Sicurezza, ICT e altro

È un periodo tutto sommato vivace. Il NIST ha selezionato gli algoritmi di hash per il secondo round, gli algoritmi crittografici usati nelle reti GSM hanno di nuovo problemi, è stata fattorizzata una chiave RSA di 768 bit, è stata trovata e poi corretta una vulnerabilità di SSL. Tutte cose interessanti, ma nessuna sconvolgente. Il punto interessante è proprio questo: contrariamente a quanto spesso si crede, la maggior parte dei cambiamenti nel campo della crittografia non sono improvvisi e drammatici, come spesso si vede nei film, in cui un genio improvvisamente scopre un sistema per leggere in tempo reale tutte le comunicazioni cifrate del mondo, e un gruppo di scienziati altrettanto rapidamente nel giro di una notte risolve tutto. Nella pratica, gli algoritmi ed i protocolli vengono indeboliti un po’ per volta, fino a quando diventa opprtuno passare ad altro prima che l’indebolimento sia tale da essere un problema.

Ed a proposito di percezione sbagliata della crittografia, segnalo questo interessante algoritmo di voto. È molto bello dal punto di vista crittografico (ma non bisogna farsi ingannare dal post: “sorveglianza ovunque” non vuole dire che il singolo votante non possa preparare il proprio voto libero da pressioni e osservatori ). Tuttavia, questi algoritmi mostrano come questo tipo di ricerca, con le sue ipotesi così assolute sul contesto, la complessità (non in senso computazionale) dei protocolli  e  le capacità computazionali dei singoli attori, sia ancora ben lontana dall’offrire soluzioni praticabili. La percezione che si ha spesso della crittografia è invece che applicando qualche algoritmo crittografico alle comunicazioni in un sistema di voto tradizionale si risolva qualcosa.

Una sentenza veramente interessante quella pubblicata a fine anno, soprattutto l’ultima parte, vedi ad esempio qui. La detenzione da parte di un privato di programmi abusivamente duplicati non è punibile (rimane punibile la duplicazione abusiva).

Forse vale la pena di spiegare la questione della normativa CEE, che trovate commentata qui, nella quale mi ero già imbattuto occupandomi di firma elettronica in ambito europeo con il progetto R4eGov. Si tenga presente che non sono un giurista, quindi qualche termine o concetto può essere impreciso. Ogni paese può emanare delle normative tecniche il cui rispetto è obbligatorio per l’offerta di beni e servizi sul suo territorio.  Ad esempio, una caldaia deve rispettare determinati requisiti tecnici ed avere determinate certificazioni che ne garantiscono la sicurezza. Tuttavia i criteri tecnici possono essere una “scappatoia normativa” per far passare delle regole restrittive della libera circolazione delle merci e dei servizi: un paese potrebbe imporre che tutte le caldaie vendute  rispettino dei requisiti, magari di certificazione, che possono essere di fatto rispettati solo da prodotti di quel paese, magari perché incompatibili con quanto viene fatto in tutti gli altri paesi. Per evitare questo rischio, le normative tecniche devono essere preventivamente sottoposte all’UE, che può anche eventualmente bloccarle. Per il contrassegno SIAE, a quanto pare questo non è stato fatto, e si potrebbe quindi ipotizzare che tale obbligo  sia restrittivo della circolazione delle merci e dei servizi. Conseguentemente, le norme che vi fanno riferimento non possono essere fatte valere.