Il GPRS usava algoritmi di crittografia fragili: era una imposizione politica

Il GPRS era bacato, deliberatamente

Gli algoritmi di crittografia GEA-1 e GEA-2 utilizzati ai tempi del GPRS erano fragili per decisione politica, ma lo si scopre soltanto oggi.
Il GPRS era bacato, deliberatamente
Gli algoritmi di crittografia GEA-1 e GEA-2 utilizzati ai tempi del GPRS erano fragili per decisione politica, ma lo si scopre soltanto oggi.

Ricordi quando navigavi in GPRS? Ricordi quelle prime esperienze online da mobile, con tutti i loro limiti funzionali e tutto il loro incredibile fascino? A distanza di anni si scopre che oltre a limiti e fascino, il GPRS si portasse in dote anche una incredibile fragilità, tale per cui sarebbe stato possibile decrittare ogni dato e analizzare la navigazione di qualsivoglia utente. Il problema, però, è anche ulteriore: a quanto pare questa fragilità era stata deliberatamente decisa a tavolino. Se non con dolo, almeno con incauta ingenuità.

GRPS, i problemi di GEA-1 e GEA-2

La scoperta è di un gruppo di ricercatori che ha avuto la possibilità di accedere al codice proprietario degli algoritmi usati nella crittografia GEA-1 e GEA-2. Nell’analisi parlano chiaramente di una vera e propria backdoor, ma le spiegazioni forniti dai responsabili sembrano indicare un quadro generale forse meno grave, ma probabilmente più pericoloso ancora.

Secondo i tecnici che hanno sviluppato il sistema, infatti, la fragilità era nota: una vera e propria ammissione, insomma. Tuttavia non si sarebbe trattato di un errore e neppure di un dolo, ma della semplice necessità di osservare le regolamentazioni che ai tempi erano imposte. L’European Telecommunications Standards Institute (ETSI) aveva quindi messo in campo un algoritmo debole perché non era possibile alzare ulteriormente l’asticella della sicurezza: si tratta di un approccio che oggi farebbe urlare allo scandalo (sebbene alle backdoor di Stato ci si stia ormai passivamente abituando con troppa facilità), ma che va letto alla luce di quella che era una rete nascente e della quale non si intravedevano i profili di pericolosità di cui oggi siamo invece totalmente consapevoli.

Oggi GEA-1 e GEA-2 sono pressoché inutilizzati, residuo involontario su reti residue in alcune aree del mondo. Ma ancora nei primi anni del nuovo millennio erano in uso ed hanno accompagnato la navigazione di milioni di utenti in tutto il mondo. Sul mercato ci sono ancora smartphone che supportano gli algoritmi GEA, ad esempio, e si tratta di prodotti ampiamente noti quali iPhone XR, iPhone 8 o Galaxy S9: la volontà di non “esagerare” nella sicurezza di allora si trascina insomma fino ai giorni nostri, evidenziando quanto la sicurezza informatica abbia la necessità di fare il proprio corso a prescindere dalla politica. Se la sicurezza è concertabile, allora diventa uno strumento di potere e questo l’utenza non se lo può permettere perché in ballo c’è la libertà.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
18 giu 2021
Link copiato negli appunti