Crittografia, sicurezza e privacy

Crittografia, sicurezza e privacy
27 febbraio 2017 Salvatore Mameli

“La crittografia è un lusso” denunciava non molto tempo fa il giornalista Kaveh Waddell della rivista statunitense Atlantic, puntando il dito contro i colossi dell’informatica, in particolare Google e le società controllate da Mark Zuckerberg, per lo scarso livello di privacy delle loro applicazioni. Fortunatamente da allora la situazione sembra essere migliorata non poco.

Non a caso la crittografia è diventata una delle discipline più studiate nel settore informatico. La protezione dei pacchetti e dei dati che viaggiano sul web è un argomento decisamente scottante: basti pensare al protocollo http, alla rete TOR per rimanere anonimi sul web, alle applicazioni cloud crittografate e altre ancora. D’altronde Edward Snowden, l’ex tecnico informatico dell’NSA che diede vita allo scandalo “Datagate” ci aveva messo tutti in guardia: senza un adeguato livello di protezione saremmo tutti sotto controllo, dalle nostre mail fino ai contatti sul nostro smartphone.

Il primo sistema di crittografia applicato al mondo dell’informatica è stato sviluppato dal programmatore Phil Zimmermann nel 1991. Il suo “Pretty Good Privacy” consentiva di crittografare le mail con la certezza che non possano essere lette da nessun altro al di fuori del destinatario. Ovviamente da allora la crittografia ha fatto passi da gigante grazie allo sviluppo di sistemi e applicazioni più sofisticate.

WhatsApp ad esempio, non è stata la prima e non sarà sicuramente l’ultima ad utilizzare sistemi crittografici. Dall’Aprile del 2016 tutti avranno sicuramente letto queste parole, aprendo il client più diffuso al mondo per la messaggistica istantanea. L’idea è semplice: quando mandi un messaggio l’unica persona che lo può leggere è la persona o il gruppo a cui l’hai inviato. Nessun altro può visualizzarne il contenuto. Nessun cybercriminale, nessun hacker o regime governativo. Nessuno.

Entriamo nel dettaglio. Affinché ciò sia possibile, è necessario adottare un sistema di crittografia che prevede l’utilizzo di due chiavi crittografiche: una pubblica e l’altra privata. Un software installato sul dispositivo, sia esso un computer, uno smartphone o altro, si occuperà di generare la coppia di chiavi: la prima, detta chiave privata, resterà sul dispositivo dell’utente e servirà per decifrare i pacchetti dati ricevuti nel corso dello scambio; la seconda, detta chiave pubblica, sarà condivisa con l’altro utente con cui si scambiano i messaggi e sarà utilizzata da quest’ultimo per crittografare tutti pacchetti dati indirizzati a noi. La chiave pubblica, inoltre, è progettata in modo che i messaggi crittografati possano essere decifrati solo da chi possiede la relativa chiave privata: un sistema end-to-end (traducibile con “da punto a punto” o “da nodo a nodo”) nel quale sono necessarie entrambe le chiavi per spedire e ricevere messaggi “comprensibili”.

In una sessione di messaggistica istantanea, ad esempio, Carlo e Alice danno avvio alla comunicazione stabilendo un canale e scambiandosi le rispettive chiavi pubbliche e generando, contemporaneamente, le chiavi private (che resteranno sui dispositivi dei rispettivi proprietari). Quando i due cominceranno a scambiare messaggi, i pacchetti generati da Carlo saranno crittografati seguendo le indicazioni della chiave pubblica di Alice e, una volta pervenuti sul device di Alice, essi saranno decifrati utilizzando a chiave privata di Alice, viceversa, i pacchetti dati di Alice saranno crittografati grazie alla chiave pubblica di Carlo e poi decifrati da Carlo stesso tramite la sua chiave privata. I server del servizio di messaggistica istantanea si occuperanno solamente di recapitare i messaggi come se fossero degli agenti incapaci di leggere il contenuto dei pacchetti di passaggio.

La crittografia end-to-end permette quindi di rendere le comunicazioni come se fossero “faccia a faccia”, io e te, da soli.

WhatsApp così come Telegram, Facebook Messenger e altri gruppi hanno ormai il dovere di tutelare la privacy degli utenti: soltanto il titolare della password o del device utilizzare deve poter accedervi.

E’ recente la disputa avvenuta tra Apple e FBI, con la società di Cupertino che ha negato ai federali lo sblocco del device del killer di San Bernardino, per la tutela della sua privacy.

Ma quindi siamo davvero al sicuro? Possiamo essere certi che ciò che inviamo arrivi davvero al destinatario? La risposta purtroppo è un secco no.

Nemmeno la crittografia end-to-end è al riparo da attacchi hacker che utilizzino strumenti di reverse engineering: l’utente malintenzionato potrebbe ad esempio sfruttare la vulnerabilità di uno dei due nodi comunicanti e accedere direttamente ai dati che gli interessano. In un’epoca in cui il cyberspionaggio è sempre più concreto, ed è ritenuto dagli esperti la guerra del ventunesimo secolo, capace forse di indirizzare un’elezione politica (gli hacker russi che avrebbero favorito l’ascesa del nuovo presidente degli Stati Uniti), la crittografia non potrà mai essere sicura al 100% se chi è coinvolto nello scambio di informazioni non curi in maniera efficiente e precisa il proprio sistema informatico.