Sulla rivelazione della CNN in merito ai veri motivi che avrebbero spinto Google Inc. a fare quel che ha detto di voler fare, mi pare che si faccia un bel po’ di confusione, in termini tecnici.
Ne ho detto già qui in termini “politici”, ma ora vorrei parlarne in termini meccanici.
La prima forma di confusione riguarda quelli che hanno subito gridato al miracolo umanitario quando Google Inc. ha fatto una dichiarazione in merito ad una vicenda di cui non si sa sapeva e non si sa nulla.
E non dico che quelli che ne hanno parlato in termini opposti abbiano fatto meglio.
Un approccio razionale avrebbe dovuto riportare la notizia, le fonti ed al limite un elenco di parametri certi per poter tentare di capirla; poi, magari, si sarebbe dovuto concludere che quei parametri non consentivano un’analisi della situazione. Stop.
La seconda forma affligge quelli che continuano a sostenere che il governo ha in mano tecnologie segrete che decrittano tutto.
Qui c’è un fraintendimento profondo.
Fino a qualche anno fa era vietato esportare dagli USA tecnologia informatica in base a due principi: potenza di calcolo e chiave di cifratura.
Le due cose erano connesse; vietare chiavi di dimensione superiore a 42 e poi 128 bit significava poter tentare di decrittare a forza bruta i contenuti, con la potenza di calcolo di allora. Talmente vero che Apple produsse lo spot Letal Weapon il cui testo era:
For the first time in history, a personal computer has been classified as a weapon by the US government. With the power to perform over one billion calculations per second, the Pentagon wants to ensure that the new Power Macintosh G4 does not fall into the wrong hands. As for Pentium PCs, well, they’re harmless.
e con il quale presentava il Power Mac G4 (!) giocando sullo status di supercomputer derivante dal GFLOPS di cui era capace.
Ma posto che questi limiti avrebbero tarpato le ali all’e-commerce e per questo furono rimossi e lo furono dall’amministrazione Bush Jr., pensate un po’, lo stato dell’arte oggi garantisce una che una connessione sicura sia considerata tale in modo da evitare che un aggressore possa decifrarla in tempi utili.
Ma si parla di connessione, ovvero di mezzo, di protocollo di trasmissione dei dati.
I dati sia al di qua che al di là del tubo NON sono cifrati, non necessariamente.
Quindi premesso che nel protocollo https viene usato un meccanismo di cifratura a chiave pubblica, il cui algoritmo è pubblico e pubblicato, e premesso che non sono noti ad oggi né metodi crittanalitici né bug protocollari e né metodi di key escrow o key recovery che consentano attacchi se non a forza bruta, il governo americano nulla può contro la matematica.
Anche qui è bene capirsi. In una connessione https, ovvero SSL, la chiave asimmetrica viene utilizzata ma solo in fase di negoziazione, in modo di scegliere, nella suite di protocolli a chiave simmetrica disponibili ai due estremi, quella che genererà la chiave di sessione e quindi il traffico cifrato. Mettiamo che la parte a chiave simmetrica sia l’AES 256; dopo la pubblicazione dell’algoritmo e di un concorso pubblico per romperlo con metodi crittanalitici, si è verificato che sulle 14 fasi di cui è composto solo le prime quattro sono rompibili; ma non le restanti 10. Infine, spannometricamente, se supponiamo che l’attacco a forza bruta avvenga secondo il metodo dell’algoritmo del compleanno che riduce lo spazio delle chiavi alla radice quadrata dell’ampiezza della chiave (256 bit, appunto), abbiamo che basta esplorare 2 alla 128 chiavi per rompere un AES 256.
Diciamo “basta” per divertimento, naturalmente.
Terza forma confusa.
Ma cosa gliene potrebbe fottere al governo americano di forzare il tubo se ha accesso direttamente ai contenuti in chiaro, non è dato sapere e né quelli che sostengono la tesi del key escrow, o del key recovery ci illuminano in merito.
Qui non si tratta di backdoor, ma di un servizio, ovvero una funzionalità che consenta a terzi l’accesso ai dati. E siccome Google Inc. i dati li ha in chiaro, resta solo da capire se li mette a d disposizione di terzi e come lo fa.
Sul fatto che Google Inc. abbia i dati in chiaro non dovrebbero avere dubbi nemmeno i criceti, visto che il principio si cui si fonda GMail è che presenta pubblicità in base all’analisi del contenuto dei messaggi, e che questo sta scritto nelle condizioni d’uso.
(EC was here).
Un commento su “Non gurardarmi non ti sento”