Crittografia, arma contro censura e controllo

Crittografia, arma contro censura e controllo

Il presidente di Google si dice convinto che la cifratura di ogni comunicazione porterà i governi a desistere dalle pratiche di sorveglianza e controllo della rete e intanto la Electronic Frontier Foundation pubblica i risultati di un'indagine tra i principali fornitori di servizi web

di Andrea Bai pubblicata il , alle 16:04 nel canale TLC e Mobile
Google
 

In occasione di un incontro alla John Hopkins University School of Advanced International Studies, il presidente esecutivo di Google, Eric Schmidt si è detto convinto che nel giro di un decennio le agenzie governative abbandoneranno ogni tipo di censura e controllo delle comunicazioni sulla rete.

"La soluzione alla sorveglianza dei governi è la crittografia di ogni cosa" ha dichiarato il presidente di Google. Schmidt osserva che l'NSA e le agenzie di altri paesi hanno probabilmente già violato alcuni degli standard di cifratura impiegati oggi: "Si tratta però di giocare al gatto e al topo, e la gara per una maggior protezione del traffico internet porterà i governi a lasciar perdere".

Schmidt esprime qualche considerazione anche sulla Cina, Paese che da sempre pratica un ossessivo controllo sulla rete. Il presidente di Google sostiene che non appena i cittadini inizieranno ad utilizzare tecnologie che le autorità non saranno in grado di controllare o fermare, allora le cose cambieranno: "Non è possibile fermare una buona idea se è ampiamente accolta" ha dichiarato.

E proprio sul tema delle soluzioni di crittografia la Electronic Frontier Foundation ha pubblicato i risultati dell'indagine Who Has Your Back che ha avuto lo scopo di verificare, tra i principali fornitori di servizi web, a che punto siano i programmi di implementazione di pratiche di strong encryption (cinque in particolare raccomandate dalla stessa EFF e che vedremo poco oltre) delle comunicazioni da e verso gli utenti e di quelle tra i datacenter.

I risultati dell'indagine evidenziano come quattro compagnie (Dropbox, Google, SpiderOak e Sonic.net) abbiano già implementato o stanno lavorando per implementare tutte e cinque le strategie suggerite dalla EFF. A ciò si aggiungono le recenti dichiarazioni di Yahoo per migliorare le pratiche di cifratura e la conferma da parte di Twitter di essere al lavoro per applicare la strong encryption alle comunicazioni tra i propri datacenter.

Le strategie raccomandate dall'Electronic Frountier Foundation sono l'adozione del protocollo standard HTTPS al fine di assicurare un canale di comunicazione protetto agli utenti che si collegano al sito web di uno dei fornitori di servizi e l'utilizzo dei cookie di autenticazione sicuri (che operino, cioè, solamente su canali di comunicazione cifrati), l'adozione del protocollo HSTS (HTTP Strict Transport Security) con cui si stabiliscono delle politiche di accesso sicuro al servizio web, l'adozione del protocollo STARTTLS per la cifratura dei messaggi email in transito tra due diversi provider, l'impiego di pratiche di Forward Secrecy che permettono di mantenere al sicuro le informazioni cifrate passate nel caso in cui vengano compromesse le chiavi private di un provider, e infine la cifratura di tutte le comunicazioni che avvengono tra i datacenter.

L'adozione di queste pratiche rappresenta un impegno fondamentale alla protezione delle informazioni degli utenti dei vari servizi, imponendo la necessità di un procedimento legale nel caso in cui qualsiasi terza parte richieda l'accesso alle informazioni.

7 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
s0nnyd3marco21 Novembre 2013, 16:08 #1
Tutto bello, tutto vero: ma se poi danno le chiavi all'NSA siamo punto e a capo. Con il governo non si vince se non cambiando la legge.
calabar21 Novembre 2013, 17:41 #2
Se non sbaglio qualcuno, in un'altra discussione, aveva linkato un articolo in cui si parlava di "boicottaggio" dei protocolli di cifratura da parte dell'NSA e altre agenzie: venivano introdotte complicazioni inutili negli standard con lo scopo di rendere impossibile trovare le falle che permettevano comunque di bucare il protocollo (cosa ovviamente nota a loro).
Non vorrei fare complottismo, ma qualcuno ha il link dell'articolo?
Agat21 Novembre 2013, 20:33 #3
Eh AES ? Oh, "approved by the National Security Agency (NSA)"

http://en.wikipedia.org/wiki/Advanc...yption_Standard
rockroll22 Novembre 2013, 01:10 #4

Nessun algoritmo è sicuro

Algoritmi di cifratura presesistenti e largamente impiegati da cani ed altri animali non possono essere sicuri nel tempo proprio per le caratteristiche sopra dette!

Con pochissime ed anche banali istruzioni assembler potete costruire un algoritmo di cifratura che sconvolge completamente in modo biunivoco il contenuto da cifrare (ne basterebbe una sola: translate), a prova di qualunque attacco a breve termine proprio perchè basato du un sistema assolutamente sconosciuto (certo nel tempo con grandi sforzi tutto può essere scardinato). Ovviamente le istruzioni di decodifica devono essere concesse solo a chi volete che abbia accesso ai dati protetti. E a tempi debiti cambiate algoritmo. Non lasciatevi tentare di rendere pubblico l'algoritmo rendendo segrete le chiavi di cifratura: è più fighetto oltre che più complesso, ma vi espone irrimediabilmente agli attacchi quantomeno euristici...
Vi ho detto tutto; l'importante è che l'algoritmo nasca all'interno del gruppo e non sia scopiazzato da altri. O no?
sekkia22 Novembre 2013, 09:20 #5
Originariamente inviato da: rockroll
Algoritmi di cifratura presesistenti e largamente impiegati da cani ed altri animali non possono essere sicuri nel tempo proprio per le caratteristiche sopra dette!

Con pochissime ed anche banali istruzioni assembler potete costruire un algoritmo di cifratura che sconvolge completamente in modo biunivoco il contenuto da cifrare (ne basterebbe una sola: translate), a prova di qualunque attacco a breve termine proprio perchè basato du un sistema assolutamente sconosciuto (certo nel tempo con grandi sforzi tutto può essere scardinato). Ovviamente le istruzioni di decodifica devono essere concesse solo a chi volete che abbia accesso ai dati protetti. E a tempi debiti cambiate algoritmo. Non lasciatevi tentare di rendere pubblico l'algoritmo rendendo segrete le chiavi di cifratura: è più fighetto oltre che più complesso, ma vi espone irrimediabilmente agli attacchi quantomeno euristici...
Vi ho detto tutto; l'importante è che l'algoritmo nasca all'interno del gruppo e non sia scopiazzato da altri. O no?


Uhm..
http://en.wikipedia.org/wiki/Kerckhoffs%27s_principle
SharpEdge22 Novembre 2013, 09:57 #6
Originariamente inviato da: s0nnyd3marco
Tutto bello, tutto vero: ma se poi danno le chiavi all'NSA siamo punto e a capo. Con il governo non si vince se non cambiando la legge.


"l'impiego di pratiche di Forward Secrecy che permettono di mantenere al sicuro le informazioni cifrate passate nel caso in cui vengano compromesse le chiavi private di un provider"

In realtà se adottassero la Forward Secrecy saremmo tutti mooolto più al sicuro in quanto la chiave privata viene usata per generare una chiave di sessione alla quale è impossibile risalire anche se si dovesse venire in possesso in un secondo momento della chiave privata.
TRF8322 Novembre 2013, 15:42 #7
Originariamente inviato da: rockroll
Algoritmi di cifratura presesistenti e largamente impiegati da cani ed altri animali non possono essere sicuri nel tempo proprio per le caratteristiche sopra dette!

Con pochissime ed anche banali istruzioni assembler potete costruire un algoritmo di cifratura che sconvolge completamente in modo biunivoco il contenuto da cifrare (ne basterebbe una sola: translate), a prova di qualunque attacco a breve termine proprio perchè basato du un sistema assolutamente sconosciuto (certo nel tempo con grandi sforzi tutto può essere scardinato). Ovviamente le istruzioni di decodifica devono essere concesse solo a chi volete che abbia accesso ai dati protetti. E a tempi debiti cambiate algoritmo. Non lasciatevi tentare di rendere pubblico l'algoritmo rendendo segrete le chiavi di cifratura: è più fighetto oltre che più complesso, ma vi espone irrimediabilmente agli attacchi quantomeno euristici...
Vi ho detto tutto; l'importante è che l'algoritmo nasca all'interno del gruppo e non sia scopiazzato da altri. O no?


In realtà hai detto una di quelle castronerie, tali per cui il mio prof di sicurezza ti "manderebbe in prigione senza passare dal Via!"! Gli algoritmi di cifratura è BENE che siano pubblici! Non per favorire gli attaccanti, ma per favorire la sicurezza, in quanto molte persone possono analizzarlo, scoprire eventuali bachi ed aiutare nella chiusura di tali falle (anche nel proprio interesse). Ovvio, ci sono i malintenzionati, ma..meglio che la presenza di un bug sia resa nota immediatamente dopo la scoperta (o poco dopo, se il primo a scoprirlo fosse un cracker), piuttosto che mesi dopo, quando gli attacchi sono già talmente diffusi da rendere necessario istituire un nuovo protocollo! Non per niente si dice che gli algoritmi di crittografia sono come il vino buono: più invecchiano più migliorano. (al netto dell'aumento della capacità di calcolo dei computer e della diminuzione del costo degli stessi).
La "security through obscurity" è tendenzialmente il male..

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^