#MeAndMyRights: la crittografia - perché è indispensabile ma non basta

La crittografia è una tecnica molto vecchia. E' quel processo attraverso cui possiamo nascondere il significato di qualcosa usando un codice. Vi spieghiamo perché protegge la nostra privacy e i nostri soldi e come le autorità la aggirano con l'hacking.

Probabilmente ricorderete il dibattito sulla crittografia emerso tra alcune aziende tecnologiche e i servizi di sicurezza - in particolare tra l’Apple e l'FBI - subito dopo la sparatoria di San Bernardino negli Stati Uniti. La crittografia è una tecnica molto vecchia. Si riferisce al processo attraverso il quale possiamo nascondere il significato di qualcosa usando un codice. Ad esempio, un codice molto semplice lo si ottiene sostituendo le lettere dell'alfabeto con i numeri, in modo che 1-2-3 sia ABC. Se so che hai usato questo codice per crittografare i tuoi messaggi, poi quando mi passi un pezzo di carta con scritto "9 12-12 2-5 2-1-3-11", saprò se stai semplicemente andando alla toilette, o se sei uno sterminatore.

Come funziona la crittografia

La crittografia su Internet può funzionare in modi diversi, ma il tipo più sicuro (quello che le autorità amano di meno) viene definito come crittografia end-to-end. Funziona così. Scrivi un'e-mail a un tuo amico. Il computer crittografa l'e-mail prima di essere inviata. Poi l'email passa via Internet al tuo amico nella sua forma crittografata. Così chiunque intercetta l'email non è in grado di leggere ciò che c’è scritto. Infine, quando raggiunge il computer del tuo amico, il suo computer decripta il messaggio. Questo tipo di crittografia è la più sicura perché i codici necessari per crittografare e decriptare i messaggi esistono solo sui telefoni o sui computer delle due persone che comunicano tra di loro. Né l'azienda che fornisce servizi Internet, né la società che ha creato il programma di posta elettronica sono a conoscenza del codice. Il che significa che nemmeno i servizi di sicurezza sono in grado di scoprire il codice.

Anche se non ne eri a conoscenza, probabilmente già utilizzi la crittografia regolarmente. Ogni volta che utilizzi servizi bancari, che fai acquisti su Internet o che compili la tua dichiarazione dei redditi on-line, viene utilizzata la crittografia per impedire che altre persone intercettino e leggano le informazioni che stai inviando. Questo mantiene i tuoi soldi e le tue informazioni personali al sicuro.

Nel 2013, quando Edward Snowden ha reso noti documenti segreti, sono iniziate a circolare molte notizie a proposito di come i servizi di sicurezza degli USA, del Regno Unito e di molti altri paesi europei stanno portando avanti la sorveglianza in massa delle proprie popolazioni. È diventato palese che alcune aziende tecnologiche (come Microsoft, Google, Facebook e Apple) hanno in realtà aiutato i governi a spiare i propri cittadini. Queste aziende hanno consegnato alle autorità le informazioni raccolte dagli utenti di Internet. Talvolta le aziende tecnologiche hanno permesso alle autorità di raccogliere informazioni intercettando direttamente dai loro cavi telefonici e nelle loro banche dati. Una volta che Snowden ha fatto le sue rivelazioni, le aziende tecnologiche hanno avuto paura che i loro clienti perdessero la fiducia in loro, e alcuni di loro, tra cui la Apple, hanno iniziato a introdurre la crittografia nei loro servizi.

La maggior parte dei servizi di sicurezza si oppongono alla crittografia, perché sostengono che impedisce loro di controllare i sospetti terroristi. Alcuni paesi stanno parlando di crittografia illegale. Altri stanno pensando di costringere le aziende tecnologiche a fornire i codici di crittografia ai servizi di sicurezza affinché le autorità possano decriptare le comunicazioni ogni volta che lo desiderano. Quest'ultima opzione è definita come la creazione di una "via traversa".

Dichiarare la crittografia illegale potrebbe danneggiare persone innocenti

La crittografia illegale o la creazione di “vie traverse” a disposizione dei servizi di sicurezza non renderanno la vita più difficile ai terroristi. Se i terroristi volessero utilizzare la crittografia, potrebbero creare dei propri programmi di crittografia oppure utilizzare programmi di crittografia creati in paesi in cui questo non sia illegale. Oppure gli attentatori potrebbero trovare altri modi per aggirare la sorveglianza di massa, come utilizzare parole in codice, cambiare frequentemente i numeri di telefono o utilizzare più spesso schede SIM prepagate. Ad esempio, alcuni servizi di sicurezza hanno affermato che le autorità francesi non sono state in grado intervenire tempestivamente e di fermare le sparatorie di Parigi nel 2015 poiché gli attentatori avevano utilizzato la crittografia per nascondere le loro comunicazioni. Ma in realtà, sembra che gli attentatori comunicassero utilizzando i vecchi messaggi di testo SMS non codificati.

La creazione di crittografia illegale o di “vie traverse” non renderebbe veramente più facile per i servizi di sicurezza catturare i terroristi. Bensì creerebbe molti problemi alle persone innocenti. Se la crittografia diventasse illegale, non saremmo più in grado di utilizzare Internet per fare cose come acquistare o utilizzare servizi bancari on line. Sarebbe un danno per l'economia e creerebbe molti disagi. La crittografia viene utilizzata anche da molte persone che lavorano in situazioni pericolose, come i giornalisti che indagano sulla corruzione e gli attivisti della democrazia che lavorano in paesi in cui c’è la dittatura. La crittografia li aiuta a mantenersi al sicuro nascondendo le loro attività e i loro contatti. Se la crittografia rimanesse legale, ma le aziende fossero costrette a fornire i codici alle autorità, i governi stranieri e gli hacker criminali potrebbero riuscire a trovare il modo di ottenere questi codici, anche attraverso le "vie traverse" create dalle società tecnologiche. Di fatto, la crittografia diventerebbe inutile.

La crittografia non offre protezione dagli hacking statali

Non solo la crittografia è fondamentale nel proteggerci giorno per giorno, ma non rende la vita così difficile ai servizi di sicurezza. Per prima cosa, la crittografia non copre i metadati - per cui le autorità possono ancora vedere cose come come il numero di telefono che è stato composto, quali siti sono stati visitati e l’oggetto delle e-mail. L'unica cosa che viene crittografata è il contenuto del messaggio.

In secondo luogo, i servizi di sicurezza hanno a disposizione la tecnologia necessaria per intervenire direttamente sui telefoni o sui computer dell'individuo su cui stanno indagando - o di persone a lui vicine - e leggere i messaggi che hanno inviato e ricevuto. Ad esempio, questo è quanto successo a proposito del telefono cui l'FBI ha potuto accedere durante l'inchiesta di San Bernardino. Non è questo lo spazio per entrare nel dettaglio, ma un numero sempre crescente di governi, come Belgio e Paesi Bassi, hanno già dato o vogliono dare ai loro servizi di sicurezza la possibilità di hackerare qualsiasi dispositivo connesso a Internet. Considerate che oggi non sono solo il telefono e il computer a connettersi ad Internet. Ormai ci sono automobili, televisori, sistemi musicali, contatori elettrici e elettrodomestici che si collegano a Internet. In pratica anche il tuo tostapane potrebbe spiarti. Questa non è una buona notizia, perché significa che i governi acquisteranno un numero sempre maggiore di programmi di hacking, alcuni dei quali inevitabilmente verranno rubati e utilizzati dai criminali. Ricordate l'attacco ransomware "WannaCry" che ha colpito gli ospedali nel Regno Unito? Per quello possiamo dire grazie all'Agenzia Nazionale per la Sicurezza degli USA.

Se vuoi saperne di più o approfondire gli studi citati, puoi dare un'occhiata al rapporto completo 'Sicurezza attraverso i Diritti Umani' a questo link.