Proposta di legge americana vuole inserire backdoor obbligatorie nella cifratura di dispositivi e servizi
di Riccardo Robecchi pubblicata il 27 Giugno 2020, alle 16:01 nel canale SecurityUna proposta di legge avanzata nella Commissione Giustizia del Senato americano chiede di introdurre backdoor obbligatorie in dispositivi e servizi. Un enorme e ingiustificato rischio per la sicurezza di privati e aziende
Tre senatori repubblicani hanno depositato una proposta di legge presso la Commissione Giustizia del Senato americano. Tale proposta, chiamata Lawful Access to Encripted Data Act (legge sull'accesso legale ai dati cifrati), chiede che i produttori di hardware e software inseriscano nei propri sistemi delle backdoor che le forze dell'ordine e le autorità giudiziarie possano utilizzare per perseguire i criminali. Si tratta dell'ennesima proposta che punta a indebolire le protezioni a disposizione di privati e aziende per favorire una presunta maggiore sicurezza pubblica, riaprendo il dibattito sull'individuazione del giusto compromesso tra sicurezza pubblica e riservatezza dei privati.
Una proposta di legge negli USA per rendere obbligatorie le backdoor: una proposta pericolosa
La proposta di legge, visualizzabile a questo indirizzo, chiede che "i fornitori di servizi e produttori di dispositivi forniscano assistenza alle forze dell'ordine quando l'accesso a dispositivi o dati cifrati è necessario - ma solo dopo [enfasi nell'originale] che un tribunale abbia emanato un mandato, basato sulla probabile causa che il crimine sia avvenuto, autorizzando le forze dell'ordine a cercare e sequestrare i dati."
Lindsey Graham, principale firmatario della legge, afferma che "dopo che le forze dell'ordine hanno ottenuto la necessaria autorizzazione da parte di una corte di giustizia, dovrebbero essere in grado di recuperare le informazioni che li aiutino nelle indagini. La nostra legislazione rispetta e protegge i diritti alla privacy degli americani che rispettano la legge. Dà anche un avvertimento ai terroristi e ai criminali che non potranno più nascondersi dietro la tecnologia per nascondere le proprie tracce."
Il problema di questa posizione è che l'unico modo in cui è possibile accedere a dati cifrati è tramite la creazione di una backdoor e ciò diminuisce a tutti gli effetti la sicurezza dei sistemi e non garantisce, dall'altro lato, una maggiore sicurezza pubblica.
Una ricerca pubblicata dal think tank Center for Strategic and International Studies nel 2017 scrive chiaramente che l'utilizzo di sistemi di cifratura irrecuperabile (ovvero cifratura che non può essere tolta se non dal proprietario) è preferibile e non rappresenta un problema insormontabile.
"Se tutti nel mondo utilizzassero la cifratura irrecuperabile, cosa cambierebbe? Un uso maggiore della cifratura aiuterebbe a ridurre il cybercrimine, che costa all'economia mondiale almeno 400 miliardi di dollari l'anno, e ridurrebbe altresì il rischio di cyberattacchi. La protezione della privacy migliorerebbe. Ma questi benefici vanno confrontati con il costo in termini di sicurezza pubblica. In ogni caso, non tutti utilizzeranno la cifratura irrecuperabile. Le aziende e i privati continueranno a richiedere funzionalità rese possibili dalla cifratura recuperabile. La nostra ricerca suggerisce che la diffusione e l'uso della cifratura irrecuperabile, anche se è frustrante per le forze dell'ordine, è ridotto e il rischio ad esso collegato è gestibile."
Il problema è di grande difficoltà e non esiste una risposta semplice che lo risolva. Da un lato c'è l'esigenza (reale) di proteggere la società da fenomeni come il terrorismo, la schiavitù e la pedofilia; dall'altro lato, però, c'è l'esigenza (non meno reale) di rendere le comunicazioni, le informazioni e i dati difficili da sfruttare per i criminali e le organizzazioni con intenti malevoli.
Trovare un compromesso è particolarmente complesso perché non esiste una soluzione tecnica sicura. Più e più volte è stato ribadito negli anni che non è possibile creare una una backdoor che possa essere usata solo dai "buoni": una backdoor è di per sé un problema di sicurezza perché può essere usata da chiunque senza controllo; crearne una "di Stato" è, di fatto, come pubblicizzare che la porta della propria casa è sempre aperta con le stesse conseguenze, ovvero che potrà entrare chiunque indipendentemente dalle sue intenzioni, buone o cattive che siano.
Il problema di questa legge sta proprio nel fatto che prevede la creazione di backdoor obbligatorie, la cui presenza è quindi nota pubblicamente, rendendo molto meno sicuri i sistemi e aprendo a molteplici possibilità di abuso da parte dei malintenzionati e degli stessi governi. Non è questa la soluzione ai problemi di sicurezza pubblica, poiché si creano molti più problemi di quanti se ne risolvano.
Il problema della "sovranità digitale"
Questa proposta riaccende inoltre la discussione sul tema della "sovranità digitale" di cui si parla da tempo in Germania. Il problema sollevato dai sostenitori di questa dottrina è che non si può affidare la propria infrastruttura digitale fondamentale a entità extra-europee, poiché la loro fedeltà è altrove. Ciò ricorda il dibattito presente in epoca medioevale e nella prima età moderna in Inghilterra: i cattolici erano visti come "servitori di due padroni", dato che professavano la propria fedeltà al papa oltre che al monarca, e pertanto erano visti come non degni di fiducia.
Se tale dibattito religioso è stato fortunatamente superato da secoli, il dibattito in ambito tecnologico infuria. La legislazione americana è tra gli elementi che stanno portando, ad esempio, le amministrazioni di Monaco di Baviera e di Amburgo ad adottare soluzioni open source più facilmente controllabili e che non le rendono dipendenti da una società straniera che deve rispondere alle leggi di un altro Stato. Con il Cloud Act, infatti, gli Stati Uniti hanno reso qualunque dato ospitato sui server di aziende americane raggiungibile dalle forze giudiziarie americane, anche se questi dati dovessero essere fisicamente al di fuori del territorio americano. Ciò pone, negli occhi dei sostenitori della "sovranità digitale", dei problemi significativi.
Il fatto che il governo americano richieda la presenza di backdoor sui sistemi acuisce il problema: qual è la portata di tale backdoor? Quali sistemi la impiegano? Come è possibile verificare che la backdoor non sia presente su sistemi che fanno uso di codice proprietario impiegati al di fuori degli USA? Si prospetta nuovamente un problema di fiducia che non è di facile risoluzione e richiede attento esame da parte dei legislatori e della politica.
Come spesso avviene non c'è una risposta completamente giusta. Dall'altro lato, però, esistono sicuramente risposte ai problemi che creano ulteriori problemi e quella scelta da questa legge sembra essere tra queste.
33 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoquindi citando fantozzi in merito alla corazza potemkin: “e una ca* pazzesca”
per quanto bello è qualcosa di lontano dalla realizzazione almeno per ora. i tedeschi hanno discusso molto di indipendenza sul cloud. penso sia un buob punto di partenza specialmente per agenzie federali e banche a livello EU. penso che in un modo o nell altro segretamente, le entità che veramente tengono ala
privatezza dei dati abbiano già dei protocolli su come
trattare i dati prima di inviarli su cloud.
E cmq come accennato una soluzione opensource sarebbe la cosa migliore, dipendentemente dalla difficoltà di realizzazione, magari facendo uno "scudo" nazionale come fatto da altre amministrazioni.
La cosa migliore sarebbe usare tecnologia prodotta, sviluppata e controllata nell'UE, ma per ora non è una strada percorribile dato che non siamo più capaci di autoprodurci un cazzo a livello hw.
http://www.businesskorea.co.kr/news...tml?idxno=25730
https://www.telegraph.co.uk/news/wo...-years-ago.html
ok come hw siamo lontani anni luce, ma come sw ci si può arrivare, anche in fretta usando roba open source lato server esistente. non mi preoccuperei subito del hw
esempio:
riguardo il cloud, basterebbe creare una nuova compagnia con base in paese neutrale tipo la svizzera e che sia soggetta a controlli periodici di sicurezza da una commissione apposita e che abbia policy sulla gestione dei dati aperte nei confronti dei clienti (che non sia il clone di google e ms)
questa compagnia gestirebbe server in affitto localizzati in varie città importanti in EU lato reti come zurigo, francoforte, parigi, milano, amsterdam...
i clienti della compagnia sarebbero aziende, amministrazioni locali/federali, banche etc. che a loro volta possono sollecitare controlli esterni per verificare il rispetto delle policy di sicurezza.
fin tanto che un'azienda o un'amministrazione dovrà fidarsi sulla parola di un'azienda con policy poco trasparenti, e con base in un paese con tendenze invasive... non ci siamo
esempio:
riguardo il cloud, basterebbe creare una nuova compagnia con base in paese neutrale tipo la svizzera e che sia soggetta a controlli periodici di sicurezza da una commissione apposita e che abbia policy sulla gestione dei dati aperte nei confronti dei clienti (che non sia il clone di google e ms)
questa compagnia gestirebbe server in affitto localizzati in varie città importanti in EU lato reti come zurigo, francoforte, parigi, milano, amsterdam...
i clienti della compagnia sarebbero aziende, amministrazioni locali/federali, banche etc. che a loro volta possono sollecitare controlli esterni per verificare il rispetto delle policy di sicurezza.
fin tanto che un'azienda o un'amministrazione dovrà fidarsi sulla parola di un'azienda con policy poco trasparenti, e con base in un paese con tendenze invasive... non ci siamo
Il problema non sono le competenze e le capacità produttive arriverebbero presto se volessimo investire, ma è l'intenzione di fare piani comuni come UE che latita, il concetto stesso di UE al momento è troppo debole e frammentario, ha le mani troppo legate.
Se smettessimo di vederla come un obbligo e riuscissimo a capire quale opportunità abbiamo sotto il naso ci sbatteremmo le balle di USA, Cina e Russia messe insieme...
Nel caso in oggetto, la presenza di tale porta di servizio apre la possibilità di essere ascoltati anche dall'erogatore del servizio, non solo dalle forze dell'ordine (non facciamo i finti tonti, sappiamo come funzionano queste cose...).
Si pensi quante belle cosine potrebbe scoprire il Zucchino se si mettesse a leggere i cavoli che scrive , che so, Trump, e che forza impositiva avrebbe - conoscendo i suoi più reconditi segreti e potendolo minacciare.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".