Ancora un caso di autorevole disinformazione. L'articolo pubblicato da Repubblica il 26 aprile scorso, firmato da Claudia Fusani, vorrebbe spiegare all'ampio pubblico dei lettori i motivi per i quali anche il FBI starebbe incontrando serie difficoltà nel decrittare alcune informazioni, protette con PGP, memorizzate nei tre palmari sequestrati ai brigatisti Lioce e Galesi. Purtroppo, basta una rapida scorsa al testo per individuare vere e proprie assurdità disseminate ovunque: la tecnologia in questione è complessa, ma è possibile semplificare senza arrivare allo strafalcione.

Secondo l'autrice, l'impossibilità di decifrare le informazioni deriverebbe dal rifiuto, da parte del produttore dei palmari, di fornire agli investigatori le informazioni necessarie alla decrittazione: "gli algoritmi su cui si basano i codici sorgenti, cioè le chiavi per decrittare il programma". A parte il fatto, noto a chiunque abbia almeno minime conoscenze in materia, che PGP è un programma open source, i cui sorgenti sono liberi e a disposizione di chiunque desideri studiarli, sfiora il ridicolo affermare che i sorgenti medesimi siano le chiavi di decifrazione. Da utilizzare, ad ogni buon conto, per decifrare i dati, non certo il programma...

Un codice sorgente è, per definizione, il programma in sé, così come viene digitato dal programmatore secondo i formalismi imposti dal linguaggio di programmazione scelto. Si tratta di un insieme di parole chiave e altri elementi, leggibile da un umano ma non da un microprocessore: esso subisce perciò diverse trasformazioni (compilazione, linking) per assumere il formato binario eseguibile dalla macchina. Niente a che vedere, dunque, con chiavi di decrittazione: ma, forse, "codice" è la parola, galeotta, che ha confuso le idee alla Fusani.

In concreto, cosa sono le chiavi? Si tratta di comuni file, generati da PGP sulla base di una password scelta dall'utilizzatore. Ogni utente, tramite quella password, ottiene da PGP due chiavi, tra loro differenti ma, dal punto di vista matematico, simmetriche: si può dire che ciascuna ha bisogno dell'altra per funzionare. Una è la cosiddetta chiave privata, che deve essere gelosamente conservata e tenuta segreta, perché rappresenta (dal punto di vista di PGP) una sorta di carta di identità digitale del proprietario; l'altra è la chiave pubblica, che deve essere distribuita a tutti i corrispondenti dai quali si desidera ricevere informazioni crittate. Naturalmente, si devono ottenere le chiavi pubbliche dei corrispondenti ai quali si desidera rendere disponibili informazioni cifrate. Tutte le chiavi pubbliche, compresa la propria, e quelle private (se ne può avere più di una) sono archiviate in due file, detti public keyring e private keyring: forse per questo l'autrice parla di "specialissimo mazzo di chiavi", ma non ha alcun senso affermare che il produttore del palmare sia in grado di ottenerlo e si dimostri riluttante a comunicarlo alle autorità per timore che il proprio prodotto perda una presunta fama di inviolabilità, con ingenti danni per la sua immagine sul mercato.

Ecco come agisce la "simmetria matematica" delle chiavi: le informazioni vengono crittate utilizzando contemporaneamente le chiavi pubbliche di tutti i corrispondenti ai quali si desidera renderle leggibili; volendo, è anche possibile generare una sorta di certificato di autenticità mediante la propria chiave privata. Ciascun corrispondente può così decifrare mediante la propria chiave privata le informazioni a lui destinate; la chiave pubblica del mittente gli consentirà di verificarne autenticità e integrità. Si noti come nessuno abbia necessità di rivelare ad altri la propria chiave privata, con il drastico abbattimento del rischio che essa sia intercettata da terzi. Inoltre, la diffusione della chiave pubblica al di fuori della cerchia di corrispondenti non produce effetti nocivi: chi ne entra in possesso può usarla esclusivamente per cifrare informazioni destinate al suo proprietario o per verificare l'autenticità di un messaggio da questi proveniente. In nessun caso la chiave pubblica di un soggetto può decifrare informazioni a lui destinate, o dallo stesso cifrate.

Va poi sottolineato che conoscere il codice sorgente di un programma di crittografia come PGP non consente assolutamente la decifrazione automatica dei dati crittati con le chiavi generate da un utilizzatore, né il calcolo delle chiavi stesse. In buona sostanza, il "segreto industriale e, forse, il timore di ingenti perdite in borsa" non c'entrano nulla con la poca collaborazione offerta dalla Psion, la "multinazionale imperialista" che starebbe diventando "la principale alleata della nuova lotta armata": in realtà, è verosimile che, semplicemente, né il produttore del palmare né quello del suo sistema operativo siano in grado di fornire alcuna informazione specificamente utile per decifrare i dati memorizzati sulle macchine.

Ciò è vero, naturalmente, a patto che sui modelli di palmare sequestrati non sia installata una versione di PGP modificata dal produttore mediante l'inserimento di una backdoor, cioè una modifica non documentata all'algoritmo di cifratura, tale da consentire la decrittazione mediante una sorta di "super password" conosciuta solo dal produttore stesso. Ma l'articolo di Repubblica non sembra fare esplicito riferimento, neppure per cenni, a tale ipotesi, che rimane pertanto una semplice congettura.

Ma allora i segreti dei brigatisti sono destinati a rimanere tali? La risposta è no, perché nessun sistema di crittografia è inviolabile: l'attacco a forza bruta, consistente nel provare a decifrare i dati con tutte le chiavi possibili, è comunque destinato al successo. Il problema è, piuttosto, che l'elevatissimo numero di chiavi possibili potrebbe richiedere, dal punto di vista statistico, un numero medio di tentativi così alto da risultare effettuabile, anche sugli elaboratori più potenti oggi disponibili, in tempi non congrui con le esigenze delle indagini. Mesi, forse anni.

Ma, più dei tempi di elaborazione, a preoccupare la Fusani sembra essere il rischio che "troppi tentativi falliti, peraltro, possono cancellare tutto": assurdo, dal momento che, come l'articolo stesso afferma, gli investigatori stanno lavorando su copie dei dati.

Errori tanto macroscopici possono derivare da scarsa competenza tecnica in materia di crittografia o, nella migliore delle ipotesi, da un tentativo malriuscito di semplificazione. Il risultato è, comunque, desolante. Ancora una volta, il lettore "medio" ottiene una immagine fosca e distorta delle tecnologie informatiche e dei loro possibili usi, col risultato che sarà sempre più facile, per governi e polizie, giustificare leggi liberticide e invasive della nostra sacrosanta e già pericolante privacy.

Non va mai dimenticato che le tecnologie non sono buone o cattive in sé: tutto dipende dall'uso che se ne fa. E se è vero che un terrorista può celare informazioni alla Giustizia utilizzando sistemi evoluti di crittografia, quegli stessi sistemi possono essere utilizzati dalle aziende per combattere lo spionaggio industriale o da chi vive in Paesi oppressi da regimi totalitari per comunicare in barba agli occhiuti agenti segreti del suo stesso governo. Fermare lo sviluppo tecnologico è impossibile e, del resto, consentire l'uso di certe tecnologie esclusivamente alle forze di polizia avrebbe l'unico risultato di discriminare i cittadini onesti, perché i criminali non si farebbero certo scrupoli a trasgredire.

Sono concetti, questi, che nell'articolo di Repubblica non fanno neppure capolino: speriamo che non siano stati "dimenticati" di proposito.

Hai a disposizione ancora caratteri. Per inserire commenti più lunghi (e senza CAPTCHA), iscriviti.
Il tuo nome:		La tua email: