La chiave dell'email è nel P2P

L'idea in sé è carina, ma mi pare molto più pertinente ad un meccanismo per 'garantire' (lo so: garantire è una parola molto impegnativa) il diritto all'oblio, piuttosto che per garantire la riservatezza.

È sfuggito anche il fatto che per forzare un documento cifrato la chiave di criptazione non viene utilizzata, e quindi sparpagliarla sul pianeta non aggiunge nulla all'(in)sicurezza del messaggio.

Se poi la chiave invece può occorrere in un secondo tempo per qualunque motivo ad una delle parti interessate (ad esempio al mittente), il fatto che questa divenga indisponibile in qualsiasi momento (potenzialmente anche immediatamente) mi sembra quantomeno 'bizzarro'.

- Scritto da: andy61
> L'idea in sé è carina, ma mi pare molto più
> pertinente ad un meccanismo per 'garantire' (lo
> so: garantire è una parola molto impegnativa) il
> diritto all'oblio, piuttosto che per garantire la
> riservatezza.
> [..]

Garantire il diritto all'oblio?
Non mi pare c'entri...
Il diritto all'oblio protegge una persona da fatti che portano pregiudizio dopo un po' di anni che questi si verificano, ad esempio se io oggi commetto un omicidio, tra 10 anni esco di galera, tra 30 anni il diritto all'oblio fa si che non si sappia che ho commesso un omicidio e sono stato in galera in modo che possa reintegrarmi nella società (chi mi assumerebbe sapendo che sono un'omicida?)
I giornali online, per esempio, sarebbero tenuti a rimuovere le informazioni sul mio omicidio dopo alcuni anni perché il fatto non è più attuale e non mi garantirebbe un reintegro nella società. E nel frattempo potrei essere cambiato, e quindi non ucciderei più nessuno.

Al contrario vostro, io ho un po' intuito come funzioni questa tecnologia: il messaggio viene crittografato già prima di essere spedito, e la chiave di cifratura verrà spezzata in varie parti e mandata tramite un determinato applicativo p2p (quindi verrà sparsa per tale rete, ed il singolo frammento non permetterà, ovviamente, di decifrare il messaggio). Il destinatario riceverà nella propria casella di posta un messaggio e-mail crittografato, ovvero non sarà in grado di leggerlo se non tramite Vanish che, in qualche modo, si occuperà di recuperare dalla rete P2P i vari frammenti della chiave per decifrare il messaggio. Tali chiavi rimarranno nella rete P2P solo per un breve periodo di tempo, dopo di ciò verranno perse ed il messaggio non potrà più essere decifrato neanche dal destinatario. Ovviamente, se il destinatario ha un po' di cortezza ed il messaggio è utile, provvederà a salvare il messaggio e-mail decifrato dove meglio crede.
Credo che, più o meno ed in poche parole, il funzionamento sia questo.

Il commento relativo al diritto all'oblio non è in tema con la notizia, ma ho rilevato che potrebbe essere un approccio interessante per far svanire, con il tempo, le notizie meno utilizzate (un po' come fa il nostro cervello).

Per quanto riguarda la crittografia di un messaggio, tenendo conto che l'unico detentore della chiave di decrittazione è il destinatario (sempre che si stia parlando di crittografia a chiave pubblica), mi sfugge come sia possibile sparpagliare su Internet una cosa che non possediamo.

In aggiunta, al malcapitato destinatario (o al suo programma Vanish) devo inviare (in chiaro, ovviammente!) una serie di riferimenti per indicare dove possa andare a raccattarsi i pezzettini del puzzle.
Ma se è in chiaro, come il destinatario lo può leggere anche qualcun altro, e con i medesimi riferimenti può andare a ricostruirsi la chiave.

Se non utilizzano crittografia a chiave pubblica, credo che i problemi di sicurezza sian ben altri.

Non avevo capito che non era riferito alla notizia, ma questo metodo non mi sembra adatto a far sparire informazioni protette dal diritto all'oblio in quanto i siti web continuerebbero a fornire informazioni in proposito.
Alla fine, il diritto all'oblio, dovrà essere garantito con i normali sistemi, ovvero si cerca su internet se vi sono informazioni che inducono a pregiudizio sul tizio, e si chiede alla redazione (o a chi per loro, tipo il provider) di rimuovere tali informazioni.

E' vero che bisognerebbe specificare dei riferimenti a tutti i vari frammenti della chiave di crittografia, ma basterebbe includere tali riferimenti nell'e-mail stessa in "chiaro" (seguita dal messaggio crittografato) ed usare i normali metodi di crittografia attualmente usati per le e-mail: in questo caso, per decifrare il messaggio, bisognerebbe prima riuscire a decifrare i riferimenti alle chiavi, e poi trovare le chiavi che, nel tempo che ci vorrà a decifrare i riferimenti, non sarà più disponibile nella rete P2P di Vanish.

A me non sembra un sistema da sottovalutare... ma... per contro do il fatto che il destinatario dovrà decifrare il messaggio prima che i frammenti della chiave di crittografia vengano rimossi dalla rete di Vanish, altrimenti non sarà più in grado di leggere il messaggio!

sull'oblio sono stato impreciso: non voglio rifarmi alle norme e al diritto all'oblio, su cui concordo con te.

era un discorso più generale relativo alla 'selezione naturale' delle informazioni meritevoli di essere ricordate; tutto il resto verrebbe destinato all'oblio dall'obsolescenza.

Per quanto riguarda Vanish, mi sembra in generale una buona idea, ma non specificamente per la corrispondenza.
Secondo me, una volta sviluppato il concetto, occorrerà trovare qualche contesto in cui la sua applicazione abbia maggior senso ed utilità.

Ribadisco che con la crittografia a chiave pubblica, l'unico che può decrittare il messaggio è il destinatario stesso.

E contro i metodi brute force, è inutile nascondere la chiave: il metodo viene utilizzato proprio per l'indisponibilità della stessa.

Se poi l'idea è quella di nascondere la propria chiave privata sparpagliandola su Internet, l'idea mi sembra semplicemente folle, per due motivi:

1) se anche soltanto un pezzo della chiave privata diviene pubblico, si riduce incredibilmente il tempo necessario per decrittare un messaggio;

2) se viene perso anche soltanto un bit della chiave privata, il proprietario non è più in grado di decrittare qualsiasi messaggio a lui destinato, né di firmare messaggi in uscita.

Ed in ogni caso con le risorse attuali, e soprattutto quelle future, il fatto di far giocare i malintenzionati alla caccia al tesoro con i pezzettini di puzzle che abbiamo nascosto non sarà un problema; verranno creati dei motori di ricerca specializzati in pezzettini di chiavi, che verranno quindi raccolti, catalogati ed accorpati, per possedere realmente l'identità dei malcapitati che si sono azzardati a fidarsi del sistema.

- Scritto da: andy61
> [..]
> Ed in ogni caso con le risorse attuali, e
> soprattutto quelle future, il fatto di far
> giocare i malintenzionati alla caccia al tesoro
> con i pezzettini di puzzle che abbiamo nascosto
> non sarà un problema; verranno creati dei motori
> di ricerca specializzati in pezzettini di chiavi,
> che verranno quindi raccolti, catalogati ed
> accorpati, per possedere realmente l'identità dei
> malcapitati che si sono azzardati a fidarsi del
> sistema.

Ma per ogni messaggio vi sarà una relativa chiave, che verrà spezzata e gli verrà dato un tempo di vita limitato. Il tempo che ci vuole a decriptare i riferimenti ai frammenti di chiavi, già tali frammenti non saranno più disponibile nella rete.
Gli attuali metodi di crittografia sono molto resistenti, non infallibili, ma permettono di salvaguardare il messaggio per un determinato periodo di tempo che, addirittura, può essere di svariati anni... dopo che dopo svariati anni trovi i riferimenti che, nel frattempo, sono già spariti da tempo, come fai a svelare il messaggio?

Probabilmente tutte le varie parti della chiave di crittografia non verranno resi noti allo stesso nodo della rete P2P, in modo che ogni nodo ha soltanto alcune parti, ed il destinatario, con i vari riferimenti ad ogni nodo, potrà richiederne le varie parti.

Specifico che sto solo supponendo.
Credo sia scontato che, essendo loro programmatori di alto livello , sappiano cosa han progettato, e che quindi non sia soltanto fumo.

Andy, complimenti... sei il primo che leggo su PI che parla con cognizione, senza sparare cazzate e con idee giuste e interessanti... se ti clonassero e sparissero i 100/200 bimbominkia che infestano i commenti di PI forse varrebbe la pena leggerli piu' spesso!

;)

Leggendo la pubblicazione da cui hanno tratto la notizia si evince che:
- la chiave utilizzata per ogni messaggio è unica: quindi si potrebbero utilizzare metodi a chiave simmetrica (e sparpagliare su P2P la chiave condivisa) o a chiave pubblica (e sparpagliare una delle due chiavi, con l'altra si cifra). Nello specifico propongono la cifratura simmetrica.
- La chiave viene sparpagliata nella DHT di una rete P2P a specifici indirizzi ottenibili tramite un generatore di numeri casuali. Il generatore viene inizializzato a un seme noto. Il messaggio cifrato, il seme e il numero di frammenti vengono inviati al destinatario. Chiunque intercetta il messaggio è in grado di leggerlo SE e SOLO SE lo fa prima del timeout. Se si vuole evitare che qualcuno lo possa leggere prima dello scadere del timeout, allora lo si incapsula via un'altra cifratura. Il destinatario recupera da P2P i frammenti della chiave e decifra il messaggio (eventualmente prima decifra l'incapsulamento).

L'obiettivo di questo metodo è evitare che qualcuno, DOPO lo scadere del timeout possa accedere al contenuto del messaggio SENZA rompere lo schema di cifratura usato. Non di garantirne la riservatezza prima della scadenza (per quello ci sono altri metodi).
Chiaro è che se lo schema di cifratura, ora o in futuro, viene rotto, allora il messaggio contenuto diventa visibile.
Perché potrebbe servire?
Supponiamo che io debba spedire un messaggio riservato a qualcuno che lo leggerà nel giro di poche ore. Tuttavia voglio essere ragionevolmente sicuro che nessuno fra un mese possa leggerlo.
La sola cancellazione (ammettendo che anche il destinatario, che è un amico, lo cancelli) non basta: il/i server su cui è transitato potrebbero averne una copia e le forze dell'ordine potrebbero obbligare il provider del servizio di posta a fornire la copia in loro possesso. Supponiamo che lo ho anche cifrato (con uno schema a chiave pubblica). A meno di vulnerabilità, fra un mese nessuno sarà in grado di forzare il messaggio (via attacchi vari) ma le forze dell'ordine potrebbero obbligare il destinatario a rivelare la chiave privata e/o la potrebbero rubare. Quindi non basta.
Con Vanish, invece, io preparo il messaggio con vanish e lo cifro normalmente. Poi lo invio al mio destinatario che lo decifra con la sua chiave privata, decifra il suo contenuto con Vanish e lo legge. Fra una settimana, se anche la polizia lo obbligasse a rivelare la chiave privata, non sarebbe in grado di leggerne il contenuto perché la chiave di vanish si è dissolta su DHT. Come potrebbe fare la polizia per leggere questo messaggio? Una possibilità è loggare tutte le mie richieste su DHT, obbligare il destinatario a fornire la chiave privata e compiere le due decifrature. Una seconda possibilità non richiede di monitorare costantemente il DHT ma di agire prima del timeout.
Se quindi sono abbastanza certo che nessuno mi stia spiando prima del timeout, sono ragionevolmente sicuro dell'inaccessibilità del messaggio dopo il time out.

L'ambito di applicazione è sì molto limitato... ma, in quell'ambito, l'idea ha una sua logica...

Insisto: l'idea è assolutamente interessante, ma a parer mio non ha ancora trovato il contesto appropriato di applicazione.
L'idea di criptare così le comunicazioni fa degli assunti assolutamente falsi:

1) assume che esista certamente un periodo di tempo in cui le comunicazioni non siano intercettate, cosa al giorno d'oggi estremamente improbabile;

2) richiede la diffusione della chiave di decifrazione, cosa che è in antitesi con la base della teoria della crittografia, sia a chiave pubblica che privata;

3) assume e dà per scontato che dopo un certo periodo di tempo l'informazione non sarà certamente più disponibile su Internet, fatto di cui non esiste alcuna garanzia; come ho già fatto presente, potrebbe nascere il business della raccolta e riassemblamento delle chiavi di Vanish;

4) si assume che le reti P2P rendano costantemente accessibile le informazioni in ogni momento, mentre come è facile sperimentare, non sempre i feeder sono attivi; da tale considerazione consegue che potrebbe richiedere anche del tempo per poter riuscire a recuperare tutti gli elementi della chiave.

Relativamente al punto 3, immagino che il sistema potrebbe essere anche relativamente semplice da realizzare, in quanto è molto probabile che tutte la parti di una chiave compaiano contemporaneamente sulle reti P2P, e quindi la quantità di elementi da raccogliere e sequenziare sarebbe estremamente ridotta.

Sparpagliare i pezzi del puzzle in tempi diversi da una parte ritarderebbe la possibilità di poterne leggere il contenuto, e dall'altra aumenta la possibilità che un elemento diventi indisponibile mentro pubblico gli altri.

Provo a rispondere ai tuoi dubbi.

1- Hai assolutamente ragione. Ma in questo modo chi è interessato a decifrare il contenuto del messaggio deve predisporre l'intercettazione di tutte le comunicazioni verso il DHT del P2P di un dato utente. Se è in grado di farlo è a cavallo, ma del resto, a quel punto è così onnipotente da poter far poco per contrastare un simile attaccante.

2- Non è un metodo pensato per sostituire la crittografia o, meglio, per garantire riservatezza. Perché reinventare la ruota? Puoi usare vanish e incapsulare il "vanish-messaggio" in un messaggio crittografato. In questo modo un attaccante deve poter decifrare questo messaggio prima di andare ad attaccare vanish.

3- Forse non ti è chiaro come le chiavi di Vanish vengano diffuse. Per poter ricostruire una chiave è necessario:
a) intercettare i messaggi del mittente verso la rete P2P, oppure
b) salvare, ogni tot tempo, lo stato complessivo della DHT, oppure
c) intercettare il seme che regola la disseminazione della chiave che è incapsulato nel vanish-messaggio.
Possiamo assumere che il punto b è infeasible: il nodo della DHT che tenterebbe ciò sarebbe anomalo e facilmente identificabile. Inoltre esistono reti P2P in cui la consultazione del DHT è accessibile ai soli membri.
Il punto a e il punto b richiedono un attacco man-in-the-middle e, con un po' di accortezza, anche il violare uno schema di crittografia forte esterno al sistema vanish stesso.

4- Esistono metodi, in parte basati su una "ridondanza furba" (secret sharing), che ti consentono di dividere la chiave (o un qualsiasi messaggio) in N parti e poterla ricostruire con almeno K<N parti di esse. Chiaramente ciò risponde alle tue richieste di maggior robustezza all'andirivieni della rete. (PS: I feeder non c'entrano nulla. Non viene immesso alcun file sulla rete P2P.)

Vanish, a dispetto del nome, non lava le macchie... quindi non chiediamogli di fare quello che non è pensato per fare. Per quello che è pensato per fare, la proposta mi sembra sensata. Che poi a molti non serva, è tutto un altro discorso.

...minchia di quello che Vanish è...

E poi pure lo criticate...

- Scritto da: ips
> ...minchia di quello che Vanish è...
>
> E poi pure lo criticate...

... e come poteva non essere così?

Come al solito mi chiedo se arriverà un commento costruttivo...

Ringrazio qui Giorgio Pontico per aver pubblicato su PI un articolo così interessante e stimolante per le basi informatiche su cui si poggia. Il video agganciato esemplifica il funzionamento in maniera chiarissima!
Complimenti e un incitamento a pubblicare altri articoli così orginali.

Bene, vedo che di fronte a un'idea che ha qualche barlume di intelligenza, decine di persone si scagliano contro in questo forum.
Potrà essere
- poco utilizzabile (il plugin è macchinoso per l'end-user)
- poco sicura (gli espertoni in sicurezza e crittografazione dicono che non è sicura... ma vi rendete conto cosa è SMTP ora ???)
ma è pur sempre una nuova strada da indagare, interessante soprattutto perchè viene per coprire una esigenza reale.

Vedo che gli autori di molti post non riescono a vedere molto lontano, bravi !

Scusami ma la nostra conversazione non è dare contro per il gusto di farlo!
Io vorrei che si smettesse di porre sempre in risalto soluzioni senza un minimo di analisi: siamo informatici e NON POSSIAMO urlare sempre "ecco la soluzione a tutti i problemi"!
Bisogna usare la testa, analizzare, testate, ecc...
La prima cosa che si impara è il metodo analitico, la matematica ed il suo rigore.
E questo articolo / soluzione non ha niente di tutto ciò.
Siamo seri, ad oggi il solo sistema di cifratura insespugnabile è Vernam: dimostrato matematicamente.
Tutto il resto è prima o poi "bucabile".
Che ne dici: partiamo da qui?

Non mi pare che si sia voluto trovare un nuovo sistema di crittografia inespugnabile... citi Vernam... ma che diamine c'entra. Ma perchè non si vuole vedere il succo della proposta... che per inciso è: documento criptato A TEMPO. L'idea è quella! Un documento che si autodistrugge e che dopo un certo tempo sia, in modo automatico e trasparente, impossibile da leggere. Non mi sembra difficile da capire.

Infatti è molto semplice: ad oggi NON E' POSSIBILE.
Ecco perchè cito Vernam, in quanto fino ad ora è l'unico valido.

Non vedo perché il metodo non possa utilizzare il cifrario di Vernam. L'unica "controindicazione" è che se il messaggio è piuttosto lungo, allora anche la chiave diventa lunga (a differenza degli altri approcci) e potrebbe "intasare" (passatemi il termine, se immaginiamo un certo numero di utenti) la DHT.

Benvenuto su Punto Informatico.

Trollato

Non ho idee migliori di quelle dei suoi ideatori ma a secondo me Vanish è una ca**ta pazzesca.
Non lo dico per trollare e non lo dico per invidia. Lo dico perchè lo penso.

già pochi utilizzano i certificati digitali.
Chi utilizzerà una roba del genere?!?!?!
bah...

- Scritto da: nip&tuck
> già pochi utilizzano i certificati digitali.
> Chi utilizzerà una roba del genere?!?!?!
> bah...

I terroristi