Roma – Salve, vorremmo rispondere alla lettera di Antonio A. Si fa allarmismo sul Trusted Computing? . Siamo due membri del gruppo no1984.org , che si propone di fare informazione sul Trusted Computing (TC), e pensiamo che forse certi aspetti di questa tecnologia sfuggano all’autore dell’articolo a cui rispondiamo.
Per com’è stato pensato, il TC è una tecnologia che obbliga gli utenti di sistemi digitali a sottostare alle politiche di funzionamento dei sistemi imposte dai produttori hardware/software.
I meccanismi di sicurezza sventolati come essenziali per i sistemi moderni dalle aziende che fanno parte del Trusted Computing Group ( TCG ), sono già disponibili sotto forma di opportuni meccanismi software: firewall, cifratura ( GnuPG ), certificati digitali. Il TC prevede la presenza sul sistema di un chip denominato Trusted Platform Module (TPM) e noto anche come chip Fritz , che già alcuni sistemi in commercio utilizzano e presto sarà integrato all’interno delle CPU. Esso permette di attuare i meccanismi di cifratura e di controllo dello stato di “affidabilità” del sistema.
Il sistema si troverà in uno stato “trusted” se al suo avvio il BIOS (TC-compliant) ha rilevato il sistema dotato delle caratteristiche previste dal TC e successivamente il boot loader ed il sistema operativo (che devono essere anch’essi TC-compliant) hanno verificato che il sistema proviene da uno stato “trusted”. Questa catena della fiducia (transitive trust) permette al sistema di determinare se sta funzionando in uno stato ritenuto “sicuro” (dai produttori dell’hardware e del software).
Il meccanismo di cifratura delle informazioni si basa sulla Endorsement Key, una chiave univoca memorizzata nel TPM da parte del produttore, alla quale non è possibile accedere dall’esterno del TPM stesso. Questo è uno dei punti fondamentali del TC: se non si è d’accordo con questo, come afferma non esserlo Antonio, non si è d’accordo con il TC.
Sebbene esistano settori in cui funzionalità avanzate di autenticazione sono necessarie e utili, come il settore militare, la Pubblica Amministrazione,… così com’è stato ideato, il TC non può essere utilizzato neanche per tali settori: se si vuol controllare una macchina esistono dei software applicativi che sono in grado di assolvere tale compito ed inoltre di chi fidarsi devono deciderlo gli amministratori dei sistemi in questione e non altri.
La sicurezza è garantita dalle policy impostate su un sistema e dal software utilizzato: è l’amministratore del sistema che deve scegliere le policy opportune per garantire la sicurezza del sistema stesso. Se le policy sono scelte da un’entità esterna, la sicurezza del sistema dipende comunque da tale entità. Le funzionalità dei sistemi governativi possono permettersi di essere controllate da qualcuno “esterno”?
L’attestazione remota non è paragonabile al Windows update di cui parla Antonio. Con l’attestazione remota si va ben oltre al controllo della versione del sistema operativo installato: si verifica da remoto lo stato di “affidabilità” di un sistema, secondo i canoni imposti dai produttori ed inoltre, visto che la Attestation Identity Key (chiave utilizzata per l’attestazione remota) è firmata con la Endorsement Key, è possibile identificare univocamente il sistema intervistato.
Se è il sistema operativo che deve difenderci dalle attestazioni remote non autorizzate, è opportuno verificare cosa fa il sistema operativo: e qui si entra nel campo della possibilità di ottenere i codici sorgenti del software.
Se il problema è, come asserisce Antonio, il closed source, si pensi a come è il TPM. E’ un chip. Nessuno potrà mai sapere come funziona esattamente il suo firmware: come è possibile verificarne la bontà? Il software open source ha la caratteristica che i sorgenti possono essere ricompilati e gli eseguibili così ottenuti possono essere installati sul sistema: in questo modo è possibile essere sicuri che il software che gira sul sistema sia proprio quello generato dai sorgenti forniti.
Tecnicamente è possibile utilizzare il TC per favorire un software rispetto ad altri. Che il TC non venga utilizzato per tali scopi non lo può garantire nessuno. Inoltre esso può essere utilizzato per attuare meccanismi di DRM. Ad esempio, un sistema TC potrebbe non permettere la riproduzione di un file con un determinato contenuto multimediale, grazie al fatto che in base alle politiche del relativo produttore software i riproduttori ritenuti “trusted” dal sistema operativo riconoscono il file in questione come “non riproducibile” sebbene esso sia un file tecnicamente in grado di essere riprodotto. E non sarebbe possibile riprodurlo con un altro software perché probabilmente i software in grado di riprodurlo non sono ritenuti “trusted” dal sistema operativo e quindi la loro esecuzione sarà impedita.
Le più grandi multinazionali del settore informatico facenti parte del TCG, che rappresentano praticamente quasi la totalità del mercato hardware e software, hanno la convinzione di essere loro a dettare le regole alle quali il mercato deve adattarsi e spesso questo paradigma è stato vincente. Molto probabilmente, come è sempre avvenuto in passato con l’introduzione di nuove tecnologie, la strategia sarà quella di introdurre il TC a piccoli passi, poi, quando tutti i sistemi avranno i requisisti opportuni, il TC si farà sentire sempre di più ed a quel punto sarà praticamente impossibile tornare indietro.
Quindi è opportuno mettere bene in guardia le persone sul funzionamento di questa tecnologia, la cui esistenza è sconosciuta da molti ma la cui introduzione sul mercato è già cominciata. E per questo, nonostante la rassicurazione conclusiva di Antonio nel suo articolo, noi non siamo affatto tranquilli per quanto riguarda il TC.
Ringraziamo per l’attenzione.
Cordiali saluti,