Nella scorsa settimana ho letto ancora considerazioni riguardo alla questione di Hushmail. In particolare, qui e qui. Il punto centrale è ben chiarito da Zimmermann: “…it is not reasonable to expect that online encrypted email storage is as safe as using encryption software on one’s own computer“. È un concetto che a chiunque si occupi di sicurezza ICT dovrebbe risultare ovvio, ma forse tendiamo a dimenticare quanto i non specialisti tendono a considerare la crittografia una specie di “magia nera” che risolve tutti i problemi. Ricordo un caso molto simile in Italia, un server utilizzato da diverse organizzazioni dal quale era stata copiata la chiave privata utilizzata per cifrare le comunicazioni SSL. Anche allora, mi aveva stupito che gli utenti (e gestori) di quei server che pensavano di dover proteggere le loro comunicazioni non avessero scelto di cifrare i messaggi sui propri PC, ma si fidassero di un server del quale non avevano il controllo fisico. Per un tecnico, è chiaro che il problema non è la robustezza dei meccanismi di crittografia ma un problema molto meno informatico di controllo fisico dei sistemi. Sembrerebbe invece che l’utente comune dalla crittografia si aspetti miracoli. Chiudo quindi citando nuovamente Zimmermann: “If your threat model includes the government coming in with all of force of the government and compelling service provider to do things it wants them to do, then there are ways to obtain the plaintext of an email . Just because encryption is involved, that doesn’t give you a talisman against a prosecutor. They can compel a service provider to cooperate.“
-
Qui sopra il lago di Soraga, Val di Fassa (Trentino, Italia)
Questo sito ospita pensieri e considerazioni personali, che possono o meno essere collegati alle mie competenze professionali. Per contatti professionali potete fare riferimento al mio profilo Linkedin o al sito di Partners4Innovation
Rapporto Clusit 2021
