Tecniche di crittografia riviste non solo alla luce delle minacce ma anche all’evoluzione normativa. Ad esempio, la gestione della Privacy è un forte punto d’attenzione in quanto cresce la necessità di combinare lo sviluppo tecnologico con un uso sempre più spinto dell’Intelligenza Artificiale e della biometria. Il che significa incrementare l’agilità e la qualità degli strumenti di decodifica associati ai sistemi di criptazione.
Se ne è parlato in occasione dell’RSA Conference 2019, dove gli esperti hanno colto l’occasione per confrontarsi sulle leggi e sulle sfide che devono affrontare le aziende tecnologiche. Il tutto considerando la protezione dei dati personali ma anche lo sforzo richiesto per lavorare con le forze dell’ordine in merito ai casi di decodifica.
Collaborare con le forze dell’ordine per la decriptazione
Il governo australiano, ad esempio, lo scorso dicembre ha approvato una legge che impone alle Tech Society di collaborare con le forze dell’ordine per decriptare i dati crittografati nel caso ci sia un sospetto di crimine. Sia le società tecnologiche che gli esperti di sicurezza ritengono che questa decisione del legislatore mini non solo la privacy ma anche la sicurezza dei dati.
“Le backdoor segrete sono come agenti patogeni e i governi hanno risolto in modo pessimo la loro gestione – ha commentato Paul Kocher, crittografo e ricercatore indipendente in occasione del suo keynote -. Ricordiamo, ad esempio, la famosa debacle nata nel 2017 attorno al ransomware NotPetya, quando sono stati armati gli exploit di sicurezza della National Security Agency. Secondo la nuova legge australiana, oggi gli sviluppatori possono addirittura rischiare il carcere se si rifiutano di costruire delle backdoor nei loro prodotti (o se rivelano a qualcuno di averlo fatto). Ma, come me anche altri colleghi crittografi ritengono che questa strategia sia davvero arretrata. A questo punto a finire in prigione dovrebbero essere anche tutti quegli sviluppatori che si intrufolano nei prodotti dei clienti senza dire che l’hanno fatto”.
La gestione della privacy nell’era dell’Intelligenza Artificiale
Whitfield Diffie, pioniere delle tecniche di crittografia ed esperto di sicurezza ha colto l’occasione per commentare come i legislatori non dovrebbero avere un ruolo così determinante nelle decisioni sulla privacy personale. Soprattutto considerando il moltiplicarsi di tecnologie che continuano a ridurre la privacy.
“Sono molto preoccupato – ha detto Diffie nel suo speech -. In questo momento, possiamo ritenere di avere ancora una certa privacy rispetto a quelli che sono i nostri pensieri. Ma le interfacce elettroniche di ultima generazione, quelle che sono in grado di che interagire direttamente con il nostro cervello, potrebbero arrivare al punto in cui potranno davvero leggere la nostra mente. Allora potremo ancora parlare di protezione dei dati personali come siamo abituati oggi?”
Alla luce di queste riflessioni, associate al valore dei dati ricavati da tutti i dispositivi fissi e mobili che tengono traccia dei movimenti e dei comportamenti delle persone, la protezione dei dati personali diventa un argomento ancora più importante.
“Già oggi, molte società e organizzazioni governative utilizzano i dati personali – ha spiegato Shafi Goldwasser, direttore del Simons Institute for the Theory of Computing presso l’Università della California di Berkeley – nelle applicazioni di Intelligenza Artificiale come, ad esempio, il riconoscimento facciale, il riconoscimento vocale e la visione artificiale o, ancora, i set di dati a supporto della valutazione del rischio di credito. Non si tratta solo dell’invio di informazioni, ma anche di tutta l’analisi e l’elaborazione associata. Questi dati dovrebbero essere mantenuti privati. Dobbiamo risolvere prima possibile la gestione del potere computazionale associato al privato. Dobbiamo assicurare che i calcoli vengano eseguiti in modo tale da garantire la riservatezza dei dati, in modo solido e corretto. A questo proposito, sono gli strumenti e le tecniche di crittografia a garantire la tutela della privacy dei dati durante i processi di elaborazione, garantendo al contempo un calcolo accurato”.
La gestione dei dati personali negli Usa
Mentre la legislazione sulla privacy dei dati è controversa, il GDPR in Europa e la legge sulla privacy della California del 2018 giocheranno un ruolo cruciale nel prevenire l’abuso dei dati personali da parte delle aziende.
Tal Rabin, direttore del Cryptographic Research Group di IBM Research, ha descritto i regolamenti come un’opportunità per tutte le community che si occupano di sicurezza di promuovere lo sviluppo di funzionalità integrate di protezione dei dati finalizzate a supportare l’uso dei dati in modo da proteggere anche la privacy.
Tecniche di crittografia a portata di mano
“Le tecniche di crittografia continuano ad evolversi – ha ribadito Paul Kocher, crittografo e ricercatore indipendente -. Esistono, però, metodi crittografici collaudati che hanno superato la prova del tempo e che molte persone non conoscono. Lo scambio di chiavi autenticato con password, ad esempio, è una vecchia tecnologia che funziona molto bene e per questo dovrebbe essere ampiamente utilizzata, più di quanto non avvenga nella realtà dei fatti. Sono molto utili anche le tecniche di calcolo di soglia e multiparty in cui non solo un’entità decide se accadrà qualcosa ma il calcolo viene suddiviso tra più parti, il che consente, ad esempio, di firmare un certificato SSL. Le tecniche di crittografia vengono utilizzate da diversi anni ma, ancora oggi, non solo sono incredibilmente importanti ma stanno continuando a progredire”.
Secondo Kocher, le persone dovrebbero anche utilizzare maggiormente la conservazione a freddo dei dati: è sufficiente mettere una chiave pubblica da qualche parte offline e crittografare i dati man mano che vengono generati. La conservazione a freddo ha trovato la sua maggiore applicazione nell’ambito delle criptovalute (in questo caso specifico è chiamata anche cold wallet). Tra le tecniche di crittografia questa in particolare consente alle persone di archiviare offline le loro chiavi private crittografiche, lontano dagli hacker di Internet.
“Non che ci sia alcunché di avanguardistico – ha aggiunto Kocher -. Di fatto è già possibile eseguirne l’implementazione senza problemi, ma farebbe una grande differenza nel risolvere molte criticità che le persone si trovano a dover fronteggiare quotidianamente”.
Come ha sottolineato l’esperto, mentre queste ed altre tecniche di crittografia funzionano bene e di fatto vengono utilizzate in più ambiti come sistemi operativi, processori, firmware e codici applicativi bisogna fare attenzione: quando non funzionano perfettamente, anche la crittografia potrebbe fallire.
Conciliare i desiderata dei criptologi con la realtà dei fatti
“La questione è che è stato molto difficile sviluppare hardware adeguato a supportare la crittografia – ha affermato Ronald Rivest, leader del gruppo di ricerca sulla crittografia e la sicurezza delle informazioni presso il MIT’s Computer Science and Artificial Intelligence Laboratory -. Confrontandomi con i miei colleghi del MIT che lavorano nell’ambito delle architetture hardware, concordiamo sul fatto che esistono vulnerabilità di cui tenere conto come, ad esempio, Spectre e Meltdown. È davvero difficile realizzare hardware che supporti la crittografia nel modo in cui piace ai crittografi, ovvero in un mondo ideale, dove le persone hanno segreti che vengono mantenuti e utilizzati in modo sicuro. Implementare nel mondo reale queste tecniche di crittografia è ancora una sfida”.
A dispetto del cybercrime in continua evoluzione, anche le tecniche di crittografia stanno affinandosi. La transizione alle estensioni di sicurezza del sistema dei nomi di dominio sta progredendo in modo importante. Gli esperti mettono in conto sia lo sforzo di TLS 1.3 e di linguaggi più sicuri come RUST, così come il passaggio dalle password agli autenticatori crittografici.
Così, se è vero che lavorare nella web economy distorce un po’ il senso del tempo, offrendo modelli in cui da un’idea alla sua diffusione sul mercato passano solo pochi mesi, è vero anche che certe tecniche, che richiedono decenni di sviluppo, stanno andando avanti. A beneficio di una società data-driven.