Improvvisamente negli Usa c’è di nuovo fermento sul tema della crittografia dei dispositivi e delle comunicazioni. Lo scontro sulla cifratura tra governo, aziende, società civile è in realtà una cripto-guerra sotterranea, che va avanti da tempo. Ogni tanto però erompe in superficie, come un fiume carsico.
Ora da quache giorno è tutto un fiorire di comunicati a difesa della cifratura forte, e contro le backdoor, cioè contro “porte di servizio”, sistemi in grado di aggirare le protezioni di software e apparecchi. Si sono espresse in tal senso Apple, Microsoft, Facebook, Google; ma anche l’associazione per i diritti digitali Electronic Frontier Foundation. Ma perché questa levata di scudi proprio adesso? Che è successo?
A smuovere le acque è stata la pubblicazione qualche giorno fa di un reportage della rivista americana Wired, dedicato a una nuova proposta che vorrebbe risolvere lo scontro sulla cifratura. Scontro che fu plasticamente rappresentato nel 2016, quando un giudice federale americano ordinò ad Apple di aiutare l’Fbi ad accedere ai contenuti di un iPhone appartenuto a un terrorista, creando una nuova versione del sistema operativo per aggirare alcune sue funzioni di sicurezza.
Apple disse di no, con la motivazione che sarebbe stato troppo pericoloso; che si sarebbe trattato di realizzare una backdoor che, una volta creata, sarebbe stata usata su qualsiasi numero di apparecchi. Poi, dopo un lungo braccio di ferro, il procedimento andò oltre e l’Fbi si rivolse a una azienda privata che sfruttò una vulnerabilità del telefono per entrarci.
Lo scontro dunque è fra chi sviluppa servizi e dispositivi che usano una cifratura forte, e ha come priorità la sicurezza dei propri utenti, e chi (come un governo o le forze dell’ordine) vorrebbe trovare dei meccanismi più semplici e immediati per entrare in un dispositivo, con la collaborazione di chi fornisce il servizio.
Bene, qualche giorno fa arriva sui media una proposta che si presenta come una sorta di compromesso tra le due posizioni. L’ha ideata Ray Ozzie, che fino al 2010 è stata figura di spicco ai vertici di Microsoft, come direttore tecnico e chief software architect. L’idea, presentata col nome di Clear è - semplificando - la seguente. Il produttore (ad esempio Apple) genera una coppia di chiavi. Una, la chiave pubblica, è conservata nel telefono dell’utente. L’altra, quella privata, è conservata dal produttore stesso (Apple), tenuta al sicuro nello stesso modo in cui sono protette le preziose chiavi che autenticano gli aggiornamenti del suo sistema operativo.
Ora, ogni apparecchio genera automaticamente un suo PIN segreto di sblocco, che verrà cifrato con la chiave pubblica del produttore. E l’unico modo per decifrare il PIN sarà usare la chiave privata, che sta nel caveau di Apple. Ora, se l’FBI o la polizia vogliono accedere a quel dispositivo, e solo una volta che ne siano fisicamente in possesso, mandano ad Apple il PIN cifrato. Apple invia un suo dipendente nella stanza protetta e gli fa usare la chiave privata per decifrare il PIN, dopodiché lo rimanda indietro all’FBI. Che a quel punto sblocca il dispositivo (e solo quello). Oltre a sbloccarlo, il procedimento ne “congela” i contenuti e lo rende inutilizzabile. L’intero sistema è stato presentato come una forma di “accesso eccezionale”, e punta sul fatto di mettere assieme più salvaguardie da possibili abusi rispetto alle proposte passate. Inoltre è fatto in maniera tale da poter essere usato solo su un dispositivo sequestrato e non al fine di esercitare una sorveglianza silenziosa da remoto, sul dispositivo in uso.
L’idea però è stata accolto piuttosto freddamente da vari ricercatori di spicco nella crittografia e nella sicurezza informatica. Nomi noti come Matt Green, Steve Bellovin, Matt Blaze e Rob Graham si sono schierati apertamente contro. La proposta di Ozzie non risolve, ha commentato Graham, e non tiene conto dell’elemento umano. Né del fatto che il sistema di sicurezza basato su quello per proteggere le chiavi degli aggiornamenti software non è fatto per crescere di scala. Più aumentano le richieste, le persone, più il sistema diventa insicuro, ha scritto nel suo blog.
Anche l’Electronic Frontier Foundation è uscita con un comunicato che non lascia spiragli. “Malgrado la rinnovata retorica, la maggior parte degli esperti concorda che l’accesso eccezionale, non importa come lo si implementi, indebolisce la sicurezza”, afferma l’associazione per i diritti digitali. “La terminologia può essere cambiata, ma la domanda essenziale non lo è: le aziende tech dovrebbero essere obbligate a sviluppare sistemi che danneggiano inerentemente i propri utenti? La risposta non è cambiata: no”.
Ma la presa di posizione più interessante è quella dei principali giganti tech americani. Apple, Microsoft, Facebook, Google, Snap e altre aziende riunite in una coalizione hanno preso posizione in una dichiarazione pubblica a favore della crittografia forte e contro l’eventualità di introdurre backdooor. “Continuiamo a pensare che una cifratura forte aiuti a proteggere la sicurezza e la privacy di individui e aziende nel mondo”, dice il comunicato intitolato ‘Dichiarazione su notizie riguardo una proposta di accesso eccezionale’.
A che pintE prosegue: “Abbiamo sempre sollevato dubbi su proposte che indeboliscano la cifratura di apparecchi e servizi richiedendo un cosiddetto “accesso eccezionale” per le forze dell’ordine. Notizie recenti hanno descritto una nuova proposta per ingegnerizzare vulnerabilità in apparecchi e servizi, ma soffrono degli stessi problemi tecnici e di progettazione che i ricercatori di sicurezza hanno identificato per anni. Indebolire la sicurezza e la privacy fornite dalla crittografia non è la risposta”.
Va ricordato però che la proposta di Ozzie non nasce dal nulla. Dietro c’è di nuovo una spinta politica. Lo scorso marzo un articolo del New York Times riferiva di incontri riservati tra il Dipartimento di Giustizia/l’Fbi da un lato, e alcuni ricercatori di sicurezza dall’altro per lavorare su proposte di un “accesso eccezionale” ai dispositivi cifrati. Tra questi c’era lo stesso Ray Ozzie.