TECNOLOGIA E SICUREZZA

Privacy e crittografia: quadro normativo, soluzioni e limiti tecnologici

La privacy, intesa come diritto alla riservatezza e protezione del dato personale, e la crittografia sono come è evidente due ambiti con molti punti di interconnessione. Analizziamoli da un punto di vista tecnico e normativo

25 Giu 2020
S
Luca Sanna

Avvocato, Studium Cives


In tempi di lockdown si è spesso parlato di privacy e crittografia, soprattutto in riferimento a tutte le soluzioni di collaborazione a distanza come Zoom, WhatsApp, Skype e via dicendo che hanno consentito a milioni di persone di continuare la propria attività lavorativa in modalità smart working.

È dunque opportuno fare un po’ di chiarezza sull’argomento anche per comprendere quali siano le interconnessioni tecnologiche tra questi due ambiti che impattano notevolmente nella vita quotidiana di tutti noi, sia essa privata quanto lavorativa.

Privacy e crittografia: quadro storico e normativo

Il concetto di privacy nel tempo ha assunto due tipi di accezioni. La prima, tradotta con riservatezza, riguarda la privatezza della vita di ogni individuo; il secondo, più in generale, sorge quale diritto dell’individuo a preservare il bene della vita del dato personale.

La Convenzione europea dei diritti dell’uomo ha voluto cristallizzare il diritto alla riservatezza attraverso una disposizione dedicata.

L’art. 8 della CEDU al primo paragrafo dispone che «ogni persona ha diritto al rispetto della sua vita privata e familiare, del suo domicilio e della sua corrispondenza», mentre nel secondo paragrafo è indicato come «non può esservi ingerenza di una autorità pubblica nell’esercizio di tale diritto a meno che tale ingerenza sia prevista dalla legge e costituisca una misura che, in una società democratica, è necessaria per la sicurezza nazionale, per la pubblica sicurezza, per il benessere economico del paese, per la difesa dell’ordine e per la prevenzione dei reati, per la protezione della salute o della morale, o per la protezione dei diritti e delle libertà altrui».

A cavallo di questi due concetti di diritto alla riservatezza si pone la crittografia, una branca della crittologia – dal greco kryptòs (nascosto) e logos (discorso) – precisamente discorso nascosto, che implementa metodi per comprendere e nascondere le “scritture nascoste”, analizza le migliori applicazioni per rendere un messaggio “offuscato” in modo da non essere comprensibile/intelligibile a persone non autorizzate a leggerlo.

Nella storia numerosi sono stati i modelli creati per celare un messaggio criptato, in primis creati durante la scienza bellica per impedire che i nemici potessero scoprire le strategie militari del proprio rispettivo avversario.

Il “disco cifrante” di Leon Battista Alberti del 1467 ha rivoluzionato il sistema delle comunicazioni, permettendo di avere una chiave meccanica applicata a due alfabeti. Tale sistema impediva di conoscere immediatamente il messaggio conoscendo un’unica lettera dell’alfabeto usato (la cosiddetta “Cifratura di Cesare” che non era nient’altro che lo slittamento dell’alfabeto). Nella cifra di Alberti gli alfabeti sono due, e vengono tra loro combinati. Anche la chiave varia in continuazione durante il messaggio. Di fatto la conoscenza della chiave numerica e di una lettera impedisce con semplicità di conoscere il contenuto del messaggio.

Privacy e crittografia per la sicurezza dei dati

Ebbene, questi modelli di cifratura, sono stati riportati nel mondo digitale per impedire un’intrusione da parte di chiunque avesse interesse a recepire dati personali in modo illecito, nonché altresì a conoscere il contenuto di ogni conversazione.

WHITEPAPER
Sicurezza: perchè puntare su un approccio zero trust?
Sicurezza
Sicurezza dei dati

Possiamo quindi sostenere che l’utilizzo della crittografia avviene anche oggi per impedire al “nemico” di conoscere facilmente dati personali, per impedirne quindi la diffusione e l’illecito utilizzo, nonché altresì al fine di custodire la riservatezza delle comunicazioni.

A cavallo degli anni 2000 e 2010 ogni Businness Man che si rispettasse faceva sfoggio del proprio BlackBerry, esaltandone le caratteristiche di cifratura e riservatezza. E in parte era vero. Era possibile crittografare i file presenti nella memoria del dispositivo o sulla scheda di memoria utilizzando una chiave di crittografia generata dal dispositivo, la password del dispositivo o entrambe.

Se si crittografavano i file utilizzando una chiave di crittografia generata dal dispositivo, era possibile accedere ai file presenti sulla scheda di memoria solo quando questa veniva inserita nel dispositivo dell’utente.

Se si crittografavano i file utilizzando la password del dispositivo, era invece possibile accedere ai file presenti sulla scheda di memoria inserendola in qualsiasi dispositivo, a condizione che si conoscesse la password del dispositivo.

Dal 2014 anche i sistemi OS X di Apple hanno introdotto tale possibilità, così come quasi tutti i telefoni di fascia alta Android.

La crittografia applicata alle e-mail

Ma se le informazioni “viaggiano” attraverso le mail?

Il metodo più antico e semplice di crittografia informatica viene chiamato crittografia simmetrica: in pratica, due soggetti si scambiano informazioni e dati utilizzano lo stesso codice, in gergo “chiave”, per cifrare e decifrare i messaggi che si scambiano. Questo sistema è considerato debole, tantoché nel 1976 Whitfield Diffie e Martin Hellman inventarono un metodo più sicuro, chiamato crittografia asimmetrica.

Come per la chiave meccanica di Alberti, anche in questo caso le due persone che comunicano tra loro non utilizzano solo una chiave, ma due coppie di chiavi: una pubblica e una privata. La coppia pubblica può non essere protetta, perché la sicurezza dipende dalla coppia di chiavi private. Il funzionamento è il seguente: Tiziana vuole inviare un messaggio a Luca e utilizza la chiave pubblica, Luca riceve il messaggio e riesce a criptare il contenuto con la sua chiave privata.

Il funzionamento di questo sistema è basato sul fatto che è matematicamente molto semplice fare la moltiplicazione di due numeri primi (che rappresentano la chiave privata, quella utilizzata da Luca per decriptare il messaggio), ma è invece più complesso andare a ritroso e risalire ai numeri primi del numero ottenuto dal precedente prodotto (che invece rappresenta la chiave pubblica che chiunque può vedere e che si usa per crittografare). Utilizzare una cifra pubblica e una privata è necessario per velocizzare il sistema perché altrimenti utilizzando solo un sistema asimmetrico si avrebbe un risultato troppo lento di decifratura.

Come detto, nelle mail ci vengono incontro i protocolli di cifratura TLS, SSL e SMARTTLS che vengono configurati ogniqualvolta si abbia la necessità di installare la mail personale attraverso un client di posta elettronica.

La crittografia end-to-end

Lo strumento indispensabile per un inoltro in sicurezza di contenuti attraverso la posta elettronica è il protocollo di trasmissione universale Transport Layer Security (TLS).

Molto più conosciuto e utilizzato è il suo precedente nome Secure Sockets Layer (SSL), che rappresenta semplicemente l’antecedente tecnologico del primo. Una mail con crittografia che utilizzi i protocolli SSL, o il più recente TLS, è contraddistinta dalla circostanza che il suo contenuto non può essere decifrato da terzi durante lo scambio di dati, in quanto essi non dispongono della chiave necessaria per la decifratura.

SI tratta della cosiddetta crittografia end-to-end: per aumentare la sicurezza delle conversazioni, il sistema che gestisce il percorso di inoltro della comunicazione – ad esempio un provider mail – non controlla la creazione delle chiavi private, che vengono create e salvate direttamente sui device delle persone che comunicano. Il termine end-to-end sta proprio per “dall’inizio alla fine”: solo le persone destinatarie possono decifrare i messaggi e il flusso di comunicazione non coinvolge terze parti.

Dal 2016 questo protocollo è stato esteso, per esempio, anche ai servizi di messaggistica istantanea come WhatsApp ed è intenzione dello stesso Zuckerberg estendere la crittografia anche al servizio Messenger di Facebook e di Instagram.

Privacy e crittografia: i limiti della tecnologia end-to-end

Quali sono i limiti di tale sistema?

Come in una galleria autostradale la crittografia end-to-end scherma e protegge il flusso al suo interno da un eventuale drone che riprende il traffico dall’alto, ma ciò non impedisce di recuperare le immagini delle automobili all’inizio in ingresso e, poi, in uscita.

Sicché è consigliabile e auspicabile, parlando di privacy e crittografia, proteggere il proprio device attraverso i servizi forniti dai produttori – e questo può valere per gli smartphone attivando la crittografia dalle impostazioni – ovvero attraverso appositi software per garantire il contenuto degli hard disk sui propri personal computer.

DIGITAL EVENT 9 SETTEMBRE
Cyber Security: tra tecnologia e cultura del dato. Ecco cosa fanno i Security People
Legal
Sicurezza

@RIPRODUZIONE RISERVATA

Articolo 1 di 5