Crittografia, arma contro censura e controllo

In occasione di un incontro alla John Hopkins University School of Advanced International Studies, il presidente esecutivo di Google, Eric Schmidt si è detto convinto che nel giro di un decennio le agenzie governative abbandoneranno ogni tipo di censura e controllo delle comunicazioni sulla rete.

"La soluzione alla sorveglianza dei governi è la crittografia di ogni cosa" ha dichiarato il presidente di Google. Schmidt osserva che l'NSA e le agenzie di altri paesi hanno probabilmente già violato alcuni degli standard di cifratura impiegati oggi: "Si tratta però di giocare al gatto e al topo, e la gara per una maggior protezione del traffico internet porterà i governi a lasciar perdere".

Schmidt esprime qualche considerazione anche sulla Cina, Paese che da sempre pratica un ossessivo controllo sulla rete. Il presidente di Google sostiene che non appena i cittadini inizieranno ad utilizzare tecnologie che le autorità non saranno in grado di controllare o fermare, allora le cose cambieranno: "Non è possibile fermare una buona idea se è ampiamente accolta" ha dichiarato.

E proprio sul tema delle soluzioni di crittografia la Electronic Frontier Foundation ha pubblicato i risultati dell'indagine Who Has Your Back che ha avuto lo scopo di verificare, tra i principali fornitori di servizi web, a che punto siano i programmi di implementazione di pratiche di strong encryption (cinque in particolare raccomandate dalla stessa EFF e che vedremo poco oltre) delle comunicazioni da e verso gli utenti e di quelle tra i datacenter.

I risultati dell'indagine evidenziano come quattro compagnie (Dropbox, Google, SpiderOak e Sonic.net) abbiano già implementato o stanno lavorando per implementare tutte e cinque le strategie suggerite dalla EFF. A ciò si aggiungono le recenti dichiarazioni di Yahoo per migliorare le pratiche di cifratura e la conferma da parte di Twitter di essere al lavoro per applicare la strong encryption alle comunicazioni tra i propri datacenter.

Le strategie raccomandate dall'Electronic Frountier Foundation sono l'adozione del protocollo standard HTTPS al fine di assicurare un canale di comunicazione protetto agli utenti che si collegano al sito web di uno dei fornitori di servizi e l'utilizzo dei cookie di autenticazione sicuri (che operino, cioè, solamente su canali di comunicazione cifrati), l'adozione del protocollo HSTS (HTTP Strict Transport Security) con cui si stabiliscono delle politiche di accesso sicuro al servizio web, l'adozione del protocollo STARTTLS per la cifratura dei messaggi email in transito tra due diversi provider, l'impiego di pratiche di Forward Secrecy che permettono di mantenere al sicuro le informazioni cifrate passate nel caso in cui vengano compromesse le chiavi private di un provider, e infine la cifratura di tutte le comunicazioni che avvengono tra i datacenter.

L'adozione di queste pratiche rappresenta un impegno fondamentale alla protezione delle informazioni degli utenti dei vari servizi, imponendo la necessità di un procedimento legale nel caso in cui qualsiasi terza parte richieda l'accesso alle informazioni.