xcdegasp
09-09-2013, 09:27
Aumentano i progetti per difendersi dagli spioni della Nsa. Come le webmail crittografate che dovrebbero rendere più comodo e immediato criptare le comunicazioni
06 settembre 2013 di Carola Frediani
Nel mezzo della bufera scatenata dalle ultime rivelazioni giornalistiche del Datagate sui programmi di sorveglianza della National Security Agency (Nsa), e sulle sue capacità di decifrare una parte delle conversazioni e del traffico protetto da crittografia, sono in molti a domandarsi che fare. Specie a questo punto, e considerato il livello di intrusione dell’apparato di intelligence nei flussi di comunicazioni globali. La risposta da parte di esperti di sicurezza e difensori dei diritti digitali è sempre la stessa: continuare a cifrare. Perché non tutta la crittografia nasce uguale e in molti casi, quella ben fatta, quella robusta, resta inaccessibile agli spioni. E comunque vada rimane un ostacolo - l’unico in questo momento, considerato il vuoto della politica al riguardo - ai tentativi di fare stracci di qualsiasi elementare concetto di privacy, proprio come sta avvenendo da parte della Nsa e delle altre agenzie straniere che vi collaborano.
Il problema principale della crittografia è che il suo utilizzo è spesso troppo difficile o scomodo per l’utente medio o non abbastanza motivato. Insomma anche nella cifratura delle comunicazioni pesa in un certo senso il principio dell’ effetto di rete, per cui il valore di un servizio dipende dal numero di utenti che ne fanno uso. Difficile criptare se i tuoi contatti non fanno lo stesso.
A questo problema cerca di rispondere Scramble (https://scramble.io/), un servizio di webmail cifrato sviluppato da un ricercatore della Stanford University, Daniel Posch. L’idea è di garantire la stessa protezione di un client blindato con PGP (Pretty Good Privacy), il programma di crittografia più noto, ma con la comodità (a cui da anni tutti noi siamo abituati) di una mail accessibile via browser. Come funziona? Il suo software invia agli utenti del codice Javascript che esegue la cifratura dei messaggi nel browser: in questo modo il server non conosce la chiave segreta necessaria per leggere le comunicazioni. Uno dei punti deboli di questo approccio, simile a quello usato anche da Hushmail (https://www.hushmail.com/), un altro provider di webmail sicura e cifrata (almeno finché non è emerso che il governo Usa ha cercato di ottenere informazioni (http://www.wired.com/threatlevel/2007/11/encrypted-e-mai) dallo stesso), è che l’azienda che fornisce il servizio, magari obbligata da un tribunale o una agenzia statale, potrebbe modificare il codice Javascript aprendo una vulnerabilità nel sistema. Per ovviare a questo rischio Scramble – che già funziona ma è ancora sperimentale e quindi è sconsigliato usarlo già ora per comunicazioni sensibili – sta lavorando a un plug-in per Chrome che dovrebbe gestire la crittografia e ostacolare manomissioni.
Il sistema ideato da Posch ha anche altre specificità: come indirizzo mail utilizza l’ hash (l’impronta digitale) della chiave pubblica dell’utente. Per capirci l’indirizzo mail diventa una sequenza di lettere e numeri, così: [email protected] (questa è la mail di Posch). Non proprio facile da memorizzare, per cui diventa vitale la rubrica degli indirizzi. Che a sua volta viene cifrata dal server e scaricata ogni volta che l’utente fa il log in, per essere poi decrittata nel browser, modificata e inviata di nuovo al server cifrata. In questo modo, oltre a essere segreti il testo e l’oggetto della mail, restano anonimi anche il mittente e il destinatario.
Altro aspetto interessante di Scramble è che si possono comunque scambiare mail con utenti che non usano il servizio. In tal caso i messaggi sono inviati in chiaro; quelli in arrivo sono comunque criptati e archiviati.
Il progetto di Posch non è l’unico che lavora in questa direzione (http://www.wired.com/threatlevel/2013/09/the-scramble-to-build-encryption), specie dopo la controversa chiusura di servizi di mail sicuri (http://daily.wired.it/news/politica/2013/08/09/chiude-email-provider-snowden-silent-lavabit-levison-342421.html) come Lavabit e SilentMail. Sul sito di crowdfunding IndieGoGo sta raccogliendo finanziamenti Mailpile (http://www.wired.com/wiredenterprise/2013/08/mailpile), un client di mail cifrata basato sul Web. Mentre pure Kim Dotcom ha annunciato (http://mashable.com/2013/08/12/kim-dotcom-mega-encrypted-email) di stare progettando un sistema di mail criptate. E se si muove uno come lui, che fiuta il vento del marketing, si capisce che il settore non è più solo da addetti ai lavori.
Fonte: daily.wired.it (http://daily.wired.it/news/internet/2013/09/06/datagate-scramble-cifrare-mail-213213.html?utm_source=wired&utm_medium=NL)
Questa opera è distribuita secondo le regole di http://i.creativecommons.org/l/by-nc-nd/3.0/88x31.png (http://creativecommons.org/licenses/by-nc-nd/3.0/) Creative Commons Attribution-NonCommercial-NoDerivs 3.0 Unported License (http://creativecommons.org/licenses/by-nc-nd/3.0/)
06 settembre 2013 di Carola Frediani
Nel mezzo della bufera scatenata dalle ultime rivelazioni giornalistiche del Datagate sui programmi di sorveglianza della National Security Agency (Nsa), e sulle sue capacità di decifrare una parte delle conversazioni e del traffico protetto da crittografia, sono in molti a domandarsi che fare. Specie a questo punto, e considerato il livello di intrusione dell’apparato di intelligence nei flussi di comunicazioni globali. La risposta da parte di esperti di sicurezza e difensori dei diritti digitali è sempre la stessa: continuare a cifrare. Perché non tutta la crittografia nasce uguale e in molti casi, quella ben fatta, quella robusta, resta inaccessibile agli spioni. E comunque vada rimane un ostacolo - l’unico in questo momento, considerato il vuoto della politica al riguardo - ai tentativi di fare stracci di qualsiasi elementare concetto di privacy, proprio come sta avvenendo da parte della Nsa e delle altre agenzie straniere che vi collaborano.
Il problema principale della crittografia è che il suo utilizzo è spesso troppo difficile o scomodo per l’utente medio o non abbastanza motivato. Insomma anche nella cifratura delle comunicazioni pesa in un certo senso il principio dell’ effetto di rete, per cui il valore di un servizio dipende dal numero di utenti che ne fanno uso. Difficile criptare se i tuoi contatti non fanno lo stesso.
A questo problema cerca di rispondere Scramble (https://scramble.io/), un servizio di webmail cifrato sviluppato da un ricercatore della Stanford University, Daniel Posch. L’idea è di garantire la stessa protezione di un client blindato con PGP (Pretty Good Privacy), il programma di crittografia più noto, ma con la comodità (a cui da anni tutti noi siamo abituati) di una mail accessibile via browser. Come funziona? Il suo software invia agli utenti del codice Javascript che esegue la cifratura dei messaggi nel browser: in questo modo il server non conosce la chiave segreta necessaria per leggere le comunicazioni. Uno dei punti deboli di questo approccio, simile a quello usato anche da Hushmail (https://www.hushmail.com/), un altro provider di webmail sicura e cifrata (almeno finché non è emerso che il governo Usa ha cercato di ottenere informazioni (http://www.wired.com/threatlevel/2007/11/encrypted-e-mai) dallo stesso), è che l’azienda che fornisce il servizio, magari obbligata da un tribunale o una agenzia statale, potrebbe modificare il codice Javascript aprendo una vulnerabilità nel sistema. Per ovviare a questo rischio Scramble – che già funziona ma è ancora sperimentale e quindi è sconsigliato usarlo già ora per comunicazioni sensibili – sta lavorando a un plug-in per Chrome che dovrebbe gestire la crittografia e ostacolare manomissioni.
Il sistema ideato da Posch ha anche altre specificità: come indirizzo mail utilizza l’ hash (l’impronta digitale) della chiave pubblica dell’utente. Per capirci l’indirizzo mail diventa una sequenza di lettere e numeri, così: [email protected] (questa è la mail di Posch). Non proprio facile da memorizzare, per cui diventa vitale la rubrica degli indirizzi. Che a sua volta viene cifrata dal server e scaricata ogni volta che l’utente fa il log in, per essere poi decrittata nel browser, modificata e inviata di nuovo al server cifrata. In questo modo, oltre a essere segreti il testo e l’oggetto della mail, restano anonimi anche il mittente e il destinatario.
Altro aspetto interessante di Scramble è che si possono comunque scambiare mail con utenti che non usano il servizio. In tal caso i messaggi sono inviati in chiaro; quelli in arrivo sono comunque criptati e archiviati.
Il progetto di Posch non è l’unico che lavora in questa direzione (http://www.wired.com/threatlevel/2013/09/the-scramble-to-build-encryption), specie dopo la controversa chiusura di servizi di mail sicuri (http://daily.wired.it/news/politica/2013/08/09/chiude-email-provider-snowden-silent-lavabit-levison-342421.html) come Lavabit e SilentMail. Sul sito di crowdfunding IndieGoGo sta raccogliendo finanziamenti Mailpile (http://www.wired.com/wiredenterprise/2013/08/mailpile), un client di mail cifrata basato sul Web. Mentre pure Kim Dotcom ha annunciato (http://mashable.com/2013/08/12/kim-dotcom-mega-encrypted-email) di stare progettando un sistema di mail criptate. E se si muove uno come lui, che fiuta il vento del marketing, si capisce che il settore non è più solo da addetti ai lavori.
Fonte: daily.wired.it (http://daily.wired.it/news/internet/2013/09/06/datagate-scramble-cifrare-mail-213213.html?utm_source=wired&utm_medium=NL)
Questa opera è distribuita secondo le regole di http://i.creativecommons.org/l/by-nc-nd/3.0/88x31.png (http://creativecommons.org/licenses/by-nc-nd/3.0/) Creative Commons Attribution-NonCommercial-NoDerivs 3.0 Unported License (http://creativecommons.org/licenses/by-nc-nd/3.0/)