Alfonso Maruccia

L'email svizzera a prova di NSA

Galeotto fu il CERN per la nascita di un nuovo servizio di posta elettronica, talmente sicura da essere a prova di NSA. Nel mentre in Germania il governo annuncia: basta aziende che spifferano informazioni agli USA

Roma - Tanto tuonò il Datagate che piovvero email a prova di intercettazioni: un nuovo trend nel campo delle tecnologie sicure che ora accoglie l'ultimo arrivato, ProtonMail. Attualmente in stato di beta aperta al pubblico, ProtonMail è un servizio di posta elettronica che promette comunicazioni "a prova di NSA" e per giunta gratuite, almeno per il momento.

Il servizio nasce dall'iniziativa di studenti del MIT e dell'Università di Harvard incontratisi al CERN di Ginevra, e alla base della garanzia di sicurezza di ProtonMail c'è il fatto che la società è stata creata in Svizzera dove è in vigore una delle protezioni della privacy più robusta al mondo.

Non dovesse bastare la legge sulla carta, e con l'intelligence statunitense non basta di certo, ProtonMail fa uso di un meccanismo di cifratura end-to-end che impedisce anche alla stessa società svizzera di accedere ai messaggi dei propri utenti. Prevista inoltre una funzionalità di "auto-distruzione" delle email simile a SnapChat, augurabilmente in grado di funzionare davvero e diversamente da quanto succede con la discussa app di sexting per gadget mobile.
In Svizzera nascono startup per le comunicazioni sicure a prova di NSA, mentre in Germania il governo fa sapere di non voler più lavorare con aziende private incapaci di inibire l'accesso ai dati da parte dell'agenzia USA. La questione è complessa e nasce dall'arresto, nel 2012, del cittadino tedesco Khaled el-Masri da parte degli Stati Uniti, arresto in cui è risultata essere coinvolta la sussidiaria locale della società statunitense Computer Services Corporation (CSC).

Alfonso Maruccia
Notizie collegate
43 Commenti alla Notizia L'email svizzera a prova di NSA
Ordina
  • ... è quello di inventarsi un sistema di cifratura fai da te e lasciare che chi intercetta il messaggio si scervelli a trovare la soluzione.
    Ovvio che se ti prendono di mira come presero di mira i tedeschi con enigma allora prima o poi riescono a decodificarti, ma a fronte di quali investimenti?
    Un po' come per le serrature, oggi un ladro arriva, ti guarda la serratura e dice: ah si, questa è una doppia mappa X e si apre con questo, oppure un modello a cilindro K e si apre con quell'altro e nel dubbio va sul tubo e vede che modello è e come si fa ad aprire.
    Stessa cosa per gli antifurti, attivare il jammer, accendere lo sniffer, ecc...
    Invece tu gli metti li davanti un bel sistema mai visto e prima che questo capisce che occorre svitare una vite di 3/4 di giro ed avvitarne un'altra di 2 giri, tirare di 1/2cm verso il basso e far scorrere una calamita ad 1cm verso destra dall'alto al basso ecc. ecc.
    Se proprio non vuole te, ma proprio te, lascia perdere e dice: ma va a cagher sto pirla, mi fa perdere un botto di tempo e poi magari è tutto lavoro per niente. Avanti col prossimo!
    apo
    95
  • - Scritto da: apo

    > ... è quello di inventarsi un sistema di
    > cifratura fai da te e lasciare che chi
    > intercetta il messaggio si scervelli a
    > trovare la soluzione.

    Ma tanto lasciano tutti la porta spalancata, trovare qualcuno che usi anche solo un sistema standard e' come un ago in un pagliaio.
    krane
    22544
  • Non sono abbastanza sicuro, ugualmente ciò accade.

    Questo è un esempio anche troppo banale... (l'hai capita, vero?)
    apo
    95
  • - Scritto da: apo
    > ... è quello di inventarsi un sistema di
    > cifratura fai da te e lasciare che chi intercetta
    > il messaggio si scervelli a trovare la
    > soluzione.
    > Ovvio che se ti prendono di mira come presero di
    > mira i tedeschi con enigma allora prima o poi
    > riescono a decodificarti, ma a fronte di quali
    > investimenti?

    Ma LOL. I "sistemi di crittografia fai da te" vengono decrittati in pochi SECONDI attraverso sistemi automatici di crittanalisi se chi li ha progettati non è un esperto di crittografia e matematica. Leggiti qualcosa di crittografia, vah, prima di sparare di queste castronerie.
    non+autenticato
  • Ma lui parlerò di sostituzioni di caratteri e qualche somma e addizione ai codici ascii...
    non+autenticato
  • Premesso che rispondendo con "Leggiti qualcosa di crittografia, vah, prima di sparare di queste castronerie." hai dimostrato non solo di essere maleducato ma anche di non saper leggere (un messaggio in chiaro, tra l'altro) dal momento che io ho usato il termine cifratura e non crittografia.
    Un messaggio cifrato è tale perchè chi lo riceve deve prima decifrarlo per capirne il contenuto.
    A questo punto per rendere incomprensibile un messaggio non serve per forza tirare in ballo la crittografia, la steganografia e tutte le cose fighe moderne, basta usare un sistema che altri non conoscono ed in questo caso serve molta intelligenza per cercare di capire come decifrare, visto che la mente umana di fronte alle idee non ha praticamente limiti.



    - Scritto da: ...
    > - Scritto da: apo
    > > ... è quello di inventarsi un sistema di
    > > cifratura fai da te e lasciare che chi
    > intercetta
    > > il messaggio si scervelli a trovare la
    > > soluzione.
    > > Ovvio che se ti prendono di mira come presero di
    > > mira i tedeschi con enigma allora prima o poi
    > > riescono a decodificarti, ma a fronte di quali
    > > investimenti?
    >
    > Ma LOL. I "sistemi di crittografia fai da te"
    > vengono decrittati in pochi SECONDI attraverso
    > sistemi automatici di crittanalisi se chi li ha
    > progettati non è un esperto di crittografia e
    > matematica. Leggiti qualcosa di crittografia,
    > vah, prima di sparare di queste
    > castronerie.
    apo
    95
  • - Scritto da: apo
    > Premesso che rispondendo con "Leggiti qualcosa di
    > crittografia, vah, prima di sparare di queste
    > castronerie." hai dimostrato non solo di essere
    > maleducato ma anche di non saper leggere (un
    > messaggio in chiaro, tra l'altro) dal momento che
    > io ho usato il termine cifratura e non
    > crittografia.
    > Un messaggio cifrato è tale perchè chi lo riceve
    > deve prima decifrarlo per capirne il
    > contenuto.
    > A questo punto per rendere incomprensibile un
    > messaggio non serve per forza tirare in ballo la
    > crittografia, la steganografia e tutte le cose
    > fighe moderne, basta usare un sistema che altri
    > non conoscono ed in questo caso serve molta
    > intelligenza per cercare di capire come
    > decifrare, visto che la mente umana di fronte
    > alle idee non ha praticamente limiti.

    Li ha li ha... Puoi inventare quello che vuoi ma ricadrai sempre in quelle 7 - 8 tipologie, individuata la quale si inizia a parlare di matematica e li' hai a che fare con gente che ha passato molte ore su quelle cose.

    Mai sentita la faccenda che ci sono 36 trame possibili ?
    krane
    22544
  • - Scritto da: apo
    > ... è quello di inventarsi un sistema di
    > cifratura fai da te e lasciare che chi intercetta
    > il messaggio si scervelli a trovare la
    > soluzione.

    dissento.
    security by obfuscation (l'algoritmo non è conosciuto) è notoriamente il mezzo NON raccomandato per ottenere un livello adeguato (non perfetto) di sicurezza.
    Al contrario facendo uso del più sicuro sistema pubblico di cifratura conosciuto AES (e implementandolo bene) c'è la sicurezza che migliaia di cervelli si applicano per decifrarlo e/o trovare backdoors e/o attacchi side-channel.

    La possibilità che l'implementatore di Proton riceva telefonate con richieste di inserire cavalli di troia nelle distribuzioni è minimizzata (non scongiurata) dalla sua collocazione al di fuori della giurisdizione UE e USA.

    Come altri hanno fatto notare, l'anello più debole della catena di sicurezza è sempre quello umano. Che passwords scegliere e cosa è installato nel computer dell'utente è... sua responsabilità.

    cordialmente
    non+autenticato
  • - Scritto da: lammazza
    > dissento.
    > security by obfuscation (l'algoritmo non è
    > conosciuto) è notoriamente il mezzo NON
    > raccomandato per ottenere un livello adeguato
    > (non perfetto) di
    > sicurezza.

    Non nego questo, anzi.
    Quello che dico è che se nello scambio di messaggi tutti utilizzano la stessa tecnica di cifratura, una volta trovato un cavallo di troia per quel metodo tutti si ritrovano completamente nudi da un giorno all'altro.
    Se invece tutti usano mezzi completamente differenti, per decifrare tutti i messaggi ci vorrebbe un'infinità di tempo perchè servirebbe capire tutti i sistemi di cifratura che sarebbero tutti basati su logiche completamente differenti.
    Basti pensare a gente che si parla in dialetti sconosciuti o parlati solo da pochissime persone. Ad esempio fin dall'antichità sono esistiti un sacco di linguaggi basati su disegni e le tecniche di decifratura non sono mai state banali, molto spesso è stato necessario trovare casualmente dei testi con lo stesso contenuto ma scritti in due linguaggi differenti dei quali uno era noto.
    E' chiaro che per un sistema che ha l'interesse a spiare tutte le comunicazioni del pianeta, se tutti usano una sola lingua (l'inglese) ed un solo sistema di cifratura la vita è resa molto più facile.

    Per finire, tutti si sentivano sicuri di SSL, algoritmo aperto, inviolabile, codice open source... chivi simmetriche e tutti i cazzi che volete, ma intanto erano 10 anni che la NSA l'ha messo nel culo a mezzo mondo!
    Solo questo dovrebbe far riflettere.
    apo
    95
  • - Scritto da: apo
    > - Scritto da: lammazza

    > > dissento.
    > > security by obfuscation (l'algoritmo non è
    > > conosciuto) è notoriamente il mezzo NON
    > > raccomandato per ottenere un livello adeguato
    > > (non perfetto) di
    > > sicurezza.

    > Non nego questo, anzi.
    > Quello che dico è che se nello scambio di
    > messaggi tutti utilizzano la stessa tecnica di
    > cifratura, una volta trovato un cavallo di troia
    > per quel metodo tutti si ritrovano completamente
    > nudi da un giorno all'altro.

    il 90% delle criptazioni inventate verrebbe smontato in poco tempo da sistemi di crittanalisi automatici, meglio usare algoritmi ben collaudati.

    > Se invece tutti usano mezzi completamente
    > differenti, per decifrare tutti i messaggi ci
    > vorrebbe un'infinità di tempo perchè servirebbe
    > capire tutti i sistemi di cifratura che sarebbero
    > tutti basati su logiche completamente differenti.

    36 trame possibili per i racconti, da li' non si scappa.

    > Basti pensare a gente che si parla in dialetti
    > sconosciuti o parlati solo da pochissime persone.

    Per smontare questa tecnica tenterei subito un attacco automatizzato attraverso un metodo combinatorio, ci sono gia' programmi apposta.

    http://it.wikipedia.org/wiki/Metodo_combinatorio

    > Ad esempio fin dall'antichità sono esistiti un
    > sacco di linguaggi basati su disegni e le
    > tecniche di decifratura non sono mai state
    > banali, molto spesso è stato necessario trovare
    > casualmente dei testi con lo stesso contenuto ma
    > scritti in due linguaggi differenti dei quali uno
    > era noto.

    Rientra ancora nel metodo combinatorio.

    > E' chiaro che per un sistema che ha l'interesse a
    > spiare tutte le comunicazioni del pianeta, se
    > tutti usano una sola lingua (l'inglese) ed un
    > solo sistema di cifratura la vita è resa molto
    > più facile.

    Certo, ma parlare lingue diverse e criptare sono cose profondamente differenti.

    > Per finire, tutti si sentivano sicuri di SSL,
    > algoritmo aperto, inviolabile, codice open
    > source... chivi simmetriche e tutti i cazzi che
    > volete, ma intanto erano 10 anni che la NSA l'ha
    > messo nel culo a mezzo mondo!
    > Solo questo dovrebbe far riflettere.

    Ma anche no:
    Il cifrario Akelarre, proposto nel 1996, nato combinando i cifrari International Data Encryption Algorithm ed RC5, si rivelò essere sensibile agli attacchi con solo testo cifrato.

    Il protocollo di sicurezza WEP per reti Wi-Fi era vulnerabile a diversi attacchi, molti dei quali basati sui soli testi cifrati.

    Le prime versioni del software Microsoft PPTP per la creazione di tunnel cifrati su reti pubbliche utilizzavano la stessa chiave RC4 per il mittente ed il destinatario, questo l'hanno rotto con un MITM.

    Esattamente come per la sicurezza sul lavoro ( anche a voi han fatto fare dei corsi a riguardo di recente ? E' periodo ? ) se vuoi davvero essere sicuro che non ti cadano le branche allora devi portare la cintura E le bretelle.
    krane
    22544
  • - Scritto da: krane
    Cut the (excellent) explanation.....

    > Esattamente come per la sicurezza sul lavoro (
    > anche a voi han fatto fare dei corsi a riguardo
    > di recente ? E' periodo ? ) se vuoi davvero
    > essere sicuro che non ti cadano le branche allora
    > devi portare la cintura E le
    > bretelle.
    Deve essere cambiata la normativa di recente....
    Diciamo che non sono stato particolarmente contento di dover fare un corso obbligatorio rigorosamente fuori orario di lavoro (fatto a casa, online e coi miei mezzi..... chiudiamola qui perche' altrimenti il vorticar di gonadi si fa eccessivo....)
    non+autenticato
  • per es l'impiegato che si e' portato via un bel listone di clienti-evasori della HSBC, ha violato si la privacy ecc ecc... ma lo mettiamo "tra i cattivi" o i buoni?Con la lingua fuori
    non+autenticato
  • "è stata creata in Svizzera dove è in vigore una delle protezioni della privacy più robusta al mondo"

    spero che parliate dell'ei fù segreto bancario: in svizzera non ci sono regolamentazioni relative alla privacy di per se, tanto che i normali siti svizzeri, in relazione alle condizioni della privacy, scrivono semplicemente "ci autorizzi a fornire i tuoi dati a terzi ed usarli internamente" o roba simile senza citare (perché non esistono) articoli correlati!
    non+autenticato
  • "Il servizio nasce dall'iniziativa di studenti del MIT e dell'Università di Harvard"...come dire che l'hanno fatto direttamente i futuri impiegati dell'NSA.
    Se qualcuno vuole farsi un po' di vacanza-avventura nella parte americana di Cuba, ha solo da fare minacce usando quel servizio
    non+autenticato
  • Perchè gli altri hanno dimenticato come si legge il codice?
    Non diamo la colpa alla NSA se ci affidiamo ad altri per la nostra sicurezza e non ci prendiamo la briga di controllare.
    Questa non è paranoia, è mugugno all'italiana
    non+autenticato
  • "la società è stata creata in Svizzera dove è in vigore una delle protezioni della privacy più robusta al mondo."
    Questa è una barzelletta, provate ad informarvi sul sistema Onyx
    http://it.wikipedia.org/wiki/Onyx_%28spionaggio%29
    Il sistema inoltre viene "affittato" alla NSA in caso di necessità.
    non+autenticato
  • A proposito di università, gli USA stanno disseminando le università di sistemi di calcolo per la ricerca che alla bisogna possono essere utilizzati da remoto ... e questi sistemi sono assegnati chiusi e chiavi in mano ...
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 11 discussioni)