Valerio Di Stefano – Chi ha paura del PGP?

Secondo quanto riferisce l’autorevole bollettino telematico spagnolo Kriptópolis, che fa capo a una comunità di oltre 6000 utenti interessati ai temi della sicurezza dei dati personali e a quelli della crittazione della corrispondenza personale in rete, non solo sulla società che distribuisce il programma si sono abbattute le ombre della cessione commerciale.

 

In breve, il programma, dopo la fuoriuscita del suo ideatore e realizzatore Phil Zimmermann da Network Associates, sarebbe stato venduto. In buona sostanza, cambiando il distributore e la software house di appoggio, c’è il serio rischio che il programma non sia più così ermeticamente sicuro come lo era al tempo della storica versione 2.6.3i di cui erano disponibili anche i sorgenti.

 

In buona sostanza chi usa il PGP non si fida più, e preferisce di gran lunga affidarsi alle vecchie versioni per DOS piuttosto che tuffarsi nella incertezza di una distribuzione che non permetta all’utente finale di vedere cosa c’è dentro, per verificare se per caso il programma non sparga per l’hard disk delle tracce che permettano a qualche arrivista incompetente di andare a prelevare le informazioni vitali della chiave privata. 

E la paura non è affatto ingiustificata se la stessa fonte, in un altro articolo, rivela che l’FBI starebbe mettendo a punto un programma, denominato Magic Lantern, capace di rastrellare, attraverso l’installazione di un trojan remoto proprio quelle chiavi private (le pubbliche, come è noto, non c’è bisogno di rubarle, essendo vivamente raccomandata la loro massima diffusione) che ci consentono di decriptare un messaggio in arrivo o di trasformare un file in una sequela di caratteri incomprensibili a chi non disponga di chiave privata e relativa passphrase.

 

Naturalmente vale la pena domandarsi, a questo punto, chi ha paura del PGP e, come mai, da un lato ci sia la tendenza a sbarazzarsi di un prodotto gratuito per i privati (e, quindi, per le masse) attraverso oscuri processi di vendita, e dall’altro a fare in modo che si arrivi a rompere il sistema e a dimostrare che, bene o male, PGP sarebbe perfettamente craccabile. Di quest’ultima verità non solo sono perfettamente convinto da tempo, ma mi sembra un dato sotto gli occhi di tutti che le chiavi PGP si possono craccare e come e che chiunque potrà essere un giorno in grado di leggere qualsiasi tipo di corrispondenza crittata con il PGP. Il fatto è che per arrivarci sarà necessario un periodo ti tempo talmente lungo che, probabilmente, quando qualcuno avrà gridato Eureka! la gente non avrà più bisogno del PGP.

 

Il problema, con tutta probabilità, è un altro. Il problema è che si continua ad associare a PGP e alla crittografia in genere (i sistemi steganografici non vengono percepiti a livello di utenza di massa del PC come essenziali nel contribuire a risolvere il problema della segretezza del dato) non già il concetto di dato riservato, ma quello di dato segreto, da tenere lontano da sguardi indiscreti e, quindi, potenzialmente pericoloso. Finché non si riuscirà a risolvere questo nodo piccolo ma essenziale, nessuno potrà mai uscire dalla situazione di stallo che vede il PGP nelle vesti di una patata bollente che ciascuno tenta di rifilare a qualcun altro per non avere la scomodità e il cocente imbarazzo di tenerlo tra le mani.

 

In realtà, chi usa il PGP non è affatto detto che abbia qualcosa da nascondere. Anzi, probabilmente si tratta proprio del contrario. Chi usa il PGP semplicemente palesa che quella che sta trasmettendo è una informazione privata tra lui e il destinatario e che non desidera che altri ne vengano a conoscenza. Punto.

 

Qualcuno dirà che è lapalissiano. Ma, appunto, è talmente lapalissiano che nessuno ci fa caso. Il concetto di fondo dell’uso del PGP non è tanto quello che il reale contenuto di ciò che io trasferisco a un altro, crittandolo, sia pericoloso, ma, più semplicemente, che sono affari miei.

 

Una persona può avere mille motivi per usare PGP e tutti perfettamente leciti e validi. Qualcuno può usarlo per mandare lettere di fuoco all’amante senza che chi abbia accesso a quella macchina possa vedere che cosa scrive. E questi sono senza dubbio affari suoi. Qualcun altro può usarlo perché vuole trasmettere a qualcun altro una ricetta di cucina e non gli va che possa transitare sotto gli occhi di un amministratore di posta elettronica un po’ annoiato che si mette a sbirciare che cosa cucina la miriade degli utenti di un provider.

 

Si può usare PGP anche per spedire, molto semplicemente, un messaggio di Buon Natale. O di Buon Compleanno. Non ha importanza quale sia il contenuto del messaggio, l’importante è capire che è sempre ed esclusivamente l’utente a decidere che cosa è riservato e che cosa non lo è. E questo viene esclusivamente affidato alla sua coscienza, al suo modo di intendere le cose e alla attenzione che pone per i contenuti che invia a un tu ben individuato.

 

Si potrà obiettare che crittare con la chiave pubblica del destinatario un messaggio del tipo "Ciao amore, ti voglio tanto bene, ti auguro di passare un buon Natale assieme a tutta la tua famiglia e di vederti presto" sia roba da persone un po’ paranoiche, perché in fondo non c’è niente da tenere nascosto in un messaggio di questo genere che potrebbe essere benissimo spedito in chiaro, ma è sempre meglio essere un po’ paranoici che sospettare della legittimità di un messaggio inviato per posta elettronica solo perché è inaccessibile ai più.

 

Qualcuno dirà che gli articoli di cronaca giudiziaria additano PGP al pubblico ludibrio come uno dei sistemi più utilizzati dai pedofili per nascondere il possesso di veri e propri arsenali di immagini raccapriccianti davanti alle quali qualunque cittadino con un minimo di coscienza civile non potrebbe che avere un atteggiamento spontaneo di condanna. E che chissà quanti altri usi impropri possono esserci.

 

Ma non è buona cosa lasciarsi prendere dalle considerazioni frettolose. L’illecito non è certo l’uso di algoritmi di crittazione in sé, quanto il possesso di quel tipo di materiale. Se si desidera davvero arrivare a una piena e consapevole libertà di proteggere i nostri dati con PGP, bisogna anche accettare il fatto che qualcuno ne faccia un uso che non è strettamente consono alla nostra mentalità o a quella della società civile.

 

E in questo senso, checché se ne dica e se ne pensi, l’avventura del PGP è appena cominciata. 

Commenti

commenti

Post a comment or leave a trackback: Trackback URL.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

How to whitelist website on AdBlocker?

  • 1 Click on the AdBlock Plus icon on the top right corner of your browser
  • 2 Click on "Enabled on this site" from the AdBlock Plus option
  • 3 Refresh the page and start browsing the site