Mauro Vecchio

PRISM, il web consegna le password?

Secondo le ultime indiscrezioni anonime, le autorità federali avrebbero chiesto ai giganti di Internet il rilascio di password e algoritmi di cifratura per la loro tutela. Smentite a raffica

Roma - Nuove rivelazioni sull'esteso programma di sorveglianza adottato dalla statunitense National Security Agency (NSA) per la lotta al crimine e al terrorismo, con una inedita forma di coinvolgimento delle principali web company. Stando alle indiscrezioni riportate alla stampa specializzata da misteriose fonti interne all'industria, il governo di Washington avrebbe chiesto la consegna delle password scelte dagli utenti per la registrazione ai più disparati servizi digitali.

In sostanza, le autorità federali a stelle e strisce avrebbero la possibilità di accedere a dati personali genericamente sottoposti a cifratura, sarebbero in grado di visionare la corrispondenza elettronica privata dei netizen. Sempre secondo le fonti rimaste anonime, le varie Internet company sarebbero state costrette a rilasciare gli specifici algoritmi di cifratura adottati per la protezione di milioni di account.

Da Microsoft a Google, le super-potenze del web hanno smentito categoricamente le indiscrezioni trapelate a mezzo stampa: nessuno avrebbe mai consegnato password o algoritmi di cifratura alle autorità federali. Un portavoce di Yahoo! ha poi aggiunto che il rilascio di informazioni personali può avvenire solo ed esclusivamente attraverso un'ordinanza firmata da un giudice competente, dunque secondo gli schemi legislativi nazionali.
Al di qua dell'Atlantico, il commissario irlandese per la protezione dei dati personali (ODPC) ha risposto alle interrogazioni presentate dal gruppo di attivisti per la privacy Europe v Facebook sulla presunta collaborazione dei vari operatori di Internet con la NSA e il suo programma PRISM. La denuncia del gruppo europeo non potrebbe proseguire a livello legale, dal momento che le aziende come Apple e Facebook sarebbero tutelate da accordi internazionali che garantirebbero tranquillità anche presso impianti legislativi in paesi esteri. Il commissario europeo Viviane Reding ha però dubitato di un sistema che potrebbe rivelarsi una mera scappatoia per le attività delle web company, in salvo dalle grinfie delle singole authority nazionali.

Mauro Vecchio
Notizie collegate
  • AttualitàUSA, la sorveglianza continueràBocciata al Congresso una proposta di emendamento che avrebbe impedito alla NSA di rastrellare le comunicazioni di milioni di cittadini. Il governo USA vuole solo i metadati per la sicurezza nazionale
  • AttualitàDatagate, la parola agli avvocatiEFF e sodali avviano una causa contro le intercettazioni telefoniche messe in atto dalla NSA. Sono a rischio i principi della Costituzione americana, dicono. Microsoft, nel mentre, continua a chiedere trasparenza
  • AttualitàDatagate, Yahoo! lotta per i suoi utentiLa corporation ottiene un'importante vittoria presso la corte super-segreta dello spionaggio statunitense, che ora obbliga il governo USA a divulgare gli ordini con cui Yahoo! è stata arruolata di forza nel programma PRISM
32 Commenti alla Notizia PRISM, il web consegna le password?
Ordina
  • Magari fosse così.

    Ricordo inoltre che quando parlano di mandato del giudice per accedere ai dati, si riferiscono solamente ai cittadini americani. Per tutti gli altri, compreso noi, non ci vuole alcun mandato.
    -----------------------------------------------------------
    Modificato dall' autore il 06 agosto 2013 08.02
    -----------------------------------------------------------
  • Cercate il report "Interception Capabilities 2000" redatto nel 1999 quando si scopri "Echelon".

    Un estratto

    42. The same technique was re-used in 1995, when NSA became concerned about cryptographic security systems being built into Internet and E-mail software by Microsoft, Netscape and Lotus. The companies agreed to adapt their software to reduce the level of security provided to users outside the United States. In the case of Lotus Notes, which includes a secure e-mail system, the built-in cryptographic system uses a 64 bit encryption key. This provides a medium level of security, which might at present only be broken by NSA in months or years.

    43. Lotus built in an NSA "help information" trapdoor to its Notes system, as the Swedish government discovered to its embarrassment in 1997. By then, the system was in daily use for confidential mail by Swedish MPs, 15,000 tax agency staff and 400,000 to 500,000 citizens. Lotus Notes incorporates a "workfactor reduction field" (WRF) into all e-mails sent by non US users of the system. Like its predecessor the Crypto AG "help information field" this device reduces NSA's difficulty in reading European and other e-mail from an almost intractable problem to a few seconds work. The WRF broadcasts 24 of the 64 bits of the key used for each communication. The WRF is encoded, using a "public key" system which can only be read by NSA. Lotus, a subsidiary of IBM, admits this. The company told Svenska Dagbladet:
    "The difference between the American Notes version and the export version lies in degrees of encryption. We deliver 64 bit keys to all customers, but 24 bits of those in the version that we deliver outside of the United States are deposited with the American government".(94)
    44. Similar arrangements are built into all export versions of the web "browsers" manufactured by Microsoft and Netscape. Each uses a standard 128 bit key. In the export version, this key is not reduced in length. Instead, 88 bits of the key are broadcast with each message; 40 bits remain secret. It follows that almost every computer in Europe has, as a built-in standard feature, an NSA workfactor reduction system to enable NSA (alone) to break the user's code and read secure messages.
  • Stesso discorso vale anche per il DES, antesignano del più moderno AES. Quello che probabilmente non tutti sanno è che il DES altro non è che la versione depotenziata dell'algoritmo Lucifer. Questo algoritmo, che poi diverrà di fatto il primo sistema crittografico moderno standardizzato a livello mondiale noto come Data Encryption Standard (per gli amici DES), fu sviluppato all'inizio degli anni settanta da Horst Feistel. L'algoritmo, così come era stato ideato, risultava computazionalmente troppo complesso, quindi di fatto inviolabile anche per le risorse quasi illimitate del Governo Americano dell'epoca...ecco perché venne ufficializzato come standard solo dopo che fu approntata una sua versione ''light'' depotenziata (dai 128 bit originari ai 56 bit, chiavi con le quali fu poi proposto ed utilizzato quale Standard Crittografico nella pratica quotidiana con la benedizione dell'NSA e da quest'ultima dichiarato ''sicuro'' (della serie: la volpe che fa la guardia al pollaio). Insomma, il primo requisito per creare uno standard crittografico sembrerebbe essere oltre la solidità comprovata dell'algoritmo stesso, che la dimensione delle chiavi utilizzate siano di un ordine di grandezza sufficienti a resistere con successo ad attacchi perpetrati da singoli o da organizzazioni non-governative (ma solo e soltanto a quelli).
  • SPERO seriamente sia una bufala (ma TEMO sia fin troppo vera), altrimenti l'unica opzione possibile sarebbe abbandonare all'istante qualsiasi servizio e/o prodotto informatico (sopratutto quelli closed) soggetto al diritto americano.....
    non+autenticato
  • contenuto non disponibile
  • - Scritto da: unaDuraLezione
    > - Scritto da: Trollollero
    > > SPERO seriamente sia una bufala
    >
    > ma se hanno già dimostrato che intercettano tutto
    > quanto, compreso ciò che usa HTTPS, compreso
    > Skype che è crittografato, questa notizia che
    > cosa ti cambia
    > esattamente?
    >
    > Se vuoi la sicurezza, usi la crittografia PRIMA
    > di inviare qualunque
    > cosa.

    Il problema e convincere il destinatario. Per ora sono riuscito ad inviare file zip con password creato con 7zip (cifratura se non sbaglio AES). Come convinci il destinatario ad usare ad esempio TrueCrypt? Per me non è un problema inviare o inserire file cifrati in uno spazio web, meglio Mega.co.nz cosi si ha doppia criptazione ma se di mezzo c'è un altra persona tutto diventa più difficile.
  • contenuto non disponibile
  • - Scritto da: thebecker
    > Il problema e convincere il destinatario. Per ora
    > sono riuscito ad inviare file zip con password
    > creato con 7zip (cifratura se non sbaglio AES).
    > Come convinci il destinatario ad usare ad esempio
    > TrueCrypt? Per me non è un problema inviare o
    > inserire file cifrati in uno spazio web, meglio
    > Mega.co.nz cosi si ha doppia criptazione ma se di
    > mezzo c'è un altra persona tutto diventa più
    > difficile.
    Non ti fidi di google ma del panza si?
    Rotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
  • contenuto non disponibile
  • - Scritto da: unaDuraLezione
    > - Scritto da: astro
    >
    > > Non ti fidi di google ma del panza si?
    > > Rotola dal ridereRotola dal ridereRotola dal ridere
    >
    > Il sistema del panza è basato su JS lato client.
    > Chiunque può verificarne la robustezza e Kim
    > stesso ha messo in palio delle belle cifre per
    > chi riesce a 'rompere' il
    > sistema.
    Non credo che alla nsa siano interessati a risquotere il premio, preferiscono pescareA bocca aperta
    non+autenticato
  • contenuto non disponibile
  • - Scritto da: unaDuraLezione
    > Quanto al resto, la mia risposta non era per te
    > (ricordi il discorso del celenterato? ecco), ma
    > per i lettori di PI eventualmente colti dal
    > dubbio.
    Immagino siano mooooolto interessati ai tuoi vaneggiamenti GomplottistiA bocca aperta
    non+autenticato
  • contenuto non disponibile
  • - Scritto da: astro
    > - Scritto da: thebecker
    > > Il problema e convincere il destinatario.
    > Per
    > ora
    > > sono riuscito ad inviare file zip con
    > password
    > > creato con 7zip (cifratura se non sbaglio
    > AES).
    > > Come convinci il destinatario ad usare ad
    > esempio
    > > TrueCrypt? Per me non è un problema inviare o
    > > inserire file cifrati in uno spazio web,
    > meglio
    > > Mega.co.nz cosi si ha doppia criptazione ma
    > se
    > di
    > > mezzo c'è un altra persona tutto diventa più
    > > difficile.
    > Non ti fidi di google ma del panza si?
    > Rotola dal ridereRotola dal ridereRotola dal ridere

    Hai letto tutto? Anche su Mega se voglio il file lo carico criptato, poi con il sistema lato browser ho un ulteriore cifratura..Un alra cosa importante non ha server in USAA bocca aperta