Alfonso Maruccia

Crittografia, l'ignoranza al potere

L'FBI chiede di imporre l'installazione di backdoor sui terminali protetti dalla crittografia, e lo chiede a politici americani che si confessano ignoranti in materia. Anche in Europa la cifratura dei dati è nemica dei cyber-poliziotti

Roma - Il direttore dell'FBI Jim Comey ha chiesto al Congresso di stabilire una nuova legge, una norma che avrebbe il compito di forzare l'installazione di vere e proprie backdoor all'interno dei dispositivi di comunicazione protetti da tecnologie crittografiche. Visioni irrealizzabili raccontate a politici che non mostrano di comprendere.

Il Bureau federale gioca ovviamente la carta del terrorismo e dei criminali che si scambiano le istruzioni per far saltare in aria gli States a mezzo iPhone, senza che gli agenti in nero abbiano la possibilità di intercettare tali comunicazioni a causa dell'utilizzo degli algoritmi crittografici. L'eventualità è palesemente falsa, la richiesta di Comey è praticamente irrealizzabile ma incontra l'interesse degli ignari e ingenui membri dei Comitati ristretti di Capitol Hill. Uno in particolare, tale repubblicano John Carter, confessa candidamente di non saperne un'acca di crittografia e cyber-sicurezza. E Carter è uno di quelli che deve decidere su quella stessa questione su cui confessa di essere totalmente ignorante.

Non bastassero le figure imbarazzanti a Washington D.C., la fobia delle tecnologie crittografiche ululata dalle autorità statunitensi supera l'Atlantico e infetta anche l'Europol: l'Office Director Rob Wainwright sostiene che le comunicazioni cifrate rappresentano il principale ostacolo all'opera dei poliziotti che vanno alla caccia dei cattivi pedoterrosatanisti del Web.
Un barlume di senso nelle polemiche sulla cifratura e la difesa della privacy online arriveranno forse dal Consiglio sui Diritti Umani delle Nazioni Unite (UNHRC), che ha appena annunciato l'intenzione di incaricare un esperto per la formulazione di un rapporto indipendente - non compensato economicamente - sul diritto alla riservatezza nel mondo.

Alfonso Maruccia
Notizie collegate
  • AttualitàObama, ordine di sicurezzaL'inquilino della Casa Bianca si raccomanda con il settore privato per una più stretta collaborazione con le autorità federali. Su Internet siamo tutti vulnerabili, dice Obama. Che tra l'altro è a favore della crittografia
58 Commenti alla Notizia Crittografia, l'ignoranza al potere
Ordina
  • Programmo dal 1998 e un'anno fa un ragazzo mi chiese un software che codificasse un testo in maniera tale da essere impossibile da decodificare senza la chiave, qualunque sia il software usato ebbene mi sono inventato un banalissimo algoritmo che sfrutta la cifratura per criptazione, usando una formula matematica trasforma la chiave in un valore numerico che va a sommarsi a ogni singola lettera del testo generando un nuovo numero e assegnandogli il carattere corrispondente , ovviamente non conoscendo la chiave si avranno tentativi esponenziali e dato che non da errore anche andando a tentativi non si saprà mai qual'è il testo.

    Quindi un semplice algoritmo che rende inutile qualunque tentativo di decodifica e non esiste backdor perche è una banale formula matematica.
    Se io un dilettante nella programmazione sono riuscito a fare un algoritmo così figuriamoci cosa può fare un bravo programmatore con decenni di esperienza in linguaggio macchina .
  • beh non è per deluderti ma se la funzione non è "one-way" ovvero è reversibile (cioè esiste F alla meno 1 di X che rappresenta la funzione inversa) si cracca facile basta pochissimo di cryptoanalisi.

    "inventare" crittografia senza sottoporla a cryptoanalisi da parte di esperti nel settore può portare a amarissimi "risvegli".

    Ciò detto in linea di principio hai ragione e proprio per questo loro vorrebbero delle "back-door" ovvero roba che gli permetta di accedere al "clear-text" a prescindere dagli algoritmi implementati.

    Sul fatto poi che nelle agenzie a tre lettere si fumi e "si faccia fumare pesante" non ci sono grossi dubbi dato che la CIA è stata tra i promoter della coltivazione del papavero (e altro) dove serviva per finanziare (vedi triangolo d'oro durante la guerra del vietnam e vedi afganistan durante la guerra russo-afgana).


    Per Fumare fumano eccome!
    Il problema semmai non è quanto fumino loro ma i politici che gli danno retta.
    A bocca aperta
    non+autenticato
  • - Scritto da: exagonx

    > ovviamente non
    > conoscendo la chiave si avranno tentativi
    > esponenziali e dato che non da errore anche
    > andando a tentativi non si saprà mai qual'è il
    > testo.

    crittoanalisi differenziale e te lo decodificano in un baleno
    non+autenticato
  • - Scritto da: il miglior comico di sempre
    > - Scritto da: exagonx
    >
    > > ovviamente non
    > > conoscendo la chiave si avranno tentativi
    > > esponenziali e dato che non da errore anche
    > > andando a tentativi non si saprà mai qual'è
    > il
    > > testo.
    >
    > crittoanalisi differenziale e te lo decodificano
    > in un
    > baleno

    Esatto.
    non+autenticato
  • Non cè dubbio che sia decrittabile dopo avere scoperto la cifratura ^_^
    solo che per la cifratura hai necessità di un testo chiave, e se non lo possiedi c'è poco da fare adesso cifro questo testo:

    99 34 16 131 9 49 50 3 64 90 147 233 11 233 42 131
    cripta il testo cifrato con una chiave e avrai una stringa di caratteri ascii.

    per tornare indietro oltre ad avere la chiave per decrittarlo devi possedere anche il dizionario altrimenti non saprai mai a cosa corrisponde ogni valore numerico.
    mettiamo caso che tu abbia un sofware che riesce a decrittarlo in pochi minuti, poi devi riuscire a comparare ogni testo esistente al mondo fino a quando non si trovi quello che generi una frase coerente, e se il testo chiave è solo un'elenco di parole composte esclusivamente per quel messaggio ?

    Aspetta non sto vantando i miei software ma solo tengo in considerazione il fattore tempo.

    Un esempio è la decrittazione del segnale WiFi dietro sicurezza WPA2
    per decodificarla è necessario intercettare la comunicazione e comparare piu pacchetti possibili per generare la chiave , mettiamo caso che la wifi sia utilizzata per inviare feedback di attività ogni ora prima di riuscire a raccogliere sufficienti pacchetti per la decodifica della chiave passeranno anni.

    Tutto è possibile è solo questione di tempo.
  • - Scritto da: exagonx

    > Tutto è possibile è solo questione di tempo.

    nel tuo caso 2 minuti della donna delle pulizie del'NSA.
    No guarda, la crittografia è roba per matematici puri enon si può improvvisare.
    non+autenticato
  • - Scritto da: il miglior comico di sempre
    > - Scritto da: exagonx
    >
    > > Tutto è possibile è solo questione di tempo.
    >
    > nel tuo caso 2 minuti della donna delle pulizie
    > del'NSA.
    > No guarda, la crittografia è roba per matematici
    > puri enon si può
    > improvvisare.

    Mah.. non so chi è l'idiota... lui ha scritto che usa un dizionario che solo casualmente è il messaggio stesso, bene se invece il dizionario è altro, voglio vedere come si fa' a decrittarlo.
    non+autenticato
  • - Scritto da: Ballino
    > - Scritto da: il miglior comico di sempre
    > > - Scritto da: exagonx
    > >
    > > > Tutto è possibile è solo questione di
    > tempo.
    > >
    > > nel tuo caso 2 minuti della donna delle pulizie
    > > del'NSA.
    > > No guarda, la crittografia è roba per matematici
    > > puri enon si può
    > > improvvisare.
    >
    > Mah.. non so chi è l'idiota... lui ha scritto che
    > usa un dizionario che solo casualmente è il
    > messaggio stesso, bene se invece il dizionario è
    > altro, voglio vedere come si fa' a
    > decrittarlo.

    Ma cosa vuoi vedere? Credi che l'analisi venga fatta a manina? Un programma di crittanalisi certe operazioni le fa in un tempo infinitesimale, figuriamoci poi in un sistema distribuito.
    non+autenticato
  • - Scritto da: Ballino
    > - Scritto da: il miglior comico di sempre
    > > - Scritto da: exagonx
    > >
    > > > Tutto è possibile è solo questione di
    > tempo.
    > >
    > > nel tuo caso 2 minuti della donna delle pulizie
    > > del'NSA.
    > > No guarda, la crittografia è roba per matematici
    > > puri enon si può
    > > improvvisare.
    >
    > Mah.. non so chi è l'idiota... lui ha scritto che
    > usa un dizionario che solo casualmente è il
    > messaggio stesso, bene se invece il dizionario è
    > altro, voglio vedere come si fa' a
    > decrittarlo.

    Ma cosa vuoi vedere?
    La criptografia a dizionario semplicemente NON FUNZIONA.
    E' decodificabile.
    E se non puoi accettarlo, allora pensa pure che la decodifichino per magia.
  • - Scritto da: Ballino


    > Mah.. non so chi è l'idiota... lui ha scritto che
    > usa un dizionario che solo casualmente è il
    > messaggio stesso, bene se invece il dizionario è
    > altro, voglio vedere come si fa' a
    > decrittarlo.


    non ho mai detto che è idiota.
    ho detto che il suo metodo casareccio non vale un fico secco.
    ripeto, per creare un algoritmo degno di essere chiamato crittografico e soprattutto per DIMOSTRARE matematicamente le sue caratteristiche ci vogliono conoscenze matematiche profonde.
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: Ballino
    >
    >
    > > Mah.. non so chi è l'idiota... lui ha
    > scritto
    > che
    > > usa un dizionario che solo casualmente è il
    > > messaggio stesso, bene se invece il
    > dizionario
    > è
    > > altro, voglio vedere come si fa' a
    > > decrittarlo.
    >
    >
    > non ho mai detto che è idiota.
    > ho detto che il suo metodo casareccio non vale un
    > fico secco.
    > ripeto, per creare un algoritmo degno di essere
    > chiamato crittografico e soprattutto per
    > DIMOSTRARE matematicamente le sue caratteristiche
    > ci vogliono conoscenze matematiche profonde.

    Ma infatti!
    Mica hai fatto polemica infondata.
    Lui crede semplicemente che funzioni la security through obscurity (non sanno come funzioni il suo algoritmo) e non conosce le tecniche di analisi crittografica. Nemmeno io le conosco, ma so benissimo che roba tipo Vigenere è sicura solo dalla decifrazione a mano, non a quella automatica, ed è così da anni Sorride
    Izio01
    4368
  • In italia mancano le competenze adeguate nelle aziende,ma non perche non ci sono persone adeguatamente formate ma perche le aziende non vogliono pagare adeguatamente le risorse,Il sistema italia e veramente ridicolo e una scala gerarchica basata su incompetenze e raccomendazioni,come fa un sistema cosi basato a trovare persone competenti.
    non+autenticato
  • Credimi, e' cosi' in tutto il mondo soltanto che in alcuni paesi e' meno evidenteSorride
    non+autenticato
  • - Scritto da: hiphopdown
    > In italia mancano le competenze adeguate nelle
    > aziende,ma non perche non ci sono persone
    > adeguatamente formate ma perche le aziende non
    > vogliono pagare adeguatamente le risorse,Il
    > sistema italia e veramente ridicolo e una scala
    > gerarchica basata su incompetenze e
    > raccomendazioni,come fa un sistema cosi basato a
    > trovare persone
    > competenti.

    Concordo.
    Ormai in Italia nei CV converrebbe scrivere la "competenza": "COSTO POCO".
    Che è quella che ormai viene realmente cercata dal 99% delle aziende.
    E poi ci si stupisce che in Italia la qualità del lavoro sia da anni in picchiata come l'aereo della Germanwings.
    non+autenticato
  • "Il Bureau federale gioca ovviamente la carta del terrorismo e dei criminali che si scambiano le istruzioni per far saltare in aria gli States"

    Attentati immaginariA bocca apertaA bocca apertaA bocca aperta
    non+autenticato
  • Basterebbe che qualche azienda europea fosse sgamata a fare spionaggio industriale su quelle statunitensi, sfruttando
    delle debolezze pro-spioni come queste.

    Quando è ora di subirlo, lo spionaggio industriale, allora bin laden non va più cercato a tutti i costi.
    non+autenticato
  • Le competenze tecniche in materia informatica oggigiorno sono una rarita' assoluta.
    Chi le possiede fa il sistemista, lavora come tecnico specializzato.

    Tutti gli altri millantano.
    E pretendono pure di dire la loro.
  • pagato pure una miseria, oserei aggiungere.
    non+autenticato
  • - Scritto da: panda rossa
    > Le competenze tecniche in materia informatica
    > oggigiorno sono una rarita' assoluta.
    > Chi le possiede fa il sistemista, lavora come
    > tecnico specializzato.
    > Tutti gli altri millantano.
    > E pretendono pure di dire la loro.

    Se la realtà in cui ti trovi è abbastanza grande, avrai anche notato che in italia l'ignoranza tecnica è un vanto e prerequisito necessario a fare carriera manageriale.
  • +1

    - Scritto da: bradipao
    > - Scritto da: panda rossa
    > > Le competenze tecniche in materia informatica
    > > oggigiorno sono una rarita' assoluta.
    > > Chi le possiede fa il sistemista, lavora come
    > > tecnico specializzato.
    > > Tutti gli altri millantano.
    > > E pretendono pure di dire la loro.
    >
    > Se la realtà in cui ti trovi è abbastanza grande,
    > avrai anche notato che in italia l'ignoranza
    > tecnica è un vanto e prerequisito necessario a
    > fare carriera
    > manageriale.
    non+autenticato
  • > > Se la realtà in cui ti trovi è abbastanza
    > grande,
    > > avrai anche notato che in italia l'ignoranza
    > > tecnica è un vanto e prerequisito necessario a
    > > fare carriera
    > > manageriale.

    Tristemente vero, ho avuto modo di constatarlo indirettamente più e più volte...
    non+autenticato
  • Quoto. E piu si va avanti e peggio è
  • - Scritto da: oltrelamente
    > Quoto. E piu si va avanti e peggio è
    E quotiamo pure Frankie
    "Quando sei in cabina e giochi la schedina ricordati che sei la colonna di un sistema."
    non+autenticato
  • Dalle mie parti, ad un seminario di "avvicinamento al lavoro" per studenti universitari d'informatica qualche studente aveva chiesto se per partecipare fosse necessario saper programmare. La risposta è stata che no, non serviva, perché quelli ai quali "non piaceva" programmare (leggi: non erano capaci) potevano comunque puntare a fare management.
    Sembra una barzelletta, ma è drammaticamente vero e rispecchia bene la situazione dell'IT in moltissime realtà aziendali.
  • dalle mie parti ho visto elettricisti esperti in CRAH units diventare Regional Datacenter Managers...
    non+autenticato
  • Dato di fatto incontestabile.
    Quoto
    non+autenticato
  • - Scritto da: bradipao
    > - Scritto da: panda rossa
    > > Le competenze tecniche in materia informatica
    > > oggigiorno sono una rarita' assoluta.
    > > Chi le possiede fa il sistemista, lavora come
    > > tecnico specializzato.
    > > Tutti gli altri millantano.
    > > E pretendono pure di dire la loro.
    >
    > Se la realtà in cui ti trovi è abbastanza grande,
    > avrai anche notato che in italia l'ignoranza
    > tecnica è un vanto e prerequisito necessario a
    > fare carriera
    > manageriale.

    Attenzione.
    Per essere un buon manager non è indispensabile essere stato un supertecnico (supertecnici che, anzi, spesso hanno una visione molto limitata dei problemi).
    Alcuni dei migliori manager che ho conosciuto (di solito, anche se non sempre, di generazioni anteriori a quella solitamente demenziale dei dirigenti quarantenni di oggi) non avevano mai sviluppato o fatto i sistemisti.
    Ciò è ancor di più vero nella sicurezza informatica, dove la cosa più importante è capire come, dove e perchè la sicurezza (o meglio la mancanza di sicurezza) impatta sull'azienda, andare a capire gli algoritmi (che tanto non devono essere inventati e sviluppati in casa!) è la cosa più facile ma non la più importante.
    non+autenticato