password reuse).

Il caso 2 è anche semplice da intuire: più è complicata la password, meno facile sarà indovinarla. Il livello di sicurezza di una password si chiama entropia e si misura in bit. Usando un sito come questo, potete avere una idea di quale sia l'entropia della vostra password preferita. Questo sito invece genera passwords di diversa entropia ogni volta che viene caricato.

La terza condizione riguarda l'implementazione dell'algortimo – di solito si parla di implementazione informatica. Gli algoritmi più usati sono una manciata e si basano tutti su librerie di codice aperto, che vengono continuamente scrutinate. Ogni tanto capita che un bug venga inserito nel codice e che renda l'implementazione dell'algoritmo più debole di quanto non debba esserlo (uno dei casi più gravi e più recenti è quello di heartbleed di cui si è parlato tanto l'anno scorso). Bug di questo tipo vengono scoperti periodicamente e non è mai davvero possibile capire se sono stati inseriti per errore o per malizia. Nel secondo caso, si possono anche chiamare backdoors.

4. Come si fa a decifrare un messaggio in maniera illegittima?

Per decifrare un messaggio non indirizzato a noi, bisogna necessariamente colpire una delle tre condizioni di sopra: cioé bisogna scoprire quale è la password (1) oppure indovinare quale è la password (2) oppure identificare delle falle nell'implementazione dell'algoritmo (3). Non esistono alternative. Tutti e tre i tentativi vengono usati con successo e continuamente. Il modo più semplice per colpire il punto (1) è usare quello che si chiama "social engineering". In sostanza, si tratta di contattare la persona e convincerla in qualche modo a rivelarvi la password. Funziona quasi sempre se fatto bene. Per colpire la condizione (2), invece, si ricorre alla forza bruta (brute forcing) che consiste semplicemente nel provare passwords a ripetizione. Prendete un lucchetto a combinazione numerica da armadietto delle piscina e provate ad aprirlo inserendo tutte le combinazioni possibili: avrete fatto brute forcing. Ovviamente brute forcing dipende largamente dall'entropia della password ma anche dalla sua unicità. Una password ad entropia molto alta ma poco unica, è comunque abbastanza facile da indovinare. Infine, il caso (3). Esiste una rete di professionisti del crimine atta a trovare debolezze in codice informatico. Queste debolezze vengono poi vendute sul mercato nero sotto nome di zero-days. Ogni zero-day viene venduto su forum internet nascosti ad un prezzo che va dai 30 mila dollari al milione di dollari l'uno.

5. Che tattica usano i governi per intercettare i messaggi criptati?

Essenzialmente tutti e tre i sistemi di cui ho appena parlato. La tattica (1), per un governo, è ancora più semplice da attuare. Un governo non è costretto a rubarti la password con l'inganno, può semplicemente obbligarti a rivelarla. Molti Stati utilizzano quella che si chiama "Key Disclosure Law", ovvero posono domandare a chiunque venga trovato in possesso di materiale cifrato di comunicare la chiave, pena la reclusione. Negli USA, la key disclosure law sarebbe di per sé incostituzionale perché non compatibile con il quinto emendamento – è stata però raggirata col Patriot Act. Del resto Guantanamo è un po' come Las Vegas.

image

La tattica (2) viene usata ogni qual volta la prima non funzioni o perché il soggetto che detiene la chiave sia morto (come nel caso recente di San Bernardino) o perché si vuole avere accesso ai dati senza che il soggetto se ne accorga. Qui giace un concetto della crittografia molto importante da capire: indovinare una password con brute force non è MAI matematicamente impossibile. È però matematicamente inattuabile. Cerco di spiegare perché. Esiste una proprietà fisica che deriva dal secondo principio della termodinamica e nota come "limite di Landauer". In sostanza, questo dice che cambiare uno stato di informazione di un bit deve avere un costo fisico che è calcolabile come kT * ln2 dove k è la costante di Boltzman e T la temperatura del sistema in gradi Kelvin. Notare che il limite di Landauer è un limite minimo teorico che si applica al computer perfetto. Le macchine di cui disponiamo oggigiorno, sono milioni di volte meno efficienti del limite di Landauer. Ma immaginiamo di riuscire, un giorno, a costruire il computer perfetto e immaginiamo di riuscire a farlo operare alla temperatura più vicina allo zero assoluto. Dato che k=1.38⋅10−16erg/∘Kelvin e data la temperatura dell'universo di 3.2K, questo computer perfetto consumerebbe 4.4⋅10−16 ergs ogni volta che deve spostare un bit. L'energia rilasciata dal Sole, in un anno è di 1.21⋅1041 ergs e se riuscissimo a raccoglierla tutta costruendo una sfera di Dyson che ruoti intorno al sole, riusciremmo a far fare al nostro computer perfetto 2.7⋅1056 operazioni, cioé potremmo risolvere per brute force una chiave ad entropia 187 bit. Se riuscissimo a raccogliere tutta l'energia del Sole, con una macchina perfetta nello spazio profondo per 32 anni, riusciremmo a decifrare un messaggio criptato con chiave a 192 bit. Se riuscissimo a incanalare tutta l'energia di una Supernova nel computer perfetto, riusciremmo a risolvere una chiave di 219 bit. La chiave usata da software di criptografia comuni è a 256bit.
Insomma, spero di aver reso l'idea che la tattica numero 2, cioé di brute forcing, non è utilizzabile né mai lo sarà, fintato che la password è abbastanza sicura. Vale anche la pena considerare che una password di 256 bit non è poì così complicata. La password "Finche la barca va, lasciala andare" è facile da memorizzare e ha un'entropia di circa 150 bit che richiederebbe 9.26 trillion trillion trillion trillion di secoli per essere decifrata con un supercomputer moderno.
Rimane la tattica (3): identificare – o inserire – bugs nell'implementazione dell'algoritmo, anche noti come backdoors.

5. Ok, allora quali sono le nostre opzioni se vogliamo "leggere i messaggi crittografati" dei terroristi e delle persone cattive?

Abbiamo chiarito che la tattica 1) è la più semplice da utilizzare per uno Stato sovrano. La tattica 2) è impraticabile se ben implementata ma relativamente semplice se la chiave è a bassa entropia. La tattica 3) richiede la complicità di chi costruisce il software. In sostanza, non esiste una soluzione universale. Se il cattivo della situazione è morto o distante; se la chiave ha alta entropia e se l'algoritmo usato non ha debolezze è impossibile per chiunque decifrare il messaggio. Hillary Clinton ha proposto, nel dibattito di Dicembre, di costruire un "Manhatthan-like project" dove scienziati e politici lavorino insieme per trovare una soluzione che non richieda l'uso estremo di backdoors.

Question: [...] Apple CEO Tim Cook said removing encryption tools from our products altogether would only hurt law-abiding citizens who rely on us to protect their data. So would you force him to give law enforcement a key to encrypted technology by making it law?

CLINTON: I would not want to go to that point. I would hope that, given the extraordinary capacities that the tech community has and the legitimate needs and questions from law enforcement, that there could be a Manhattan-like project, something that would bring the government and the tech communities together to see they're not adversaries, they've got to be partners. It doesn't do anybody any good if terrorists can move toward encrypted communication that no law enforcement agency can break into before or after. There must be some way. I don't know enough about the technology,Martha, to be able to say what it is, but I have a lot of confidence in our tech experts.

Barack Obama, pochi giorni fa, è intervenuto in una conferenza molto nerd per lanciare un messaggio simile alla comunità tecnologica: non bisogna prendere posizioni troppo assolutiste, bisogna trovare una mediazione che permetta al governo – quando necessario – di avere accesso a contenuti cifrati, similmente a quanto accade quando il governo entra in casa di un sospetto per perquisirla.

And the question we now have to ask is if technologically it is possible to make an impenetrable device or system where the encryption is so strong that there is no key there, there’s no door at all? And how do we apprehend the child pornographer? How do we solve or disrupt a terrorist plot? What mechanisms do we have available that even do simple things like tax enforcement? Because if you can’t crack that at all, and government can’t get in, then everybody’s walking around with a Swiss bank account in their pocket. So there has to be some some concession to the need to be able to get to that information somehow.”

Di cosa parlano Clinton e Obama allora? Di sfruttare il caso 1? No, il Patriot Act già da loro tutti i diritti che vogliono di estorcere passwords a chiunque senza neanche una ingiunzione del tribunale. Del caso 2? No, è matematicamente impossibile decifrare un messaggio criptato con le tecnologie umane, presenti o future. Non c'è "Manhattan-like project" che tenga. Del caso 3 allora? Direi che, nonostante entrambi lo neghino, non esiste alternativa. Del resto sappiamo dai documenti di Snowden che NSA non ha fatto altro che introdurre backdoors negli scorsi anni, in virtualmente qualsiasi prodotto hardware o software americano di largo consumo (nota per i pedanti che sanno di cosa parliamo: faccio rientrare MITM attacks nella categoria backdoors, perche' alla fine sono possibili sono con implementazioni imperfette). E cosa ora vuole FBI lo sappiamo tutti. Assodato che si tratta quindi di indebolire la crittografia, rimane quindi l'ultima domanda. Anzi, le ultime tre.

6. È possibile inserire una backdoor a cui solo il Governo abbia accesso?

È legalmente possibile che il Governo Americano regoli che ogni componente elettronico cifrato venduto negli USA abbia una backdoor a cui le autorità abbiano accesso e che metta fuori legge qualsiasi software che non abbia questa backdoor. Il che, di fatto, sarebbe l'equivalente del rendere la crittografia perfetta illegale (notare che nessun paese al mondo ha reso la crittografia illegale, nemmeno la Cina o l'Iran).

7. Sarebbe utile?

No. All'atto pratico vorrebbe dire che ogni iPhone venduto negli USA dovrebbe avere la backdoor e qualsiasi software che fa uso di crittografia perfetta generato all'estero dovrebbe essere bloccato negli USA. Si può fare, tecnicamente, ma è un po' naive pensare che il terrorista cattivo non riesca a procurarsi un telefono comprato in Europa o che non riesca a procurarsi un software "vietato". Da questo punto di vista è interessante notare che tutte le obiezioni che i pro-guns hanno usato e usano in America, si applicano perfettamente all'argomento pro-Crittografia (la differenza chiave è che se do un programma di crittografia armato in mano a mio figlio, la cosa peggiore che possa succedere è che produca un messaggio criptato...). Inoltre, procurarsi una pistola sul mercato nero non è banale. Bisogna conoscere le persone giuste e bisogna fisicamente ricevere l'arma. Scaricare un programmino da internet in maniera illegale, invece, è incredibilmente facile. Se non sapete come si fa, chiedete al vostro nipotino di 9 anni che vi ha appena masterizzato l'ultimo CD di Albano per Natale.

8. Sarebbe pericoloso per la comunità?

Sarebbe un rischio enorme. Come dicevo prima, il commercio di zero-day è un mercato da miliardi di dollari l'anno. Il Regno Unito da solo spende 4 miliardi di sterline l'anno solo per combattere questa rete di zero-days. Sarebbe solo questione di tempo prima che qualcuno trovasse un modo per accedere alla backdoor (modo 1 o modo 3, ricordate?). Sarebbe anche una grossa botta all'economia Americana perché quale grande azienda comprerebbe un sistema informatico creato negli USA sapendo che ha una backdoor che potrebbe essere aperta da chiunque, da un giorno all'altro?

179 commenti (espandi tutti)

... non sono essi stessi basati su una back door? Viene mandato un sw che automaticamente si installa nella vostra device. P sbaglio?

Sei consapevole del fatto che riceverai automaticamente aggiornamenti e che hai impostato il sistema in modo che essi vengano anche installati in modo automatico. Quindi non è una "porta sul retro" nascosta ma una porta principale, che tu hai deciso di tenere aperta.
Che poi questo possa essere pericoloso è vero. Non sarebbe la prima volta che un produttore di sofware distribuisce un aggiornamento che combina disastri. Ma questo fa parte delle normali attività umane, che notoramente sappiamo essere insicure.

Gli aggiornamenti di sistema sono firmati dal produttore. Non e' possibile aggiornare il tuo iPhone senza avere la chiave privata di Apple, che e' uno dei motivi per cui l'FBI voleva che fosse Apple a modificare il SO sull'iPhone di Farook

che serve per aggiornare il SO. Immagino che la chiave privata di Apple sia ben guardata.

Ora, se dietro ordine di un giudice Apple cambia il SO di quel telefonino e tira fuori i dati, e poi costudisce questa nuova versione come custodisce la chiave privata (o la distrugge), dove è il problema?

Apple ha una chiave che tiene ben nascosta ma avere una chiave che apre un sacco di serrature e' sempre una cattiva idea. Due esempi concreti. 

Il primo, riguarda una chiave materiale: TSA decise qualche anno fa che tutti i lucchetti da bagaglio venduti negli USA dovessero avere la stessa master key. Ancora oggi, ogni lucchettino da bagaglio che compri puo' essere aperto con una manciata di master keys. Ovviamente, dopo pochi mesi, era possibile scaricare da internet il disegno delle master keys https://theintercept.com/2015/09/17/tsa-doesnt-really-care-luggage-locks-hacked/

Secondo esempio riguarda nientepopodimenoche Microsoft. Microsoft aveva una chiave che usava per scopi crittografici di windows. La chiave venne divulgata da MS stessa per errore nel 1999 https://en.wikipedia.org/wiki/NSAKEY

il suo commento non fa che confermarlo. Cattiva o buona idea che sia, Apple è perfettamente in grado, con la sua chiave, di entrare in qualsiasi sua device. Quindi la sua opposizione all'FBI, ammantata di ideali, altro non è che marketing.

Se un giudice emana un ordine di perquisizione di un telefonino, Apple non può opporsi, come non si può opporre nessuno ad un ordine di perquisizione della propria casa.

Questo genera dei costi per Apple? Può darsi. In questo caso, però, credo che l'FBI (il taxpayer) se li potrebbe tranquillamente accollare.

L'opposizione di Apple ha sicuramente una componente di marketing che e' legata al caso NSA/prism. Quando e' emerso che NSA aveva accesso diretto a tutti i dati on the cloud di Apple, Google, MS e compagnia, il pubblico soprattutto Europeo non l'ha presa tanto bene. Sicuramente apple google and co. avevano accettato di cooperare con NSA fidandosi del fatto che il loro coinvoilgimento non sarebbe mai emerso ma chiaramente cosi' non e' stato. Apple ha quindi tanto da recuperare sul piano della fiducia e questa mossa va in quella direzione (qualcuno ha commentato che non fosse una coincidenza che il comunicato stampa in cui apple si rifiutava di obbedire a FBI fosse uscito a mezza notte ora americana, mattino ora Europea).

Infatti, la posizione di Apple non e' mai stata "questo genera dei costi per noi" ma "questo non sarebbe sicuro e giusto per i nostri clienti"

Se Apple ha fatto le cose per bene, la chiave "privata" che Apple utilizza per autenticarsi nei confronti del device e avviare l'aggiornamento serve proprio solo a quello: autenticarsi sul device. La cifratura dei dati sul device dipende da un'altra password che è il PIN del telefono che il possessore ha impostato. Anche se Apple aggiorna tutto il software a bordo del device per disabilitare la cifratura, nulla può fare con i dati già cifrati. Si torna al punto iniziale, o la password o un algoritmo di cifratura "compiacente".

Altro punto un po' tecnico un po' complottista. Come anche scritto nell'articolo, per cifrare i dati di solito si usa una chiave simmetrica, non una coppia pubblica/privata. In passato con algoritmi ormai un po' datati (3DES) c'era stata una collaborazione con NSA per svilupparli. Si entra nella teoria del complotto, ma vuoi mai che sia stato proprio questo il modo in cui FBI abbia violato il telefono....

... apparentemente no. Il complottismo fa male anche a te, digli di smettere :)

Vorrei introdurre un altro aspetto: quello dei criptovirus. E cioè dell'uso che bande di malavitosi fanno della crittografia per rendere illeggibile i tuoi dati, chiedendo poi in cambio un riscatto in bitcoin che cresce più il tempo passa. Il fenomeno è recente (2013) e ne ho sempre sentito parlare come di una cosa che capita agli altri. Nell'ultimo mese però mi sono passati sotto mano ben due computer infetti (di miei clienti) e quindi sono passato da una conoscenzea indiretta di un fenemeno che sta in Internet a quache cosa di concreto che puo' capitare a chiunque. Non solo ricevendo mail ma anche visitando siti ed avendo per esempio una versione non aggiornata di Flash Player. Non ho ancora letto stime sui danni economici provocati. Chiaro che se esistesse una back door utilizzabile dai governi, un simile crimine perderebbe di significato.

Non credo che esistano risposte univoche pro o contro la soluzione 3. Per certi versi sarebbe auspicabile, per altri no.

Non sono così sicuro che 

se esistesse una back door utilizzabile dai governi, un simile crimine [criptolocker n.d.a.] perderebbe di significato.

Allo stesso modo, se questo vulnerabilità cadesse in mani sbagliate potrebbe essere utilizzata proprio per un'attacco di criptolocking su larga scala.

Probabilmente, più che per scopi criminali (chiedere una riscatto), questo potrebbe essere utilizato per scopi terroristici. Ad esempio rendere illeggibili documenti bancari/finanziari, cartelle cliniche... oppure tutto quello che solo una mente criminale potrebbe immaginare.

Una simile backdoor, una volta pubblica, servirebbe a leggere (da parte di chi non è autorizzato) documenti protetti, non a renderli illeggibili. Nel senso che se un criminale arriva a possedere il classico passepartout criptografico, avrebbe accesso a cio' che normalmente (pur protetto da chiave) non gli è consentito. Cosa diversa da rendere illeggibili dati di terzi, che presume la possibilità di cancellare o sottoporre ad ulteriore criptazione. Ora per cancellare non serve avere un passepartout criptografico. Basta l'accessso al server/computer. Poi c'è il comando magico (delete file) che ogni sistema operativo supporta. Il file viene cancellato. Criptato o no. E qui bastano i salvataggi. Ma anche per criptare ulteriormente un file già criptato (per esempio uno zip protetto da password) non serve affatto conoscerne la chiave. Si apre il file con un flusso in C, si leggono i bytes uno per volta, si applica l'algoritmo criptografico e si riscrive. Ma anche qui bastano i salvataggi (basta che non siano online, altimenti sono a rischio, come nel caso dei criptovirus). 

Ora è vero che l'accesso ai dati criptati, la sola lettura senza renderli poi illeggibili, è un fatto grave, per chi ha deciso per mille motivi che i dati vanno protetti. Non ci sono solo i criminali a voler proteggere le loro comunicazioni ed i loro dati. Anche ospedali (cartelle cliniche) e dati bancari. Ma gli esempi potrebbero essere molteplici. Ma la backdoor "statale" se di pubblico dominio, per me non costituisce affatto un pericolo, se ben impostata.

Mi spiego. Il mondo bancario, che di sicurezza se ne intende, è già confrontato al suo interno con la necessità di tecnici di accedere (raramente) a dati riservati, per poter sistemare il frutto di errori di eleborazione. In questo caso si utilizzano chiavi di emergenza. Le chiavi pero' sono ad utilizzo singolo. Una volta usata diventa carta straccia. E naturalmente l'accesso alla chiave di emergenza lascia tracce. Non solo informatiche. La chiave deve avere un corrispondente cartaceo in cassaforte. Quindi chi produce sistemi di crittografia potrebbe dover rilasciare un certo numero di chiavi ad uso "governativo", ad uso singolo, e custodite il luogo protetto fisicamente, stile fort knox, dove nerds, hackers & crackers non possono entrare. E dove sta l'oro, possono stare anche le chiavi delle backdoor. È un'idea, of course. A voi distruggerla.

Se l'autore di un virus tipo cryptolocker inserisse una backdoor utilizzabile dai governi per l'accesso ai dati criptati, sarebbe un povero idiota (sì, ci sarebbero anche dei virus realizzati da idioti, ma indovinate un po': di tutti i cryptolocker sviluppati, quelli che si diffondono oggi sono quelli che funzionano, non quelli in cui l'implementazione crittografica fa acqua).

La backdoor del governo non è qualcosa che può essere presente nell'algoritmo senza che gli sviluppatori ne siano consapevoli.

Va contemperato rispetto ad altri valori, individuali e collettivi.

Quindi, mettere una backdoor nei device, magari no. Ma se un giudice ordina di aprire il telefonino, Apple ha il dovere di farlo. Nel segreto più segreto del suo laboratorio segreto, ma deve farlo. Può sempre distruggere quel SO che glielo ha permesso subito dopo.

Qui siamo di fronte alla solita diatriba fra diritti del singolo e diritti della collettività. Un conflitto che va risolto politicamente nell'ambito di norme democratiche, le stesse, in principio, che regolano la questione fin da prima dell'era informatica.

Quel che è cambiato ora, credo, è il sentire dell'uomo comune di fronte a possibilità tecnologiche inattese e inquietanti. Un pò come la globalizzazzione che ha creato come reazione un florilegio di localismi. Per cui il problema privacy viene vissuto con sentimenti più complessi e genera reazioni più apodittiche-

Oltrechè di marketing di Apple e company

...e se partiamo dal non condividere questo principio di base del rispetto tra esseri umani, direi che trovare un accordo soddisfacente per tutte le parti, in merito alla riservatezza dei pensieri e delle comunicazioni (ma non solo), sara' oggettivamente impossibile.

per fortuna, "perderanno" quelli che vogliono vivere, in potenza, nella "gabbia di vetro" stile "panopticon"... che un mezzo per impedire agli altri di farsi i fatti di ognuno, la matematica, per mezzo delle tecnologia, ce lo rende disponibile, proprio grazie alla crittografia ("consapevole") ed ancor di piu' alla "steganografia" (l'arte di nascondere un messaggio in mezzo a tante altre informazioni in modo da non sollevare l'interesse).

che poi questo sia (in potenza) utilizzabile per fini non "leciti" delle regole del vivere civile in comunità, penso che sia un male "minore" da tollorare.

anche perche' il terrorismo per esempio si potrebbe ben affrontare e sconfiggere lavorando sulle radici che lo alimentano piuttosto che sui dettagli tecnici, come le comunicazioni protette, della sua pratica quotidiana.

qui, nell'attacco alla crittografia, e' veramente usato solo come foglia di fico, per rendere il cittadino comune sempre piu' indifeso, fragile e succube.

ovviamente just my 2 cents..

... o sono una scusa da adottare quando ci fa comodo dialetticamente o economicamente?

Sulla privacy farei il caso della Svizzera, la quale sul tema "segreto bancario" (uno dei vari aspetti del tema "privacy") ha dovuto cedere alle pressioni OCSE.
A fronte di indagini condotte dalla magistratura, e quindi sulla base di rogatorie internazionali, non c'è privacy che tenga. Cosa che era prassi già negli anni 90 ma che recentemente è stata estesa anche a fatti giuridici che in Svizzera non sono reato, come l'evasione fiscale che in CH è una semplice violazione amministrativa, non un reato penale, a  meno che per evadere non si debba ricorrere alla produzione di documenti falsi.
Ora se cedono le nazioni che hanno 630 miliardi di dollari di PIL, non vedo perché non dovrebbero cedere aziende che fatturano 182 miliardi.

Se Apple cede alla richiesta di aprire un iPhone poi deve farlo tutte le altre volte che un giudice glielo chiede, non e' semplice come dire "lo fa e poi cancella il FBIOS". Inoltre, la produzione dell'OS stesso e' una spesa notevole, non si vede perche' un'azienda privata debba fare qualcosa del genere gratis a comando del governo.

Buongiorno, Ho letto l'articolo, e direi che c'è parecchio da eccepire anche dal punto di vista tecnico, contrariamente a quanto reputa la redazione di NfA. Probabilmente ciò che segue potranno sembrare dettagli di poco conto. D'altro canto, credo che se non si divulgano bene i principi alla base di una disciplina scientifica, inevitabilmente si finisce per distorcere il dibattito etico che deriva dalle sue applicazioni e dal suo impatto nel mondo reale (e se al posto di "crittografia" sostituiamo "economia", penso che la maggior parte dei frequentatori e autori di questo blog si troverà d'accordo).

Andando per punti:

- Punto 2: «[La crittografia simmetrica] Si basa su algoritmi di sostituzione progressiva che sono tanto complessi quanto più è complessa la chiave».

Sebbene esistano algoritmi di cifratura che rendono vera questa affermazione, il principio non vale in generale: la complessità di un algoritmo di cifratura (intesa come numero di operazioni per trasformare il messaggio in chiaro in messaggio cifrato) e la complessità della chiave (intesa come lunghezza) sono parametri non strettamente collegati tra loro. Per fare un esempio, l'algoritmo di cifratura Rijndael che è stato adottato come standard AES segue questo principio. In particolare, il numero di operazioni per cifrare un singolo messaggio dipende dal numero di round adottati, che a loro volta in Rijndael dipendono dalla lunghezza della chiave, come di seguito:

#chiave #round

128 bit 10

192 bit 12

256 bit 14

D'altronde, come si può leggere in [2], la decisione di aggiungere 1 round ogni 32 bit aggiuntivi di chiave è un margine precauzionale, ma non ha una giustificazione completamente rigorosa. Infatti, allo stato attuale delle nostre conoscenze si conoscono attacchi pratici per rompere AES solo con un numero di round minore di quelli citati sopra. È inoltre interessante notare che in uno degli attacchi più recenti [1] viene dimostrato che AES con chiavi lunghe 256 bit e 11 round consente un attacco (non attuabile in pratica, va precisato) che invece non può essere applicato su AES con chiavi a 128 bit e 10 round. Questo per evidenziare che l'intuizione

"Chiavi più lunghe/complesse -> Maggior numero di operazioni di cifratura -> Maggior sicurezza"

non è vera in generale. Oltre a ciò, come menzionavo in precedenza, esistono poi algoritmi di cifratura simmetrica in cui il numero di round è fisso e indipendente dalla lunghezza della chiave. Per esempio Twofish [5], anch'esso finalista alla competizione di AES, usa sempre 16 round di cifratura.

- Punto 2: «Il sistema a chiave pubblica è molto ingegnoso ed affascinante perché si basa su moltiplicazioni di numeri primi molto grandi e su concetti anarchici di "web of trust"».

Trascurando la connotazione politica data al web of trust (che è completamente gratuita), i sistemi di cifratura a chiave pubblica non si basano solo su moltiplicazioni di numeri primi. È vero che RSA è uno degli algoritmi a chiave pubblica più diffusi e utilizzati in Internet e sfrutta esattamente questo principio, ma esistono una pletora di altri sistemi basati su assunzioni matematiche diverse. Per esempio, il primo protocollo per lo scambio delle chiavi ideato da Diffie e Hellman [3], che gli è valso il premio Turing di quest'anno, si basa sul logaritmo discreto. Tra l'altro, questo paper viene considerato come quello che ha dato inizio alla ricerca sulla crittografia a chiave pubblica, ed è del 1976. Quindi anche l'affermazione secondo cui «la crittografia a chiave pubblica [...] è stata inventata negli anni 60» è inesatta dal punto di vista storico. Inoltre, il concetto di "Web of Trust" è una conseguenza applicativa della crittografia a chiave pubblica, non uno dei principi su cui essa si basa.

- Punto 3: «La password, invece, dovrebbe essere salvata crittata, con un algoritmo così detto di "hashing". L'hashing è quella che in inglese si chiama trapdoor function, cioé una funzione matematica asimettrica che permette di andare facilmente da A -> B ma molto difficilmente da B -> A.»

Qui l'autore confonde due concetti matematici differenti. Una funzione di hash non è una trapdoor, ma è una funzione che associa un insieme di messaggi di lunghezza arbitraria ad un insieme di messaggi di lunghezza fissa (detti, appunto, gli hash). Considerando il significato di hash in inglese ("polpettone"), una funzione di hash può essere vista metaforicamente come un'operazione che "tritura" o "sminuzza" un messaggio di partenza per ottenere come risultato un'"impronta" più piccola (fingerprint), che sia in qualche modo rappresentativa del messaggio di partenza. Dato che l'insieme di tutti i possibili hash di lunghezza fissa è più piccolo dell'insieme di tutti i possibili messaggi di lunghezza arbitraria, vorrà dire che più messaggi avranno associato lo stesso hash (principio della piccionaia: se rappresentiamo l'insieme dei possibili hash come una piccionaia con m feritoie e l'insieme di messaggi con n piccioni, dove n>m, inevitabilmente almeno due piccioni dovranno condividere la stessa feritoia). Ciò vuol dire che una funzione di hash non è in generale invertibile, ovvero partendo da un hash non è possibile risalire al messaggio originale che l'ha prodotto. Nella pratica, può darsi il caso in cui una funzione di hash sia invertibile per alcuni valori di hash. Per questo motivo, in crittografia si cerca di utilizzare funzioni di hash che siano "One-way", ovvero come dice l'autore dell'articolo facili da calcolare ma difficili da invertire.

Una funzione trapdoor, d'altro canto, è una funzione one-way che è possibile invertire facilmente disponendo di un'informazione aggiuntiva detta trapdoor, o botola, mentre rimane difficile da invertire se non si conosce la trapdoor. Per fare un esempio, nel linguaggio della crittografia a chiave pubblica la trapdoor è la chiave privata con cui si decifra il messaggio. La cosa importante da osservare è che una funzione trapdoor deve essere una permutazione, cioè ad ogni valore di output della funzione deve corrispondendere uno e un solo valore di input. Ciò è necessario per garantire un'invertibilità univoca, e corrisponde al caso della piccionaia in cui abbiamo n piccioni ed n feritoie.

Per riassumere, sia le funzioni di hash sia le funzioni trapdoor sono entrambi esempi di funzioni one-way, ma non sono la stessa cosa: le prime associano qualcosa di più grande a qualcosa di più piccolo (e dovrebbero essere per esempio usate, come scritto giustamente dall'autore, per cifrare le password nei database dei siti web), mentre le seconde associano un oggetto A di una certa dimensione ad un oggetto B della medesima dimensione, con l'obiettivo di recuperare A partendo da B disponendo di una chiave segreta.

- Punti 4 e 5: non credo di aver capito cosa intenda l'autore per "unicità" di una chiave/password, e soprattutto quale sia la sua relazione con l'entropia della stessa e con la facilità di attuare un attacco a forza bruta. Se una chiave ha entropia bassa, allora si possono adottare delle strategie come attacchi basati su dizionario per indovinarla. Ma questi non sono attacchi a forza bruta: per definizione, negli attacchi a forza bruta si provano tutte le possibili combinazioni di una chiave indipendentemente dal fatto che essa possegga una struttura/regolarità o meno.

- Punto 5: «Qui giace un concetto della crittografia molto importante da capire: indovinare una password con brute force non è MAI matematicamente impossibile. È però matematicamente inattuabile.»

No, esiste un particolare algoritmo di cifratura per cui l'attacco a forza bruta è anche impossibile dal punto di vista matematico, ed è la one-time pad [6]. La proprietà di "sicurezza perfetta" di questo algoritmo deriva dal fatto che si utilizza una chiave lunga almeno quanto il messaggio che si vuole cifrare. Se questa chiave è scelta in modo casuale (più tecnicamente, scelta con probabilità uniforme) e viene utilizzata solo una volta, allora un attaccante si ritroverà nella situazione in cui il messaggio cifrato può corrispondere a qualsiasi messaggio in chiaro, e quindi anche passandosi per forza bruta tutte le possibili chiavi non potrà mai sapere qual è il messaggio originale (proprio perché ogni possibile messaggio originale è ugualmente probabile). Ovviamente, questo algoritmo è poco pratico per la lunghezza delle chiavi, anche se trova applicazioni limitate in alcuni algoritmi di crittografia quantistica.

- Punto 5: la parte sui limiti fisici degli attacchi a forza bruta basati sul principio di Landauer è molto interessante e suggestiva, però quando si prendono idee/stralci di testo da altri autori (nel caso specifico, l'"Applied Cryptography" di Bruce Schneier [4]), occorrerebbe citare le fonti.

Per quanto riguarda i punti rimanenti (6-7-8), mi trovo sostanzialmente d'accordo con l'autore, ma l'argomentazione portata a supporto è abbastanza limitata e sproporzionata rispetto alla parte tecnica introduttiva, e andrebbe elaborata meglio. Dato che al momento ho già eretto un wall-of-text sulla parte tecnica (mi scuso per la prolissità), cercherò di tornare sulla parte etica/politica con un altro intervento.

 

Bibliografia

[1] A. Biryukov, O. Dunkelman, N. Keller, D. Khovratovich, A. Shamir: Key Recovery Attacks of Practical Complexity on AES-256 Variants with up to 10 Rounds. In: EUROCRYPT 2010. LNCS, vol. 6110, pp. 299-319. Springer (2010)

[2] J. Daemen, V. Rijmen. The Design of Rijndael. Springer (2002)

[3] W. Diffie, M. Hellman. New directions in cryptography. IEEE Trans. Information Theory 22(6): 644-654 (1976)

[4] B. Schneier. Applied Cryptography. John Wiley & Sons (2007)

[5] B. Schneier, J. Kelsey, D. Whiting, D. Wagner, C. Hall, N. Ferguson. Twofish: A 128-Bit Block Cipher. https://www.schneier.com/cryptography/paperfiles/paper-twofish-paper.pdf

[6] C. Shannon. Communication Theory of Secrecy Systems. Bell Syst. Tech. J. 28 (4): 656–715 (1949)

 

EDIT: formattazione

Scusa Luca, non so se ti rendi conto dello scopo dell'articolo e del pubblico a cui e' indirizzato. Probabilmente no, perche' altrimenti non avresti impiegato tutto questo tempo a precisare che questo capello non vale in questa eccezione e questo in quest'altra. Lo scopo dell'articolo e' dare un'infarinatura profonda abbastanza da capire le valenze socio-politiche, non di discutere le alternative a AES o cosa e' un raibow table.

Giorgio, grazie per la risposta.

Ho capito benissimo lo scopo dell'articolo e il pubblico a cui è rivolto. Proprio per questo motivo, a me sembra che hai dato un'introduzione tecnica all'argomento eccessivamente sbilanciata, rispetto alla parte socio-politica. L'intera questione "privacy/sicurezza" può essere divulgata senza scendere troppo nei dettagli, e anzi dovrebbe essere divulgata in questo modo proprio per permettere una partecipazione anche ai non addetti ai lavori.

Premesso quanto sopra:

- A che pro menzionare la questione dei numeri primi, quando la crittografia a chiave pubblica può essere spiegata astraendo completamente dal substrato matematico, con ottimi esempi pedagogici (vedi il libro di Simon Singh "Codici e Segreti", dove viene spiegata in termini di chiavi e lucchetti)?

- Critichi la mia tendenza a scadere in tecnicismi che sono oscuri al pubblico generico. La cosa probabilmente è anche vera (vedere punto successivo), però mi viene da domandarti: credi che quella tirata sul principio di Landauer, sfere di Dyson, ecc. siano argomentazioni apprezzabili dal pubblico generico? Non sono tecnicismi inutili anch'essi, che potevano essere riassunti in modo molto più sintetico, senza tirare in ballo necessariamente la termodinamica? Noto peraltro che hai glissato completamente sulla mia osservazione che hai riproposto in modo non originale un'argomentazione di un altro autore senza dargli credito. Allo stesso modo, è davvero necessario mettersi a parlare di entropia di una password, senza dare una chiara idea di cosa si tratti?

- Come ho già detto in conclusione del mio precedente commento, mi scuso per la prolissità e la pignoleria del mio intervento. Il problema divulgativo del tuo articolo, per come la vedo io, si può considerare in due modi:

a) O si tiene la parte tecnica al livello più superficiale possibile, e si fa uno sforzo di comunicare i principi alla base della crittografia (senza tirare in ballo entropia, termodinamica, ecc.), concentrandosi di più sulla parte socio-politica che è inevitabilmente più interessante per il pubblico di questo blog;

b) Oppure, se si vuole entrare maggiormente nei dettagli tecnici, lo si fa correttamente evitando di scrivere inesattezze come hai fatto tu in questo articolo, e su cui tra l'altro non hai speso una parola per rispondere a un singolo punto di quelli che ho sollevato. Noto tra l'altro che tipicamente occorre versare molto più inchiostro per correggere un'inesattezza che non a scriverla. Ciò spiega, almeno in parte, il fatto che il mio intervento è stato molto lungo: dire le cose esattamente come stanno è già un lavoro tedioso e lungo di per sé. Se poi bisogna anche correggere errori, il lavoro si allunga ulteriormente perché occorre argomentare con esempi, controesempi ecc. Poi, sicuramente, gioca una parte rilevante anche la mia pignoleria personale :)

Luca, non esiste una ricetta unica per scrivere un articolo divulgativo. Ognuno ha il proprio stile. Il mio stile e' quello di dare una infarinatura tecnica comprensibile ai piu', facendo un compromesso tra semplificazioni e onesta' intellettuale e poi, si' spiegare, ma soprattutto instaurare un grado di fascinazione verso l'argomento che promuova una ricerca spontanea nel lettore: se al 10% di chi legge e' venuta la curiosita' di googlare cos'e' una sfera di dyson o una trapdoor function o come i numeri primi sono coinvolti con crittografia, io ho raggiunto un buon obiettivo. A me premeva far capire che ci sono tre strategie per decrittare un messaggio e che maths is not the weakest ring in the chain. Se a te il mio stile non piace, me ne faro' una ragione.

Non ti ho risposto punto per punto perche' francamente non ne vedo la necessita'. Cosa vuoi che ti dica? Che si' e' vero che ci sono algoritmi meno noti di RSA che non si basano su numeri primi? O forse dobbiamo metterci a fare una discussione su hybrid attacks e l'intersezione tra dictionary attacks, brute force and rainbow table? 

Evidentemente abbiamo approcci alla divulgazione differenti. Ciononostante, rimango dell'idea che se si vuole dare un'infarinatura tecnica ad un qualsiasi argomento scientifico, va bene sì semplificare ed affascinare il pubblico, ma senza scadere in errori marchiani. Francamente, non so che idea possa farsi una persona di quel 10% che googlando "trapdoor function" legge che in realtà si tratta di una cosa diversa da quella che hai scritto tu. Nella migliore delle ipotesi, secondo me, resterà confuso. Nella peggiore, penserà di avere capito qualcosa, e probabilmente sarà anche la cosa sbagliata. Poi magari sono io che sottovaluto la maturità intellettuale del layman.

Notare inoltre che per falsificare la mia affermazione "non hai risposto a un singolo punto di quelli che ho sollevato" non è necessario rispondermi punto per punto, ma ne basta uno. In particolare, mi accontenterei se potessi rispondere almeno a queste tre domande sparse nel mio primo intervento:

- Quale pensi che sia la relazione tra web of trust e crittografia a chiave pubblica?

- Cosa intendi per "unicità" di una chiave/password?

- Dove ti sei documentato per la parte sui limiti termodinamici degli attacchi brute-force?

A scanso di equivoci, non sto insinuando alcuna disonestà intellettuale da parte tua, specialmente riguardo la terza domanda, su cui magari avevo dubbi appena letto l'articolo. Il fatto però che non mi hai risposto a riguardo mi fa pensare che effettivamente tu non conoscessi la provenienza di quell'argomentazione, e si tratta a questo punto di una curiosità personale.

- Quale pensi che sia la relazione tra web of trust e crittografia a chiave pubblica?

Come sarebbe "quale penso?". Web of Trust e' necessario per associare identita' reali a chiavi pubbliche in alternative a CAs. 

- Cosa intendi per "unicità" di una chiave/password?

intendo dictionary attacks e password reuse, come ho gia' scritto.

- Dove ti sei documentato per la parte sui limiti termodinamici degli attacchi brute-force?

Se vuoi sapere da dove vengono i numeri sono da "Applied Cryptography: Protocols, Algorithms, and Source Code in C" di Bruce Schneier. pg 157

«Come sarebbe "quale penso?". Web of Trust e' necessario per associare identita' reali a chiavi pubbliche in alternative a CAs. »

E per associare l'identità reale di A alla sua chiave pubblica ciò che si fa nel WoT è firmare con la chiave privata di qualche altro utente la chiave pubblica di A, in modo completamente decentralizzato. Quindi per realizzare il WoT occorre impiegare gli strumenti della crittografia a chiave pubblica, e non il contrario come invece si evince dal tuo articolo. Curioso tra l'altro che hai perfino citato il WoT, dato che è stato un flop totale e in pratica nel mondo reale si utilizzano le public key infrastructures per risolvere il problema di autenticazione delle chiavi, ovvero l'alternativa tramite CA che hai menzionato nel tuo commento precedente. Voglio dire, la cosa è curiosa considerando il fatto che come esempio di crittosistema a chiave pubblica hai alluso a RSA e ai numeri primi (che, come ha osservato anche agori nel commento sotto, è quello che "va per la maggiore"), mentre per il problema dell'autenticazione hai citato una soluzione di nicchia che quasi nessuno utilizza, almeno non in ambito industriale. Mi pare di capire che la tua visione sia abbastanza distorta verso le soluzioni proposte nell'ambito del free/open source software, e quindi non è molto rappresentativa dello stato dell'arte.

«intendo dictionary attacks e password reuse, come ho gia' scritto.»

Che non vuol dire assolutamente nulla, almeno cercando di collegare la tua risposta con quanto hai scritto nell'articolo. Cito:

«Ovviamente brute forcing dipende largamente dall'entropia della password ma anche dalla sua unicità. Una password ad entropia molto alta ma poco unica, è comunque abbastanza facile da indovinare»

Mi spieghi in che modo una password che viene riutilizzata da un utente in altri servizi, ma con un'entropia alta, sarebbe più facile da indovinare? Viceversa, se parliamo di dictionary attacks, allora non stiamo parlando di brute forcing, visto che per definizione si vanno a tentare tutte le password più probabili contenute in un determinato dizionario, e non tutte le password possibili indistintamente.

Un'ultima precisazione relativa alla tua discussione con Giovanni Federico: non mi risulta che i terroristi di Parigi abbiano usato ROT-13 per comunicare tra di loro, ma solo messaggi in chiaro. Probabilmente hai equivocato da questo articolo, il cui titolo era sarcastico:

Paris Terrorists Used Double ROT-13 Encryption

E' vero che la spiegazione tecnica non ha soddisfatto neppure me completamente, tuttavia le precisazioni che hai fatto sono completamente fuori luogo per l'audience dell'articolo. Ad esempio vai a fare il pignolo sull'implementazione del sistema a chiave pubblica. Ma dai, visto che ammetti che RSA va per la maggiore ci sta che si parli di numeri primi e moltiplicazioni. Invece ho trovato che spesso l'articolo sia infarcito di inutili dettagli tecnici, che poi tanto per ovvi motivi restano incomprensibili (a meno che non conosci gia' l'argomento).

In Arabia audita nel 2010 bloccarono i blackberry perche' il governo non era in grado di intercettare i messaggi. Poi la RIM concesse l'accesso e tolsero il divieto.
 
I nokia, i samsung e gli apple non ebbero problemi perche' trasmettevano gli sms in chiaro e si potevano intercettare nelle centrali telefoniche.
 

Se è vero, che figura per Apple!!!!

Apple non ha mai detto che il crack fosse impossibile: ha anzi invitato l'FBI a farlo da solo o se non ci riusciva farsi aiutare dall'NSA. Per le ragioni dietro al rifiuto di collaborare, vedi la mia risposta a Michele qui sotto.

e nonostante i propri errori precedenti, FBI ha aperto il telefono senza l'aiuto di Apple. Verremo a sapere presto come abbia ottenuto il risultato MA il puro fatto che ci sia riuscita senza l'aiuto di Apple, a mio avviso dimostra che

EVIDENTEMENTE si può aprire comunque il telefono SENZA la collaborazione del produttore. Tralasciamo,  per amor di brevità, le considerazioni sulle varie teorizzazioni sulla crittografia perfetta e l'impossibilità di questo e quello. Ci ritorno quando ho tempo ma un banale argomento (pseudo) economico le rendeva irrilevanti comunque. Ciò che conta è il fatto che è stato aperto. QUINDI l'argomento:  "SE il produttore coopera ALLORA crea un rischio enorme che prima non esisteva e per evitare di creare questo rischio bisogna rifiutarsi di cooperare con FBI (in questo caso) o altra enforcemente agency" cade. Il rischio, evidentemente, esisteva COMUNQUE.  

Questo fatto è rilevante perché

1) Rende vuote tutte le argomentazioni  sul fatto che esista un insormontabile ostacolo tecnico alla (chiamiamola così per brevità) "proposta Obama" di prendere in considerazione seriamente il tradeoff privacy-sicurezza (con buona pace dei teorici della "privacy valore assoluto" che, banalmente, non vuole dire una beata minchia). Il problema c'e' ed e' bene evitare scappatoie fintamente teoriche (se c'e' riuscita FBI ... puo' riuscirci "chiunque", buoo o cattivo che sia ...): il problema e' "Politico" nel senso pieno della parola.

2) Diventa palese che abbiamo di fronte una questione seria. Facciamo l'ipotesi, non così assurda alla luce  dei fatti franco-belgi,  che il telefono contenesse informazioni di gravi attentati in preparazione nei giorni seguenti. Se gli attentati in preparazione avessero dovuto avvenire entro N giorni e, in assenza della cooperazione di "Apple" fossero stati necessari M > N giorni per scoprire l'informazione gli attentati avrebbero potuto essere portati a termine con X morti, dove X potrebbe essere un numero molto grande. 

Bene, a questo punto qualcuno mi spiega in che senso il "valore assoluto" della privacy del signor Pino (o dei 100mila signori Pini) e' "piu' assoluto" del valore della vita delle X vittime degli attentati in questione? 

Il tradeoff e' tutto li'. Semplice semplice e banale banale. Si fa per dire, ovviamente. Banale per nulla ma far finta di non vederlo nascondendosi dietro argomentazioni  tecniche che, alla luce dei FATTI, risultano vuote mi sembra una pessima idea.

Questo il problema posto da BO, piaccia o meno. Sarebbe necessario fare uno sforzo di umilta' e capirlo. 

No, non ci siamo Michele. Ti stai facendo abbindolare da FBI come un cittadino qualunque. Quando FBI fece la sua richiesta, tutta la comunita' tecnologica capi' subito che sbloccare il telefono non era cio' che FBI voleva realmente. Quello potevano farlo da soli o passarlo a NSA. Lo sapevamo tutti. Vedi ad esempio Snowden o vedi McAfee che, come e' suo stile, addiritura chiamo' il bluff .

edit: se vuoi sapere perche' eravamo tutti consapevoli che FBI poteva sbloccare il telefono, devi leggerti i documenti di snowden che danno un'idea sulle capacita' di NSA.

FBI non ha mai voluto aiuto tecnico da Apple. Voleva solo creare un precedente legale. Quando ha visto che Apple sarebbe andata in appello, ha ritirato per paura di creare il precendente opposto.

Bene, a questo punto qualcuno mi spiega in che senso il "valore assoluto" della privacy del signor Pino (o dei 100mila signori Pini) e' "piu' assoluto" del valore della vita delle X vittime degli attentati in questione? 

Sei tu l'economista, Michele. Dovresti farlo tu il calcolo del trade off. Prima  pero' dovremmo sapere non cosa vuoi ottenere, ma come - e' li le questioni tecniche non sono affatto vuote. Magari ti interessa riguardarti la letteratura su cryptowa degli anni 90 e clipper chip. http://www.nytimes.com/1994/06/12/magazine/battle-of-the-clipper-chip.html?pagewanted=all

Se è vero che (io non capisco niente di tecnologia) il governo USA avrebbe potuto comunque potuto aprire il telefonino senza l'aiuto di Apple, da solo o con l'aiuto di qualche software house per quale ragione  avrebbe chiesto l'ordine del giudice?  Dal punto di vista mediatico, è un trionfo per Apple e, mi sembra, un disastro per il governo. 

Qui la parola decisiva è COMUNQUE.  Nel post affermi in sostanza che senza backdoor è impossibile accedere alle informazioni BEN crittate. Ne deduco che il terrorista ha posto una protezione insufficiente (meglio per tutti), ma che un altro terrorista potrebbe proteggere le proprie comunicazioni abbastanza da renderle inaccessibili. In questo caso, il trade-off esiste e non puoi scaricarlo su altri

Sei tu l'economista, Michele. Dovresti farlo tu il calcolo del trade off. Prima  pero' dovremmo sapere non cosa vuoi ottenere, ma come - e' li le questioni tecniche non sono affatto vuote

Il trade-off riguarda tutti noi. Personalmente preferisco sapere che i ROS possono leggere i miei messaggi che passare ore in coda a quindici metal detectors per entrare in aereoporto e/o dovere guardarmi attorno per vedere se ci sono individui barbuti con zaini alla fermata del metro.  Opinione personale, naturalmente

Il trade-off riguarda tutti noi. Personalmente preferisco sapere che i ROS possono leggere i miei messaggi che passare ore in coda a quindici metal detectors per entrare in aereoporto e/o dovere guardarmi attorno per vedere se ci sono individui barbuti con zaini alla fermata del metro.  

La mia previsione e' che ti ritroveresti a fare entrambi perche' le due cose non sono mutualmente esclusive. Infatti, per quanto ne sappiamo, nessuno dei terroristi che ha pianificato attacchi negli ultimi anni ha usato encryption. A parigi usavano sms in chiaro o al limite ROT-13 (che e' un gradino sopra l'alfabeto farfallino) e a bruxelles usavano telefoni usa e getta. Quindi il trade off diventa: cediamo tutti la privacy digitale per cosa? Cosa ci guadagnamo? Perche' senza numeri e analis diventa soltanto fear mongering, che, con rispetto, io trovo intellentualmente offensivo.

Ad ogni modo, un fattore chiave che forse avrei dovuto inserire nell'articolo e' che c'e' una distinzione enorme tra targeted attack and bulk collection. Targeted attack vuol dire che hai un inidividuo e vuoi sapere tutto si di lui: a quel punto NSA ha le risorse per contargli i nei sul deretano. Quello perche' come ho scritto sopra, prima o poi una debolezza si trova: o nell'implementazione dell'algoritmo o in come la password era stata nascosta.

 o meglio, continui a spostare il piano di discussione dal caso concreto (terrorista USA, terroristi di Parigi) al caso generale e vice-versa

Io ho letto il post in questo maniera: è in teoria possibile creare un sistema di encryption perfetto, tale che le comunicazioni fra terroristi non possono essere decodificate senza l'aiuto della ditta produttrice del software. Se questo non è vero (comunque l'NSA può e potrà decrittare qualsiasi cosa o neanche la ditta può decrittare), la discussione qui è inutile.  Se l'NSA può già decrittare qualsiasi cosa o lo potrà sempre fare, userà queste capacità anche per cercare terroristi (oltre che per i suoi oscuri scopi di dominio mondiale). Se neanche la ditta può decrittare, la privacy è salva ed i terroristi  (quelli smart abbastanza da usare il software giusto) pure.

Il problema del trade-off si pone nel caso intermedio - che a naso mi sembra il più probabile. E non si risolve con i contorsionismi verbali. In particolare

i) @Enzo. Le leggi si cambiano. 

ii) @ Giorgio.  Fra il targeted attack ex-post ad un terrorista che si è fatto esplodere ed il bulk collection a tutti i cittadini USA esiste una enorme zona grigia. P.es. il targeted attack a tutti i musulmani 15-45 anni senza reddito superiore a 100000 $. A che punto ci si ferma?

Io non ho la soluzione - e voi? 

Noto che è altrettanto fear mongering (e quindi altrettanto offensivo) parlare di "cedere tutti la privacy digitale" alludendo ad un oscuro disegno del Grande Fratello per farci tutti schiavi. Ricordo che in Italia  abbiamo tutti già perso la privacy bancaria  in nome della lotta all'evasione fiscale, che mi sembra un problema molto meno grave del terrorismo islamico.  

Fra il targeted attack ex-post ad un terrorista che si è fatto esplodere ed il bulk collection a tutti i cittadini USA esiste una enorme zona grigia. P.es. il targeted attack a tutti i musulmani 15-45 anni senza reddito superiore a 100000 $. A che punto ci si ferma?

E dal punto di vista pratico come lo fai questo? Vendi un iphone con la backdoor soltanto ai mussulmani tra i 15-45 anni con reddito inferiore ai centomila? Tu questa me la chiami zona grigia?


"cedere tutti la privacy digitale" alludendo ad un oscuro disegno del Grande Fratello per farci tutti schiavi.

Cedere la privacy digitale non vuol dire grande fratello. Vuol dire semplicemente che le informazioni che ora tieni criptate diventano accessibile al bulletto di periferia (https://en.wikipedia.org/wiki/Script_kiddie). 

Vuol dire eventi come il fappening che diventano sempre piu' frequenti, per la gioia di ogni tredicenne del mondo.

ma quale bulletto? :-)
Le informazioni bancarie sono protette da chiavi, come ho spiegato sopra, che nessun bulletto puo' intercettare. A volte mi pare che lo sport preferito sia pensare che tutti gli altri siano incapaci ed imbecilli ma il tema del bilanciamento tra necessità di sicurezza e privacy da una parte e necessità di accessi di emergenza è stato risolto proprio in ambito bancario (e aggiungo a furia di errori anche clamorosi, da cui hanno saputo imparare, almeno alcuni).

vedo che continui a far finta di non capire.  Io faccio un discorso generale come (pensavo fosse) il tuo post. Mi interessa il trade-off fra privacy e repressione del terrorismo da parte di organismi governativi di paesi democratici (non credo che il FSU si periti di violare la privacy dei russi). Tu continui a parlare di i-phone, che fra l'altro ora si scoprono essere accessibili anche senza back-door.

Vuoi un consiglio per tutelare la privacy? Fai il troglodita come me. Ho un iphone ma non ci tengo informazioni riservate (fra l'altro ne ho pochissime), non metto nulla su i-cloud, non ho una bacheca Facebook (una perdita di tempo) non ho un account twitter (idem) e metto sul sito dell'università solo informazioni di servizio o comunque di pubblico dominio e in dropbox solo files di lavoro. 

Mi sembra che la preoccupazione per la privacy in un mondo di sfrenato esibizionismo sia alquanto ipocrita.

 

Giovanni, io uso crittografia su tutti i miei dispositivi non perche' abbia paura del NSA o del lupo ma semplicemente perche' puo' capitarmi di perdere il telefono o il laptop e non mi va che chiunque abbia accesso alle mie foto, ai miei documenti alle mie password alle mie email etc. Mi sembra un atteggiamento ne' ipocrita ne' esibizionista.

Riguardo "il trade-off fra privacy e repressione del terrorismo" di cui continuate a parlare: va tutto bene, interessa anche a me - ma detto cosi' non vuol dire niente. La questione e' squisitamente tecnica: o tu mi dai un esempio dei due limiti del trade off oppure stiamo parlando del fatto che ci interessa ottenere la pace del mondo.

Ti sei chiesto perche' Obama e Clinton si rivolgessero ad un pubblico tecnologico per fare quegli appelli e non ad un pubblico di avvocati o social scientists? Perche' la questione e' tecnologica. Tu dimmi di che trade-off stiamo parlando e io ti dico se ha senso e se sono d'accordo.

le ditte produttrici di software e/o hardware devono cooperare con i governi dei paesi democratici nelle indagini giudiziarie ex-post (dopo gli attentati) e, entro limiti da stabilire con l'autorità giudiziaria, ex-ante (in plain Italian - con i servizi segreti interni) mettendo a disposizione tutte le informazioni a loro disposizione per aiutare a decrittare le comunicazioni fra potenziali terroristi. Ovviamente la cooperazione può fallire e le comunicazioni non essere decrittate, ma è un altro problema. 

Il limite è la definizione di 'terrorista' da concordare caso per caso con l'autorità giudiziaria sulla base di ragionevoli sospetti, anche senza prove certe. P.es. gli amici e parenti di un terrorista o di un sospetto o  i frequentatori abituali di una moschea nota per la  propaganda estremista.  Non tutti i musulmani di Vicenza. 

 

Giovanni Federico approvo il tuo pensiero in toto 

concordo con quanto scrive Giovanni.

Solo una nota: il problema, ne' in generale ne' nel caso specifico di Apple, e' la "backdoor" che mai e' stata il focus del dibattito. 

Mi sembra un dialogo fra sordi. Amen, decideranno i fatti, non le teologie, matematiche o meno che siano.

E, se posso aggiungere una piccola nota "psicologica": alcuni dovrebbero togliersi questa aura di  "la matematica la conosco solo io o quelli che concordano con me". La matematica la sappiamo, chi piu' chi meno, chi un campo chi un altro, in parecchi. Please. 

le ditte produttrici di software e/o hardware devono cooperare con i governi dei paesi democratici nelle indagini giudiziarie ex-post (dopo gli attentati) e, entro limiti da stabilire con l'autorità giudiziaria, ex-ante (in plain Italian - con i servizi segreti interni) mettendo a disposizione tutte le informazioni a loro disposizione per aiutare a decrittare le comunicazioni fra potenziali terroristi.

E allora mi stringo e ti faccio posticino dal mio lato della barricata perche' tu in sostanza vuoi mantenere le cose come sono adesso. Quello che proponi, e' quello che c'e' gia'. Per dire: quando i telefoni erano piu' vecchi (e quindi meno sicuri) Apple gia' era in grado di accedere ai contenuti e passarli alle forze dell'ordine ( 70 volte, a quanto pare)

Quello che il governo americano vuole, invece, e' avere la possibilita' di raccogliere dati a pioggia come fanno gia' ora con PRISM, ma senza problemi di crypto.

Comunque, c'e' un altro rovescio della medaglia che motiva i miei sentimenti e che non abbiam considerato finora: i cyber attacks. Cyberattacks sono qualcosa che esiste da anni ormai. Infatti uno degli eventi piu' famosi fu proprio l'attacco americano alle centrali iraniane.

https://en.wikipedia.org/wiki/Stuxnet

Qualche anno fa google si trovo' i cinesi in casa (https://www.washingtonpost.com/world/national-security/chinese-hackers-w... ) che tra l'altro riuscirono ad accedere ad informazioni riservate che riguaradavano proprio NSA.

E chissa' quanti attacchi mirati rimangono nascosti.

Ultimamente c'e' pure stata un'esplosione di ransomware (= virus che crittano il contenuto del vostro computer e non lo rilasciano se non dietro riscatto). Insomma, e' solo questione di tempo prima che il cybercrime diventi diffuso come il crimine di strada e potrebbe pure diventare arma di terrore globale. Alla luce di questo, non avremmo forse bisogno di MAGGIORE sicurezza personale? Di backup cryptati diffusi per chiunque, cloud protette, reti fisicamente meno accessibili etc? Perche' invece i governi spingono nella direzione opposta?

Il tuo timore è

Quello che il governo americano vuole, invece, e' avere la possibilita' di raccogliere dati a pioggia come fanno gia' ora con PRISM, ma senza problemi di crypto.

A me sembra un problema molto minore del terrorismo, dell'attività  di spionaggio dei governi non occidentali (Russia, Cina etc.) e del cyber crime vero e proprio.
Mi dispiace non condividere la tua paranoia - ma io sono tendenzialmente filo-ameriKano.  Mi fido di più della NSA che del FSU e (nel complesso e nel lungo periodo) ritengo che agisca per il bene dell'Occidente.

Questa e' una linea di difesa incredibilmente debole, Giovanni. Direi imbarazzante. Indipendentemente da cosa io pensi del governo Americano o Inglese o Italiano attuali ( e futuri?): se un'azione e' sbagliata, e' sbagliata non importa chi la commette. Una buona carta costituente prevede meccanismi che ci difendano dalla tirannia / dittatura. Chiedere che esistano meccanismi anti dittatura non fa di me un paranoico.

e quindi definisci sbagliata un'azione perchè è fatta dal governo americano. L'uso del termine dittatura è sintomatico.

...e' sbagliata anche se la fa il governo americano (leggiti il Quarto Emendamento). Se dei governi occidentali ci fidiamo di piu' e' perche' essi sono soggetti a checks and balances, e quando le regole sono violate li si puo' mettere sotto accusa senza trovarsi il the insaporito da polonio 210. Firmar loro assegni in bianco va totalmente contro a cio'.

e non Enzo Michelangeli.

La paranoia di Gilestro (e tua, mi par di capire) consiste proprio in questo: interpretare una richiesta specifica (fra l'altro poi ritirata) come parte di una strategia delle forze oscure (CIA, NSA, FBI Trilateral etc.) per violare i diritti costituzionali degli americani e dominare il mondo. Implicitamente non fidandosi del sistema di check and balances.  

che mi irritano senza rimedio perche' sono il frutto di un'arroganza che, come questa ed altre discussioni predecenti dimostrano, non ha fontamento alcuno nei fatti. Ed impedisce la conversazione razionale.

"Abbindolare come un cittadino qualunque" e' una pessima frase, Giorgio. Dimostra sia sovrano disprezzo del "cittadino qualunque", sia la convinzione (palesemente infondata) che l'idiota sia l'altro e non, invece, chi la frase la scrive.

Si', forse FBI cerca di abbindolare, certamente lo fa spesso. Pero', al momento, tutta l'evidenza punta ad una semplice risposta: c'era un bug nel sistema Apple (turn off power after mistake and before info gets erased from memory, and keep trying) che apparentemente una impresa israeliana conosceva e sapeva sfruttare, eccetera ... 

Ma, forse, anche "Apple" abbindola, certamente lo fa spesso (e ci riesce, basta guardare il mark-up sul costo a cui vende i suoi prodotti agli "abbindolati": la piu' grande operazione di lavaggio del cervello del consumatore nella storia dell'ultimo mezzo secolo) ed anche questo va tenuto in conto. 

Qualche  "guru" di una certa comunita' ha chiamato il "bluff" come lo chiami tu? Dovrei forse sorprendermi? McAfee era in grado di farlo? Perche' mai non lo ha fatto? Sarebbe stato un enorme boosting alla sua ridicola candidatura presidenziale di cui nessuno s'era accorto ... Anche Nouriel e qualche mezza dozzina di guru avevano "chiamato" il bluff della sub-prime bubble. Era tutto ovvio allora ed e' tutto ovvio ora, certo. Infatti, tutti i guru son diventati miliardari, right? Chi sarebbe l'abbindolato in questa storia? Please ...

Te lo sei letto l'articolo di McAfee? Conosco l'ambiente dal 1986, ossia da quando ebbi il piacere di frequentare per svariati anni Wolfram, Packard e compagnia ... Mi rendo conto tu ti senta parte integrante d'una elite di geni innati ma, a noi "cittadini normali" questa sub-cultura preoccupa assai, per ragioni ovvie che, senza forse rendersene conto, McAfee stesso riporta nel suo articolo: il narcisismo patologico di molte di queste persone e' tale che lavorerebbero per chiunque desse loro "soldi e senso di potere". The masters of the universe: gli investment bankers di GS e gli hackers di McAfee: stessa struttura caratteriale, stessi valori, stesso mondo infatti, anche se non sembra da fuori. 

Vedi, il problema e' che non hai proprio capito il punto. Non perche' non puoi ma perche', avendo gli occhi foderato di techno-jam, non hai capito che il tradeoff in questione NON e' questione di "economisti" ma di "cittadini comuni". Gli economisti possono contribuire metodologia alla discussione ed alla definizione del tradeoff esattamente come gli esperti di sistemi informatici possono contribuire a definire l'insieme di cose possibili ed i giuristi mappare il terreno legale ed i cittadini comuni stabilire la distribuzione reale dei sistemi valoriali. Questo, ovviamente, se si e' in grado di capire che un problema esiste come mi sembra ovvio alla luce degli interventi dei "cittadini comuni".

Piaccia o meno alla comunita' techno-jam-on, il problema che BO ha posto nel famoso discorso esiste e va ben al di la' dei telefonini pur coinvolgendo, ovviamente, i telefonini e financo la crittografia ma non limitandosi di certo a questo. 

Molti ed autorevoli operatori del settore techno, senza jam-on, di questo se ne sono resi conto e su questo dibattono. Vengo da un lungo seminario proprio ieri nella locale school of engineering che mi conferma come questo sia il caso. Il piccolo sample di diverse opinioni che ho postato ieri notte in un altro commento costituisce ulteriore evidenza.

I "cittadini normali" con la mente aperta, consapevoli vi sia un nuovo problema che non ha ancora una soluzione e che, probabilmente, non ha una facile e pulita soluzione, di questo tema dibattono.

Tu, che non ti fai abbindolare da nessuno con l'eccezione di Tim Cook, a questo dibattito non hai intenzione di partecipare perche' pensi il problema sia stato risolto e chiarito da Snowden e McAfee. That's fine.

La cosa divertente e' che ora saranno quei cialtroni dell'FBI che dovranno, sempre per il tradeoff in questione, spiegare ad Apple how to fix their bug.

Government aids to the standard bearer of cyber-privacy: chissa' cosa ne pensa di questo gigantesco sussidio statale quell'eroe libertario di McAfee ... 

Michele, sei tu che hai scelto il registro della mia risposta. Usi sempre questo tono assolutista in cui ogni problema e' "banale" e quindi solo uno sciocco non lo puo' capire - o in cui le argomentazioni altrui sono "vuote alla luce dei fatti". Se tu scegli di usare questo registro, non ti arrabbiare se poi uno si toglie i guanti per rispondere. Peraltro no, io non credo che le persone siano tutte uguali. Qualsiasi caratteristica biologica segue una curva normale e non ti deve stupire se il cittadino qualunque - che tu non sei - non ha i mezzi intellettuali per capire le mosse di una partita a scacchi tra FBI e Apple. 

I fatti sono quelli che ti ho presentato e cioe' che era chiaro fin da subito che FBI stesse facendo soltanto scartoffie per procurarsi un precendente legale. Ti ho citato Snowden and McAffee perche' erano esempi che erano finiti sui giornali ma oltre alla questione tecnica, ci sono mille indizi non tecnici che lo fanno pensare: 1) l'iphone non era il telefono privato del terrorista ma il suo telefono di lavoro; i telefoni privati erano stati distrutti poco prima dell'attentato. 2) FBI aveva il backup di quell'iphone risalente a 6 settimane prima dell'attentato; 3) FBI ha chiesto espressamente alla county di gigioneggiare con la password dell' account icloud compromettendo in questo modo futuri backups che sarebbero scattatati in automatico; 4) Apple non ha mai dichiarato che l'iphone fosse impenetrabile, infatti la prima cosa che ha riposto e' stata "datelo a NSA che ve lo sblocca lei".  Insomma, a parte i dettagli tecnici, ci sono mille motivi per pensare che FBI volesse soltanto un precendente legale. Il tuo post di sopra li ignorava tutti e saltava a conclusioni errate. Sarai anche stato compagno di merende di Wolfram 30 anni fa ma su questo caso non mi sembri informato: non e' mica un reato non essere informati. Anche io non sono informato su un milione di argomenti di cronaca.

Riguardo a questo concetto di massima sistema che riguarda il trade off. Come ho gia' detto, mi sta benissimo parlarne ma un trade off e' fatto sempre di almeno due componenti: prima di prendere posizione al riguardo io vorrei sapere quali sono le due componenti. Quali siano i rischi del terrorismo gia' lo so (sono bassissimi per quanto spaventosi, i numeri parlano chiaro) mentre non so quali siano gli stili di vita a cui io dovrei rinunciare per questo fantomatico trade off. Giovanni Federico e' l'unico che ha proposto una lettura finora e viene fuori che ha semplicemente descritto la situazione attuale. Lo ha detto Apple stessa:

 

When the FBI has requested data that’s in our possession, we have provided it. Apple complies with valid subpoenas and search warrants, as we have in the San Bernardino case. We have also made Apple engineers available to advise the FBI, and we’ve offered our best ideas on a number of investigative options at their disposal.

Che, mi pare, e' esattamente quello che vorrebbe Giovanni e che tu sottoscrivi. Quindi: di cosa stiamo parlando?

Un ultimo inciso: se c'era una persona che ho sempre disprezzato e' stata Steve Jobs e l'unico prodotto Apple che ho avuto in vita mia e' stato un MBP che ho dato via disgustato dopo tre settimane d'uso. Io non sono un Apple fan boy, se e' questo che stai cercando di implicare. Da dieci anni uso solo software open source e sia io che il mio laboratorio produciamo solo software e hardware open source che diamo via pure prima di pubblicare. Insomma, I put my money where my mouth is. Il fatto che adesso mi ritrovi a prendere le parti di Apple vuol dire soltanto che Apple sta facendo secondo me la mossa giusta (probabilmente per il motivo sbagliato).

BTW: se FBI spiega ad Apple il bug usato, mi mangio il cappello. Quella di Apple e' soltanto la risposta alla loro mossa scacchistica.

non hai presente l'ondata di populismo anti-islam ed anti-immigrati che si sta sviluppando in tutto l'Occidente? Mai sentito parlare di Trump, Salvini, Le Pen etc.?  L'unica linea di difesa efficace contro l'identificazione retorica immigrati=musulmani=terroristi (ed entro certi limiti contro il reclutamento dei radicali islamici)  è tranquillizzare la popolazione  mettendo in galera i terroristi possibilmente prima che si facciano saltare in aria.  Per questo sono disposto a sacrificare  la privacy delle comunicazioni, ovviamente con dei limiti. Evidentemente tu ritieni più importante la privacy della lotta al terrorismo. 

che vuole fare un muro per impedire l'immigrazione.

giovanni sei un mito

...che c'entra il suo muro con la liberta' dei cittadini? E che c'entrano i messicani (contro cui il muro e' diretto) con i terroristi? 

NON è questione di privacy, è questione di sicurezza informatica! Capitelo cavolo!
Senza certi accorgimenti, tra cui la crittografia, i tuoi dati sarebbero vulnerabili, che vuol dire:
- perdita di dati (anche irrimediabile, come nel caso cryptolocker)
- furto di dati (ti fregano la carta di credito)
- blocco del funzionamento del server/pc (non ti va la mail perché il server è bloccato, non riesci ad accedere ad un sis.operativo funzionante)
tanto per citare i primi esempi che mi vengono in mente.

"Tranquillizzare la popolazione mettendo in galera i terroristi"
Accedendo ai dati di milioni di persone?
Se questo è il trade-off preferisco annientare la mafia, posso ancora scegliere?

L'FBI non chiedeva a Apple di rivelare il contenuto di quel particolare iPhone, ma di fornirle una versione modificata del firmware che potesse essere caricata in quel telefonino per tentare un bruteforcing del security code (cioe' effettuare fino a un milione di tentativi per provare tutte le combinazioni di cifre decimali, senza l'intervallo di 800 millisecondi tra un tentativo e l'altro, e senza che al terzo tentativo fallito quel particolare iPhone cancellasse tutti i dati in esso contenuti). Questo tipo di modifica non e' difficile anche per un hacker di media capacita' (e infatti ora l'FBI ha trovato qualcuno che l'ha fatto) e per giunta l'NSA, che e' anch'essa un'agenzia del governo federale, ha mezzi ben superiori a qualunque hacker (e infatti Apple aveva invitato l'FBI a rivolgersi ad essa). 

Perche' quindi l'FBI si invece e' fatta rilasciare da un tribunale un'ingiunzione a Apple di collaborare? Per un motivo molto semplice: creare un precedente legale su cui forzare collaborazioni future che ora non sono possibili, e in prospettiva avere tools software che le permettessero accesso arbitrario alle telecomunicazioni. Inizialmente il direttore James Comey lo negava ("The San Bernardino litigation isn’t about trying to set a precedent or send any kind of message. It is about the victims and justice") salvo poi ammetterlo una volta sotto giuramento. Come se non bastasse ha chiesto un'ingiunzione basata su uno statuto, l'"All Writs Act" del 1789, che e' stato seguito da leggi successive piu' specifiche, le quali in base al principio legale "generalia specialibus non derogant"  (scusa il latino, Michele ;-) ) hanno la precedenza su leggi piu' generiche. In particolare, il Communications Assistance for Law Enforcement Act (CALEA) del 1994 nega al governo federale la capacita' di interferire nella progettazione di sistemi di sicurezza per telecomunicazioni (la cosa e' ben spiegata in quest'articolo di Susan Crawford, docente di giurisprudenza ad Harvard e, fino al 2009, assistente al presidente Obama in materia di scienza, tecnologia e innovazione).

Il CALEA contiene quel divieto per ottime ragioni: gli apparati dello stato hanno sempre il desiderio di indagare senza intralci, ma limitazioni e "due process" sono quello che differenzia uno stato di diritto da uno di polizia. Se Apple avesse accettato di collaborare, il precedente cosi' creato sarebbe stato "piu' speciale" del CALEA, permettendo futuri usi del software richiesto non autorizzati individualmente. 

Ci hanno provato lo stesso, gli e' andata male. Ci riproveranno senz'altro. 

Quindi

giuliana allen 30/3/2016 - 04:10

tu sei convinto che lo stato americano non sia democratico ma uno stato di polizia e che solo la Apple sia l'ultima barriera che salvi il cittadino Giuliana Allen dal male?

 

scusami ma come posso credere che un colosso capitalista abbia a cuore gli interessi dei cittadini mentre le agenzie governative no?  

 

io leggo nelle tue risposte un sotteso goudizio che sembra schietare bene  contro male e mi sfugge perche' Apple debba essere il bene e l' FBI il male. Scusami se sono naive 

Gli Stati Uniti hanno una Costituzione coi fiocchi, scritta con l'esplicito obiettivo di rendere difficile lo scivolamento nella tirannia. Ed e' in questo spirito che le fu anche aggiunto un Bill of Rights che nel Quarto Emendamento specifica quello che il governo non puo' fare: in particolare, non puo' effettuare perquisizioni a sua discrezione, senza ottenere da un tribunale per ogni singolo caso un'ingiunzione basata su una specifica "probable cause".

Purtroppo, come Jefferson sapeva bene, "the natural progress of things is for liberty to yeild [sic], and government to gain ground"), e certe agenzie con sigle a tre lettere tentano spesso scorciatoie incostituzionali (con la colpevole tolleranza dell'esecutivo). A volte vengono fermate solo grazie a whistleblowers, e a volte grazie a coraggiose imprese che doverosamente combattono per i diritti dei loro clienti.

Cerco di riassumere in "poche" righe il mio pensiero ma non prometto nulla su quel "poche".

Per me è evidente che in uno stato di diritto un'agenzia governativa (FBI) che si occupa di sicurezza ed incappa nella necessità di accedere a dati riservati chieda come prima cosa la collaborazione dei privati coinvolti. Il tipo è morto e quindi non puo' collaborare. Diamo per scontato che nessun suo familiare conoscesse il PIN e che quindi la richiesta di collaborazione vada indirizzata al produttore del dispositivo. Di solito queste richieste di collaborazione non si fanno la sera davanti ad una pizza ma tramite richieste ufficiali. In questo caso un'ingiunzione di un tribunale. Seccante ma lo stato di diritto è fatto così. Non è la richiesta di un precedente ma la via maestra in uno stato che vuole essere tale.

Naturalmente Apple puo' resistere, come ha fatto, o collaborare. Se non collabora allora lo Stato puo' passare alla classica "forza bruta", in virtù sempre di un mandato, come abbiamo imparato da centinaia di film e migliaia di telefilm.

Ora Apple puo' aver salvato la faccia, sul piano del marketing, con l'argomento "non abbiamo ceduto" ma l'ha comunque persa sul piano della sicurezza (il suo dispositivo è stato violato, sia pur con l'intervento di una "terza figura" che rimane segreta). Buffo che ora Apple chieda di sapere come hanno fatto. Ovviamente lo chiede per irrobustire il codice. Non avete collaborato? Allora la cosa rimane segreta. Intendete collaborare in futuro? Allora ne riparleremo. La sicurezza dei dispositivi iPhone è a rischio lo stesso, senza la collaborazione di Apple. I clienti sono avvisati.

Ma intanto dai fatti di san bernardino, che sono se non erro del 2 dicembre 2015, allo sblocco annunciato adesso ma forse avvenuto giorni o settimane fa, sono passati quasi 4 mesi.

In questi 4 mesi i dati prima inacessibili potevano contenere, come spiegato da Michele, informazioni su attentati imminenti. Non mi dilungo, ha già spiegato lui.

Il problema è se innescare una escalation tra ditte che non collaborano e forza bruta governativa (ad esclusiva protezione dei criminali, anche se per pochi mesi) oppure se trovare una strada intermedia che salvi le libertà ma impedisca gli abusi.

A me questa storia per cui se si cede un solo bit sul tema della "privacy assoluta" allora crolla l'intero universo convince poco. In uno stato di diritto sono possibili soluzioni adeguate che impediscano gli abusi. Una l'ho già indicata e la ripeto. Chiavi di accesso riservate, custodite solo in luogo fisico ben protetto (se non vi basta fort knox dite voi) e non virtuale e di uso singolo. Ogni chiave, una volta utilizzata, non funziona piu'. L'agenzia si rivolge al giudice, il giudice ordina l'accesso alla busta fisica, la chiave viene mandata all'agenzia che la usa. Nemmeno il produttore è in possesso di quelle chiavi (se ne avesse bisogno, chiede al giudice). Per ogni chiave viene scritto chi l'ha chiesta e chi l'ha usata. Il tecnicismo poi si trova ma è chiaro che richiede di innescare una condizione di test (predisposta dal produttore) e l'uso di una serie di chiavi in mano al giudice, all'agenzia + quella secretata a fort knox.

Tutti i sistemi che si basano su crittografia devono accettare quelle chiavi d'emergenza.
Dispositivi che non la accettano non funzionano in USA. Poi gli altri si adegueranno.
Finite le chiavi, se ne producono di nuove, a lotti di 100 oppure 1000.

Insomma se hanno trovato il sistema di proteggere il lancio di missili nucleari da parte del "bulletto di periferia" (e molto peggio) si troverà anche quello per proteggere la privacy dagli abusi e conciliare sicurezza e libertà. 

Francesco, il sistema che descrivi tu si chiama "key escrow" ed e' concettulmente simile a quanto proposto negli anni 90. In quel caso la chiave non doveva venire essere custodita a fort knox, ma doveva essere divisa in due parti ognuna delle quali in mano ad una agenzia governativa diversa. In seguito all'ordinanza giudiziaria le due agenzie mettevano le due meta' della chiave assieme e decifravano l'apparecchio. Fini' tutto in una bolla di sapone quando, con l'avvento di software come PGP divenne chiaro che chiunque avesse intenzioni criminali avrebbe comunque usato software non modificati. Vedi punto 7 nel mio articolo. E questo nonostante in quegli anni, la circolazione di strumenti di crittografia fosse regolata e punita dalle stesse leggi che regolavano il traffico di armi da guerra (carrarmati e missili, per intenderci).

Una precisazione riguardo il bulletto di periferia: ovviamente non sto dicendo che il bulletto di periferia riesca da solo a trovare la backdoor in apple phones. Pero' e' un fatto che una volta trovato un exploit, diventa semplice creare un tool a prova di idiota che permetta a chiunque di replicarlo. 

 

Un attimo, siccome i criminali possono usare sistemi come PGP allora noi rinunciamo a concordare con i produttori onesti l'uso di sistemi "key escrow"? Sarebbe come a dire che siccome un ladro esperto puo' entrare quando vuole in casa mia, tanto vale lasciare porte e finestra aperte.
O che siccome esiste bitcoin allora buttiamo a macero tutti i dollari.

Per prima cosa nel campo della telefonia bisogna vedere se possiamo individuare tecnicismi che impediscano l'uso di sistemi di crittigrafia che non seguano le regole stabilite dallo statro di diritto.  Intallare PGP su un telefonino potrebbe anche essere reso impossibile. A meno che PGP non si adegui alle regole.

Lo stesso sui PC. A meno che uno non sia in grado di farsi un sistema operativo tutto suo, l'uso di crittografia "segreta" potrebbe essere vietato. Nel senso di impedito fisicamente a chi non ha una determinata firma digitale. Insomma le soluzioni si trovano e di quelle che sono accettabili dalla assoluta maggioranza di persone oneste. Banditi, pirati e simili se ne faranno una ragione.

Lo stesso sui PC. A meno che uno non sia in grado di farsi un sistema operativo tutto suo, l'uso di crittografia "segreta" potrebbe essere vietato. Nel senso di impedito fisicamente a chi non ha una determinata firma digitale. Insomma le soluzioni si trovano e di quelle che sono accettabili dalla assoluta maggioranza di persone oneste. Banditi, pirati e simili se ne faranno una ragione.

Francesco, tecnicamente quello che dici non ha nessun senso. Non c'e' bisogno di farsi nessun sistema operativo da soli. Tra l'altro hai presente quanti soldi sono stati spesi per evitare che i ragazzini si scaricassero film, videogiochi e musica? Arrivi tu e dici "basta bloccare tutto"?

Comuque, tanto per ribadire il concetto, adesso ti mando un SMS criptato molto importante di cui solo io e te conosciamo il codice: "la nostra scintilla d'amore scoppiera' il giorno del compleanno della tartaruga filippo, nel giardino delle rose. porta lo champagne, MA FREDDO".

Puoi usare tutti i cavilli legali e i police enforcement che vuoi. Good luck ad impedirmi di mandare messaggi in codice cifrato.

 

 


...e qui e' dove si infrangono sempre i sogni di imposizioni ai "produttori" coltivati da chi vuole barattare liberta' per un po' di sicurezza. PGP non e' una societa': e' un programma originariamente sviluppato da Philip Zimmermann e altri sviluppatori, ed esistono disponibili a tutti varie versioni del codice sorgente . Per un certo periodo una versione commerciale fu prodotta da una societa' chiamata PGP Inc, che poi fu acquisita da Symantec. Nel frattempo gli stessi algoritmi furono incorporati in altri prodotti sempre open source: GnuPG (sotto licenza GPL), APG per piattaforme Android, e altri ancora.

E questo solo per una certa categoria di applicazioni! Esistono poi programmi di disk encryption (un tempo il piu' diffuso era TrueCrypt, non piu' manutenuto; oggi ce ne sono altri come AxCrypt); e programmi per comunicazioni real time, stile WhatsApp, di cui la migliore e' probabilmente Signal (codice sorgente qui). Questi ultimi in genere usano protocolli  con la proprieta' della "forward secrecy", cioe' in cui la chiave di sessione usata per cifrare i dati e' generata cooperativamente ai due estremi (Diffie e Hellman hanno ricevuto recentemente il Premio Turing per questa invenzione) ed e' distrutta a fine sessione, in modo che un eventuale intercettatore dei dati cifrati non potra' in alcun modo recuperare la chiave.

A questo punto che facciamo: vogliamo vietare la pubblicazione del codice sorgente, cosi' solo terroristi e criminali li avranno a disposizione e le persone oneste no? Quest'idea balzana fu accarezzata due decenni fa, quando fu vietata l'esportazione di software crittografico dagli Stati Uniti, ma falli' miseramente perche' la pubblicazione informa cartacea era protetta dal Primo Emendamento, e per esempio il codice di PGP fu stampato, spedito all'estero per posta, passato allo scanner, ricompilato e messo a disposizione sul gia' linkato www.pgpi.org . A parte cio', non e' che all'estero mancassero crittografi e programmatori; e alcuni americani (come Vince Cate, che rinuncio' anche alla cittadinanza americana), lasciarono gli Stati Uniti proprio per evitare queste restrizioni. I francesi provarono a bandire completamente il software crittografico, ma lasciarono perdere quando si resero conto del fatto che questo avrebbe significato niente e-commerce, niente Internet banking e cosi' via. Alla fine del millennio, la maggior parte delle restrizioni era stata consegnata al proverbiale immondezzaio della storia.

Ma sono passati due decenni, e risiamo daccapo a discutere di questioni che avrebbero dovuto essere capite da tempo.

Mi ricorda un po' la storia (o leggenda) dei costruttori delle camere interne delle piramidi, che furono murati vivi per non diffondere il segreto. Siamo tutto sommato alla paranoia e prima o poi si finisce prigionieri della panic room, senza fieto finale.
Il probema è politico e secondo me il mondo commerciale e con esso la tecnica si adegueranno.
Bastano i giusti incentivi.

Sull'altro piatto della bilancia una stupida escalation tra forza bruta, backdoors, algoritmi sempre piu' sofisticati, sistemi operativi sempre piu' complessi e costosi.
A chi conviene?

La discussione mi sembra affetta da una forma di "religiosita' techies" a causa della quale esiste un (immaginario) totem chiamato "privacy" che e' sia inviolabile di fatto per ragioni "tecniche" sia per principio perche' e' un "valore assoluto". 

Francamente, mi sembrano fantasie. Come Franz argomenta il problema politico esiste. Si puo' far finta che no, poi no lamentarsi se gli "altri" prendono decisioni sgradevoli perche' ci si e' rifiutati di partecipare al dibattito.

Infatti

marcomarkiori 29/3/2016 - 21:49

un modo per creare uno spazio di discussione politica è forse rinunciare al concetto vago di "privacy" come sfera privata, specificando di volta in volta di cosa sto parlando.
Ma se faccio così ecco che la contrapposizione fra due vaghi totem "privacy" e "sicurezza" cessa di aver senso, perché i sani vecchi principi possono trovare tranquillamente applicazione, senza fantomatiche alleanze fra lo Stato e la Tecnica uniti contro il Male.

non penso sia così semplice... C'è un motivo se tutti gli algoritmi e le implementazioni crittografiche sono open source... proprio per evitare le backdoor. La libreria che usa Apple per cifrare i dati dell'iPhone e' la stessa che protegge le nostre comunicazioni con la banca e anche le comunicazioni militari. Quello che cambia e' solo la lunghezza della chiave, non l'algoritmo. Quindi la backdoor o la chiave di emergenza apre tutto, non il singolo caso. Ragion per cui Apple vuole sapere come ha fatto l'FBI e questi non vuole dirglielo.

questo non vuol dire che al momento non ci siano falle, ma non per questo bisogna forzatamente metterne una "governativa" con su il cartello "riservato". Quanto pensate che resti segreta?

Sono d'accordo che c'e' un problema politico, e non ho idea di come risolverlo.

Ma Giorgio ed Enzo hanno ragione sul piano tecnico. Non ho bisogno del permesso di Apple o del governo americano per usare crittografia forte, ed in quel caso le uniche chances di decifrare i files e' sfruttare un baco nel software scelto o magagne nella scelta o gestione della password (cosa molto comune tra i non esperti di crittografia).

Questo non cambia i termini della questione, ma pone un problema di enforcement: da al governo la chiave degli iphone e chiunque voglia nascondere qualcosa al governo lo cifrera' con altri mezzi. Poi la NSA probabilmente all' occorrenza apre pure il mio PGP, ma l'asticella di cosa si riesce a monitorare finisce per essere piuttosto bassa, specie se la gente comincia a cifrare i messaggini all'amante per evitare che vangan portati in tribunale quando si litiga per gli alimenti

Un problema (conflitto) politico tra due esigenze diverse si risolve con un compromesso.
Questà è l'arte della politica. Non so dirti quale compromesso, tra i mille e mille possibili.
Lo troveranno i negoziatori.
Lo troveranno perché di solito un buon compromesso conviene a tutti, è win-win.

Mentre il conflitto non conviene  (solo ad alcuni, forse, tra cui i criminali).

Il problema dell'open-source è un falso problema.
In fase di decriptazione autorizzata dalla magistratura si useranno altri software, che accedono alla soluzione tecnica accettata in fase di compromesso (che sia "key escrow" o altro poi si vede).
Io ritengo che la tecnica non debba essere un ostacolo (lo è a livello di argomento dialettico) e che se lo fosse significa che ci siamo messi nella situazione di aver costruito una panic room e di esserci rimasti chiusi dentro. Il compromesso deve evitare che si finisca in questa situazione, che definirei altamente stupida, nel senso illustrato da carlo cipolla.

riguarderebbe i cittadini americani nei confronti del loro governo o anche le aziende europee e cinesi che dovrebbero utilizzare tecnologie per la segretezza che sono sotto il controllo del governo (ops magistratura) americana? il contrario sarebbe plausibile?

La partecipazione al dibattito e' fatta dall'apporto di argomenti (sia tecnici che legali) a favore o contro una certa proposta, ed e' quello che (tra gli altri) Giorgio e io stiamo facendo. Quello che non serve e' parlare senza cognizione di causa e, dopo eventi traumatici, correre sotto le ali del governo del giorno, perche' l'importante e' "fare qualcosa". Un po' come fare la guerra all'Iraq dopo 9/11: "give war a chance!", d'you remember? Non funziono' cosi' bene come avevano detto.

Purtroppo da qui non si scappa - dalla centralità dell'inviolabilità tecnica del totem, se vogliamo dir così.

Il totem della privacy nella società dell'informazione, tecnicamente, non sarà mai inviolabile. Nell'infinita escalation tecnica di difesa e offesa qualsiasi sistema sarà sempre virtualmente penetrabile.

E l'escalation infinita è nella natura del sistema, pensare di limitarla sarebbe come pensare di poter limitare la ricerca scientifica, il libero pensiero, o la spesa per gli armamenti, o la competizione nel libero mercato.

L'offesa di sua natura scalerà sempre al massimo (mossa dagli interessi degli attori più forti del mondo, gli stati-nazione e le organizzazioni criminali).

La difesa a disposizione di questi due gruppi di attori, anche.

Limitare le difese commercialmente disponibili per il pubblico generale porta principalmente ad indebolire le salvaguardie che la società civile può avere nei loro confronti.

La crittografia forte protegge da furti di proprietà (fisica e intellettuale), appropriazioni di identità, truffe, persecuzioni, ricatti, stalking, profilazione...

Nella società dell'informazione la compromissione della privacy indebolisce inevitabilmente i diritti civili, la sicurezza individuale, l'economia.

Pensiamo alla rivoluzione che vediamo schiuderci davanti agli occhi - droni e automazione, internet of things, wearables, interfacce uomo-macchina, analisi big-data...

Implementare sistemi complessi che siano sicuri è complicatissimo, transitare verso una società del genere senza un framework culturale condiviso sull'importanza di sicurezza e confidenzialità dei dati rischia veramente di portarci ad un mondo con una fortissima tendenza al controllo ed alla pressione sociale.

E non lo dico ironicamente, ma sul serio (anche se le tue due prime frasi mi sembrano contraddirsi, ma non importa visto che condivido il resto dell'analisi).

Riconoscere che la "competizione" fra chi, avendo bisogno di segretezza/sicurezza, cerca di rendere piu' complessi i sistemi di trasmissione dati e chi, volendo accesso a tali dati, cerca di violare tale segretezza, e' fondamentale.

Vale per l'informatica quello che vale per ogni altro "strumento di guerra" fra criminali e non e fra stati. Nel momento in cui riconosci, appunto, che gli strumenti informatici (crittografia compresa, quindi, come peraltro riconosciuto da decenni in molte legislazioni) sono una fra le tante armi usabili nella lotta degli uomini con i loro simili, DEVI porti il problema di come cercare di regolarne l'uso e l'accesso. Devi porti il problema del legittimo uso di tale strumento esattamente come, nel caso dell'energia nucleare o dell'avionics, ci siamo posti il problema di separare gli usi militari da quelli civili, quelli consentiti e quelli non. In questi due casi, per un misto di sforzo, fortuna e contingenze storiche, ci siamo decentemente riusciti. Sugli strumenti informatici the jury is out. Which is the all point of the discussion. 

Il fatto che si sia trovato (per ora) un modo per regolare la difussione di testate nucleari non implica che si possa fare lo stesso con qualsiasi arma. Le armi da fuoco negli USA ne sono un esempio lampante. Allo stesso modo, non vuol dire che un trade off sia efficace solo per il fatto di esistere. Prendi ad esempio i controlli agli aeroporti: l'idea che l'omino che mi controlla le scarpe all'aeroporto serva a sconfiggere le minacce del terrorismo e' un fantasico esempio di modello superfisso, no? Quello che succede e' che se il terrorista non si puo' far saltare sull'aereo, si fara' saltare sulla metropolitana o a teatro.

Lasciamo perdere un attimo il caso Apple. Come bisogna comportarsi per le comunicazioni cifrate in HTTPS? Anche attraverso tale protocollo possono essere trasmessi messagi criptati tra potenziali terroristi, creiamo una falla per poter permettere le intercettazioni? 

“E non lo dico ironicamente, ma sul serio (anche se le tue due prime frasi mi sembrano contraddirsi, ma non importa visto che condivido il resto dell'analisi).”

Yep quello a cui volevo alludere è che bisogna rovesciare il problema: il motivo per cui i “techies” son tanto preoccupati dagli attacchi alla privacy non è la difesa a oltranza di un privilegio alla riservatezza ritenuto ideologicamente inattaccabile.

È invece la consapevolezza che questo privilegio non esiste e non esisterà mai nella società dell’informazione.

In un mondo reale che è già, e sarà sempre più, letteralmente imbevuto di innumerevoli network digitali, una riservatezza assoluta non si dà, non si potrà mai garantire.

E una riservatezza “good enough” per garantire le interazioni che ci aspettiamo dalla società civile dipende da un *enorme* sforzo proattivo di implementazione di protocolli di sicurezza.

Ora parlando di cosa ci aspettiamo che sia “good enough”.

Se mi posso permettere un’altro parallelo traballante col mondo analogico, reale, dei millenni prima della società dell’informazione: il benessere fisico, materiale e spirituale dell’individuo in società si è sempre appoggiato ad una aspettativa di confidenzialità e esclusività. Solo io so la combinazione della mia cassaforte e che libro ho sul comodino; solo io posseggo le mie chiavi di casa e il mio libretto degli assegni; solo io so se ho digerito bene e se mi batte forte il cuore.

Sappiamo bene quanto sia sacra questa confidenzialità, una delle architravi della collettività, e infatti la difendiamo con tutti gli strumenti che abbiamo, dalla legge all’educazione. E al tempo stesso sappiamo che in determinate condizioni dobbiamo fare di tutto per violarla, accettando e promuovendo spionaggio, minacce, coercizione, circuizione, corruzione, tortura.

Son perfettamente d’accordo con te che il busillis sia tutto qui; il fulcro della discussione.

Ecco quello che i “techies”, con la loro veemenza nella difesa della privacy, cercano di mettere a fuoco (questo è il problema politico per me, leggermente fuori fase col punto in cui mi sembra lo collochi tu): come la ragionevole aspettativa di privacy è uno dei prerequisiti per l’interazione sociale, il “layer” della crittografia forte dei dati sensibili è uno dei prerequisiti per la ragionevole aspettativa.

Torniamo al parallelo con la realtà analogica: come vi sentireste a girare per strada con la consapevolezza che potreste incontrare molte persone capaci di ipnotizzarvi e farsi consegnare carta di credito, documenti, foto dei figli dal portafoglio, diario personale, filmino delle vacanze, agenda di lavoro, tabella degli allenamenti di fitness e ricette dei medicinali che usate – così, senza colpo ferire e senza che ve ne accorgiate?

Perché, grossomodo e a spanne, è ancora a questo punto che siamo nell’IT globale.

Ora è vero che un jedi-trick del genere sarebbe fantastico per le forze dell’ordine e tutti quelli che stanno a guardia delle cose che ci stan più care.

Però ecco penso che la mia peace of mind (che poi è quella che cerco di difendere dai terroristi) non se ne gioverebbe molto.

Nota bene, un’aspettativa di confidenzialità “pre-digitale” cospicuamente assente in questo discorso: a meno che mi abbiano visto o pedinato, solo io so dove sono e dove sono stato.

Parlando di trade-offs, nella transizione alla società dell’informazione abbiamo già barattato la privacy dei nostri spostamenti con la convenienza e la sicurezza.

I sistemi di localizzazione attiva dei nostri device personali, quelli passivi della sorveglianza elettronica, e i log delle nostre interazioni con sistemi informatici permettono alle forze dell’ordine di ricostruire ed essere aggiornati in real-time sui movimenti e sulle spese di qualsiasi cittadino che rispetti la legge e interagisca socialmente in maniera ordinaria.

La “sensorizzazione” incipiente del mondo reale poi esacerberà questo aspetto in maniere che faccio fatica ad immaginare.

Quando parliamo di trade-offs, non si può non soppesare gli enormi vantaggi che queste infrastrutture portano alle forze dell’ordine e agli apparati di controllo.

Abbiamo poi parimenti dato via “by design” (perché è inevitabile nell’interazione con un network pubblico) tutti i metadata sui nostri scambi di comunicazioni.

Gli header del traffico telefonico, sms, email, chat, http, sono, e resteranno sempre, a completa disposizione delle autorità, che i contenuti siano crittati o meno.

A meno di “going dark” con infrastrutture anonime a-la Tor, che però sono difficili da usare, e bucate a ripetizione dalle autorità.

Ora, la comunicazione crittografata a distanza real-time può aiutare moltissimo qualsiasi “wrong-doer”, ma anche qui c’è già un trade-off pendente verso i controllori.

Quindi fondamentalmente, riguardo la confidenzialità di comunicazioni e dati sensibili: ad oggi le autorità non hanno problemi a sapere chi siamo, dove siamo, con chi parliamo, quanto guadagnamo, dove mangiamo, facciamo acquisti e ci curiamo.

In molti casi (i PC windows e Mac e i device Android sono generalmente meno sicuri dei device iOS, e la gran parte degli utenti configura i suoi device, qualunque essi siano, con impostazioni di sicurezza troppo rilassate), non ha problemi nemmeno a sapere cosa nascondiamo.

In questo contesto dare alle autorità una back-door universale sui contenuti mi sembra un notevole sbilanciamento del trade-off sorveglianza-sicurezza.

NB, anche se fosse per assurdo dimostrabile che questa back-door non comprometta la sicurezza generale del sistema, fosse cioè la mitologica “golden-key” auspicata dai governi americani nel corso degli anni.
Questa è una mia posizione che capisco possa non esser condivisa, però poi resta il problema generale che la golden-key, a dar retta all’opinione della stragrande maggioranza degli esperti del settore, semplicemente non c’è.

Qui si ritorna all’inquadramento tecnico del problema che informa il dibattito politico.

Non vorrei sembrare qualunquista ma bisogna anche ricordarsi delle parti che storicamente informano la discussione.
La “voce” della cosa pubblica in questi decenni è sempre stata istruita dalle agenzie di intelligence e di pubblica sicurezza, in qualità di unici esperti in grado di illustrare lo status quo a governo, parlamento e organi d’informazione.
È inerente un certo bias dovuto alla ragion d’essere istituzionale di questi soggetti.

Purtroppo padroneggiare i contorni tecnici della questione per farsi un’opinione personale richiede un certo impegno nello studio di una materia difficile da sintetizzare per noi non addetti ai lavori.

Per finire è interessante che porti l’esempio del nucleare.
Un ambito dove con materie prime e tecnologie molto simili si possono costruire centrali elettriche o bombe atomiche, che è stato vantaggiosamente delimitato.
Il problema nell’analogia con l’IT è che, per dir così, anche per fare la spesa serve la bomba atomica. =D

L’IT è trasversale a tutti i settori della società.

Le infrastrutture critiche pubbliche e private hanno bisogno di sicurezza “military-grade”.

Il complesso militare/industriale e la sicurezza pubblica impiegano milioni di persone che per lo più usano elettronica di consumo fuori dal lavoro.

E ad esempio se vogliam parlare di terrorismo, divagando un po’, a me una cosa che dà da pensare, molto più di un telefono inviolabile, è il livello della sicurezza ancora oggi implementato nelle infrastrutture e nell'industria.
Ad esempio l’ubiquità di sistemi di monitoraggio e controllo SCADA con presupposti di sicurezza che precedono l’era di ARPANET.

Falle enormi che poi permettono a stati nazione come USA e Israele di confezionare il worm Stuxnet che congela il nucleare iraniano senza bombardamenti, ma grippandogli le centrifughe per l’uranio.
Oppure permettono a un sysadmin australiano che ha perso il lavoro di scombinare le valvole di un impianto di riciclo acque reflue inondando una contea. You can have it both ways. https://ciip.wordpress.com/2009/06/21/a-list-of-reported-scada-incidents/

"Sull'altro piatto della bilancia una stupida escalation tra forza bruta, backdoors, algoritmi sempre piu' sofisticati, sistemi operativi sempre piu' complessi e costosi.
A chi conviene?"
A te conviene! Senza questa escalation verso la maggior complessità dei S/O (io direi piuttosto sacrosanta robustezza) i tuoi dati sarebbero: cancellati, criptati, infettati o copiati/rubati.

A te conviene! Senza questa escalation verso la maggior complessità dei S/O (io direi piuttosto sacrosanta robustezza) i tuoi dati sarebbero: cancellati, criptati, infettati o copiati/rubati.

Si puo' avere un compromesso accettabile (soprattutto non stupido) anche senza vivere in una cassaforte.  Si possono e si devono avere dati sufficentemente protetti senza per questo dare vantaggio ai criminali. La mia chiave fisica di casa, per esempio, è di una tecnologia non copiabile ma che vede una copia a disposizione delle autorità (pompieri, polizia, eventualmente ambulanza se fossi da solo in casa chiuso a chiave) per gli accessi di emergenza.

Naturalmente io mi fido dell'autorità (sono un caso clinico?) mentre comprnedo che paranoici (casi psichiatrico) e criminali (caso da magistratura) invece no. Ma è un problema loro.
Il mio auspicio è che si adotti una soluzione che non crei problemi a me ma li crei ai criminali.

con la tecnologia commercialmente disponibile al momento non c'è alternativa, si rischia di creare un danno molto diffuso per uno scarso vantaggio a livello investigativo. Poi se esista un algoritmo o una teoria innovativa che permetta di superare l'attuale problema non so dirtelo, sarebbe da sentire il parere di un matematico esperto del settore.

con la tecnologia commercialmente disponibile al momento non c'è alternativa, si rischia di creare un danno molto diffuso per uno scarso vantaggio a livello investigativo.

Se mi permetti, questa è un'opinione. Rispettabile ma opinione. Considero anche molto addetti del settore sono troppo paranoici per saper dare un'opinone modrata a riguardo. Intendiamoci, nel campo della sicurazza un po' di paranoia non guasta. Troppa invece è un disastro.

è che quelli davvero paranoici saprebbero come cifrare i dati in modo da rendere la cosa complicata ANCHE per NSA e che qui non si parla di questo.

qua stiamo parlando di tecnologia commerciale che usa la cifratura per rendere la vita difficile ai cattivi in un mondo in cui ogni nostro dettaglio è digitalizzato e salvato sul cellulare.

infatti qua la crittografia c'entra poco (e vorrei che qualcuno mi smentisse nel caso) perche` a fronte di complessi algoritmi di cifratura ci sta un PIN di 6 caratteri + un meccanismo di autocancellazione.

questo rende la vita difficile ai cattivi perche` aggirare quella protezione non è semplice come provare un milione di password ma difficile come modificare un hardware proprietario miniaturizzato che controlla il processo (al 10 bang cancello una parte della chiave dalla memoria e i dati sono persi per sempre perchè SENZA QUELLA CHIAVE IN MEMORIA E SENZA IL PIN la cifratura diventa un problema ANCHE per NSA). molto difficile, comunque.

Il compromesso è che quindi Apple sblocchi gli iPhone, cosa che sicuramente può fare caricando il disco in una versione ad-hoc (software+hw) da dare al governo tramite il quale provare le password (PIN di 6 caratteri). easy.

Cosa accade a quel punto? Che i cattivi utilizzano password più lunghe e tu non devi più provare 6 caratteri numerici di PIN ma qualcosa di più complesso (non solo numerico) del tipo N5aN0nmya\Vr@1|\/|ay che è magari qualcosa che NSA può fare ma non puo` essere una standard practice per ogni investigazione.

Questo ovviamente FBI lo sa quindi cosa ci hanno capito i techies della sua richiesta (perchè se uno non è un economista chiaramente appartiene a una razza di subumani che possiamo chiamare così) anche alla luce di quel che ha detto Apple nel comunicato? Che FBI vuole un accesso privilegiato, una BACKDOOR, qualcosa che permetta a chi la conosce un accesso. Una backdoor in questo scenario è qualcosa del tipo: inserisco come pin IOSONOL'FBI e a prescindere dal pin che l'utente ha settato l'accesso è garantito.

Quello che i subumani stanno tentando di dirvi è che l'esistenza di questo(la backdoor! non l'aiuto di Apple nello sbloccare i singoli telefoni!) indebolisce la sicurezza del telefono, che prima o poi questa cosa viene fuori (ci sono interessi economici miliardari legati, questi si che sono incentivi) e che si aprono scenari apocalittici.

Soprattutto, dicono, che se passa ufficialmente il principio per il quale i prodotti destinati alla sicurezza (non alla privacy) hanno backdoor governativa siamo tutti trasparenti quando questi poi vengono scoperti (perche` se indebolisci deliberatamente qualcosa è più semplice che qualcuno anche senza le risorse di uno stato lo scopra).

Accade inoltre che sti prodotti non le vendi più in altri mercati.

...e neanche tanto preoccupato della mia privacy, trovo convincenti le ultime argomentazioni dei techies, in particolare questa di Dagnelli.

Aggiungerei che la decrittazione dei messaggi dei terroristi non mi pare una risorsa così importante nella lotta al terrorismo. Anche se lo Stato riuscisse sempre a decrittare i loro messaggi digitali, cosa peraltro incerta se ho ben capito, loro presto se ne accorgerebbero e ricorrerebbero ad altri modi di comunicazione. Forse più faticosi per loro, ma non so quanta differenza farebbe. Mi pare che già qualcun altro abbia fatta questa obiezione, che porta a valutare come esiguo il vantaggio nel trade off di cui si discute (dire zero, come ha detto credo Gilestro, mi sembra eccessivo), a fronte di svantaggi ben maggiori -- anche per chi come me tenga poco alla sua privacy.

No, il compromesso che suggerisco io è che ci sia una chiave (con metodo key escrow) custodita in luogo sicuro (tipo fort knox) e di uso singolo, che una volta applicata al telefono (o al dispositivo) mette in chiaro  il pin dell'utente, lungo o corto che sia. Questo continua a rendere difficile la vita ai cattivi che cercano di leggere i nostri dati ma rende possibile all'autorità leggere i dati che i cattivi a loro volta cercano di nascondere.

Poi sul piano tecnico la cosa funziona se
1) i produttori sono d'accordo e producono software adeguato alla soluzione

2) la soluzione si attua solo in laboratorio, con attrezzature che solo le autorità posseggono (con parte della chiave che verrà fornita a quel livello, anche qui di uso singolo e custodita in cartaceo e cassaforte)

3) la chiave custodita viene richiesta solo da un giudice di in certo grado gerarchico.

4) la soluzione è a disposizione della autorità che aderiscono ad una convenzione internazionale (tipo OCSE con il segreto bancario) e che ottemperano a requisiti in ordine alla garanzie democratiche ed al funzionamento dello stato di diritto. Questo stoppa ogni argomentazione apple sulle paure che poi si debba cedere anche alla Cina o a regimi totalitari che ne farebbero un uso distorto. 

Il che, riassumendo, dovrebbe far capire che la soluzione è in primo luogo politica, poi il tecnicismo, pur importante, si vedrà. Un po' come quando hanno deciso di andare sulla Luna. La decsione fu politica, poi i tecnici si fecero in 4 per applicarla.

I tecnici infatti sono bravissimi in questo. E lo dico perché anche io sono un tecnico informatico, dal 1978. Tuttavia a 40 anni, quando da analista- programmatore e poi  analista sono diventato  responsabile di progetti anche grossi, ho capito che saper manipolare bit non basta a saper prendere o proporre decisioni strategiche (politiche). 20 anni fa ho quindi iniziato ed estendere le mie conoscenze al di fuori della pura tecnica, riappropriandomi in primo luogo delle conoscenze scolastiche (filosofia) e via via matematica, teroia dei giochi, fisica, biologia, psicologia. Cose che tra l'altro sono utili se dirigi grossi gruppi. Una delle prime cose in cui mi imbattei fu l'analisi transazionale di eric berne. Ecco, diciamo che se i tecnici, invece di giocare a "perché no, sì ma" si applicassero a trovare una o piu' soluzioni, queste sarebbero già state trovate.  Non mi pare del tutto inverosimile che se invece prevale la paranoia, questi tecnici risultano dei forti giocatori psicotioci, nel senso proposto da EB. Di quel tipo di gioco che porta ad escalations e a situazioni tipo gioco del pollo, e finiscono entrambi nel dirupo.

Poi magari la soluzione operativa non sarà quella che ho illustrato io. Anzi sono sicuro che sarà sicuramente migliore. Ma spero che ci sarà.

Reputo inoltre che se aborro (spero non da solo) il concetto di predominio della politica, a maggior ragione credo si debba fare lo stesso con l'ipotesi di predominio della tecnica.
Quando vedo tecnici che singolarmente o raccolti soto tla voce voce "la maggioranza dei ..." affermano che solo loro possono conoscere cosa va bene per la salvezza del pianeta, mi permetto (pur essendo tecnico) un po' di sano scetticismo.

Il concetto di chiave "di uso singolo" non mi è del tutto chiaro.

Questa chiave, conservata su un suporto cataceo custodito a Fort Knox è attivabile solo su ordine di una autorità giudiziaria di un paese OCSE e funziona solo una volta, nel senso che quando viene utilizzata risulta "bruciata" per cui non può venire impropriamente sfruttata per accedere ad altri dispositivi?

Quello che mi sfugge è come si fa ad avvisare i milioni di dispositivi sparsi per il pianeta che questo è avvenuto, dicendo loro di bruciare una delle chiavi che potrebbero sbloccarli.

Ammesso di farlo attraverso un aggiornamento del software, e ammesso che tutti lo facciano, comunicare urbi et orbi questa informazione equivarrebbe a dire che un dispositivo marca X e modello Y è stato sbloccato. Forse questo potrebbe danneggiare il segreto istruttorio. Sbaglio?

Beh, il concetto è chiaro: una volta che la chiave è stata usata, non funziona piu'una seconda volta. E' quello che succede in banca quando i tecnici devono accedere a dati riservati per sistemare errori informatici e quindi occorre conciliare provacy e integrità dei dati.
Ora poni una domanda concreta che anche io mi pongo, ma se hai compreso il citato concetto del "perché no, sì ma" dovresti iniziare a proporre soluzioni, non nostacoli.

Le soluzioni sono molteplici ed una a cui non avevo pensato, in quanto farraginosa, è proprio quella dell'aggiornamento del software. E quindi ti ringrazio.

Ma questo ci mette di fronte a due tipi di soluzione:

1) hard-coded (che necessita di un aggiornamento software)
2) data-coded (che necessita solo dell'accesso in rete ad una lista di chiavi "bruciate")

Il che non basta, ovviamente, ma che puo' essere stimolo per trovare soluzioni praticabili e trasparenti. Una puo' essere che ogni dispositivo ha una sua unica chiave di accesso "protetta" ma qui la soluzione "custodia cartacea" si fa complessa. Un miliardo di telefononi = un miliardo di buste in cassaforte. La vedo dura ma non impossibile. Direi impraticabie per costi e tempi di ricupero quindi se ci sono soluzioni miglori ben vengano.

Dai, su! Noi tecnici in queste cose siamo bravissimi.
Io che sono solo un vetusto programmatore di 62 anni, qualche idea me la sono già fatta venire. Non vorrete, voi giovani virgulti, farvi fregare da un anziano (sicuro) e spento (forse) concorrente! Basta fare un concorso per la migliore soluzione e mettere un premio di un milione di dollari (ma che gli economisti calcolino loro il giusto incentivo!) e poi vediamo chi gioca a "si ma" e chi a propporre soluzioni valide.

Ok, giocare mi piace.

, la questione della chiave fisica (carta e cassaforte) va bene per le banche: 1 cassaforte per 1 sistema informatico. Con una distribuzione di apparecchi su scala globale la soluzione mostra la corda. Meglio un server centrale con mezza-chiave, L'altra mezza arriva dalla autorizzazione del giudice di un paese OCSE (e potrebbe essere anche fisica). Ad ogni uso la mezza chiave relativa su server verrebbe bruciata.

Ora ci sono due problemi (magari di più, per ora ne vedo solo 2):
A) La chiave, così come viene messa insieme, deve essere usata una sola volta. Non ho idea come fare in modo che questo accada. O meglio, tutte le idee che mi vengono si scontrano con il fatto che si potrebbe manomettere l'orologio della periferica per fargli credere che la password non sia già scaduta.

B) Chi controlla il server delle mezze chiavi? (abbiamo aumentato solo di un ordine la complessità del problema).

Il gioco può essere divertente per passare la domenica pomeriggio.

Ma, se il malintenzionato di turno installa sul suo device un software di crittazione forte la nostra soluzione, oltre a passare una bella domenica, servirebbe a ben poco.

Diversamente se qualcuno avesse una soluzione che salva capra e cavoli andrebbe a sventolarla a Cupertino (o a Mountain View). Anche senza un concorso, una idea del genere toglierebbe un bel po' di castagne dal fuoco, quindi qualcuno riconoscente non si faticherebbe a trovarlo.

Karl, entrambi i punti che sollevi possono essere risolti, almeno dal punto di vista teorico:

A) Per la "one-time key", il problema è che sia il device da sbloccare sia l'agente di escrow (per esempio, un'entità governativa) devono conoscere un numero potenzialmente molto alto di chiavi, e soprattutto devono rimanere sincronizzati su quale chiavi utilizzare. Così su due piedi mi verrebbero in mente due soluzioni:

- Usare un sistema di cifratura simmetrico (tipo AES) in counter mode. In particolare, si utilizza AES per generare una one-time key partendo da un valore iniziale (VI) condiviso tra agente di escrow e device. Ad ogni utilizzo di una one-time key, entrambe le parti incrementano il contatore ed applicano AES alla vecchia chiave, in modo indipendente. La nuova chiave dipenderà dal valore della vecchia e dal nuovo valore del contatore. Ovviamente, questo sistema funziona solo se VI rimane segreto, e solo se i contatori di entrambe le parti rimangono sincronizzati, problema che avevi già intravisto tu nel tuo commento. Ragionevolmente, uno può aspettarsi che il punto debole in questo schema sia il device anziché l'agente di escrow.

- Visto che nella prima soluzione per un attaccante sarebbe molto più facile compromettere un device anziché un agente di escrow (che magari potrebbe essere, come argomentato da Francesco, una struttura tipo Fort Knox), risolviamo il problema alla base: togliamo la chiave dal device. Dopotutto, il problema essenziale è che l'agente di escrow deve *dimostrare* al device di essere davvero chi sostiene di essere. Quindi la questione può essere vista come un problema di autenticazione. Questo può essere risolto, per esempio, usando protocolli di dimostrazione a conoscenza zero. In particolare, solo l'agente di escrow mantiene la chiave. Applicando il protocollo di dimostrazione, l'agente è in grado di dimostrare al device di conoscere effettivamente il valore della chiave, senza però dovergliela trasmettere. Il protocollo è soggetto ad una probabilità di errore, ovvero un attaccante che si finge l'agente di escrow può ingannare il device con una probabilità di 1/2. Questa probabilità può essere però ridotta a piacere ripetendo il protocollo più volte in modo indipendente (per esempio dopo 20 volte la probabilità di errore è meno di una su un milione, ovvero 1/2^20).

B) Il problema del controllo del server contenente le "mezze chiavi" può essere risolto usando gli schemi di condivisione dei segreti. L'idea è di suddividere la chiave in più server anziché uno solo, ciascuno controllato da un'entità/organizzazione diversa. La distribuzione di questi pezzi di chiave viene fatta da una terza parte. Lo schema funziona in modo che la chiave possa essere recuperata solo se almeno un certo numero di server tra cui essa è stata suddivisa mette a disposizione il proprio pezzo. A questo punto uno potrebbe obiettare che il problema di fiducia è stato semplicemente spostato: magari non ci fidiamo di alcune delle organizzazioni tra cui la chiave è stata condivisa (ma questo problema è risolto dalla proprietà dello schema di condivisione, visto che non tutti i server sono necessari al recupero), ma alla fine bisogna sempre fidarsi della terza parte che distribuisce i pezzi all'inizio. In realtà, anche questo problema può essere risolto usando schemi verificabili. Questi schemi permettono ai server di verificare che i pezzi di chiave siano consistenti, e che il dealer non abbia fatto il furbo.

Ovviamente, tutte queste soluzioni teoriche possono essere interessanti, ma i problemi fondamentali rimangono sempre la scalabilità e i costi di un sistema del genere. Senza contare poi il bypass facile che hai già puntualizzato tu, ovvero il fatto che un criminale/terrorista potrebbe svilupparsi per conto proprio i sistemi di cifratura da usare (probabilmente sbagliando pure ad implementarli e quindi rendendoli violabili).

Grazie

Filippo Riccio 3/4/2016 - 20:09

E' chiaro che dal punto di vista tecnico ne sai molto più di me. Per quanto riguarda le possibilità di enforcement di simili soluzioni (e i relativi costi) credo che ci sarà molto da dire quando arriveremo a dibatterne nel thread sotto il contributo politico e giuridico.

Per esempio la prima cosa che mi viene in mente è: chi garantisce poi che sul device non giri altro software di crittografia che non implementa l'algoritmo del governo? L'agenzia delle dogane che sequestra tutti i telefoni in ingresso agli USA? Un accesso casuale a devices per vedere se davvero i dati che sono stati cifrati sono stati cifrati con quelle chiavi e non con altre introdotte dall'utente? Tutto questo quando si può far girare un sistema di messaggistica nel browser semplicemente collegandosi a un sito internet basato chissà dove? Mah...

Grazie Luca per la risposta,

le mie erano solo idee buttate li' in una domenica piovosa senza un granpremio davanti a cui fare un sonnellino. Grazie anche per gli spunti interessanti, che ho approfondito in questi giorni.

Rimango dell'idea che l'utilita' di avere una passpartout universale e' relativa, per i tanti motivi che sono gia' stati dettagliatamente esposti.

Volendo restare nell'esempio, probabilmente la soluzione piu' semplice sarebbe inserire tutto il meccanismo a livello di cifratura del filesystem (il che amplierebbe la cosa a qualsiasi supporto di memorizzazione oltre ai soli telefoni).

Resterei sull'idea che per usare il passpartout sia necessario un accesso fisico al device e pertanto escluderei la cifratura AES in counter mode a favore dimostrazione a conoscenza zero.

Quanto alla condivisione dei segreti mi piacerebbe che la terza parte che li distrubuisce fosse una entita' indipendente (e tendenzialmente un po' paranoica, tipo EEF), perche' questo sarebbe un fardello notevole da portare.

«Ash nazg durbatulûk, ash nazg gimbatul,
ash nazg thrakatulûk, agh burzum-ishi krimpatul.»

Come succede quasi sempre quando si ha un'idea, tipicamente qualcuno l'ha già pensata, e l'ha realizzata in modo migliore di quanto si potesse già pensare.

Molti altri oltre a me, Francesco, hanno già fatto notare nei commenti a questo post che sistemi di key recovery, escrow et similia sono già stati realizzati in passato. Ed è proprio l'esperienza passata che ha mostrato la loro inadeguatezza e il loro fallimento. Inoltre, si sono rivelati fallimentari in un periodo storico (anni '90) in cui le comunicazioni globali non erano sviluppate e complesse come ora. E già allora, alla fine di quell'esperienza, diversi tecnici del settore mettevano in guardia sull'estrema complessità di realizzazione di un sistema di key escrow universale, scalabile, e utilizzabile solo dalle autorità.

Granted, ciò non implica che realizzare un sistema del genere rimarrà sempre fuori dalla nostra portata. Ma prima di buttarsi nella speculazione selvaggia su come poterlo realizzare, magari forse prima conviene documentarsi sulla letteratura a riguardo, ed apprezzare meglio le difficoltà tecniche in esso insite. Quindi, ti invito nuovamente a leggere questo paper:

  The Risks of Key Recovery, Key Escrow, and Trusted Third-Party Encryption

Lo so, leggere richiede tempo. Ma continuare a dibattere ignorando la letteratura scientifica a riguardo mi pare poco fruttuoso. D'altro canto, finora tu non hai portato alcuna documentazione a supporto dei tuoi claim. Tutte le tue argomentazioni sono impressioni e idee basate sulla tua esperienza lavorativa personale. Ovviamente, non metto in dubbio che la tua esperienza sia molto estesa e utile. D'altronde, nella mia limitatissima esperienza (sono ancora studente di dottorato) ho già notato che parecchi colleghi che lavorano in ambito IT quasi mai riescono ad apprezzare la complessità dei problemi affrontati in crittografia, e finiscono per affrontarli in maniera naive esattamente come stai facendo tu.

Di più, sempre dalla mia limitata esperienza ho notato che gli attori del mondo industriale (dove per "industriale" intendo "non accademico") finiscono per volere soluzioni *molto* più insicure ma, dal loro punto di vista, più "efficienti" e "praticabili". E questo considerando che le soluzioni tecniche allo stato dell'arte che gli si propone, in realtà, sono completamente fattibili e "within reach".

Icaro

Francesco Forti 3/4/2016 - 18:07

Beh, quel "quasi sempre" non mi convince perché se tu avessi ragione saremmo probabilmente ancora all'età della pietra. Non lo siamo e so che questo non significa affatto che ogni idea avuta in passato fosse per forza brillante. Le idee si valutano solo per quello che sono e capita che idee vecchie, che non erano realizzabili in passato, diventino realizzabili in seguoto, quanto la tecnica trova le soluzioni. Facile dire, nel 1700, che il mito di Icaro (idea vecchie e già carici di mitici fallimenti) fosse un sogno per pazzi. Oggi si vola normalmente ed è pure il sistema di trasporto piu' sicuro. In effetti con sistemi piu' complessi delle ali piumate di Icaro, ma ci siamo capiti, spero.Idem per andare sulla Luna.

Quanto al tuo consiglio di lettura, hai ragione nel dire che leggere (e capire) richiede tempo, nota risorsa scarsa. Sono anche d'accordo sul concetto che simili soluzioni implicano rischi e costi. Ma quello che forse non si è capito che siamo in presenza di un trade-off con ben altri costi e rischi (vite umane, sicurezza nazionale) e quindi alla fina una decsione va presa.

Si è capito, e continuare a metterlo in dubbio mi sembra anche abbastanza improduttivo.

Quando decidete come fare le norme sulla sanità, vi rivolgete ai medici per sapere quali sarebbero costi e benefici dei vari trattamenti possibili?

Quando decidete come fare le norme sulla radioprotezione, vi rivolgete ai fisici sanitari e agli ingegneri nucleari per sapere quali sono i rischi e le contromisure che si possono prendere contro tali rischi?

Ecco, vi siete rivolti agli esperti di crittografia e avete ricevuto una risposta chiarissima: "limitare la crittografia è pericoloso per la sicurezza". Anche nazionale. Non solo di qualche anarchico in lotta perenne contro il potere.

Ora potete decidere se ascoltare questo parere, oppure ignorarlo e discutere come si fa di sanità sui forum di omeopatia, o di radioprotezione su ecoblog...

Innanzitutto mi scuso: la frase con cui ho iniziato il mio commento l'avevo intesa come una battuta, ma per come l'ho scritta in effetti è abbastanza perentoria.

Venendo al tuo paragone con il volo e con il mito di Icaro, mi hai fatto venire in mente un'osservazione che avevo letto tempo fa sul "Artificial Intelligence: A Modern Approach" di Russell e Norvig. La faccenda in quell'ambito riguardava la possibilità di costruire "macchine pensanti", ma l'osservazione è di carattere puramente generale e prende spunto proprio dal caso del volo umano:

Gli esseri umani hanno imparato a volare quando hanno smesso di imitare gli uccelli.

Ed è esattamente ciò che riconosci anche tu scrivendo "con sistemi piu' complessi delle ali piumate di Icaro".

Mutatis mutandis, non pensi che per risolvere il problema di cui stiamo discutendo, forse, c'è anche la possibilità che la soluzione la troveremo cercando in un'altra direzione che non sia il key escrow (notare che per key escrow non mi riferisco a nessuna soluzione tecnica in particolare, ma alla questione generale di permettere l'accesso alle autorità a dati cifrati)? 

Sì, lo penso. Ritengo che se soluzione verrà trovata, sarà sicuramente migliore di key escrow ma probabilmente verrà trovata proprio approfondendo pro e contro di soluzioni come quella. Il che mi fa pensare che è solo continuando ad approfondire una soluzione che poi se ne risolvono i problemi, anche con innovazioni concettuali notevoli.

L'esempio che proponi:

Sarebbe come a dire che siccome un ladro esperto puo' entrare quando vuole in casa mia, tanto vale lasciare porte e finestra aperte. O che siccome esiste bitcoin allora buttiamo a macero tutti i dollari.

Non mi sembra centrato, direi piuttosto:

Sarebbe come a dire che siccome un ladro esperto puo' nascondere la sua refurtiva in modo inaccessibile all'FBI, e' inutile che questa chieda a tutti di lasciare la chiave sotto lo zerbino per facilitare una eventuale irruzione.

 

QUINDI l'argomento:  "SE il produttore coopera ALLORA crea un rischio enorme che prima non esisteva e per evitare di creare questo rischio bisogna rifiutarsi di cooperare con FBI (in questo caso) o altra enforcemente agency" cade. Il rischio, evidentemente, esisteva COMUNQUE.  

Boldrin, questa premessa e gli argomenti che seguono equivalgono, alla grossa, a dire:

"Siccome non si può immaginare di poter progettare una porta che non possa, dato sufficiente impegno di tempo e mezzi, essere forzata, allora valutiamo se non sia il caso di obbligare ogni azienda che voglia vendere serramenti a consegnare alla Questura una copia della chiave di ogni singola serratura venduta."

 

Ah nel soppesare questa analogia alla buona, tenere a mente che per la Questura è molto più difficile custodire al riparo da malintenzionati interni ed esterni una chiave "digitale" piuttosto che fisica, e che per un cittadino è infinitamente più facile accorgersi di avere un intruso che gira per casa piuttosto che dentro al telefono.

... ma, se gli altri commenti al mio sono della stessa qualita' logica, meglio lasciar stare. Per due ragioni, cruciali.

1) Non discuto con anonimi. Si, lo so, esiste una comunita' in rete per cui rimanere anonimi eccetera eccetera. Conosco la solfa. Discussa su questo blog svariate volte molti anni fa. La mia policy non e' mai cambiata.

2) Non discuto con chi si inventa affermazioni che io non ho fatto. Non ho fatto questa affermazione. Infatti, sull'intera specifica (e secondaria, come ha spiegato Franco Cazzaniga altrove) vicenda Apple-FBI la mia posizione e' agnostica. E, comunque, la richiesta di FBI, come documentato sin troppe volte per doverlo ripetere, NON era di costruire un passpartout universale ma di contribuire ad un patch per il caso specifico.

Fine. Se hai qualcosa di rilevante da dire, dillo. Se hai bisogno di scrivere cazzate nascondendoti dietro l'anonimato, ti prego di cambiare rapidamente aria. Grazie, saluti. 

oh gesussanto.

1)
Desolato.

Mi chiamo Riccardo Poli, ho 38 anni, vivo a Firenze.

Vi seguo da tempo, trovando molto interessanti i pezzi che pubblicate, di cui spesso leggo anche i commenti, trovandoli altrettanto interessanti. Non mi sono mai registrato perché non mi era mai parso di poter dare un contributo alle discussioni; in questo caso invece mi è venuta voglia di partecipare perché l’argomento mi sta molto a cuore.

Mi sono velocemente iscritto inserendo il nick e l’email che son solito adoperare per forum e commenti, e prima di uscire ho postato il mio piccolo contributo.

Mi spiace di non aver rispettato la netiquette di questa comunità, ma nella pagina del modulo di registrazione non ho trovato nessuna indicazione riguardo l’uso di nomi reali. Non ho letto la Guida al sito perché non avevo notato il link nel footer, e nemmeno la Policy sui commenti perché non avevo notato che quelle tre parole nelle istruzioni del form di commento nascondessero un link.

Me ne scuso.

 

Detto questo,

2)
Non mi pare di aver inventato nessuna affermazione e resto dell’idea che l’analogia - ripeto, alla grossa - sia valida.

Quando dici che “Il rischio, evidentemente, esisteva COMUNQUE” enunci un truismo informatico equivalente a dire che qualsiasi porta può esser forzata.

È noto che implementare un sistema informatico inviolabile al 100% è un’impossibilità pratica.

Per quanto accurato possa essere lo sviluppo, ci saran sempre bug, sviste, interazioni non previste sfruttabili per penetrarlo.

Esempi per capirsi: il cosiddetto “jailbreaking” e “rooting” dei telefoni iOS e Android si basa su tecniche di “privilege escalation” che dovrebbero essere impossibili by design nell’implementazione di questi OS.

Eppure finora gli hacker sono praticamente sempre riusciti a confezionare nuovi exploit per realizzarle, dopo ogni aggiornamento degli OS che tappava le falle che rendevano possibili gli exploit precedenti.

Nel caso dell’iPhone 5C di San Bernardino, è da tempo opinione comune degli esperti di sicurezza che sia agenzie statali come l’NSA, sia hacker privati, possano avere a disposizione multipli metodi di attacco (sia solo software, che con modifiche all’hardware).

Il punto da portare a casa nell’interpretazione della vicenda è che è plausibile affermare che se il governo americano avesse davvero voluto a tutti i costi decrittare l’iPhone aziendale del terrorista morto, avrebbe potuto già farlo, se non tramite l’FBI, con l’intervento dell’NSA.
Come poi è stato in grado di fare rapidamente una volta che l’offensiva legale contro Apple si è arenata.

Va detto di passata che l’FBI ha anche commesso una grave leggerezza ordinando il reset della password dell’account iCloud del terrorista, compromettendo un possibile metodo di recupero dei dati decrittati. Per chi volesse approfondire:
http://arstechnica.com/tech-policy/2016/02/apple-we-tried-to-help-fbi-terror-probe-but-someone-changed-icloud-password/

 

Però, l’FBI ha deciso di tentare la strada di obbligare Apple, attraverso un’interpretazione dell’All Writs Act e altri strumenti legali, a scrivere una versione speciale del firmware priva dei meccanismi di protezione contro il brute-force.

Questo aggiornamento speciale avrebbe dovuto essere consegnato all’FBI che avrebbe potuto installarlo su qualsiasi iPhone 5C in suo possesso.

Qui, il punto da portare a casa è che grazie ad un software del genere, un attacco alla crittografia di un iPhone 5C passa da essere una tecnica complicata alla portata di pochi attori, ad un procedimento semplice eseguibile con modeste competenze e attrezzatura - alla portata di qualsiasi laboratorio forense, agenzia privata, o associazione a delinquere!, nel mondo.

E che non è difficile immaginare che avrebbe finito per essere contrabbandato al di fuori del controllo dell’FBI.

Direi quindi che, almeno limitatamente ad uno specifico modello di telefono, l’argomento che "SE il produttore coopera ALLORA crea un rischio enorme che prima non esisteva”… non cade.

E ulteriormente, non cade in un senso più generale, relativo al piano inclinato che un precedente legale del genere (obbligare un produttore a scrivere software secondo le specifiche di una agenzia governativa) avrebbe inevitabilmente creato.

In primo luogo, direttamente, che l’FBI avrebbe potuto cominciare a esigere versioni compromesse di qualsiasi sistema software.

In secondo luogo, con l’effetto che una consuetudine del genere avrebbe avuto sul dibattito politico sulla sicurezza informatica.

Intendo dire… facciamo un esempio.

Il firmware modificato richiesto ad Apple si basa su due caratteristiche dell’iPhone 5C per rendere possibile un attacco brute-force:

a) il contatore dei tentativi di password che distrugge la chiave di cifratura del disco al 10° tentativo è accessibile e modificabile dal firmware;

b) il firmware può essere aggiornato senza che sia richiesto di inserire la password dell’utente (questo era stato previsto per facilitare l’assistenza tecnica).

Sugli iPhone 6 e successivi, il vettore d’attacco a) non esiste più - il contatore è implementato in un area dell’hardware che il firmware non può modificare.

Inoltre, Apple sta verosimilmente valutando di eliminare anche b) semplicemente richiedendo la password per l’aggiornamento del firmware.

Ora, in uno scenario in cui i produttori software sono obbligati a fornire versioni indebolite dei propri sistemi al governo, non è ragionevole immaginare che verrebbe poi inevitabilmente dibattuta anche la libertà del produttore di implementare migliorie che rendano via via sempre più difficile continuare a sviluppare queste versioni “indebolite”?

Il vero rischio enorme sotteso a tutta la vicenda e al contesto in cui si colloca, per me, è l’inclinarsi del piano del dibattito verso uno scenario in cui il software, per essere legale, debba rimanere al di sotto degli standard industriali di sicurezza. Con tutte le conseguenze che questo comporta.

Da qui il taglio “FBI ultimately wants to make crypto illegal” di molte opinioni di esperti.

Un altro dettaglio inquietante sulla postura del governo americano: ad un certo punto, durante la disputa legale, il Dipartimento di Giustizia in un’istanza ha alluso alla possibilità di richiedere ad Apple la consegna del codice sorgente di iOS e delle chiavi per firmarne digitalmente gli aggiornamenti.

“9. For the reasons discussed above, the FBI cannot itself modify the software on [the San Bernardino shooter’s] iPhone without access to the source code and Apple’s private electronic signature. The government did not seek to compel Apple to turn those over because it believed such a request would be less palatable to Apple. If Apple would prefer that course, however, that may provide an alternative that requires less labor by Apple programmers.”

Con il codice sorgente e le chiavi, il governo può facilmente creare aggiornamenti installabili da remoto con cui far fare ad un iPhone praticamente qualsiasi cosa.

http://fortune.com/2016/03/11/apple-fbi-source-code-signature/

 

 

Ora, venendo al punto 1 del tuo intervento originario:

Alla "proposta Obama” si oppone davvero, piaccia o no, un insormontabile ostacolo tecnico.

È già incredibilmente difficile salvaguardare la privacy anche aderendo ai migliori standard correnti e perfezionandoli incessantemente.

Figuriamoci se i sistemi dovessero obbligatoriamente essere indeboliti by design.

Non si può individuare un giusto tradeoff privacy-sicurezza perché trovare un compromesso sulla privacy significa, tout-court, compromettere la privacy. Per tutti. Indiscriminatamente.
A meno di usare software illegali.

Il problema è squisitamente tecnico. Quello politico è rendersene conto.

Una lettura interessante:

https://backchannel.com/why-are-we-fighting-the-crypto-wars-again-b5310a423295

 

Bon, quel che volevo dire l’ho detto, mi scuso per la lunghezza, e m’interesserebbe sapere che ne pensate.

Mi auguro che non trovi anche questo mio commento irricevibile, nel caso me ne starò offline a riesaminare il mio punto di vista.

Saluti,
Riccardo

 

Ah, una cosa interessante a proposito dei fatti franco-belgi: i terroristi di Parigi usavano burner-phones usa e getta senza accesso internet, facendo per lo più solo chiamate vocali a pochissimi numeri.

http://arstechnica.com/tech-policy/2016/03/paris-terrorist-attacks-burner-phones-not-encryption/

L'articolo è scritto benissimo e per quanto mi riguarda condivisibile dalla prima all'ultima sillaba, commenti compresi.
Credo che la vaghezza del concetto di privacy (come "sfera inaccessibile") e di trade-off privacy-sicurezza sia fonte di molte incomprensioni.

From the Institute for Communitarian Policy Studies.
                        
An Apple—FBI compromise?

I asked a list of colleagues the following (their responses follow, all quoted with permission):

Please let me know if in the following way we can have our Apple and eat it too. Seriously—allow the FBI to get the information protecting national security requires—and protect the privacy of other phone users.  Apple argues that if it introduced a backdoor into the high power encryption program it inserted into its new phones, this vulnerability would allow foreign governments, criminals, and hackers to violate the privacy of many millions of phone users around the world.

Let us assume that Apple leaves the phones as they are—but develops a key to unlock them it keeps, protecting it by using Apple's high power encryption. Once a court orders that a given phone must be unlocked, the FBI will bring it to Apple, which will unlock it, and turn over to the FBI  the found information —but not the key. (NY Police Department alone has 300 such phones waiting to be "read')

What is wrong with this approach?

Granted, applying the same methods to phones that is still in the hands of terrorists, drug lords, and human traffickers, raises additional challenges.  But here too, as long as the surveillance is carried out via Apple—the encryption of all other phones is not threatened.

Apple argues that if it did so for the USA—other governments would demand the same access. If Apple feels it cannot resist such demands, what is to prevent China and Russia from demanding access even if US did not get it?

Apple sometimes says that it cannot unlock these phones, but it told the court that this would be expensive—i.e. it can be done. Moreover, the Wall Street Journal pointed out that it would cost merely the same as one engineer for one year.

There are many other reasons Apple and other high-tech corporations  give for objecting to collaborating with the government.

I am asking merely a technical question. Can a key kept by Apple under its high power encryption unlock selected phones without making other phones vulnerable?

Kindly respond to etzioni@gwu.edu and also let me know if I may quote you. For more about this topic, see my paper on "Ultimate Encryption" on SSRN.

James H. Morris, Professor of Computer Science, Carnegie Mellon

What you suggest is certainly possible. In fact, what the government is asking--that Apple install an operating system that will allow the FBI to try millions of passwords--has the same proproperty: only Apple could repeat it. There's no back door here.

Furthermore, it would probably cost Apple 5 minutes on an engineer's time, simply commenting out the code that bricks the phone after ten rapid password guess.

I think this is entirely a battle over the legal precedent. Apple knows, it submits now, it will be very hard to refuse in the future, even for China or Russia. 

Also, the government is after a precedent and chose this case carefully to maximize the public support for their case. They could have chose any of the 300 other cases, but they weren't about terrorism.

Steve Bellovin, Professor, Dept. of Computer Science, Columbia University

You asked "I am asking merely a technical question. Can a key kept by Apple under its high power encryption unlock selected phones without making other phones vulnerable?"

The short answer is "no".

For full details, see http://cybersecurity.oxfordjournals.org/content/early/2015/11/17/cybsec.tyv009 (I'm one of the authors) and Susan Landau's Judiciary Committee testimony at http://judiciary.house.gov/_cache/files/b3af6e9e-b599-4216-b2f9-1aee6a1d90cd/landau-written-testimony.pdf. Briefly, there are several different problems.  First, what you suggest -- encrypting under a key known only to Apple -- sound easy but isn't.  Cryptography is a very subtle technical discipline; it's very hard to get even the simplest things right.  To give one example, see https://www.cert.org/historical/advisories/CA-2000-18.cfm? -- an "additional key" solution that turned out to be fatally flawed in a fashion that is blindingly obvious after the fact.  Nevertheless, the mistake occurred in product from a company whose business was selling cryptographic solutions, i.e., one that you'd think had the competence to avoid such errors.

Second, with the thousands of phones that need to be unlocked in the US alone (if Manhattan alone has 200 and (per an article I read last week) Sacramento County has 80, the nationwide number can't be less than that), protecting this one Apple key and/or its use becomes very difficult.  (See Landau's discussion of "routinization".)  A key can be readily available or it can be secure; it can't be both.

Third, the existence of this key is a magnet for nasty governments.  Maybe Apple is good at resisting ordinary hackers, though they're a sufficiently secretive company that I don't know if we'd know if they were hacked.  For that matter, I don't know if they'd know; most victims never notice.  (Home Depot found out they'd been penetrated for 6 months not by their own technical efforts but because some banks tracked a pattern of credit card fraud to their customers.)  Intelligence agencies, though, are way ahead of ordinary hackers.  China hacked Google 6 years ago, and Google is acknowledged to be one of the best in the business.

By the way, you wrote "protecting it by using Apple's high power encryption".  That's the wrong approach; that just moves the problem to protecting another key.  For this, you need technical, physical, and procedural security measures, probably not more encryption.

John Pike, Director, GlobalSecurity.org

Let us assume that Apple leaves the phones as they are but develops a key to unlock them it keeps, protecting it by using Apple's high power encryption. Once a court orders that a given phone must be unlocked, the FBI will bring it to Apple, which will unlock it, and turn over to the FBI  the found information but not the key.

I have tried not to follow this controversy, since so many other people are following it. But I think that this is what is being proposed.

As long as the surveillance is carried out via Applethe encryption of all other phones is not threatened.

I think that Apple is arguing that they cannot protect the security of their gizmo, which would find its way out of Apple and into the hands of evil-doers.

China and Russia from demanding access

That is, how can Apple resist lawful orders from unsavory governments. Their argument is that the existence of such governments means that no government anywhere can enforce a lawful search warrant. I try to avoid pretending to be a lawyer, but this would seem to make compliance with any search warrant a voluntary affair, or at least allow the subject of the warrant to condition compliance with their assessment of the legitimacy of the issuing authority.

Can a key kept by Apple under its high power encryption unlock selected phones without making other phones vulnerable?

Again, their claim is that the dang thing would escape their premises, and get into the hands of evildoers.

David Bantz, Chief Information Architect, University of Alaska system

Of course Apple could create and selectively apply a version of their OS to phones identified by law.  That is pretty much exactly what they've been asked to do by FBI.

But once you have a special version of the OS that disables protections against guessing password to unlock the phone, how to prevent it from getting abused - for example to unlock your phone or mine?  NYC and FBI have hundreds of phones they want to unlock.

That would entail a process involving many people and loading the OS on many phones. That makes it possible maybe even likely that one of those people entrusted with that power is coerced or bribed or is clumsy enough to put it in the hands of criminals.

At that point the criminals can unlock your phone and mine. They could then read your documents, install their own software to steal your passwords or track your use.

Maybe you trust that even with hundreds of agents and Apple employees use the broke OS on hundreds or thousands of phones their performance will be perfect so that no criminal gets he broken OS. Do you trust that enough that you would very sensitive info to that process?  Many will not, and that lack of confidence means we have lost confidence in the security of our info and opened ourselves up to invasive intrusion via malware installed without our knowledge.

(The even more valuable thing to steal would be the secret key that has to be used to sign the OS so that your phone will accept the OS. With that a criminal can write their own even nastier more broken OS and push it onto your phone. The possibilities are endless.)

Amitai Etzioni:

Dear colleague,

I hear you but do you believe that means the FBI will be blinded? Or do you believe they are bluffing or there are not major costs if they are blinded?

Best, Amitai

David Bantz:

If you mean by "blinded" that the FBI won't be able to break into an arbitrary iPhone by getting Apple to break the phone by pushing the OS that disables the phone's security, then yes, they won't be able to.  In this particular case, apparently the FBI would have been in a better position to get information off the phone if they had not first reset the phone's password (I don't understand the details of that, but I've read semi-technical articles that assert so).

While I would like law enforcement to get information that help gets bad guys, the cost for some ways of getting information may be too high.

Stories about this Apple/FBI conflict usually state the issue in terms of privacy - that if the tool were to escape or be misused, individuals' privacy could be violated. While that's true, said that way it seems the trade-off is possible embarrassment - uncovering a person's unwise email messages, or their viewing of smut. And since those seem venial and even uninteresting, it might seem little is given up (particularly since I bet we all think it's someone else who will be embarrassed - not us).

But security is at stake too: the security of information that is rightly - necessarily - kept secret by law abiding individuals. Financial data is an example: your credit card numbers (with the billing and pin we regularly provide in buying books or socks on line), bank account passwords, and the like. While I can't really imagine serious bad guys going to a lot of trouble to find your or my browsing history or read our emails, it certainly is worth their trouble to capture that financial data and max out our credit cards, get new cards issued in your or my name issued to them, transfer funds from our accounts and so on (I mean of course not one or two, but at scale). If you knew this was possible after many Apple employees had access to broken OS and the means to force that OS onto an iPhone (signing keys that would also work to force a different OS broken in other ways onto phones), would you still trust your financial secrets to be on that iPhone? And of course, even if compromising my words and yours doesn't rise to a serious loss of security broadly speaking, compromising the email and documents of the government officials or CEOs surely would.

Here's a sounder slightly more technical account by information security maven Jeff Schiller: https://jis.qyv.name/home/pages/20160226

Jeffrey A. Eisenach,  Senior Vice President and Co-Chair of NERA's Communications, Media, and Internet Practice

Actually, no..... not according to Apple. The govt has already offered the "you keep it" option -- indeed, not just keep it, but destroy it.  Apple argues that simply the act of hacking the phone makes it more likely they will be asked to do so in the future....  Not a very credible argument I think.

Prof. Roger Bohn, Associate Dean, School of Global Policy and Strategy, UC San Diego

A quick response. Of course nobody knows all the answers in detail to your questions.

First, read up on what a "key" really is in this case. It's not at all analogous to a  physical key.

Second, Apple's real concern is clearly not this case, but the precedent. The USG, in various cases elsewhere, as well as various states, have already made it clear that they plan to use a favorable judicial decision in this case for multiple other phones. So Apple, quite correctly, does not view this as a "one time" thing; it is setting a  precedent. And it fundamentally does not trust the USG  or any other government to act legally and with restraint.

Third, Anything can be reverse engineered. Once Apple creates this tool, and the source code that goes with it, there are numerous ways that other players can end up getting their hands on the core ideas, and implementing their own versions. It's like building the first A-bomb. It's still very hard to build another one, but look at all the security there, and USSR had its own within a few years.

Regarding other countries: You can answer this one yourself. Consider the difference in telling the Chinese government "No" in two scenarios.

1) "We did not do it for our own government, and we won't do it for anyone. That protects everyone who uses Apple products, including Chinese, from American espionage."

2) "We don't like you as much as we like the USG, so although we did it for them, we won't do it for you."

Which position is going to cost less for Apple to maintain, in the face of determined pushback from Chinese government?

Andrew Percy, FRSA, CEO, Justworks, Silicon Valley, and Spokesperson for the LIFE movement

A single key to unlock all doors would be the greatest prize for the devil... and impossible to protect.

The answer is to set up the infrastructure that allows everyone to have their own key, but provide a mechanism to access to an individual's key with a court order.

This system is specified at www.Standardsoflife.org/xID.

Alexandr Burilkov, Research Fellow/Doctoral Student, GIGA Institute of Asian Studies

I'm not strictly speaking a techie, rather a political science grad student, but I work with statistics and programming and have some knowledge of cryptography.

Apple uses the same 256 bit AES standard encryption developed by the US gov't in 2001 and now in use across NATO and the private sector worldwide.  The key is fused into the device at the hardware level, and with a decent password, a brute force attack that looks at all possible password combinations would take years on average to succeed.

What the US government wants is to have access to Apple's records of keys built into its devices.  This can easily be done on a case-by-case basis, when a single device is brought to the court and decrypted by Apple.  So yes, decrypting selected phones can easily be done without compromising others; if that weren't the case, the AES standard would be far worse than what it is, and wouldn't be in use by NATO.

As to the argument that China and Russia would demand access, I know for sure that at least the Russians have a very advanced surveillance network (SORM, active since 1995) analogous and perhaps even superior to the NSA.  The Russians would likely much prefer to find a way to decrypt Apple devices that Apple isn't even aware of, rather than trying to pressure Apple openly, as the Chinese have done with Google.  This would be possible when an user uses their Apple device and the signal carrying passwords and other sensitive information is captured by the Russians (here in Germany there was a similar scandal, when iPhones were hacked by thieves by capturing the signal in order to extract logins and credit card information). 

Furthermore, in extremis the Russians would probably resort to coercion of individuals, and most encryption doesn't survive rubber hose cryptanalysis.  Therefore, Apple's argument on that is rather spurious.

Clay G. Wescott, President, International Public Management Network

In my view, this isn't a tech issue, but a governance one. Countries like China routinely ask tech companies for information about dissidents, and the consequences can be long prison terms. Apple wants to be able to say no.

Philip A. Schrodt, Senior Research Scientist, Parus Analytical Systems LLC

This is in the current issue of Science and is a great example of how a system (BitCoin) that everyone wanted to be secure (even if some of the "everyone" were some nasty characters...) but through just a few people being a little sloppy, got compromised and once compromised (in this case by law enforcement), provides far more information than would have been available had the "secure" system not been used in the first place. Again, the problem is not the technology, it is people getting careless about how they use the technology.

Michael Boylan, Professor of Philosophy, Marymount University

I agree with you about having Apple unlock the phone under its own authority, keeping the phone in their care, custody and control, and turning over the files/information that would be mentioned in a court order.  Apple would be safe.  Foreign governments would only have leverage over Apple if they used economic arguments.  For example, China could say, unlock this phone or we don't let you do business in China.  Of course, in the language of statistics, this is an independent event. China might say this whether or not Apple acted in the U.S. case at hand.  The two sorts of cases demand different sorts of internal standards on the part of Apple.  I remember when Google pulled out of the Chinese market because it did not want to be a party to e-mail surveillance.  Apple might choose to do the same--even though they (Apple) has manufacturing relationships as well with China (which do not adequately recognize employee rights).  It is very interesting which "values" seem dominant within one's shared community worldview.
                            
Bill Loughrey,  former technology executive on two presidential commissions on encryption
                         
This is about a simple thing called security.  Would you live in a house if the terrorists had the key to it?  Terrorists are tough guys.  Do you think they will use technology or live in a house if the police have a key to it?  Would you claim a product is secure if the law enforcement officials have the key to it?  We used to have security built into the public infrastructure so that there was public access.  It is now basically in the ends of the network where the technology companies control it.  They don't build good security into their products, because they can charge more for it later on.  Apple has totally blown it by letting their security be a public spectacle.  They now have for less security than their had before.  By the way, the terrorists are already using another technology - at least for their secure communications.

Brian Forst, PhD, Professor of Justice, Law and Criminology, School of Public Affairs, American University

Thank you for your thoughtful, concise assessment of the Apple vs US controversy.  I think your question, "Can a key kept by Apple under its high power encryption unlock selected phones without making other phones vulnerable?" really extracts the essential question from the considerable clouds of smoke that this case has generated.  I think the answer to this question can be summarized in terms of the slippery slope problem:  Yes they could, but if they break precedent in this case there will be no end of other requests, and they can claim moral high ground by standing on the side of their customers' rights to privacy to avoid the hassle and build goodwill among their mostly liberal, educated customer base.  That may sound cynical, but I've yet to see another explanation that makes more sense.

Vladimir Baranovsky, Russian Academy of Sciences, Centre for Situation Analysis, director

To 'a technical question: Can a key kept by Apple under its high power encryption unlock selected phones without making other phones vulnerable?' there is a strictly technical answer: yes it can! But the problem is by no means a strictly technical one. In so far as there is no 100 (hundred) per cent certitude that unlocking phones is technically impossible, - such unlocking becomes possible due to human factor.

Amitai Etzioni

Many thanks. While I am studying the various documents and reflect on what I learned, here are my thoughts on one key point: The argument that if Apple will help the US government it will have to do the same for other, authoritarian governments.  From all these well-taken responses, there follows:

Apple's Chinese Red Herrings
Far from yielding to the FBI's call to help it gain access to messages stored in a terrorist's cell phone, Apple is doubling down: Apple is working to increase its iCloud encryption, which would inhibit even Apple itself from retrieving password-protected customer data stored in its cloud.

Congress must act soon to stop Apple

If Congress does not act soon to rule that the CALEA act applies to extremely strong encryption inserted into Apple phones, every terrorist, drug dealer, and human trafficker with half a brain will get one. They may have waited a bit to find out if these phones are really as impenetrable as both the FBI and Apple claim, but one must assume they are increasingly convinced

Credo che la seguente affermazione di Brian Forst contenuta nell'articolo
postato da Michele Boldrin sia il nodo centrale di tutta la questione del "going
dark debate" (GDD):

«I think the answer to this question can be summarized in terms of the slippery
slope problem: Yes they could, but if they break precedent in this case there
will be no end of other requests, and they can claim moral high ground by
standing on the side of their customers' rights to privacy to avoid the hassle
and build goodwill among their mostly liberal, educated customer base.»

Personalmente, non ho problemi ad ammettere che l'argomentazione proposta da
alcuni "privacy advocates" sia esattamente uno slippery slope, e quindi in linea
di principio un ragionamento fallace. Limitandosi al singolo caso della strage
di San Bernardino, non si può concludere per via deduttiva che qualche altra
enforcement agency in futuro farà richieste via via più "esose" in termini di
violazione della privacy con la scusa di portare avanti le investigazioni.

Questo, però, limitandosi appunto alla situazione contingente di Apple
vs. FBI. Ora, vorrei invitare alla seguente riflessione, che tocca un aspetto
tipicamente trascurato in questo tipo di discussioni:

I dati che vengono recuperati da telefoni o altri device di terroristi/criminali
durante le investigazioni sono utili?

Michele Boldrin ha ipotizzato la situazione in cui il telefono di Farook
contenga dati relativi ad altri attentati terroristici. Sotto questa ipotesi, è
difficile non essere d'accordo sulla necessità da parte delle aziende IT di
collaborare con le autorità (posto chiaramente il trade-off tra sicurezza
nazionale e privacy che uno si pone).

La validità di questa argomentazione, però, a mio avviso si basa sulle due
seguenti assunzioni, chiaramente legate tra loro:

1) La presunzione che un determinato telefono/device contenga informazioni utili
per continuare le indagini o sventare altri attacchi.

2) Il fatto che il telefono/device effettivamente contenga le suddette
informazioni.

Personalmente, credo che per poter prendere una decisione informata sul GDD (o
anche solo farsi un'idea corretta della situazione), sia necessario misurare in
qualche modo l'effettiva utilità di questi dati verificando l'assunzione (2)
ex-post, caso per caso.

Passiamo ora dal particolare al generale: storicamente, FBI, NSA e altre
enforcement agencies non sono nuove a questo tipo di richieste. Negli anni '90,
come osservava Giorgio Gilestro in un commento precedente menzionando le crypto
wars, il governo USA aveva implementato misure di intercettazione ben più palesi
e pesanti per tutti i prodotti crittografici sviluppati negli Stati Uniti (e,
più in generale, anche per le comunicazioni telefoniche).

Le argomentazioni dell'FBI, all'epoca, erano centrate più sul crimine interno
che sul terrorismo, ma la retorica è esattamente la stessa che vediamo nel caso
della strage di San Bernardino in questi giorni. Bruce Schneier osserva in [1]
che il direttore dell'FBI di allora sbandierava il caso di John Gotti per
giustificare la necessità delle intercettazioni telefoniche. Ma, di fatto,
l'investigazione su Gotti è proseguita facendo intercettazione ambientale
(cimici), e non telefonica.

Schneier continua osservando che non c'è evidenza per cui l'"ostacolo
crittografico" abbia mai impedito in modo critico il proseguimento delle
investigazioni. D'accordo, le fonti a supporto di questa affermazione di
Schneier riguardano crimini generici investigati dalla polizia e non il
terrorismo, quindi magari non sono completamente applicabili a questo caso della
strage di San Bernardino. D'altro canto, occorre notare che l'FBI periodicamente
torna sempre a sbandierare il fantoccio del "Going Dark": una volta per i
mobster, un'altra per i pedofili, stavolta per i terroristi. Eppure, non ha mai
dichiarato, che mi risulti, quanto siano stati utili i dati recuperati dai
telefoni/device di criminali (perché lo ha fatto, diverse volte) per proseguire
le investigazioni.

Per questo motivo, sebbene concordo sul fatto che la slippery slope sia in
generale un ragionamento fallace (e quindi probabilmente lo è anche nel
frangente del GDD), personalmente consiglierei prudenza sull'assecondare le
richieste delle enforcement agencies, e di esigere più trasparenza sull'utilità
dei dati che vogliono ai fini delle loro indagini.

Riferimenti

[1] B. Schneier. Stop the Hysteria over Apple
Encryption. https://www.schneier.com/essays/archives/2014/10/stop_the_hysteria_ov.html

Sto ancora leggendo ma intanto mi sono imbattuto in primo passaggio che merita un chiarimento. David Bantz scrive:

Of course Apple could create and selectively apply a version of their OS to phones identified by law.  That is pretty much exactly what they've been asked to do by FBI.

But once you have a special version of the OS that disables protections against guessing password to unlock the phone, how to prevent it from getting abused - for example to unlock your phone or mine?  NYC and FBI have hundreds of phones they want to unlock.

That would entail a process involving many people and loading the OS on many phones. That makes it possible maybe even likely that one of those people entrusted with that power is coerced or bribed or is clumsy enough to put it in the hands of criminals.

At that point the criminals can unlock your phone and mine. They could then read your documents, install their own software to steal your passwords or track your use.

Ecco, in realtà pensare che un simile software sia concepito senza essere a sua volta protetto da password mi pare di una ingenuità eccessiva, soprattutto da parte di un informatico. Il sistema creato da Apple (e da ogni altro produttore) potrebbe solo funzionare sulla base di sistemi tipo "key escrow", già qui discussi. Con chiave di accesso usa e getta, a disposizione solo su ordine della magistratura. Il software sarebbe "firmato" da Apple stessa, quindi questo genere di protezione rimane. Poi se uno ruba la password per firmare il softare, come sostiene DB alla fine, vero, sarebbe un problema ma lo sarebbe anche oggi, indipendentemente dalla presenza o meno di versioni in grado di permettere la forza bruta per indovinare un pin di 6 numeri.

Francesco Forti, la tua proposta è sicuramente possibile, almeno in linea di principio. Purtroppo la vedo difficilmente attuabile in pratica. Visto che non voglio dare l'impressione di nascondermi dietro "totem" tecnologici o scientifici, cerco di articolare meglio i miei dubbi.

A livello astratto, l'oggetto di base del problema è un sistema di comunicazione oppure un sistema di archiviazione delle informazioni, chiamiamolo A. Sia esso un telefono/device elettronico su cui sono memorizzati dei dati, sia esso un collegamento telefonico o internet su cui passano dei dati, poco conta: ciò che è importante è che questi dati, per svariati buoni motivi, vanno protetti da possibili attaccanti in grado di intercettarli. Ora, la crittografia offre uno strumento che, sempre in linea teorica, permette di "risolvere" questo problema. Ho scritto risolvere tra virgolette perché, ipersemplificando, tutta la sicurezza di questa costruzione dipende dal fatto che la chiave utilizzata per eseguire la cifratura rimanga nascosta. E mantenere segreta questa chiave comporta altri problemi, che possono essere gestiti (ma non risolti completamente, va detto) usando altri strumenti, siano essi ancora di tipo crittografico, o di sicurezza procedurale, o di sicurezza fisica o altro.

Ciò che si vorrebbe nel mondo ideale è che la sicurezza di questo sistema A possa essere bypassata  in caso di necessità anche senza la chiave, e solo da determinati attori oltre ai legittimi proprietari/utenti. Il modo in cui ciò viene realizzato, tramite backdoor nel codice sorgente che implementa l'algoritmo di cifratura o firmware appositi che scavalcano completamente l'algoritmo di cifratura e l'architettura di sicurezza soprastante come nel caso contingente di Apple, è completamente irrilevante. Chiameremo l'oggetto che permette di bypassare la sicurezza del sistema A come sistema B.

La soluzione diretta che viene in mente, come proponi tu, è di trattare B esattamente come un altro sistema di comunicazione o di archiviazione delle informazioni. E quindi per esempio utilizzare gli strumenti della crittografia, ovvero fare in modo che B possa essere utilizzato solo attraverso un'altra chiave crittografica.

In questo modo, però, abbiamo sempre il problema di mantenere segreta la chiave crittografica di B. Quindi abbiamo spostato lo stesso problema che avevamo con il sistema di cifratura di A a B. Si può considerare, in un certo senso, come un problema del secondo ordine in crittografia. D'accordo, come menzionavo prima si può nascondere questa chiave utilizzando ancora strumenti di crittografia (andando quindi al terzo, quarto ordine ecc.), o di sicurezza fisica, o quant'altro. Ma come ho già detto, queste soluzioni non sono bulletproof al 100%, e avremo sempre il rischio che la chiave di B possa essere intercettata.

Ora si potrebbe obiettare: ok, però un agente razionale, a seconda della sua misura di utilità, può pure accettare una determinata soglia di rischio che la chiave venga trafugata. E aggiungendo strati di sicurezza (cioè aumentando quello che ho chiamato l'"ordine" del problema) uno si aspetterebbe, intuitivamente, che questo rischio man mano si abbassi. Questo potrebbe essere vero, ma c'è da considerare una cosa: aumentando l'ordine del problema, diventa via via più complicato implementare i sistemi che si comportino in modo corretto.

Ciò che proponi può essere visto come un problema del terzo ordine:

1: Sistema di cifratura di A -> 2: Sistema di cifratura di B -> 3: gestione della segretezza della chiave di B

Certo, in linea di principio è sempre possibile trovare qualche soluzione per il terzo livello, tramite key escrow, schemi di condivisione dei segreti, o altre soluzioni non di tipo crittografico. Il punto però che sto cercando di evidenziare è il seguente:

Allo stato attuale, non siamo neanche in grado di implementare in modo corretto il sistema di cifratura per A!

Esempi di quello che ho appena detto se ne trovano un tanto al chilo in tutta la storia dei programmi di crittografia. Per parafrasare una battuta di Matthew Green: "alcuni pensano che nel 2026 avremo a disposizione algoritmi di cifratura super sicuri, resistenti perfino ai computer quantistici. La mia predizione è che nel 2026 staremo ancora cercando di implementare in modo giusto Diffie-Hellman".

Dove Diffie-Hellman è stato il primo protocollo di condivisione delle chiavi crittografiche, introdotto nel 1976. La battuta non è guidata da nessuno "spirito totemico" per cui i crittografi pensano che una cosa non possa essere fatta dal punto di vista tecnico e basta. È invece dettata dall'esperienza di decine di implementazioni di algoritmi di cifratura rivelatesi poi insicure e bacate, con flaw di sicurezza molto pesanti.

La bottom line di questa tirata direi che è: nessun informatico (meglio dire, nessun crittografo) è così ingenuo da pensare che un sistema come quello che FBI voleva chiedere ad Apple non possa essere protetto in qualche modo. Ma occorre essere consapevoli di due cose:

1) Proteggere un sistema per bypassare una cifratura tramite un'altra cifratura o algoritmo crittografico sposta solo il problema ad un ordine superiore, perché dobbiamo sempre custodire e mantenere segreta una chiave, alla fine.

2) Spostare un problema all'ordine superiore tipicamente finisce per aumentare la complessità del sistema globale, e quindi aumenta la probabilità di realizzarlo in modo errato, aumentando anche la superficie d'attacco (cioè il numero di possibilità a disposizione di un attaccante per compromettere il sistema)

Come già nota Steve Bellovin nell'articolo postato da Michele Boldrin, la crittografia è una disciplina complessa, dove riuscire a realizzare anche la cosa più semplice non è affatto banale, ed è facile sbagliare. In generale, non ci si può aspettare che soluzioni a problemi complessi non siano altrettanto complesse. Tra parentesi, la soluzione tecnica del key escrow, in questo caso specifico, è probabilmente la meno adatta di tutte, per una pletora di motivi che possono essere approfonditi in questo articolo di Schneier:

 

The Risks of Key Recovery, Key Escrow, and Trusted Third-Party Encryption

No, il sistema B come dico è protetto da una password scritta su carta (ipotesi) e custodita in cassaforte. Dove hackers e compagnia non possono entrare. Menzionavo Fort Knox giusto per dare l'idea di un posto sicuro, dove tutti vorrebbero entrare ma dove per ora non ci sono riusciti. Non serve ipotizzare un C, D ed altri ordini superiori. Ed è pure una password usa e getta. Una volta usata, non funziona piu'. Ora sono perfettamente d'accordo che l'implementazione di un simile sistema implica non pochi problemi pratici. Ma l'umanità ha risolto problemi ben piu' rilevanti e difficili. L'importante è la volontà di arrivare ad una soluzione di compromesso, che salvi privacy individuiale e sicurezza nazionale (quindi di tutti). Se c'è la volontà vedrai che poi i problemi pratici si risolvono.

Francesco, la key escrow si puo' anche fare ma per farla breve ci sono due problemi, uno di carattere tecnico e uno di carattere politico. 

1) tecnico: non importa che le chiavi stiano sulla luna. Key Escrow implica che ogni processo di crytpo che avviene, avvenga usando lo stesso codice sia esso software o firmware. Ora: scrivere un codice perfetto e' praticamente impossibile. Bugs se ne trovano in continuazione, anche nei sistemi piu' sofisticati. Prendi ad esempio le consoles di videogiochi: sono anni che c'e' una guerra infuocata tra i produttori di videogiochi e gli hackers. I primi non vogliono che le consoles siano modificabili per scoraggiare la pirateria, i secondi puntualmente riescono a trovare qualche modo ingegnoso per fare con le console quello che vogliono. E ti assicuro che la guerra e' davvero infuocata e il livello di sofisticazione delle consoles e' molto alto. Immagina cosa vorrebbe dire trovare un bug che ti permette di accedere ai contenuti di qualsiasi device critpografato degli USA?! 

2) politico: come tanti hanno gia' fatto notare, le barriere per ottenere un software criptografico "illegale" sarebbero bassissime. Non ci sarebbe neanche bisogno di inventare nulla o di scaricare nulla, basterebbe usare un telefono usato di una generazione pre-key escrow. Non stiamo parlando di rendere illegale un'arma da fuoco o una bomba atomica ma solo alcune righe di codice.

Concordo, Giorgio, ma stammi un po' a sentire. Il fatto che non sia possibile scrivere codice perfetto e che la sicurezza assoluta non esista è noto ma deve diventare un ostacolo? Intanto partiamo dal dato di fatto, ammettendo di credere ad FBI, che un modo per accedere ai dati criptati di quel telefono è stato comunque trovato. L'argomento principe un po' di tutti è stato "se ci riesce FBI ci possono  riuscire altri". Poi altri diventa "tutti". Lo stesso argomento usato per negare soluzioni tipo backdoor e vedo anche ora Key Escrow. Insomma lo stesso argomento ci dice che comunque vada, si faccia o non si faccia, ora tutti i nosti dati a cui teniamo sono passibili di essere violati. Siamo fritti.

E se non esiste sicurezza assoluta sarà sempre cosi', ma a costo (uso "costo" non a caso) di una escalation continua tra produttori, governi, hackers che implica sviluppo continuo, codici sempre piu' compressi (e forse per questo piu' vulnerabili). È un po' il ragionamento della proliferazione delle testate nucleari. Dopo un po' hanno capito che era un gioco stupido: loose-loose.Costava troppo. Ed hanno fermato la corsa.

E qui vengo all'aspetto politico. In realtà come detto piu' volte, la soluzione è politica. Nel senso che se tra produttori e governi che offrano garanzie di democraticità (stato di diritto, divisione dei poteri) si arriva ad un accordo, poi le soluzioni tecniche si trovano, settore per settore. Per ora parliamo della telefonia. Non me ne intendo di protocolli GSM tra telefono e provider ma ipotizzo che dopo una certa transizione temporale, solo telefonini dotati di crittografia legale (chiamiamola cosi') potranno accedere alla rete di quel determinato paese. Se hanno attivato la protezione dei dati.  Chi non attiva quella funzione, si connette liberamente. È solo un'idea, tra tante, per dire che le soluzioni possibili sono tante e non sono quello il vero problema. Il vero problema è politico.

Non siamo fritti perche' il modello commerciale attuale e' dinamico: la competizione, lo sviluppo tecnologico contribuiscono a creare mese dopo mese prodotti migliori. Come dicevo, bugs se ne trovano in continuazione e vengono aggiustati o modificati. Ogni volta che il tuo computer o telefono ti chiede di fare un security update, e' per quel motivo. Avere un sistema centralizzato di key escrow renderebbe tutto piu' lento se non immobile.

 In realtà come detto piu' volte, la soluzione è politica. Nel senso che se tra produttori e governi che offrano garanzie di democraticità (stato di diritto, divisione dei poteri) si arriva ad un accordo, poi le soluzioni tecniche si trovano, settore per settore

Francesco, questo e' un ragionamento da pointy haired boss:

La parte tecnica non puo' essere secondaria. Non basta la buona volonta'. Puoi rendere facilmente la vita difficile al cittadino qualunque ma non al terrorista. Del resto anche gli esplosivi sono illegali, no? Se tutti sti kamikaze riescono a procurarsi esplosivi - che insomma non e' che si trovino nelle merendine - figurati quando ci mettono a scaricarsi un programma di crypto.

Ogni volta che il tuo computer o telefono ti chiede di fare un security update, e' per quel motivo. Avere un sistema centralizzato di key escrow renderebbe tutto piu' lento se non immobile.

Key Escrow (ma chissà quanti altri sistemi spno concepibili) è solo per la parte accesso a dati crittografati. Cosa che mi pare abbastanza stabile, sul piano della teoria matematica. Tutto il resto continuerebbe ad essere migliorabile.
Si', il mio approccio è da pointy haired boss .-)
Anche se un po' piu' concreto (penso) di quanto riportato nell'esempio grafico.

Le soluzioni tecniche sono migliaia. Scegliere quale tra mille e adottarla non è secondario ma viene dopo la decisione politica di trovare un compromesso sul tema del trade-off.
Senza questo inutile nemmeno affrontare le questioni tecniche che tendano al compromesso regolatorio.

Vedi, io mi limito a pensare che agli incroci ci sia un forte pericolo di scontri tra veicoli. Bisogna trovare un compromesso tra libertà di tutti di muoversi come vogliono, ed una qualche regola che limiti il movimento. Se siamo d'accordo, non tiratemi in ballo le liberà fondamentali. Tecnicamene poi la soluzione puo' essere il semaforo, la rotonda, lo stop, la limitazione di velocità, una buona segnaletica. Magari ci saranno ancora morti e magari qualcuni passerà col rosso a 100km/h ma questa non è una scusa per negare regolzioni.

Ma se non siete d'accordo, che su vada pure avanti così con la escalation, che promette e permette un crescente fatturato.  Se poi ci sono ogni tanto delle vittime evitabili, amen.

Le soluzioni tecniche sono migliaia. Scegliere quale tra mille e adottarla non è secondario ma viene dopo la decisione politica di trovare un compromesso sul tema del trade-off.

I crittografi di professione (che non sono quelli che "ne sanno un pò di matematica") e praticamente tutti i maggiori esperti di sicurezza informatica al mondo stanno cercando di spiegare che non è così, non è vero che esistono soluzioni tecniche sicure, scalabili e ad costo ragionevole che risolvano questo problema. In questo paper, già citato più volte

http://cybersecurity.oxfordjournals.org/content/early/2015/11/17/cybsec....

una mezza dozzina di autorità nel campo spiegano il loro punto di vista con parole semplici e alla portata di una platea non specializzata. Ad esempio, si continua a citare il key escrow come se bastasse mettere in cassaforte dei foglietti di carta, mentre le comuni tecnologie che usiamo tutti i giorni già utilizzano principi di sicurezza (es. forward secrecy) che rendono non solo inutile ma largamente impraticabile questo approccio, prima ancora che insicuro. Si può ovviamente dissentire, ma continuare a dire "prima si mette d'accordo la politica, poi la soluzione tecnica si trova" non ha senso, i politici devono delineare i requisiti e affidare ai tecnici la valutazione della fattibilità e l'ingegnerizzazione delle soluzioni, almeno l'analisi dei rischi va fatta in modo corretto, poi liberi di accettare un trade-off sbilanciato, ma assumere che si possa fare una scelta a prescindere dagli aspetti implementativi è una ricetta disastrosa.

Bene, se non esistono soluzioni tecniche, se essi sono pari a zero, basta discutere con i tecnici (crittografi). Ne discutano tutti gli altri.  Sarà una nota frase odiosa ma ... Se non sei parte della soluzione, sei parte del problema.

Si è vero, i non tecnici saranno sicuramente in grado di implementare le soluzioni che i tecnici dicono non possibili.

il problema è che una cosa che gli esperti giudicano "poco saggia" viene richiesta a gran voce trasformando il tutto in una specie di questione morale dov'è tutte le opinioni contano allo stesso modo e "decide la maggioranza". Cos'è un dibattito sul nucleare?

Bene, se non esistono soluzioni tecniche, se essi sono pari a zero, basta discutere con i tecnici (crittografi). Ne discutano tutti gli altri.  Sarà una nota frase odiosa ma ... Se non sei parte dellasoluzione, sei parte del problema.

Un'ottima argomentazione, solida e fondata: se un problema complesso non ha una soluzione semplice, facciamo finta che il problema non esista. Mi hai convinto.

Ci sarebbe da ridere.

Come dire: vogliamo andare su Vega. I tecnici ci dicono che è impossibile con le attuali tecnologie, ma noi gli rispondiamo che con gli incentivi giusti potrebbero sicuramente costruire un'astronave per andare su Vega, solo che noi non sappiamo come. I tecnici ci spiegano per filo e per segno come negli ultimi decenni si sia dibattuto ai massimi livelli di quali siano le difficoltà (leggi: impossiblità pratiche) nel costruire un'astronave per Vega, e noi gli rispondiamo che sono paranoici che si preoccupano di dettagli implementativi superabili con i giusti incenviti, e alla fine che sono parte del problema. Quindi ci mettiamo a discutere di quale impianto normativo inventarci per eliminare gli aerei, sostituendoli con astronavi per Vega.

Ci sarebbe da ridere, se non ci fosse da piangere per la serietà con cui invece si pensa di poter ignorare il "parere rispettabile" di decenni di studi dei massimi esperti del settore, per risolvere un problema che secondo gli esperti del settore è marginale imponendo qualcosa che secondo gli esperti avrebbe conseguenze gravissime.

 imponendo qualcosa che secondo gli esperti avrebbe conseguenze gravissime.

Che poi possono imporre quello che vogliono ai fornitori di dispositivi o sistemi operativi, ma non risolverebbero nulla in ogni caso. Conosco uno che nei primi anni 90 aveva sviluppato e vendeva soluzioni per cifrare dischi o anche solo partizioni su DOS o Windows 3.1/95.

Il rischio, anzi la certezza, è di introdurre un potenziale single point of failure in tutta l'infrastruttura informatica ma solo limitatamente ai dispositivi usati legittimamente da cittadini USA.

Mi era piaciuto l'esempio, ma controllando, Vega è a soli 25 anni luce dalla terra, piazzare qualche colonia attorno a Vega intuitivamente pare un problema più semplice da risolvere che soddisfare i sogni anti crittografici di alcuni governi.
Più realistico usare Andromeda ...

Ed e' questo il punto: i piu' accesi fautori delle "soluzioni di compromesso", assunte assiomaticamente esistere, sono quelli con meno cognizioni tecniche in materia. Visto che parli di GSM suppongo tu ti riverisca alle comunicazioni cifrate, piu' che all'encryption della memoria dati del telefonino. Allora: le comunicazioni dati per app su smartphone non viaggiano via GSM come gli SMS, ma su IP: che puo' a sua volta essere trasportato sui segnali telefonici, ma anche Wi-Fi (e, su altro hardware, anche su layers fisici diversi come i cavi Ethernet o la fibra ottica). Tutta l'architettura di Internet si basa sul suo essere una "stupid network", in cui i carrier si occupano solo di istradare (route) da un indirizzo IP a un altro IP pacchetti dati "opachi", cioe' del cui contenuto non sanno, e non vogliono sapere, assolutamente nulla. L'eventuale cifratura viene effettuata al layer applicativo, cioe' nel software che gira su host connessi a Internet (smartphone, laptop, server etc.). E il principio N.1 di ogni sistema di comunicazione sicura e' che la sicurezza e' tale solo se end-to-end, cioe' se i dati sono in chiaro solo all'interno dei due endpoint, ma restano cifrati lungo tutto il percorso dall'host di partenza a quello di arrivo. (I sistemi di cifratura usati per ta telefonia vocale GSM, al contrario, operano solo nel link da telefonino a stazione base: e infatti ogni tanto scappa fuori qualche intercettazione abusiva. Ma questo non ha nulla a che fare con comunicazioni testuali (IM) o vocali (VoIP) via Internet).
Morale della favola: per un carrier bloccare comunicazioni Internet cifrate e' impossibile, perche' dovrebbe avere equipaggiamento in grado di ispezionare i pacchetti IP e decidere che quelle sequenze di bit sono dati cifrati, e non invece sequenze dall'apparenza random che possono essere qualunque cosa a discrezione degli host che stanno comunicando. Il servizio di cifratura non compete ai carrier, ma a software applicativo che e' spesso disponibile anche in open source e installabile da chiunque in giro per il mondo senza dover chiedere il permesso a nessuno: non ai carrier, non all'FBI, e nemmeno al Presidente degli Stati Uniti in persona.

Enzo, visto che nessuno puo' sapere tutto la tua affermazione implica che nessuno puo' proporre soluzioni politiche.

Dimenticavo, mi riferivo ai dati cifrati dentro il telefono.

Stiamo finalmente arrivando al motivo per cui tutti i techies - e non solo su questo thread - concordano sul fatto che una soluzione politica non esista.  Non e' perche' sono tutti matti paranoici o perche' abbiamo gli occhi fodereati di techno-prosciutto. Semplicemente perche' hanno iniziato a pensare a queste cose non l'altro ieri, ma 40 anni fa. Ci sono un sacco di cose di uso comune che i terroristi usano per programmare e attuari attentati, dai vestiti alle automobili. Nessuno si sogna di agire su queste perche' e' chiaro a tutti che - sebbene politicamente possibile - i costi sarebbero altissimi e i benefici vicini allo zero assoluto. Quello che i techies dicono e' solo: crypto va considerata alla stregua di un'automobile: si', possiamo bloccare crypto a tutti ad un costo enorme e effetto zero.

 

Comunque, ti do una "cattiva" notizia che forse non sai. Things are not going to get better for the NSA, infatti il contrario. Dopo le rivelazioni snowden, la comunita' tecnologica ha riconosciuto di aver fallito. Di aver abbassato la guardia e creato infrastrutture troppo semplici da manomettere e ora sta prendendo misure. Crypto sta diventanto sempre piu' comune: in europa e' passato dal 1% al 6% e cresce a vista d'occhio; I nuovi apple e i nuovi android hanno crypto attivata di default; ogni settimana su kickstarter esce un nuovo gadget che ti permette di farti your own encrypted dropbox da tenere a casa sua;  iniziano a vedersi i primi esempi di certificate authorities decentralizzati; si inizia a parlare seriamente di IPsec; ogni programma di chat ora offre end-to-end encryption; bitcoin ha creato un sacco di domanda per very strong crypto hardware; le authorities che regolano i nomi su internet (Icann) sta abbandonando gli usa e diventanto una agenzia internazionale e sovra-governativa. C'e' un motivo per cui negli ultimi mesi l'amminstriazione americana va in giro per conferenze tecnologiche a dire "fermi tutti, ritorniamo amici".

Il problema della competizione crittografica tra governi e aziende nello stesso paese e tra diversi paesi esiste da tempo, anche prima dei fatti di San Bernardino.

Che lo si voglia o no, all'origine di tutto questo sta lo scandalo Datagate. Da questa parte dell'Atlantico ci si e' di colpo resi conto che la questione non e' di secondaria importanza e le compagnie USA, non insensibili agli umori del mercato, si sono mosse di conseguenza.

La vertenza Apple vs. FBI andrebbe ricondotta in questo contesto e, in un certo senso, ha reso popolare il dibattito che da tempo in Europa e' presente, anche se non sulle prime pagine dei giornali.

c'è speranza dai :-)

Bene, non esiste una soluzione tecnica, non esiste una soluzione politica.

Cosa stiamo qui a discutere?

Cosa stiamo qui a discutere?

Ma infatti in molti informatici di una certa età sembrerà di esserè momentaneamente ringiovaniti, di una ventina d'anni almeno :)

ah, bei tempi quando la Francia proibiva la crittografia, e gli algoritmi potevano viaggiare sopra l'Atlantico solo se stampati su carta ;)

Stiamo finalmente arrivando al motivo per cui tutti i techies - e non solo su questo thread - concordano sul fatto che una soluzione politica non esista.  Non e' perche' sono tutti matti paranoici o perche' abbiamo gli occhi fodereati di techno-prosciutto. Semplicemente perche' hanno iniziato a pensare a queste cose non l'altro ieri, ma 40 anni fa. 

Devo confessare che dal mio punto di vista, oltre 30 anni di esperienza informatica, 20 professionale, la discussione su questo articolo è effettivamente sorprendente. 

Sarà probabilmente l'unico articolo in cui buona parte della redazione di NfA, magari senza rendersene conto, si sia schierata su posizioni stataliste e promonopolistiche.

Esatto

Daniele D'Agnelli 31/3/2016 - 09:11

Non puoi adottare soluzioni politiche ad un problema matematico. Ormai la tecnologia per la cifratura esiste ed è pubblica quindi i terroristi possono avere la loro implementazione a livello applicazione. Una backdoor potrebbe essere che il telefono non cancella mai i dati transitati per le applicazioni\non fornisce questa funzione di cancellazione sicura ma a un certo punto lo spazio finisce e i terroristi possono sempre trovare il modo di saturare la memoria in modo che venga cancellato cio` che è passato di li in chiaro. Il tradeoff delle soluzioni commerciali per quanto riguarda la sicurezza è sempre quello di essere usabile in modo che venga adottato dall'utente medio. iPhone è protetto di default da un pin numerico di 6 cifre, il fatto che ci sia l'autodistruzione è irrilevante date le giuste competenze\strumenti (la consulenza di Apple), e comunque non era questa la richiesta del governo americano. fare il bruteforce di 6 cifre è un non problema. backdoor non vuol dire che posso installare a posteriori un software su un cellulare oggetto di indagine per indebolirne la sicurezza, implicherebbe che la backdoor già esiste ed aggira la cifratura per installare l'update. ci possiamo fidare del governo americano come istituzione perchè siamo bravi cittadini e non crediamo ai complotti, ma ci possiamo fidare anche delle singole persone che ci lavorano e che avrebbero accesso a questa fantomatica chiave? il caso snowden nel bene e nel male ci dice di no. il governo ha sempre potuto (con l'aiuto di apple o meno) sbloccare quell'iphone (cosa che guarda caso alla fine ha fatto. ripeto: parliamo con molta probabilità di 6 cifre numeriche di pin da scoprire) semplicemente voleva un precedente legale per avere un accesso privilegiato, qualcosa che magari possa stare in piedi in un processo in cui è coinvolto qualcuno che non è morto e che potrebbe argomentare qualcosa del tipo: e chi mi assicura che questo materiale compromettente non ce l'hai messo tu governo cattivo? qual è la procedura per fare le mie analisi di parte? avendo l'appoggio di apple questo porblema sarebbe (probabilmente) ampiamente mitigato.

...ma sono generalmente impraticabili. Gi economisti giustamente si spazientiscono quando nei forum spuntano su quelli che vogliono azzerare il debito pubblico monetizzandolo e asseriscono che questo non provocherebbe inflazione, o che hanno simili soluzioni miracolose (salvo qualche dettaglio minore che puo' essere risolto come esercizio dal lettore). Trovami qualche crittografo o security expert che dica cose diverse da quello che Giorgio e io stiamo cercando di spiegare... Persino l'ex direttore dell'NSA da' torto all'FBI!!

“I think Jim Comey is wrong… Jim’s logic is based on the belief that he remains the main body. That you should accommodate your movements to him, which is the main body. And I’m telling you, with regard to the cyber domain, he’s not. You are. [...] And by the way? If I were in Jim Comey’s job, I’d have Jim Comey’s point of view. I understand. But I’ve never been in Jim Comey’s job… my view on encryption is the same as [former Secretary of Homeland Security] Mike Chertoff’s, it’s the same as [former Deputy Secretary of Defense] Bill Lynn’s, and it’s the same as [former NSA director] Mike McConnell, who is one of my predecessors.”

Francesco, dalla tua risposta mi pare di capire un paio di cose:

1) Sei fermamente convinto del fatto che una soluzione tecnica del problema sia in ogni caso possibile e soprattutto fattibile, posto che ci sia la volontà politica di farlo.

2) Non hai ben presente le dimensioni del problema in oggetto.

Per quanto riguarda la 1), la tua mi sembra un'affermazione gratuita e non argomentata. Magari l'hai argomentata in altri thread di commento a questo post e me la sono persa (nel qual caso ti chiederei il favore di dirigermi al commento giusto). In ogni caso, personalmente credo che disaccoppiare la parte politica e la parte tecnica del problema sia poco utile. In particolare, ciò che proponi tu è di trovare a priori un compromesso politico e poi di determinare la soluzione tecnica ottimale per raggiungere questo compromesso. Mi sembra banale osservare che non è detto che un approccio del genere possa perfino ammettere delle soluzioni, in generale. Il tuo "vedrai" finale, mi spiace, a me sembra tutt'altro che scontato. Inoltre, ciò che proponi tu è completamente l'opposto di quello che si è verificato nella storia della scienza: tipicamente le scoperte scientifiche si sono sviluppate in modo più o meno indipendente dalla politica. Viceversa, la politica è quasi sempre arrivata dopo a trovare i compromessi necessari a normare le applicazioni di queste scoperte nel mondo reale.

Per quanto riguarda il punto 2), ti invito caldamente a leggere, se possibile, il paper di Schneier (e anche di altri diversi autori, mi scuso prima per l'attribuzione incompleta) che ho linkato nel mio commento precedente su key recovery e key escrow. Il fatto che tu proponga una soluzione di sicurezza fisica, in realtà, cambia di poco la sostanza del problema.

(e poi taccio per sempre)

io ammetto di non capire i problemi tecnici, ma, Giorgio ed Enzo, voi non capite il problema politico. La gente comune è terrorizzata, molto oltre la gravità pratica del problema del terrorismo (il numero di morti è una frazione minima di quelli per incidenti stradali). Reclama che si faccia qualcosa. Ci sono molti populisti disposti a suggerire soluzioni disastrose (espellere i musulmani, costruire muri ai confini, introdurre la pena di morte etc.). La soluzione ragionevole è una combinazione di diplomazia+operazioni militari mirate in Medio Oriente, propaganda anti-radicale e azione di intelligence in Occidente. tanto più la soluzione ragionevole è perseguita con coerenza e decisione, tanto meno grave è il terrorismo quindi tanto meno grave il rischio di vittoria dei populisti. OK?

 Una componente essenziale dell'intelligence è la decrittazione dei messaggi dei terroristi, OK?

  Ammettiamo che esista il programma di crittografia perfetto e che sia impossibile impedire che alcuni terroristi lo usino. Non sarà possibile decrittare i loro messaggi. Male - è come un terremoto di grado 9.9 nella scala Richter.

Ma ci sono anche i terremoti inferiori, e questi possono essere prevenuti costruendo case antisismiche. Io ritengo opportuno farlo, e credo che siano d'accordo anche i cittadini (o almeno i loro rappresentanti in parlamento che hanno votato le leggi antisismiche)

Lo stesso vale per la crittografia. Secondo me le ditte devono collaborare, e la Apple fa male ad opporsi ad una richiesta del giudice (forma legittima e democratica). Se lo faccia per motivi ideologici o di marketing è indifferente. Se dietro alla richiesta stia la Spectre  o no, è giudizio personale.

Ovviamente l'analogia non regge nella misura in cui i terremoti sono sempre negativi, mentre la crittografia è utile. Il punto di equilibrio è un problema politico - sono i cittadini che devono decidere quale livello di privacy vogliono.  La privacy NON E' UN VALORE ASSOLUTO - molti possono preferire meno privacy e più protezione. Il compito dei tecnici è quello di spiegare le alternative (che possono comprendere anche 'non si può far nulla contro il software X'), non quello di decidere che la privacy è più importante della lotta al terrorismo. E' lo stesso caso del debito pubblico. Gli economisti possono dire 'è meglio ridurre le spese che aumentare le tasse' o 'oltre il livello X il debito è insostenibile' etc. ma poi alla fine è il popolo (o le lobbies) che deci de. Nel caso della privacy, ho l'impressione che il livello preferito, almno in Italia, sia abbastanza basso, sia per la diffusione dei social media (una forma di esibizionismo) sia per il caso della lotta all'evasione. Da oggi lo stato ha accesso a tutte le informazioni sui conti correnti

Giovanni, non so se hai notato che nonostante le tue accuse di paranoia io finora non ho mai parlato di privacy. Mai neanche una volta, perche' la privacy e' tutto un altro discorso ancora in cui non voglio nemmeno entrare perche' molto molto piu' complesso.

Fino ad adesso, io e tanti altri in questo thread abbiamo solo cercato di spiegare come all'atto pratico, non sia possibile impedire al terrorista di non usare la criptografia, punto e basta. Tu continui a sostenere che a) i terroristi usano crypto b) bloccare crypto blocca i terroristi e c) bloccare i terroristi blocca l'ascesa dei populisti. Nessuna delle tre affermazioni ha ALCUN supporto, si tratta soltanto di tue congetture personali e wishful thinking. 

 

 

 

 

 

sulle perverse intenzioni dell'FBI.

Buonanotte

No carissimo. Se ti riferisci al fatto che FBI ci tenesse a creare un precedente legale, lo ha affermato FBI stesso come ha linkato anche Enzo piu' sopra: http://www.theguardian.com/technology/2016/feb/25/fbi-director-james-com...

Se ti riferisci a cio' che sappiamo dei programmi di sorveglianza globale, sono tutti largamente confermati: https://en.wikipedia.org/wiki/Global_surveillance_disclosures_(2013%E2%80%93present)

Se ti riferisci ad altro, mi stai mettendo in bocca cose che non ho scritto da nessuna parte.

Come giustamente affermi più su: lo decide la Supreme Court.

Sempre più su affermi: "Ci sono molti populisti disposti a suggerire soluzioni disastrose (espellere i musulmani, costruire muri ai confini, introdurre la pena di morte etc.)."

Qual è il problema quindi? Ci sta la Supreme Court no? O il problema è che Trump alla Casa Bianca non fa dormire (te) sonni tranquilli mentre la Clinton sì? E` la democrazia e qualcuno che adesso non dorme bene dormirà meglio in quel caso. O no?

Cio` detto i governi hanno già tutti i mezzi per accedere alle comunicazioni dei cittadini (soprattutto dei loro) nella stragrande maggioranza dei casi (elettronica\software commerciale).

A naso ritengo che la NSA sia già in grado di rompere molte delle cifrature pubbliche considerate inviolabili senza ricorrere al bruteforce ma questo è (probabilmente) poco pratico nel caso si voglia, ad esempio, collezionare dati e metadati indiscriminatamente per il semplice motivo che se fosse semplice qualcun altro (e non mi riferisco a un altro stato) presto o tardi lo troverebbe.

Il miglior compromesso possibile è a parer mio che certe cose si possano fare ma con uno sforzo che, per le risorse tempo\potenza di calcolo necessarie, siano esclusiva (per un intervallo temporale sufficientemente lungo) degli stati.

Cioè come adesso.

che sull'onda del terrore causato dall' 11 settembre gli americani hanno concesso e preteso un Patriot Act che già molto prima del 2011( primo decennio dalla strage dell'11 settembre) una buona fetta di cittadini si sente oppressa dalla invasione sulla propria libertà personale causata dalla cascata di ritorno che il Patriot Act ha causato nella società USA.  Nonostante ciò il fatto che queste misure limitative della libertà hanno prodotto di fatto l'assenza di altri fatti identici all'undici settembre fanno sopportare tutta l'invasione agli spazi personali in aereoporto.

Per me la privacy non è un valore assoluto e se una ditta come Apple potesse aiutare a bloccare i pazzi che si fanno esplodere uccidendo civili e lasciando menomati a vita centinaia di persone lo troverei un atto assoluto di influenza positiva sulla società.

poi si sa, il Dio Denaro vale più di qualsiasi altro oppio dei popoli 

 

solo un esempio

Nonostante ciò il fatto che queste misure limitative della libertà hanno prodotto di fatto l'assenza di altri fatti identici all'undici settembre fanno sopportare tutta l'invasione agli spazi personali in aereoporto.

Ecco un altro esempio molto comune di non sequitur. Questa e' una logical fallacy anche nota come monster under the bed: mio papa' mi ha dato un orsacchiotto magico che dorme vicino a me e scaccia i mostri da sotto il letto. So che funziona perche' da quando ce l'ho non ho mai visto nessun mostro. 

TSA security controls fanno soltanto quello che si chiama Security Theatre: infatti, quando il governo ha commissionato test in incognito, il 95% delle armi da fuoco e' passato attraverso TSA senza che nessuno se ne accorgesse.

L'unica cosa che e' servita ad avitare altri 9/11 e' stata l'esperienza, insieme alle porte blindate in cabina. Poi ovviamente le porte blindate sono state responsabili degli incidenti germanwings and egyptair ma si sa che il diavolo fa le pentole ma non i coperchi...


Trade-off

ASTROLOGO 31/3/2016 - 15:05

Ammetto di fare molta fatica a seguirla in tutta questa discussione. La contrapposizione privacy vs sicurezza, che qui è accettata acriticamente, mi sembra affetta da un bias Occidente-centrico, per così dire. Cioè chi la propone pensa evidentemente che la privacy non abbia da fare con la sicurezza. L'assunzione implicita è che le pubbliche autorità siano sempre e comunque i buoni e che difendano i cittadini dai cattivi. Non è pacifico che sia così. Per chi in Russia o in Turchia è giornalista, politico, attivista, forse anche cittadino qualunque, non mettere in sicurezza i propri dati può significare la perdita della libertà o della vita. Ossia, la privacy non è una fisima liberal, come potrebbe sembrare a un occidentale con il suo corredo di diritti civili garantiti. (E comunque, anche in Occidente, non sempre e non ovunque le autorità pubbliche sono i buoni e i diritti dei cittadini garantiti).

La stessa definizione di criminale e terrorista, che per lei e per altri paiono non essere problematiche, sono tutt'altro che univocamente definite. Per Putin tutti coloro che combattono Assad sono terroristi. Per gli USA Snowden è un criminale, non così per altri Stati, anche occidentali. La Russia gli ha dato asilo politico.

Da che cosa deriva la sicurezza che il "compromesso" sia, oltre che auspicabile, anche possibile? In che cosa consisterebbe concretamente? quale esperto di sicurezza ha proposte che vanno in quella direzione? Perchè limitarsi a dire che un compromesso è solo una questione di  buona volontà e non andare oltre è un atto di fede. A supportare la posizione di Apple ci sono esperti di sicurezza, aziende high tech e associazioni per la difesa dei diritti civili. Dalla parte dell'FBI ci sono politici e enti pubblici. Già questo dovrebbe rendere chiaro il quadro della situazione, cioè chi voglia cosa. Per lo meno dovrebbe far drizzare le antenne.

"La privacy NON E' UN VALORE ASSOLUTO"

ritorna fuori il concetto su cui ho risposto all'inizio e, visti i commenti, cerco di spiegarmi meglio, in pratica con un "ossimoro":

"PER ME la mia privacy e' un valore ASSOLUTO!"

..e cerchero' di difenderla con le unghie e con i denti, alleandomi con chi la pensa allo stesso modo.

per gli altri, facciano come gli pare meglio. comincino pure a scrivere le loro lettere personali sulle cartline invece che dentro alle buste postali, magari si risparmia pure sul francobollo (una volta era cosi' qui in Italia).

e per fortuna che per le tecnologie informatiche, allo stato in cui siamo adesso, il modello "bottom up" puo' ancora dire qualcosa, vedasi come un SO come Gnu/Linux (e "cugini" aperti ma meno "bazaar") in 20 anni e' passato da inseguitore a leader in tutti gli aspetti critici del trattamento digitale dei dati.

Scusa Giovanni, ho una domanda che magari ti sembrerà ingenua:

Posto che uno dei grossi problemi relativi al terrorismo (almeno, nel tuo ragionamento mi pare sia preponderante) è l'errata percezione del rischio dell'"uomo medio", non credi che forse sarebbe più utile lavorare sulla corretta comunicazione di questo rischio?

Cerco di mettermi nei tuoi panni, probabilmente esagerando le tue credenze reali: ammetti tu stesso di non riuscire ad apprezzare le difficoltà tecniche nella realizzazione di un "sistema di backdoor" universale, scalabile, e che possa essere usato soltanto dalle autorità. Inoltre, la comunità dei techies, quella che dovrebbe risolvere queste difficoltà tecniche, sembra essere refrattaria a qualsiasi mediazione ed eccessivamente tranchante sull'(im)possibilità di realizzare questo sistema. Supponiamo perfino di non poterci fidare di questi techies, perché la loro prospettiva è completamente distorta dalla loro expertise, e ciò li pone decisamente in una torre di avorio.

Concentrarsi sulla comunicazione corretta del rischio, d'altro canto, è un problema squisitamente politico, con cui la crittografia non c'entra assolutamente nulla. E a me, personalmente, sembra il metodo più fattibile per evitare le tragiche conseguenze che evochi nel tuo intervento (ascesa dei populisti, soluzioni disastrose per la società, ecc.)

Mi piacerebbe inoltre precisare una cosa del tuo intervento. Questa tua frase:

"Una componente essenziale dell'intelligence è la decrittazione dei messaggi dei terroristi, OK?"

in realtà, non è affatto scontata e andrebbe dimostrata. E se ci fai caso, il commento con cui ho aperto al thread creato da Michele Boldrin verte esattamente su questo aspetto: l'utilità dei dati dei terroristi decifrati dalle autorità. Curiosamente, nessuno sembra avere notato questa mia domanda, quindi ti chiederei gentilmente, se possibile, di elaborare su questo problema. Perché reputi che la "decrittazione dei messaggi dei terroristi" sia "una componente essenziale dell'intelligence"?. Notare che per "decrittazione" intendo dire esattamente la realizzazione di un sistema di backdoor universale, scalabile e impiegabile soltanto dalle autorità. Intesa in un senso più ampio (come "intercettazione") la risposta è banalmente intrinseca allo scopo stesso delle agenzie di intelligence.

EEF ha scritto su questo. Tra parentesi, fa una certa impressione vedere EFF supportare Apple.

Would it be easy for Apple to sign the requested cracking software?

The answer any trained security engineer will give you is "it shouldn't be." It's important to realize that if Apple's iOS signing key were ever leaked, or used to sign a malicious piece of code, it would undermine the secure boot loading sequence of the entire iOS platform. Apple has worked very hard to try to limit its devices to run only Apple-signed firmware and OS code. There are pros and cons to this approach, but Apple considers this signing key among the crown jewels of the entire company. There is no good revocation strategy if this key is leaked, since its corresponding verification key is hard-coded into hundreds of millions of devices around the world. While we don't know what internal security measures Apple takes with its signing key, we should hope they are very strict. Apple would not want to store it on Internet-connected computers, nor allow a small group of employees to abscond with it or to secretly use the key on their own. It is most likely stored in a secure hardware module in a physical vault (or possibly split across several vaults) and requires several high-level Apple personnel to unlock the key and sign a new code release. A rough comparison showing the complexity that is involved in making high-assurance digital signatures is the DNSSEC Root KSK signing ceremony process (for which video is available online). This is a complicated procedure involving dozens of people. Whatever Apple's process is, it's not something they want to undertake frequently. This enables a deliberately slow and costly security process. If the government begins routinely demanding new phone-specific cracking software, this could overwhelm the security of this process by requiring many more signatures. This is another valid reason why Apple is right to fight this order.

Mi sembra che il dibattito si possa incentrare su due punti chiave (che si vogliono tenere separati, vedi questo contributo labellato come "tecnico", ma che di fatto non lo sono realmente).

Il primo è la discussione dei "compromittisti" vs "impossibilisti", sulla questione tecnica, ovvero: esiste realmente la possibilità (anche remota) di inserire un qualche tipo di backdoor "governativa" efficace senza compromettere drasticamente tutti gli usi legittimi della crittografia, oppure no? Mi sembra che gli esperti di crittografia siano sostanzialmente unanimi nel ritenere che la risposta sia "no" (gli scritti di Schneier lo confermano).

Questo non si può sottovalutare come mi sembra vogliano i "compromittisti": se gli esperti di un campo sono abbastanza concordi su qualcosa relativo a quel campo, può anche darsi che si sbaglino, ma è molto difficile: ed è più probabile che si sbaglino, diciamo, sulla stima del tempo necessario a trovare la cura per il cancro, che su questioni di informatica teorica matematicamente dimostrabili.

Personalmente, se i "compromittisti" non riusciranno a smontare concretamente la tesi degli "impossibilisti", continuerò a ritenere che il dibattito sia mal posto, e, alla fine, funzionale solo a un indebolimento strutturale della sicurezza informatica che avrebbe conseguenze nefaste anche da un punto di vista di antiterrorismo o di indagini di polizia.

Tanto per fare un esempio, mi sembra che il "Manhattan Project" crittografico evocato dalla Clinton sia fuori luogo: nel 1939 i fisici nucleari erano sostanzialmente concordi che la realizzazione della bomba atomica fosse un problema di ingegneria (costoso, bisognoso di ulteriori ricerche, ma realizzabile); non dicevano "è irrealizzabile" ma poi lo hanno fatto lo stesso grazie all'investimento del governo!

 

Il secondo punto, che qui si comincia a valutare, sarà importante quando si valuterà il "tradeoff" politico. Il problema è ben posto, anche ammettendo (ma non concedendo) che la questione tecnica sia superabile in senso "compromittista"? Stiamo discutendo quanto la privacy personale debba "cedere" di fronte ad esigenze investigative o di sicurezza nazionale, ma non dovremmo invece discutere di quanto la MANCANZA di sicurezza crittografica rischi invece di compromettere, anche allo stato attuale delle cose, la sicurezza delle informazioni su cui si basano le infrastrutture sia dei privati cittadini, sia delle aziende, sia delle agenzie governative?

Non ho informazioni su dati, ma potrebbe essere interessante cercarli, che cerchino di quantificare il danno che oggi si ha a causa della debolezza della sicurezza crittografica dei sistemi informatici. Ho il sospetto che il "tradeoff", che ora i "compromittisti" immaginano si debba trovare, su una ipotetica scala dove "0" è la mancanza totale di crittografia e "1" è la "libertà totale" di crittografia che caratterizzerebbe il mondo attuale, in qualche punto tra 0 e 1, si dovrebbe spostare in effetti su valori superiori a 1: per esempio, implementando la crittografia di default in tutti i dispositivi "consumer" (per evitare il rischio di leak involontari di dati sensibili), o imponendo standard crittografici non forzabili per la comunicazione tra agenzie governative, e così via.

Una cosa che non e' stata mai considerata nel dibattito US-centrico scatenato dall'ingiunzione dell'FBI e' che Apple ha solo circa il 15% del mercato globale degli smartphones:

L'80% circa e' rappresentato da modelli basati su Android, e piu' della meta' di essi sono fabbricati da dozzine di ditte cinesi, spesso in forma OEM per essere venduti sotto altre marche. Anche nell'improbabile ipotesi di convincerle tutte ad adottare le backdoors che un governo americano volesse richiedere, non ci vorrebbe molto a "ri-flashare" i loro telefonini con una versione modificata di Android (che, non dimentichiamolo, e' un sistema operativo sviluppato da Google ma di cui e' possibile ottenere il codice sorgente per modificarlo e ricompilarlo). In effetti, gia' adesso esistono smartphones costruiti in questo modo appositamente per usi in cui la confidenzialita' e' particolarmente importante, come il Blackphone di Silent Circle (una societa' basata in Svizzera).

Ora, i terroristi hanno sinora mostrato di non capirci molto di crittografia e di preferire invece l'uso di telefoni usa-e-getta, ma se un giorno decidessero di diventare tecnologicamente sofisticati, che cosa credete che userebbero: l'iPhone con backdoor governativa, o un economico "IsisPhone" con hardware cinese, firmware custom, e apps (gratuite e open source) per comunicazioni cifrate?

Io penso che ci siano si delle obiezioni certamente valide per la creazione di una backdoor governativa, non metto indubbio ci sono dei rischi e costi e secondo me sono da valutare, fermo restando che il problema non è la privacy, faccio alcune considerazioni , ma credo che l'obbiettivo non è rendere illegale la crittografia, non è impedirene l'uso in assoluto, ma è renderne (se possibile) difficoltoso l' accesso:

  1. 1) alla domanda chi comprerebbe A sapendo che il governo ci puo' guardare dentro? in un modo dove nel 2014 il 30% dei PC connessi ad internet utilizzava windows XP, mi sembra che per i aziende e cittadini il problema non è certamente se il governo ci guarda dentro o meno in un mondo dove le falle di sicurezza vengono corrette settimanalmente alle volte mensilmente, persone usano il telefono sapendo che  potrebbero venire interecettate, non sento lametnarsi AT&T della cosa, la gente compra un iphone non perchè il governo non ci puo' guardare dentro le due cose sono separate, potrebbe farlo sia il governo che un criminale...  
  2. 2) è inutile ?  forse si, forse i buoi hanno già lasciato il recinto, pero'  non si tratta di rendere illegale la crittografia quella è una cosa impossibile, ma nessuno mira a niente del genere. Il chimico si domanda perchè non vendono il tritolo al supermercato dato che vendono già gli  ingredienti per farlo, è un analogia forzata ma è solo per far comprendere il ragionamento, la semplicità è un aspetto importante, la complicazione crea indizi, gli attentatori hanno usato un iphone perchè era semplice, se avessero fermato un sospettato con un balckphone(banalizzo) avrei avuto sospetti più forti piuttosto che un tizio con un iphone no ?
  3. 3) un software illegale è differente da un software legale diffuso illegalmente, soltanto un criminale avrebbe bisogno di un software illegale.

Mi rendo conto che tra P2P, open source e informazioni alla portata ormai di chiunque è forse del tutto inutile, politicamente inattuabile, tuttavia si puo' pensare qualcosa per rendere le cose un po' più complesse... 

A leggere molti commenti pare non si sia capito molto della questione. Apple introdusse la crittografia e il sistema di blocco con 10 tentativi con successivo erase del dispositivo per un semplice motivo: i furti degli smartphone.

Credo ormai che chiunque di voi possegga uno smartphone, sbloccatelo e controllate a quanti servizi siete connessi e loggati: facebook, email, amazon, app per l'homebanking, google maps con eventuale cronologia delle posizioni, calendario degli appuntamenti ecc. Ecco provate per esempio a pensare ad un ladro che ha accesso a tutte queste informazioni. Conoscerà il vostro domicilio, il vostro lavoro, com'è fatta casa vostra, che abitudini avete e magari sul calendario appuntamenti trova anche la data in cui andrete in ferie per una settimana in Spagna.

Ora credo che chiunque di voi, in caso di furto del telefonino, vorrebbe avere un sistema di protezione come quello di Apple, inviolabile. Siccome una soluzione tecnica (allo stato attuale) non esiste per salvare capre e cavoli, ovvero permettere a FBI di accedere al telefono senza comprometterne la sicurezza mi centinaia di milioni di telefoni sparsi nel mondo, Apple ha giustamente deciso di opporsi alla richiesta.

Quindi non è che i "techies" siano dei nerd asociali paranoici col capello di stagnola in testa, semplicemente conoscono bene i rischi e le problematiche del complicato mondo della sicurezza informatica (e di quanto il cybercrimine sia in espansione).

Tornando al problema investigativo è già stato chiarito come i terroristi (come anche i deliquenti comuni) preferiscano l'uso di telefoni semplici usa e getta (quelli da 20€ o meno) e li preferiscono per un motivo semplice: un terminale come lo smartphone lascia nei log dei carrier una mole di tracce incredibile. Ovvero l'FBI puo giungere a informazioni sul terrorista anche per via indiretta ed è questo il punto che rende il vantaggio investigativo molto basso.

ma il sistema di apple non è inviolabile ed è molto rischioso farlo credere... qual' è la differenza tra una backdoor governativa e una falla zero day ?la backdoor governativa non sappiamo nemmeno come potrebbe venire implementata (potrebbe essere necessario l' accesso fisico al telefono e non remoto esempio), seriamente pensiamo che se un ladro ci rubasse il telefono utilizzerebbe una backdoor governativa per accedervi ? perchè non una falla zero day ? entrambe sarebbero complicatissime da ottenere ed utilizzare per il 99,9999% dei ladri iphone, dubito che chi è a conoscenza di una falla zero day  la userebbe per accedere al telefono di Mario Rossi...  E' la falla zero day che mette, in teoria, in pericolo la privacy, non la backdoor governativa (che non abbiamo idea di come verrebe realizzata) come detto dall' autore esiste la Key Disclosure Law, il governo all' onesto ci guarda dentro ugualmente... gli attentatori potevano usare PGP per scambiarsi messaggi perchè non lo hanno fatto ? O perchè è dannatamente scomodo o non ne erano capaci, molto semplicemente ... I mafiosi potrebbero parlare in codice al telefono e lo fanno spesso questo non rende inutile le intercettazioni telefoniche perchè prima o poi commetteranno un errore...

ma il sistema di apple non è inviolabile ed è molto rischioso farlo credere... qual' è la differenza tra una backdoor governativa e una falla zero day ?

Proverò a dare una risposta: essenzialmente la differenza è nel dominio a cui si applica la vulnerabilità.

Supponiamo che il governo USA crei la specifica XYZ, qualsiasi essa sia, che per legge i dispositivi dotati di crittografia devono implementare (e che sia qualcosa di più complicato de "non puoi usare chiavi più complicate di N bit", soluzione già provata e scartata per ragioni che dovrebbero essere evidenti a tutti).

Tale specifica, o l'implementazione della parte governativa di tale specifica (quella che effettivamente fornisce al governo l'accesso tramite "chiave privilegiata" o un qualsiasi sistema simile), può avere un bug (anzi, è molto probabile che lo abbia), o può capitare una falla nella sicurezza: tanto per dire, una talpa nelle agenzie che hanno accesso alle chiavi necessarie per forzare i sistemi, o cose del genere - social engineering di cui i funzionari del governo possono essere vittime.

Comunque, supponiamo che la vulnerabilità della specifica o qualche informazione "riservata" sufficiente per compromettere il sistema venga scoperta. Sarebbe un caso simile a quando si trova un bug nelle implementazioni di SSL, diciamo, tipo heartbleed?

No, e per almeno due motivi fondamentali.

1) Per un utente legittimo, l'eliminazione di tale vulnerabilità in tempi rapidi (minuti, non giorni), richiederebbe di smettere di implementare la direttiva XYZ (per passare a un sistema alternativo, in attesa che la specifica XYZ venga corretta, con i tempi della politica) - ma non esistendo sistemi legittimi che non implementano la direttiva XYZ, questo sarebbe molto difficile (e magari anche illegale). Mentre per heartbleed, la soluzione "cambio implementazione" è sostanzialmente immediata una volta scoperto il problema.

2) E' ragionevole aspettarsi che i dispositivi/software utilizzati in tutti gli altri paesi non implementino XYZ, e quindi non soffrano della vulnerabilità. Nel momento in cui si scoprisse tale vulnerabilità, la vulnerabilità sarebbe di tutti e soli i sistemi che implementano la specifica XYZ del governo USA. Immagina il problema di sicurezza nazionale che si creerebbe...

Concordo certamente sul fatto che per ogni riga di codice aggiunta aumenta la possibilità di regressioni e problemi di sicurezza, tuttavia non lo trovo un valido motivo valido per non aggiungere codice. In ogni caso, sinceramente, non mi aspetto un ufficio governativo che inserisca backdoor nei sorgenti di Ios ecc., tutt'altro mi aspetto che manutenzione e accesso sia fatto da Apple con i rischi del caso, quindi dipendenti in malafede  e tutto ciò che anche adesso potrebbe avvenire, mi aspetto che l' intelligence chieda un output ma che non sappia esattamente come venga fornito quell'output è inutile che ne venga a conoscenza non credo sia saggio far modificare i sorgenti di un azienda da un agenzia governativa... Mi aspetto quindi delle l'implementazioni diverse per ogni azienda ma con il medesimo fine... 


P.s. Scusatemi per eventuali errori ma sono con lo smartphone e ho sbagliato il quote

Infatti

Filippo Riccio 3/4/2016 - 20:01

Infatti ho parlato appunto di una specifica, non di codice scritto dal governo che gira sui telefoni.
Ora, se si assume che il governo voglia aver accesso ai dati tramite l'implementazione di una qualche specifica "obbligatoria", ovviamente ci sarà almeno una implementazione usata dal governo per garantire l'accesso a tali dati... altrimenti di cosa stiamo parlando? Se invece si sta pensando ad obbligare le aziende, ciascuna a suo modo, ad implementare un qualche tipo di accesso privilegiato, senza una specifica dettata dal governo... be', sarebbe pure peggio: perché l'accesso non sarebbe garantito (in linea di principio) solo al governo, ma anche all'azienda stessa, e non crederete che l'utente di un iPhone si fidi di Apple più di quanto si fidi dell'FBI! In tal caso apparirebbe probabilmente un qualche tipo di standard di fatto (dissezionato accuratamente dai guru della crittografia), e open source, con la garanzia dell'accesso demadata a un qualche sistema di chiavi private, il che ci porta a una situazione del tutto equivalente al caso iniziale. Ricordo peraltro che sui telefoni girano anche sistemi operativi open source; in realtà sulla maggior parte dei telefoni gira Android, e non c'è nessun problema a scaricare ed installare la versione di Android prodotta in Finlandia, Mongolia o Botswana in cui la libreria di crittografia di Google viene sostituita immediatamente e senza colpo ferire con quella senza accesso garantito al governo (o, nella tua variante, a Google nel caso il giudice USA ordini a Google di accedere). Anzi probabilmente si creerebbero istantaneamente due mercati, uno "indebolito per USA", e uno "sicuro per il resto del mondo", con grande gioia di Putin e di altri "alfieri della libertà"...

Mi aspetto di poter discutere delle implicazioni di tutto questo nel thread che si aprirà sotto il contributo politico e giuridico, ammesso che vengano presentate delle possibili implementazioni "almeno in linea di principio" pratiche. Da cui si potrebbe cercare di inferire le conseguenze sia in termini di possibilità di enforcement, sia in termini di pericoli per la sicurezza. Se no possiamo anche aprire una discussione sulle opere letterarie di William Gibson.

Beh le persone devono già fidarsi dei dipendenti di apple e google per utilizzare i loro servizi, nell' ambito del programma Prism sono le aziende che consegnano gli account, dati metadati e comunicazioni nelle mani dell' NSA, non c'è nessun accesso prvilegiato del governo a questi dati, vengono presi e consegnati dalle aziende stesse e ovviamente sono ancora i dipendenti di apple e google  che corregono eventuali falle zero day nei prodotti dell' aziende e  potrebbero farne uno uso sbagliato(venderle?), gli utenti possono solo fidarsi o non usare il servizio... Detto questo io, de facto, non posso in alcun modo impedire l' uso di una determinata crittografia o sistema operativo, esattamente come non posso impedire a due persone di parlare in codice al telefono, io dico semplicemente che si potrebbe rendere l' accesso all' uso della crittografia un po' più complicato, l' Android Botswana edition potrebbe esistere, ma potrebbe essere castrato dal mancato accesso ad alcuni servizi come il palystore o whatsapp ecc. che sono cose stupide ma rendono  certamente complessa la comunicazione e la reperibilità di determinato software che andrebbe o scritto da zero o reperito nei circuiti P2P o attraverso Tor, complicando un po' le cose, quanto ? beh dipende dalle capacità di chi cerca di aggirare l' ostacolo, ma molto anche dalla politica, se Usa e UE sono divisi come sembra, allora possiamo  anche smettere di pensarci, quello che volevo dire è che se vovessimo fare una gurra alla crittografia non dovremmo porre i nostri sofrzi lato decrittazione ma cercare di scoraggiarne l' uso e che il principale ostacolo di una guerra alla crittografia è la sua efficacia(ostacolo non da poco) e non  tanto il rischio sicurezza degli utenti...

A me sembra che l'articolo si focalizzi molto sugli algoritmi di crittografia e relativa backdoor e poco o nulla su quelle che sono le vulnerabilità a livello hardware (come dimostra il caso San Bernardino) o la possibilità di bypassare la crittografia con intercettazioni di tipo ambientale.

Così facendo risulta anche più complesso discutere del tradeoff, perché si mettono in luce solo gli aspetti tecnici che fanno comodo a tirare acqua al proprio mulino. 

Paolo Attivissimo ha pubblicato un'interessante riflessione sull'uso della crittografia per favorire la pubblicazione dei Panama papers. Non concordo interamente con lui sull'intenzionalità dei governi di controllare la crittografia proprio per evitare questo tipo di fuga di notizie, però sono d'accordo sulla sostanza: oltre al bisogno di combattere il terrorismo e il crimine in generale, nel famoso trade-off politico più volte citato nei commenti a questo post occorre tenere presente anche altri aspetti, come in questo caso la protezione dei whistleblower.

La crittografia è uno strumento che, in modo indiretto, permette di garantire trasparenza. E la trasparenza è un elemento fondamentale del rapporto di trust tra  popolazioni e governi. È inutile continuare a dire "sì ma dei governi e delle autorità ci possiamo tendenzialmente fidare". Questa affermazione può essere vera (con i dovuti distinguo) fintanto che ci si limita alla questione del terrorismo/sicurezza nazionale, ma non esaurisce tutti gli aspetti possibili del controllo della crittografia. Nel momento in cui ci si sposta al livello "meta", cioè l'uso della crittografia per favorire il comportamento onesto delle autorità stesse, a me sembra che la valutazione del trade-off inevitabilmente cambi.

http://www.wired.com/2016/04/forget-apple-vs-fbi-whatsapp-just-switched-...

WhatsApp al momento serve più di un miliardo di utenti (e, ovviamente, la maggioranza non sono cittadini USA). Nell'articolo si fanno un po' di considerazioni interessanti... credo che ne vedremo delle belle.

Crittografia end-to-end, protocollo Signal, quindi teoricamente dovrebbe rendere inutili richieste delle autorità a WA stesso.

Però, a differenza dell'applicazione Signal che è open source, l'FBI potrebbe chiedere un intervento sul codice di WA, o magari lo ha gia chiesto, nessuno lo può verificare. Anche in questo caso non si può prescindere dalla fiducia nell'azienda, come per il caso Apple.

Quando Whatsapp attiva crypto per un miliardo di persone, NSA non e' contenta. Non e' contenta non perche' ora non sia piu' in grado di leggere i messaggin che io mando a mia moglie o ai miei amici - non e' contenta perche' prima chi usava crypto era flagged, ora non piu'. Fino a ieri, mandare un messaggino cryptato voleva dire scegliere di farlo e alzare una bandierina sui sistemi di sorveglianza globale. Ora invece  vuol dire nascondersi tra la folla. 

In tutto questo, la sicurezza del singolo non c'entra piu': se NSA vuole leggere i *miei* messaggi whatsapp lo puo' ancora fare usando altri stratagemmi, ma  ora deve avere un buon motivo per farlo perche' tentarci costa tempo e denaro. 

 

 

Ubiquitous encryption protects us much more from bulk surveillance than from targeted surveillance. For a variety of technical reasons, computer security is extraordinarily weak. If a sufficiently skilled, funded, and motivated attacker wants in to your computer, they're in. If they're not, it's because you're not high enough on their priority list to bother with. Widespread encryption forces the listener—whether a foreign government, criminal, or terrorist—to target. And this hurts repressive governments much more than it hurts terrorists and criminals.

Comunque questo cambio di tecnologia da parte di WU conferma la tendenza dei produttori a muoversi in direzione del criptato, confermando la teoria dell'articolo. Anche se l'iPhone venisse reso decifrabile per le forze dell'ordine tramite obbligo di legge, rimarrebbero a disposizione talmente tante alternative da rendere la cosa quasi inutile a livello investigativo, quanto potenzialmente pericolosa a livello della sicurezza per l'utente finale.

Primo: la crittografia end-to-end in questo caso protegge, appunto, dall'intercettazione del flusso di dati, non dalla compromissione del dispositivo di uno degli utenti che stanno comunicando.

Se il dispositivo viene compromesso (i.e., NSA, Google, Apple, Whatsapp, virus nell'app della tastiera...) e l'utente non se ne accorge, è come quando ti mettono una microspia nel microfono del telefono.

D'altra parte, che WhatsApp mandi effettivamente messaggi criptati secondo il protocollo standard (e non altro) e usando solo le chiavi che deve usare, lo si può verificare abbasanza facilmente, quindi la fiducia non è necessaria "a monte": installo WhatsApp, blocco gli aggiornamenti automatici, verifico che la app mandi effettivamente le informazioni criptate secondo quel protocollo e sono "a posto", salvo che WhatsApp non inserisca una backdoor fin dall'inizio (il che, però, non è affatto detto); al momento non so se è possibile, inoltre, comunicare sull'infrastruttura WhatsApp usando client open source, ma non mi stupirebbe.

Secondo: il fatto che un utente che usa la crittografia non venga automaticamente "taggato" come sospetto non so quanto possa essere realmente un problema per l'NSA o la caccia ai terroristi (in fondo, l'intelligence si fa anche con le informazioni su "chi contatta chi", e i sospetti li si può seguire anche con i vecchi sistemi); di sicuro però può essere una manna per le agenzie di intelligence che operano con agenti all'estero... se un agente della CIA che opera in un paese pericoloso può usare WhatsApp (che oggi è usato a livello mondiale da più di un miliardo di utenti) senza essere "attenzionato" in automatico dal governo di quel paese, credo che ci sia un guadagno netto per la sicurezza nazionale USA.

Scommettiamo su quale sarà il primo paese a prendersela con WhatsApp?

D'altra parte, che WhatsApp mandi effettivamente messaggi criptati secondo il protocollo standard (e non altro) e usando solo le chiavi che deve usare, lo si può verificare abbasanza facilmente, quindi la fiducia non è necessaria "a monte": installo WhatsApp, blocco gli aggiornamenti automatici, verifico che la app mandi effettivamente le informazioni criptate secondo quel protocollo e sono "a posto", salvo che WhatsApp non inserisca una backdoor fin dall'inizio (il che, però, non è affatto detto); al momento non so se è possibile, inoltre, comunicare sull'infrastruttura WhatsApp usando client open source, ma non mi stupirebbe.

No Filippo, il protocollo di comunicazione di Whatsapp è proprietario, e non è integrabile con altri client di messaggistica open source. Per lo stesso motivo, non c'è modo di conoscere con certezza assoluta che la cifratura di Whatsapp rispetti le specifiche del protocollo di Signal: usando il metodo da te suggerito è possibile verificare la correttezza della cifratura soltanto per i messaggi in chiaro effettivamente testati, e quindi non è una condizione sufficiente, visto che l'insieme di possibili messaggi in chiaro è troppo grande per poterlo testare in maniera esaustiva. Come dice sopra ASTROLOGO, se il codice sorgente dell'applicazione non è disponibile occorre comunque avere una certa dose di fiducia nell'azienda che l'ha implementata. Poi non è detto che questa fiducia sia necessariamente "a monte" di tutto. Per esempio, nel caso di Whatsapp personalmente mi fiderei perché so che Open Whisper è un'azienda che gode di ottima reputazione nel campo della crittografia end-to-end.

Whatsapp ora usa Signal Protocol, gia' Axolotl. Il protocollo in se' e open source.

edit: noise pipes non e' open source, hai ragione. noise e signal protocol lo sono ma non questa particolare implementazione

In ogni caso, e' un'applicazione parzialmente server side quindi se anche fosse tutto open source uno dovrebbe comunque fidarsi del fatto che la versione che girano sia la stessa che e' open source. Comunque, come giustamente dici tu, il nome di Moxie e' sigillo di garanzia.

Sì, il fatto che non sia possibile utilizzare un'implementazione completamente open source sul client lascia sempre aperta la possibilità di una falla (o una backdoor) nel codice implementato da WhatsApp.

Però, mi sembra, se fosse tutto open source sui client, o comunque fossi sicuro che sui client non è stata implementata nessuna backdoor, il fatto che il server sia closed source, o compromesso comunque in qualche modo, non detrarrebbe dalla sicurezza della comunicazione. Sbaglio?

L'unico problema che intravedo (poi magari ce ne sono altri a cui non ho pensato) è che la verifica delle chiavi pubbliche degli utenti comunicate dal server di Whatsapp non viene fatta tramite una certificate authority esterna. Bisogna quindi fidarsi del fatto che, quando chiedo la chiave pubblica di un altro utente per mandargli un messaggio cifrato, il server di Whatsapp mi dia effettivamente la sua chiave pubblica e non un'altra. Questo potrebbe dare luogo ad un attacco del tipo man in the middle.

A ben vedere, due utenti di Whatsapp hanno modo di verificare che le chiavi pubbliche che stanno utilizzando per cifrare siano effettivamente le loro e non quelle di un man in the middle verificando un QR code. Il problema è che la verifica deve essere fatta offline, cioè i due utenti devono incontrarsi di persona per scannerizzarsi a vicenda i propri QR codes.

Ho provato lo scambio di chiavi off-line, effettivamente si tratta di un lungo codice numerico e il sistema richiede di verificare che sia lo stesso su entrambi i dispositivi. Quindi le chiavi vengono generate in maniera centrale e l'utente non puo' fare altro che accettarle o meno.

Da  questa procedura non traspare che ci siano due chiavi pubbliche, una per ciascuna parte della comunicazione. Non ho provato con le chat multiutente.

Mi e' sembrato restrittivo che due utenti non possano generarsi le chiavi al di fuori del software di WA e poi importarle (chiaro che non e' una procedura adatta a tutti). Ma non essendo un esperto, forse la mia e' solo una paranoia.

Se guardi, il numero che viene generato è composto di un pezzo fisso e un pezzo che cambia con il contatto, i due pezzi corrispondano alle due chiavi pubbliche dei due contatti. Per le chat di gruppo lo scambio di chiavi avviene con ogni partecipante a livello di client: il server non ha mai accesso alle chiavi private o alle chiavi di sessione. Esiste un white paper "Whatsapp Encryption Overview" che spiega abbastanza bene come è (o dovrebbe essere) implementato il meccanismo. Non riesco a linkarlo ora, ma credo si trovi facilmente su google.

Qualcuno deve ancora dimostrare come anche uno solo degli ultimi spregevoli atti terroristici sia stato anche solo facilitato dall'uso della crittografia. Mentre chiare sono le mancanze dell'intelligence ( https://www.techdirt.com/articles/20160331/09092134063/not-going-dark-15... ) oggi come 15 anni fa per gli attacchi in USA: 15 su 15 erano in Blacklist in almeno uno stato europeo, 10 con record criminali per atti violenti, 14 con contatti con radicali islamici noti (metadata anyone?), 12 erano stati in Siria, Iraq o Yemen. What could possibly go wrong?

Davvero?

Filippo Riccio 12/4/2016 - 16:58

Va be', davvero stanno preparando una legge stesa in questi termini? Sembra uno strawman preparato dai "techies" per sparare a zero sui politici.

Resistero' alla tentazione di commentare con un Q.E.D.

si' la bill e' stata presentata - la mia personale opinione e' che non andra' molto lontano. Ad ogni modo, credo che la visione tecnologica a tutta questa diatriba sia il classico "eppur si muove". Ovvero, potete fare tutte le leggi che volete ma non serviranno a nulla.

Anche perche' un po' tutti, come dicevo qualche commento piu' su,  stanno davvero reagendo con serieta' e costanza. Oggi e' il turno di microsoft http://blogs.microsoft.com/on-the-issues/2016/04/14/keeping-secrecy-exce...

Il dibattito, non semplice, tra privatezza dei dati su supporti elettronici e diritti costituzionali, ha un nuovo caso su cui discutere: California judge orders woman to unlock her phone with fingerprints.

Io vorrei sapere, anche se probabilmente sto abbaiando alla luna, quale sia lo svantaggio e quanto questo svantaggio è quantificabile nel permettere l'accesso ad un dispositivo tramite backdoor (NSA, FBI, hacker comune, vari) quando è già possibile accedervi tramite falle nel sistema (NSA, FBI, hacker comune, vari), e, di contro, quale sarebbe il vantaggio. Perché da questa infinita discussione non sono riuscito a capirlo.

perche' neanche io l'ho capito!

Leggi

giorgio gilestro 2/5/2016 - 15:15

Leggi questo: https://dspace.mit.edu/bitstream/handle/1721.1/97690/MIT-CSAIL-TR-2015-026.pdf?sequence=8

Basta anche solo l'executive summary (pg 2-4).

Ok.

Jo 2/5/2016 - 22:30

Non so se è esattamente la risposta che mi aspettavo ma posso provare a venirti incontro. Il punto cruciale mi sembra riguardi soprattutto la concentrazione delle informazioni detenute da pochi enti - il governo e le aziende, ovvero una maggiore possibilità di accesso ai dati: apri una porta e le apri tutte quante. Questo è o causa o effetto di: difficoltà di implementazione di un codice uniforme e sicuro orizzontalmente per ogni dispositivo; difficoltà di implementare sistemi più complessi di quelli attuali in maniera efficace e condivisa da (oltretutto) giurisdizioni differenti, complessità che è pertanto più difficile da controllare: tralasciando l'intromissione del controllore (di cui ammettiamo per un attimo la buonafede) i nostri dispositivi sarebbero meno indipendenti e più 'esposti'. Se confermi a spanne la sintesi, la mia domanda è: è più facile o conveniente per un hacker prendere di mira me che sono ricco e famoso e decriptare il mio web storage e la mia pagina facebook adesso o accedervi dopo essermi impossessato della backdoor custodita nel comodino di Zuckemberg? Le falle nel sistema acquistabili nel mercato nero o individuate per conto proprio sono meno accessibili di quelle eventuali (ma deliberate, volute) possedute dal governo americano? A me non sembra che nelle prime 5 pagine di quel documento ci sia una risposta a questa domanda. O meglio, mi sembra ci sia scritto che il sistema è più esposto (?), ma non che sia necessariamente più penetrabile. Azzardo: non è forse la penetrabilità misurabile in questo caso non sulla facilità di accedere alle informazioni ma sulla loro rilevanza? E allora è questo, forse, il vero punto. Io non sono nessuno e non corro nessun rischio, ma se fossi ricco e famoso le 'mie foto di nudo' le terrei già adesso fisicamente nel cassetto. O ancora dovrei fidarmi ciecamente dell'homebanking di Banca Etruria se fossi miliardario? Lo faccio: rischio. E lasciamo da parte un attimo la legittimità del governo nel manipolare informazioni senza filtri. Anche perché lo fa già. Che è un pò quel tipo di frase - ma tanto accade già - che normalmente si adduce a tutte quei comportamenti che lo Stato vieta o trascura per convenienza o per moralismo ma di cui tutti noi preferiremmo non la negazione ma la regolamentazione. E ancora: chi ci dice che le nuove frontiere dell'hacking non portino in futuro a dover agire in maniera molto più trasparente, con meccanismi di tutela che siano tanto invasivi quanto controllati?
E poi bisogna, appunto, quantificare: quante porte apre quell'unica porta? Posso fare razzìe indistintamente dei soldi custoditi nei conti online di tutto il mondo solo per aver avuto accesso ad una backdoor? E' così? Non si può implementare niente di meglio?
Correggimi dove sbaglio.

Le falle nel sistema acquistabili nel mercato nero o individuate per conto proprio sono meno accessibili di quelle eventuali (ma deliberate, volute) possedute dal governo americano? A me non sembra che nelle prime 5 pagine di quel documento ci sia una risposta a questa domanda. O meglio, mi sembra ci sia scritto che il sistema è più esposto (?), ma non che sia necessariamente più penetrabile. 

Parte di questa tua impressione deriva dal fatto che usano gergo tecnico. Exposure and vulnerability sono piu' o meno la stessa cosa, infatti si parla di Common Vulnerabilities and Exposures (CVE). Vedi definizioni qui.

Il problema comunque non e' quanto sia piu' facile penetrare un sistema che ha una backdoor voluta dal governo, ma piuttosto quanto sia piu' rischioso per la societa', e questo e' un problema su tanti livelli diversi. Due concetti importanti:

1. Un mondo in cui non esista la crittografia non e' uguale al mondo in cui la crittografia esista ma sia penetrabile. Una crittografia penetrabile rende piu' esposto l'utente perche' lo illude con un falso concetto di sicurezza. Se uno ha uno smartphone senza crittografia, evitera' di salvarci sopra informazioni compromettenti. Se pero' lo smartphone e' crittato, si sentira' piu' sicuro a salvarci sopra roba privata che va dal codice del bancomat alle foto di un rapporto extraconiugale. A quel punto, nel momento in cui il sistema e' esposto, anche il cittadino comune puo' diventare una preda della piccola criminalita' ( piu' comunemente per un ricatto ). Oggi giorno facciamo larghissimo uso di crittografia quindi un programma di key escrow introdotto nel 2016 farebbe molto piu' danno del programma di key escrow degli anni 1990.

2. In cyber security si tendono a definire due tipi di attacco: targeted attack e opportunistic attack. Una backdoor governativa diventa particolarmente pericolosa per opportunistic attacks piuttosto che targeted. E' la stessa differenza che c'e' tra un ladro che vuole rubare un picasso originale da casa di una persona facoltosa o di un gruppo di ragazzetti che entra nella prima casa in cui trova la finestra aperta. Targeted attacks sono incredibilimente piu' difficili da contrastare, anche perche' di solito sono opera di governi o associazione capaci. Opportunistic attacks li possono fare anche i bambini (letteralmente bambini - la maggiorparte dei cosiddetti defacement o ddos di cui si legge sui giornali sono fatti da bambini delle medie - vedi https://en.wikipedia.org/wiki/Script_kiddie ). Gli attacchi opportunistici vengono preceduti di solito da "scanning". Esempio: viene trovata una falla in un programma relativamente diffuso. Un gruppo di malintenzionati usa un software per scansionare internet e cercare, in automatico, bottini interessanti. Una volta trovate le prede, passa all'azione usando il tool a prova di bambino che permette di usare questa falla per penetrare nel computer in questione. Una backdoor governativa che venisse fallata renderebbe opportunistic attacks infinitamente piu' pericolosi per due motivi: interesserebbe quasi la totalita' dei computer; sarebbe molto piu' difficile da aggiustare. 

 

Faccio del mio meglio per non porti altre domande :)
Grazie.

Furono rubati nel 2012. Una massa di incompetenti. Il problema nacque perché non avevano adottato misure che a quel punto erano standard da almeno un decennio (a me la prima volta le fece implementare un payment gateway per accedere ai loro servizi).

Inizia una nuova discussione

Login o registrati per inviare commenti