Accesso eccezionale: un’idea “eccezionalmente” sbagliata

Noi, cittadini, residenti, visitatori, abbiamo esigenze fondamentali e diritti inalienabili. Per dare un significato a questi concetti, dobbiamo essere protetti dai nostri avversari e liberi di comunicare.

Pertanto, abbiamo assegnato alla pubblica amministrazione una missione: il denaro, il mandato e il framework per tenerci al sicuro. Questo compito fondamentale viene svolto dalla comunità delle forze dell’ordine e dell’autorità giudiziaria, da quella dell’intelligence, dalle forze armate e da altri settori della pubblica amministrazione.

Ma anche le aziende condividono questo mondo. Alcune cercano di fornire ai consumatori come noi i servizi di comunicazione necessari. Inoltre, sono simili a noi in quanto cittadini aziendali. In questo contesto, si adoperano per aiutare il governo nel suo ruolo vitale.

In alcuni casi, tuttavia, i rispettivi interessi in questo ecosistema entrano in conflitto.

Per comprendere queste esigenze sovrapposte e in conflitto, considera un diagramma di Venn. Il primo gruppo è costituito da consumatori che desiderano essere protetti e comunicare in modo sicuro.  Il secondo gruppo comprende la pubblica amministrazione, il cui obiettivo è quello di tenerci al sicuro. Infine, il terzo gruppo comprende le aziende che cercano di fornire beni o servizi e che in genere sponsorizzano la missione della pubblica amministrazione. Al di fuori dei gruppi troviamo gli avversari, i cui motivi, obiettivi e attività sono antagonistici nei nostri confronti.

Questi gruppi illustrano un dibattito che si estende dagli ambienti parlamentari alle aule consiliari fino al tavolo da pranzo: le aziende devono sviluppare per legge un accesso di tipo backdoor o “eccezionale” affinché il Governo degli Stati Uniti possa accedere alle comunicazioni utili per la propria missione?

Questa domanda sembra semplice, ma se si scava più a fondo rivela numerosi livelli di complessità.

Le autorità giudiziarie cercano di raccogliere il maggior numero di informazioni possibili durante le indagini. Questo obiettivo, seppure lodevole, ha un costo elevato. Andiamo più a fondo. Le comunicazioni dei nostri avversari possono essere acquisite e memorizzate. Alcune forme di queste comunicazioni, tuttavia, vengono crittografate. Il governo ritiene di dovere essere in grado di recuperare e analizzare rapidamente queste comunicazioni in presenza di gravi minacce al bene pubblico.

I consumatori sembrano molto interessati a privacy e sicurezza, seppure con alcune differenze.  Ad esempio, la maggior parte dei cittadini negli Stati Uniti è contraria all’estensione dell’accesso eccezionale ai governi stranieri. Non è chiaro, tuttavia, in che modo le aziende che svolgono scambi commerciali in tali paesi possano impedire legalmente l’utilizzo di queste capacità.

Le aziende si trovano spesso nel mezzo: supportando le richieste dei consumatori e gli obblighi sanciti dal governo. Nel caso di accesso eccezionale o di tipo backdoor, viene loro richiesto di modificare le proprie attività come risultato delle proposte avanzate.

Fornitori di tecnologia, come ad esempio RSA, hanno sollevato i seguenti quattro punti di interesse:

  1. Viviamo in un’età dell’oro della sorveglianza. Le autorità giudiziarie hanno accesso a un vero e proprio tesoro di dati relativi a singole persone. Quale è il valore incrementale dato dalla possibilità di arrivare a quell’ultimo bit? In molti casi, i vantaggi diminuiscono rapidamente e tutti gli sforzi aggiuntivi potrebbero non produrre alcun risultato.
  2. L’accesso eccezionale ai dati comporta notevoli rischi poiché indebolisce radicalmente la protezione, aggiungendo ulteriori point of failure e aumentando notevolmente la complessità del sistema.
  3. È già abbastanza difficile progettare sistemi sicuri così come stanno le cose. Non sappiamo ancora come farlo, il che spiega perché un intero settore è dedicato a questa attività e il motivo per cui esistono le aziende come RSA. L’aggiunta dell’accesso eccezionale peggiora ulteriormente una situazione già non ottimale.
  4. Questo processo è un vero e proprio incubo procedurale. In che modo verranno prese le decisioni relative a quando si dovrebbe o meno avere un accesso eccezionale? In che modo si ricorrerà a verifiche e contrappesi per garantire che queste capacità non vengano utilizzate impropriamente? Come si gestiscono i casi di competenza internazionale?

Gli osservatori a bordo campo di questo dibattito includono i nostri avversari: criminali, terroristi e così via. Probabilmente non sono così interessati a questo dibattito quanto i legislatori e le autorità giudiziarie pensano. Essi possono accedere facilmente un’ampia gamma di strumenti di crittografia (in modo molto simile a quello di un ladruncolo che utilizza un paio di guanti per non lasciare le proprie impronte digitali sulla scena del crimine o indossa un passamontagna per celare la propria identità a una videocamera di sorveglianza). Gli autori di minacce sofisticate, compresi i nemici degli Stati Uniti, sembrano essere particolarmente interessati ai risultati. Se è necessario un accesso eccezionale ai sistemi, questi autori di minacce ritengono di poter trarre vantaggio da sistemi più vulnerabili che possono sfruttare successivamente.

Noi stessi ci troviamo davanti a una delle decisioni più significative dell’era di Internet. Non è una questione di sicurezza contro privacy in senso binario; il dibattito è molto più ampio, sfaccettato, pieno di sfumature e comprende un continuum di possibilità. Noi di RSA riteniamo che l’accesso eccezionale da parte del governo sia antitetico ai principi fondamentali della progettazione dei sistemi sicuri e che pertanto sia “eccezionalmente” sbagliato.

No Comments