Untrusted/ Addomesticare la belva

di Alessandro Bottoni - Ci sono diverse vie per trasformare il trusted computing in qualcosa di socialmente accettabile. Ma questo richiede l'intervento di consumatori e governi, fin qui inesistente

Roma - Il Trusted Computing esiste, nella sua forma attuale, dal 1999, cioè dai tempi in cui è stata fondata la Trusted Computing Platform Alliance (ora Trusted Computing Group) ed in cui è stato lanciato il progetto "Palladium" di Microsoft (ora NGSCB). Nel corso di questi anni, il Trusted Computing ha ricevuto una impressionante quantità di critiche da parte di praticamente tutti gli osservatori indipendenti che se ne sono occupati, da Seth Schoen di Electronic Frontier Foundation, a William Arbaugh dell'Università del Maryland, a Bruce Schneier di CounterPane (il mitico autore di "Applied Cryptography"). Una raccolta quasi completa degli scritti sul Trusted Computing è disponibile qui.

Insieme alle critiche, sono arrivate anche le proposte di "addomesticamento". Prima Seth Schoen di EFF e poi alcuni altri osservatori hanno avanzato delle proposte tese a rendere questa tecnologia "socialmente e tecnicamente accettabile". Queste proposte possono essere classificate grosso modo in tre categorie:
1)Modifiche tecniche tese a rendere meno invasivo e meno minaccioso il Trusted Computing;
2)Iniziative tese a sostituire il Trusted Computing con qualcosa di più accettabile (Smart Card);
3)Iniziative tese a sottoporre il Trusted Computing al controllo politico e legale dei governi

L'approccio "tecnico" al problema
L'esempio più conosciuto di questo tipo di proposta è l'Owner Override di Seth Schoen. Seth Schoen è un apprezzato "columnist" ed un "technical analyst" di Electronic Frontier Foundation, una delle più antiche e delle più autorevoli associazioni attive nella difesa dei diritti digitali dei cittadini. Schoen identifica una delle principali fonti di problemi del Trusted Computing nella cosiddetta "remote attestation". Per quelli che si fossero collegati in questo momento, ricordiamo che la remote attestation è quella funzionalità che permette ad un interlocutore remoto, ad esempio un venditore di brani musicali in formato digitale su Internet, di verificare l'identità dei programmi in uso sul vostro computer grazie a delle apposite tecniche crittografiche messe a disposizione dal Fritz Chip.
Ecco come si esprime Seth Schoen riguardo alla remote attestation:

"Il proprietario del PC come un nemico?
La versione corrente della remote attestation permette l'imposizione di regole contrarie a ciò che può desiderare il proprietario del PC. Se il software che utilizzate è concepito in questo modo, non si limiterà a difendere i vostri dati da eventuali intrusi e da pericolosi virus. Li proteggerà anche da voi stessi. In pratica, voi, il proprietario del PC, sarete trattati come una minaccia.

Questo problema nasce dalla eccessiva preoccupazione dei progettisti di ottenere un meccanismo che fornisca sempre un ritratto fedele della configurazione del PC in qualunque situazione, senza eccezioni. Il proprietario del PC può disabilitare completamente la remote attestation ma non può fare in modo che la remote attestation rifletta una configurazione diversa da quella esistente. In altri termini, non è possibile mentire riguardo al tipo ed alla versione del browser web o del programma di file sharing correntemente in uso.

Questo approccio è di vantaggio per l'utente solo se l'utente ed il suo interlocutore perseguono lo stesso fine. Se la remote attestation è usata da un fornitore di servizi che vuole aiutarvi a rilevare la presenza di virus e trojan horse prima di effettuare una transazione critica, allora la remote attestation vi aiuta a proteggervi. Se la remote attestation è usata da qualcuno che vuole impedirvi, per un motivo o per l'altro, di usare il software di vostra scelta, allora la remote attestation vi procura un danno."

La soluzione proposta da Schoen è semplice ed apparentemente geniale: permettere all'utente di sovrascrivere il certificato digitale generato automaticamente dal TPM con un altro, di sua scelta. In pratica, Seth Schoen propone di fornire all'utente gli strumenti con cui mentire al suo interlocutore.
Ecco come giustifica questa sua proposta:

"L'Owner Override permette al proprietario del PC, quando fisicamente presente alla tastiera, di generare deliberatamente un attestato che non riflette la situazione corrente del PC, in modo da poter presentare all'interlocutore remoto una immagine di sua scelta riguardo al sistema operativo, ai driver ed al software applicativo in uso. Dato che questo attestato può essere generato solo su disposizione esplicita e consapevole del proprietario, l'uso della remote attestation per rilevare eventuali virus e trojan horse è ancora possibile. Tuttavia, grazie all'Owner Override l'utente riprende il controllo del suo PC, anche in un ambiente di rete, ed il PC non può più essere usato per imporre regole contrarie all'interesse del suo proprietario.
L'Owner Override rimuove gli strumenti che rendono possibile l'abuso della tecnologia Trusted Computing da parte di chi vuole usarla come strumento anti-interoperabilità e anti-concorrenza. Ripristina l'importante possibilità di effettuare il reverse-engineering dei programmi per garantire la interoperabilità.
In senso più ampio, corregge il Trusted Computing mantenendo la possibilità di usare questa tecnologia per difendere l'utente senza però limitarne la libertà di decidere quali regole debbano essere fatte rispettare. Non compromette nessuno dei risultati che lo standard TCG o MS NGSCB vogliono ottenere ed è coerente con gli scopi ufficialmente dichiarati per il Trusted Computing".

Nonostante l'ottimismo di Seth Schoen, l'Owner Override è stato quasi immediatamente bocciato dai sostenitori del Trusted Computing. Il motivo di questa bocciatura viene spiegato con notevole lucidità da Catherine Flick, l'autrice di una tesi di laurea intitolata Controversy over Trusted Computing. Ecco cosa dice Catherine Flick:

"Sebbene l'Owner Override possa rendere più accettabile il Trusted Computing, potrebbe avere anche delle pesanti controindicazioni:
- L'Owner Override potrebbe degradare seriamente la sicurezza complessiva del sistema a causa della maggiore complessità. Ad esempio, spedire delle false informazioni all'esterno sarebbe quasi impossibile senza qualche forma di automatismo e questo automatismo potrebbe portare con sé dei seri problemi di sicurezza.
- L'Owner Override potrebbe instillare un falso senso di sicurezza nell'utente connesso ad una rete.
- L'Owner Override renderebbe i sistemi DRM (buoni o cattivi che siano) inefficaci.
Nel complesso, l'Owner Override può essere visto come un punto di partenza per la discussione ma non come una soluzione pronta all'uso per i problemi del Trusted Computing. Non potrà esserlo anche perché, per i motivi appena visti, nessun produttore di sistemi Trusted Computing potrà mai avere interesse ad adottare questa soluzione".

Nonostante il suo precoce fallimento, la proposta di Seth Schoen ha sicuramente un merito: ha messo in evidenza come, in un universo tecnologico come quello che ci aspetta nei prossimi anni, l'utente debba avere il diritto "tecnologico" di tacere o persino di mentire sulla sua identità e sulla natura degli strumenti che usa, se vuole salvaguardare quella libertà di scelta che noi tutti, al giorno d'oggi, diamo per scontata. Questa esigenza nasce dalla impressionante ed inaudita efficacia che possono vantare molte nuove tecnologie tra cui il Trusted Computing, le tecniche di riconoscimento biometrico, i nuovi sistemi DRM, gli RFID e via dicendo.
TAG: 
105 Commenti alla Notizia Untrusted/ Addomesticare la belva
Ordina
  • "Sarebbe come se un satellite a 400 Km di quota seguisse in ogni istante la nostra auto e ci addebitasse automaticamente sul conto corrente 300 euro di multa ogni volta che superiamo il limite di velocità anche solo per un istante. Non ci sarebbe difesa da una cosa del genere e diventerebbe subito impossibile usare l'auto."

    Se questo paragone fosse giusto (e forse lo è, il tempo ci darà la risposta) i produttori di computer e software si stanno tirando la zappa sui piedi... Sarà la spinta necessaria alla crescita di un mercato 'altro' libero e guidato dalla 'compatibilità' con il software open source.
    non+autenticato

  • - Scritto da: Anonimo
    > Sarà la spinta necessaria alla
    > crescita di un mercato 'altro' libero e guidato
    > dalla 'compatibilità' con il software open
    > source.

    Sta a noi farlo crescere.
    Chiediamo prodotti non trusted!!
    non+autenticato
  • Non passa giorno che non si senta parlare di nuove strategie, di fusioni, di collaborazioni, di partecipazioni tra le industrie del settore informatico e le varie lobbies interessate che intendono far passare i loro mezzi di controllo e arricchimento per qualcosa di necessario.
    La grande industria promuove il nostro benessere ma ci minaccia anche di toglierci la possibilità di scegliere cosa installare nel nostro pc.
    Non solo non saremo più padroni del nostro computer ma saremo costretti anche a nuovi acquisti studiati per farci spendere di più.
    Se così è, allora per internet è la fine di un'epoca e presto ne comincerà un'altra alla grande fratello che ci farà rimpiangere phising, virus e spyware.


    ==================================
    Modificato dall'autore il 02/04/2006 23.53.43
  • Bill Gates ha contribuito a suon di milioni di dollari alla campagna elettorale di George W. Bush per le Presidenziali del 2000 (e forse anche del 2004). Credete che Gates si sia accontentato di sentirsi dire da Bush Jr.: "Grazie, Bill"?
    non+autenticato
  • Forse dobbiamo disinformatizzarci un pò. Forse era meglio quando si stava peggio!

    "Io quando studio uso il cervello! Mi rifiuto di affidarmi completamente ad una macchina!" - Sailormercury
    non+autenticato
  • la resistenza è inutile A bocca aperta A bocca aperta A bocca aperta A bocca aperta Questi articoli allarmistici sono bellissimi:

    "Addomesticare la belva"

    "In pratica, voi, il proprietario del PC, sarete trattati come una minaccia."

    "Ogni cambiamento tecnologico ridistribuisce il potere e di conseguenza ridistribuisce il reddito."

    "Nel Trusted Computing sono cristallizzate molte potenti idee. Una di queste è che qualcuno possa sostituirsi a noi nel decidere di cosa e di chi noi possiamo e dobbiamo fidarci. Un'altra idea è che il nostro PC possa essere usato contro la nostra volontà per limitare la nostra possibilità di azione."

    "Consumatori allo sbaraglio"

    "Sarebbe come se un satellite a 400 Km di quota seguisse in ogni istante la nostra auto e ci addebitasse automaticamente sul conto corrente 300 euro di multa ogni volta che superiamo il limite di velocità anche solo per un istante. Non ci sarebbe difesa da una cosa del genere e diventerebbe subito impossibile usare l'auto. "


    e mi raccomando prima di andare a letto controllate che sotto il letto non ci sia un Pc trusted
    A bocca aperta A bocca aperta A bocca aperta
    non+autenticato
  • La verità fa male.
    non+autenticato
  • aggiungiamo alla lista:
    " La verità fa male"


    A bocca aperta A bocca aperta A bocca aperta A bocca aperta
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | 5 | Successiva
(pagina 1/5 - 21 discussioni)