Too many secrets

Computer Programming n.ro 78 del 21-09-02

Sempre rimanendo in tema di cinema, quelli di voi che hanno visto I signori della truffa il film con Robert Redford e Dan Aykroyd (a proposito, consiglio a chi non lo ha fattodi rimediare subito) riconosceranno nel titolo di questo pezzo l’anagramma di Setec Astronomy il nome in codice del progetto supersegreto che celava l’esistenza di un cripto-chip in grado di rompere qualsiasi algoritmo di cifratura. Questa citazione non è soltanto un vezzo stilistico, ma il riassunto dello stato attuale della “galassia crittografia”.

Gli interessi che girano intorno alle tecnologie di cifratura sono enormi e della più varia provenienza: il settore radiotelevisivo con le pay-tv punta tutto sulla criptazione dei canali, l’industria militare è da sempre coinvolta nello sviluppo di tecnologie di protezione delle comunicazioni, mentre le compagnie telefoniche basano le loro campagne di marketing sulla sicurezza del GSM, con la firma digitale, poi, lo sviluppo di software sembra offrire prospettive interessanti.

Ciò non ostante, di come siamo arrivati alla situazione attuale si sa poco o nulla, e da questa ignoranza non è infrequente – come già è accaduto – che vengano fuori leggi sbagliate.

Diventa quindi importante cercare di capire quale sia stata l’evoluzione della crittografia nel corso di questo secolo, e quali forze si stanno esercitando su questo oggetto misterioso.

Dove si decide tutto…

Gli Stati Uniti si sono di fatto attribuiti il potere di prendere le decisioni strategiche sull’”affaire crittografia”. La cosa non è di per sé scandalosa o censurabile: è abbastanza normale che il paese (o uno dei paesi) più tecno-dipendente del pianeta si sia dotato per primo di certe strutture e che quindi abbia precorso i tempi anche per quanto riguarda gli aspetti giuridici e politici. D’altra parte non è che ci si possa lamnetare parecchio, se quando negli anni 70 il DES era già utilizzato in america nelle transazioni pubbliche, dalle nostre parti non era difficle trovare ancora la famosa penna d’oca che faceva bella mostra di sé sulla scrivania di qualche burocrate. Discutibile è invece il merito di determinate scelte politiche destinate per loro natura ad produrre effetti collaterali (qualcuno parla di fall-out) anche nel sonnolento e (opportunamente?) disinteressato “di qua” dell’oceano.

Oggi gli equilibri stanno cambiando grazie anche alla crescente diffusione dell’internet.

La pressante urgenza di dare corpo al fanotmatico “commercio elettronico” e la “scoperta” di un nuovo giocattolo giuridico (la famigerata privacy)hanno brutalmente messo i governi di fronte ad un fatto: la crittografia di massa è una realtà che non è più possibile trattare con l’approccio old style di quando i codici segreti erano appannaggio di ambasciate, militari e poche altre categorie.

Nel corso degli ultimi anni infatti gli eventi sono letteralmente precipitati e da una situazione – tutto sommato – controllabile (dal punto di vista dei poteri pubblici e un po’ meno pubblici) si è passati ad una diffusione così estesa da susictare parecchie preoccupazioni nei soggetti di cui sopra.

La conseguenza è un generalizzato tentativo di arginare l’impiego della crittografia da parte dei singoli cittadini mettendola fuorilegge o limitandone le fuizionalità. Ciò avviente sia direttamente – emanando o proponendo di emanare leggi repressive – sia percorrendo vie traverse con la sottoscrizione di accordi internazionali , con la stipulazione di accordi commerciali e con audizioni o consulnze al più alto livello gestite abilmente in modo da (dis-)orientare i decision maker .

Ciò non ostante il processo di pubblicizzazione (nel senso di diffusione fra la gente) della crittografia è oramai irreversibile.

Cercare di capire il perché di questi mutamenti richiede di fare un tuffo nel passato, quando, durante le due guerre Mondiali, oltre alle battaglie combattute con il ferro, altre, meno cruente ma altrettanto decisive stavano avendo esiti gravidi di conseguenze per il futuro prossimo e quello venturo…

Il punto di partenza

La Prima Guerra fu caratterizzata dall’impiego su larga scala delle comunicazioni radio che ponevano il problema di come proteggere messaggi che pagavano la rapidità di propagazione con una grande facilità di intercettazione. La risposta più ovvia a questa esigenza fu la concepire un sistema di cifratura alla fonte delle comunicazioni, poi messe in chiaro una volta ricevute . Va da sé che – servendosi il nemico delle stesse tecnologie e avndo quindi le stesse necessità – si rese anche necessario studiare dei metodi per intercettare e decifrare le comunicazioni avversarie. A partire dal 1920 circa gli Stati Uniti (ma non solo) hanno continuamente incrementato le capacità di signal intelligence integrandole con lo sviluppo di tecniche di sicurezza delle comunicazioni: il risultato di questo matrimonio sembra essere la causa del generale incremento della componente “segretezza” prodotto sulla crittografia a partire dal 1920 fino al 1960 . Nel corso della Seconda Guerra Mondiale il binomio Signal Intelligence- crittografia ha giocato un ruolo determinante per il successo militare degli alleati che aiutati in Inghilterra dal Governement Communication Headquarter (GCHQ) di stanza a Bletchley Park riuscirono a decifrare sistematicamente i codici giapponesi, russi, tedeschi e anche italiani. Tutto questo però non bastava perché con sempre maggiore nitidezza cominciava a farsi strada l’idea che fosse necessario un coordinamento unico nella gestione della Signal Intelligence. Questi pensieri si concretizzarono drammaticamente per via dell’aggressione di Pearl Harbour. Pochi sanno infatti che una delle conseguenze di quella triste pagina di storia fu l’avere creato le condizioni per la nascita, pochi anni dopo, della Central Intelligence Agency e della National Security Agency. Nell’indagine che seguì l’attacco infatti, il Congresso degli Stati Uniti concluse che per evitare il ripetersi di fatti come quello di cui erano da poco rimasti vittima, fosse necessario non disperdere le attività di intelligence delle varie armi. Su queste premesse, nel 1947 venne istituita la CIA, mentre il compito di raccordare le attività informative delle tre armi venne attribuito alla Armed Force Security Agency (AFSA) il cui personale confluì successivamente – siamo nel 1952 – nella National Security Agency. Con il passare degli anni, il ruolo di questa struttura divenne sempre più importante nel mondo della crittografia, fino ad arrivare al punto di non consentire che si muovesse foglia senza la sua approvazione. Gli effetti di questa “pax crittografica” non tardarono a manifestarsi appieno e non solo nel ristretto ambito della comunità degli addetti ai lavori…

Fidarsi è bene, non fidarsi è meglio

Storicamente l’amministrazione americana ha sempre avuto un chiaro e diretto interesse a tenere sotto controllo tutto ciò che potenzialmente è in grado di incidere sulla sicurezza nazionale (in relazione a ciò che accadeva al di fuori del patro suolo) e sulla law enforcement (attinente alle questioni interne). Non stupisce dunque che l’arsenale normativo predisposto a loro tutela sia frutto – in questo più che in altri casi – di un complesso sovrapporsi di forze a volte non troppo palesi.

Per molto tempo – a partire dal secondo dopoguerra – queste esigenze di sicurezza esterna e interna non si erano tradotte in azioni dirette a regolamentare l’uso della crittografia da parte dei privati cittadini per il smplice fatto che – come è noto – nessuno ad eccezione dello Stato ne aveva la disponibilità. Viceversa, quella che si sviluppò massicciamente (sempre per diretta conseguenza della solita sicurezza nazionali) fu l’attività di intercettazione delle comunicazioni civili, enormemente facilitata dal fatto che le linee telefoniche erano un vero e proprio libro aperto per il FBI che era il “responsabile istituzionale” di queste attività.

La diffusione di nuove tecnologie per garantire la riservatezza delle comunicazioni e la crescente complessità delle questioni tecniche legate all’esecuzione di intercettazioni posero con molta urgenza il problema di fornire ai poteri pubblici nuovi strumenti anche normativi per raggiungere lo scopo.

A partire dalla seconda metà degli anni ’80 e fino ad oggi – per limitarci al passato prossimo – sono stati registrati tentativi di far approvare leggi dirette a restringere l’uso privato della crittografia: su questo fronte – oltre alla NSA – si è distinto il FBI, la cui lunga tradizione di indagini basate sulle intercettazioni è – grazie alle varie crypto-devices – a rischio di prematura interruzione.

E’ proprio questa attività di pressione – i cui esemplari rappresentanti sono le vicende legate alla creazione del Clipper Chip e all’emanazione del Communication Assistance for Law Enforcement Act – ad ufficializzare la criticità che gli apparati pubblici della sicurezza statunitense attribuiscono agli effetti della convergenza fra intercettazioni e crittografia in ambito non militare, due settori che non è praticamente più possibile considerare come mondi separati. L’impatto globale di queste due proposte è quello di cambiare dei presupposti giuridici fondamentali: che le telefonate non sono intrinsecamente sospette e che le compagnie telefoniche non sono agenti delle forze di polizia.

Per quanto riguarda la “politica estera”, si decise di assoggettare la crittografia ad un rigido (e a volte incoerente) sistema di controlo sulle esportazioni; mentre le intercettazioni furono oggetto di complesse attività di lobbiyng che “giocando di sponda” cercano di far passare in Europa dei principi non accettati in patria, e usare questo fatto per far rientrare dalla finestra ciò che era stato buttato fuori dalla porta.

C’era una volta un Clipper

Nel 1987 l’emanazione del Computer Security Act impose la realzizzazione di un nuovo standard di cifratura destinato a sostituire il pensionando DES. Uno dei principali motivi che spinse il Governo a compiere questa scelta fu la preoccupazione che l’incipiente obsolescenza del venerando le algoritmo, accompagnata dall’assenza di un nuovo standard federale, provocasse una migrazione delle aziende operanti nelle telecomunicazioni e nell’information technology verso prodotti (di provenienza non governativa) più moderni e robusti, irrimediabilmente pregiudicando – così – le capacità di intercettazione delle forze dell’ordine (FBI in testa).

Il NIST si mise subito al lavoro, rivolgendosi alla NSA che a sua volta elaborò nella massima segretezza il cosiddetto EES (Escrowed Encryption Standard) basato su Skipjack un algoritmo a doppia chiave da usare con un microprocessore dedicato (il Clipper per la telefonia, il Capstone per i computer) installato a cura delle aziende produttrici in ogni appartato di telecomunicazioni.

Il 16 aprile 1993 il Presidente Clinton propone EES come il nuovo standard crittografico suscitando allarme fra le associazioni per la tutela dei diritti civili per la “paternità” dell’algoritmo e per le modalità di realizzazione del progetto. Da un lato infatti è convinzione diffusa che la NSA – con la scusa delle esigenze di sicurezza nazionale – non renda pubblici algoritmi che non è in grado di decifrare, dall’altro destò sospetto che non ostante il Computer Security Act prevedesse a scopo di garanzia il coinvolgimento di soggetti esterni all’establishment,l’intera operazione fosse stata coperta dal segreto quasi assoluto.

Nel maggio 1993 grazie al Freedom of Information Act (FOIA), la legge che garantisce l’accesso dei cittadini agli atti dell’amministrazione americana , Computer Professional for Social Responsability – un’associazione per la tutela dei diritti civili legata al prestigioso Massachussets Institute of Technology – ottiene la prova che nel corso della progettazione di EES la National Security Agency aveva fatto di tutto per ostacolare (riuscendoci) i tentativi di chi voleva sottoporre la cosa ad un pubblico esame.

Ce n’era abbastanza per dare corpo alle ombre più svariate e infatti questa scoperta di CPSR (alla quale si era aggiunta nel frattempo la Electronic Frontier Foundation) provocò un’ondata di proteste basate sulla convizione che lo svolgimento dei fatti lasciava sospettare l’esistenza nel Clipper e/o in EES di funzioni nascoste che avrebbero facilitato le attività di intercettazione e di decifrazione delle comunicazioni. A fianco di queste nobili preoccupazioni si posero quelle più “terrene” delle aziende del settore, preoccupate delle reazioni dei clienti stranieri che non avrebbero di certo acquistato un prodotto basato su protezioni che le agenzie investigative statunitensi potevano facilmente aggirare.

Del resto, è lo stesso nome dello standard a suscitare preoccupazione: la parola Escrowed deriva dal verbo to escrow che significa “consegnare qualcosa a qualcuno”. Il “qualcosa” sono le due chiavi che consentono di decifrare il messaggio, il “qualcuno” sono due entità che dovrebbero consegnare le chiavi agli investigatori solo in presenza di specifiche indicazioni provenienti da un pubblico potere. In questo modo – teoricamente – si proteggerebbero le comunicazioni da intercettazioni abusive (perché Clipper le rende incomprensibili) e si consentirebbe alle autorità di essere sempre e comunque in grado di sapere chi dice cosa. Praticamente, invece, poiché non viviamo nel mondo dei sogni, questo significa indebolire deliberatamente, a favore di una sola parte (e senza difesa alcuna per l’altra) la riservatezza dell’intero sistema delle comunicazioni.

L’iniziativa di CPSR, EFF e delle altre associazioni che nel frattempo si erano aggregate alla battaglia contro EES provocò un ritardo di un anno nel rilascio dello standard e un accanito confronto con il governo all’esito del quale molte aziende dichiararono che avrebbero preferito ad EES, l’algoritmo RSA sviluppato, dalla RSA Data Security, molto robusto ma soprattutto privo di qualsiasi “debolezza istituzionalizzata”.

Il 4 febbraio 1994 non ostante gli enormi sforzi congiunti di questa atipica alleanza fra imprese e associazioni per la tutela dei diritti civili , il Clipper divenne lo standard federale per le comunicazioni telefoniche, mentre – magra consolazione – non se ne stabilì l’obbligatorietà nel settore privato.

Fa riflettere la considerazione di Laura Gurak sull’esito di questa vicenda, che rappresenta – in fondo – una sconfitta dei cosiddetti privacy advocates: …da un lato, le azioni promosse tramite la Rete hanno creato una diffusa consapevolezza sullo standard crittografico governativo. Dall’altro, non ostante la petizione di CPSR, il Clipper e lo EES furono adottati dal governo.

Digital Telephony Proposal

Pressocchè analoga – da un punto di vista concettuale – è la sequenza di avvenimenti che ha portato all’emanazione nel 1994 della Digital Telephony Proposal, poi rinominata CALEA (Communication Assistance for Law Enforcement Act)

Facciamo un passo indietro: siamo nel 1992 e la concorrenza nel settore delle telecomunicazioni – liberato dal monopolio di AT&T fin dal 1982 – con il passare del tempo aveva consentito la proliferazione di numerose compagnie telefoniche. Nuove tecnologie nella costruzione degli switch consentivano enormi economie di scala rendendo possibile l’ingresso nel business anche a piccoli operatori.

Dal punto di vista delle law enforcement agencie (FBI, NSA, CIA…?) questo significava soltanto una cosa: altri apparati da conoscere, troppi soggetti con i quali avere a che fare. In breve, un enorme aumento delle difficoltà sia tecniche sia operative nelle intercettazioni di qualsiasi tipo di comunicazione.

Furono queste le ragioni che spinsero il FBI ad elaborare e proporre una legge – la DTP, appunto – che avrebbe risolto in un colpo solo tutti questi problemi. L’idea era quella di imporre alle compagnie telefoniche la realizzazione delle centrali in modo da facilitare le intercettazioni da parte dei poteri pubblici, entro 18-36 mesi (a seconda del tipo di forntire di servizi di telecomunicazioni) dall’emanazione del provvedimento e con i costi totalmente a carico delle copagnie stesse (e quindi, in ultima analisi, a carico degli utenti).

La cosa interessante di questa proposta è l’assoluta mancanza di riscontro circa le lamentate difficoltà nell’esecuzione delle intercettazioni; in altri termini, sembra che non ci fossero prove della ridotta capacità operativa del FBI.

L’amminstrazione Bush si fece tramite con il Congresso di questa proposta, ma siccome nessun componente vole assumersi la responsabilità di presentarla, nel giro di pochi mesi cadde nel dimenticatoio, non senza avere suscitato durissime reazioni dei “soliti mastini” del CPSR e forti perplessità nelle imprese che vedevano a rischio investimenti e profitti.

La stroncatura sul nascere della DTP non fu un evento inaspettato per il FBI che aveva valutato nel 30 % le possibilità di successo al primo round , anche perchè un risultato era stato comunque raggiunto: costringere un po’ di gente a credere che le difficoltà di intercettazione (all’epoca ancora inesistenti) fossero un problema da risolvere aumentando i poteri dei Feds.

Tanto tuonò che piovve. Nel 1994 il FBI prepara un’edizione riveduta e corretta (più nella forma che nella sostanza) della DTP che questa volta si chiama Digital Telephony and Communications Privacy Improvements Act. Rispetto alla versione precedente, l’efficacia della legge viene limitata ai common carrier e viene previsto uno stanziamento di 500 milioni di dollari per coprire i costi sostenuti dalle aziende (certo – detto per inciso – ci vuole una gran faccia tosta o un sense of humour (nero) paricolarmente spiccato per chiamare “legge sul potenziamento della riservatezza ecc. ecc.” qualcosa che aggiunge ad ogni telefonata una terza cornetta…)

Nel frattempo prosegue senza sosta l’azione di lobbiyng da tempo inziata, che culmina nella relazione presentata alle competenti sottocomissioni del Parlamento da Louis Freeh, capo del FBI, dove si legge di 183 casi di difficoltà nell’eseguire intercettazioni disposte dalla magistartura e – come un virus polimorfo – la Digital Telephony Proposal diventata poi Digital Telephony and Communications Privacy Improvements Act giunge alla sua forma attuale: CALEA.

Il testo di questa lege recepisce appieno le indicazioni contenute nelle sue precedenti forme (pur non applicandosi alla posta elettronica e più in generale ai sevizi internet) e contiene una specifica previsione sul ruolo del provider nella decifrazione delle comunicazioni. Stabilisce la Sec. 103 lett. b) n.3 (intitolata: Crittografia): … un carrier non è rsponsabile della decifrazione o del garantire la possibilità del governo di decifrare qualsiasi comunicazione cifrata dal cliente o dall’abbonato, a meno che la crittografia non sia offerta dal carrier stesso, ed egli abbia le informazioni necessarie a decifrare.

Viene inoltre confermato lo stanziamento di 500 milioni di dollari a favore dei carrier per fronteggiare i costi delle modifiche agli apparati rese necessarie dai nuovi standard di sorveglianza, la cui individuazione è formalmente attribuita all’Attorney General Janet Reno che però decide che il FBI, l’agenzia che ha partorito il CALEA e che ha manovrato per farlo approvare, sia incaricato di fissare questi parametri.

Ottenuta questa vittoria il FBI non si lascia crescere l’erba sotto i piedi e comincia immediatamente a servirsi dei poteri conferitigli dall’Attorney General . Interpretando in modo molto personale le disposizioni del CALEA il FBI richiede ai carrier di mettersi nelle condizioni tecniche di poter intercettare ben 30.000 linee telefoniche per anno e di strutturarsi – peraltro in chiara violazione della Sec.103 lett.a) n.2 B – in modo da individuare tempestivamente la locazione fisica di chi telefona da un cellulare.

“Relazioni esterne”

L’attività di lobbiyng del FBI non si conclude con il CALEA, ma prosegue inarrestabile nel corso degli anni, cogliendo ogni occasione – specie se particolarmente drammatica – per invocare ulteriori ampliamenti dei già notevoli poteri di intercettazione . Senza limitarsi ai patrii confini, inoltre, i “contatti” di questo ufficio hanno avuto significative “propagini” anche in Europa e in paricolar modo in Inghilterra.

Crittografia ed intercettazioni continuano ad essere due fili più intrecciati del DNA e le decsioni prese in un settore si riverberano automaticamente sull’altro.

Da tempo infatti gli Stati Uniti hanno in piedi un progetto di monitoraggio su scala mondiale delle comunicazioni degli altri paesi, il cui nome in codice è Echelon. E’ abbastanza evidente che se all’estero fosse disponibile con troppa facilità della crittografia forte, le operazioni di intercettazione potrebbero essere fortemente compromesse. Questa è una ulteriore, possibile spiegazione del perché tutt’ora l’esportazione di apparati crittografici sia oggetto di una regolamentazione molto rigida.

Le regole sull’esportazione della crittografia: la politica interna e l’accordo di Wassenaar

Non era semplice percorrere questa via perché – fra l’altro – la Costituzione degli Stati Uniti impedisce pratiche generalizzate di questo tipo, a meno che non ricorrano gravi motivi per limitare o escludere i rapporti commerciali con questo o quel paese.

Certo, se si trattasse di armi da guerra non ci sarebbero grossi problemi… sicurezza nazionale, pericoli per gli interessi della nazione, necessità di intelligence preventiva, tutti ingredienti che avrebbero garantito porte aperte a qualsiasi forma di restrizione, visto che lo Arms Export Control Act (una delle due leggi che regolano l’esportazione di prodotti verso altre nazioni ) consente al Dipartimento di Stato di regolare la commercializzazione di qualsiasi cosa sia classificabile come arma e/o munizione da guerra.

Le regole sono chiare: se qualcosa è presente nella “lista nera” allora non c’è storia: fuori dai patrii confini non si esce.

Equiparando gli algoritmi crittografici forti alle munizioni da guerra il gioco era fatto, e l’esportazione di prodotti basati su questa tecnologia era consentita solamente a patto di utilizzarne forme molto deboli, in grado di garantire ai potenziali clienti un minimo di sicurezza contro malintenzionati sprovveduti, ma non così forti da resistere all’attacco di soggetti economicamente e tecnicamente ben dotati; a voi l’arduo compito di inovinare quali!

Resta da chiedersi il perché di una regolamentazione che – ora con l’Internet e prima con i BBS – è aggirabile pressochè impunemente: probabilmente l’obiettivo più importante è quello di rallentare la diffusione generalizzata di sistemi crittografici sufficientemente forti da costituire uno sbarramento per la selezione del traffico e la formaizoni di standard internazionali.

L’evoluzione della Rete, le inevitabili necessità commerciali che iniziano ad essere sempre più pressanti e il rischio di perdere terreno nel settore richiedono tuttavia una politica più flessibile e portano l’Amministrazione degli Stati Uniti – il primo ottobre 1996 – ad annunciare un piano d’azione diretto a rendere più facile per i cittadini americani l’uso di crittografia forte.

In sintesi, lo scenario ipotizzato prevede una key management infrastructure centrale con il massiccio impiego di sistemi di key recovery e key escrow per sviluppare – dicono – il commercio elettronico, salvaguardando nello stesso tempo le esigenze di sicurezza nazionale. Secondo la tabella di marcia l’intero motore dovrebbe funzionare a regime entro due anni dall’approvazione della legge, essendo nel frattempo consentita l’esportazione di crittografia basata su DES a 56 bit o equivalente a condizione che le aziende che hanno ottenuto la licenza si impegnino a produrre tecnologia escrow-based ed a contribuire allo sviluppo della key management infrastructure, una specie di enorme San Pietro digitale.

Il 22 settembre 1998 viene emanata una interim rule che facilita l’ottenimento delle autorizzazioni per banche e più in generale per il settore finanziario che possono esportare verso 45 paesi i prodotti crittografici (esclusi i cripto-telefoni ed assimilati) senza meccanismi di key recovery

Il 31 dicembre 1998 una successiva interim rule stabilisce ulteriori “allentamenti” dei controlli in uscita, concedendo ad esempio libertà di esportazione verso tutti i paesi per i prodotti che usano crittografia a 56 bit (o inferiore) o chiavi asimmetriche fino a 1024 bit, o stabiilendo specifiche eccezioni per il commercio elettronico allo scopo di facilitare le transazioni elettroniche sicure fra venditori e clienti.

Nelle idee del governo americano è tuttavia ben chiaro il fatto che un controllo efficiente sulla diffusione di crittografia forte in altri paesi (amici e nemici) richiede necessariamente uno sforzo a livello dicooperazione internazionale.

Non ostante le numerose concessioni degli ultimi tempi, infatti, la crittografia viene ancora considerata dagli Stati Uniti un “oggetto” da tenere sotto stretta sorveglianza, un modo di vedere comune a molte altre nazioni (trentuno , per la precisione) che nel 1996 sottoscrivono l’Accordo di Wassenaar sul controllo delle esportaizoni di armi convenzionali e prodotti e tecnologie dual-use come – sostengono i firmatari dell’accordo – la crittografia.

L’accordo – almeno in teoria – non si applica al software crittografico destinato al mercato di massa e ai programmi di pubblico dominio, ma in pratica alcuni paesi , fra i quali appunto gli Stati Uniti, hanno applicato regolamentazioni più restrittive, stabiliendo limitazioni anche su queste categorie.

Dai negoziati per la revisione dell’accordo svoltisi a Vienna il due e tre dicembre 1998 (in Italia la materia è di competenza del Ministero del Commercio Estero ) non sono venuti fuori sostanziali modifiche all’impianto generale, pur essendo liberalizzata l’esportazione di prodotti che usano crittografia a 56bit e software e hardware destinati al mercato di massa che funzionano con crittografia a 64bit. Vengono inoltre facilitate le esportazioni di prodotti che usano la crittografia per proteggere i diritti di proprietà intellettuale; per tutto il resto ci vuole un’apposita autorizzazione.

Nulla è invece cambiato per il software di pubblico dominio ma ci sono alcune curiose omissioni: nessuno si è posto il problema della possibilità di esportare i programmi tramite l’internet, né quello di regolamentare l’esportazione di crittografia asimmetrica.

Contro l’Accordo di Wassenaar è in corso una campagna internazionale alla quale aderiscono ventiquattro associazioni per la tutela dei diritti civili riunite nel progetto Global Intgernet Liberty Campaign le quali mettono in discussione il presupposto che la crittografia sia da considerare un’arma.

L’impegno internazionale profuso da questo gruppo di associazioni, a parte l’indubbio valore di testimonianza e sensibilizzazione sul problema non ha (ancora) prodotto effetti significativi… sembra proprio che quando si parla di “cose serie” anche in Europa – come già hanno dimostrato in America le vicende del Clipper e del CALEA – la voce di chi lotta per la tutela dei diritti civili non riesce ad arrivare ai “piani alti”… sarà un caso?

Echelon vs Enfopol

Nel frattempo – mentre la Pax crittografica si estende a mezzo mondo, la convergenza strategica fra Stati Uniti, Europa ed altri paesi del Commonwealth continua anche sul versante delle intercettazioni delle comunicazioni, come testimonia il documento diffuso da StateWatch:

L’Unione Europea in collaborazione con il FBI americano sta per attivare un sistema di sorveglianza globale delle comuncazioni per combattere “gravi crimini” e per proteggere la “sicurezza nazionale”, ma per fare questo hanno creato un sistema in grado di controllare chiunque e qualsiasi cosa. L’Unione Europea – insieme ai suoi partner – sarà in grado di analizzare l’etere di tutto il mondo alla ricerca di pensieri “sovversivi” e punti di vista “dissidenti”

“Sembra incredibile che – viste le preoccupazioni sul Police Bill in Inghilterra e sul Clipper Chip negli USA, non ci sia stato alcun dibattito sulla creazione di un sistema di intercettazione globale ad opera di Stati Uniti, Unione Europea con il supporto di Australia, Canada, Hong Kong e Norvegia. Il Parlamento inglese, come molti altri nell’Unione Europea, sono stati scavalcati nel modo più evidente

Nel primo incontro fra i Ministri della giustizia e dell’interno, svoltosi a Bruxelles il 29 e 30 novembre 1993 a proposito di questo progetto chiamato “Enfopol” venne adottata una risoluzione dai contenuti assolutamente eloquenti: il Consiglio decide di affidarsi al gruppo di esperti per confrontare le richieste degli Stati membri dell’Unione con quelli del FBI e accetta che le richieste degli Stati membri dell’Unione siano estese anche ai paesi che hanno partecipato all’incontro con il FBI a Quantico (il centro di ricerca del FBI, n.d.a.) per evitare che la discussione sia basata esclusivamente sulle richieste del FBI

Il risultato di questi incontri – così come viene ricostruito – dal rapporto di StateWatch è sorprendentemente(?) analogo ai contenuti del CALEA: i fornitori di telecomunicazioni devono strutturarsi in modo da facilitare il lavoro di intercettazione dell’autorità giudiziaria e delle forze di polizia. Non solo: è anche previsto che i carrier debbano consentire la localizzazione fisica di chi chiama da un telefono cellulare, la decisione che il FBI non era riuscito ad imporre al legislatore americano ora diventa un obiettivo strategico dell’Unione Europea.

Se Enfopol non è ancora realtà, è – al contrario – assolutamente concreto e tangibile il progetto Echelon, un progetto di sorveglianza su scala mondiale concepito e coordinato dalla NSA per intercettare fax , telex e telefonate internazionali.

L’iniziativa è in piedi già dagli anni ’80 e coinvolge, oltre agli Stati Uniti, anche l’Australia, il Canada, l’Inghilterra e la Nuova Zelanda nell’attuazione di un progetto più ampio che venne deciso da questi paesi nel 1948.

Gli enti governativi coinvolti in Echelon sono (oltre alla NSA per l’America): il Government Communications Security Bureau (GCSB) in Nuova Zelanda, il Government Communications Headquarters (GCHQ) in Inghilterra,il Communications Security Establishment (CSE) in Canada e il Defence Signals Directorate (DSD) in Australia.

Più che una fiocina, Echelon è simile ad una rete da pesca: non intercetta le comunicazioni di uno specifico individuo, ma tiene sotto controllo – ovviamnene grazie ai computer – tutto il traffico alla ricerca di parole chiave.

Le tre componenti principali di Echelon sono – secondo Nicky Hager – il monitoraggio (affidato alla stazione di Morwenstow in Cornovaglia per quanto riguarda Europa, Oceano Atlantico e Indiano) dei stelliti per le telcomunicazioni internazionali; quello dei satelliti per comuicazioni “locali” (nei punti di ascolto di Menwith Hill in Yorkshire e Bad Aibling in Germany); la sorveglianza delle comunicaizioni via cavo o via etere.

Ciascun punto di ascolto fornisce agli altri i “dizionari” di parole, frasi, persone e luoghi da “marcare” e il risultato è recapitato al paese che ha richiesto il “servizio”.

Da quando Echelon è stato scoperto non sono mancate reazioni da parte di alcuni paesi oggetto delle “attenzioni” di questi sistemi: il 19 gennaio 1999 il Primo Ministro francese Lionel Jospin annuncia un clamoroso mutamento nella politca dell crittografia, che da fortissime limitazioni viene praticamente (anche se non del tutto) liberalizzata. Scrive il quotidiano Le Monde del 21 gennaio successivo:

La “Linea Maginot” della crittografia è stata infine abbandonata. In nome della pubblica sicurezza, la crittografia era stata concepita nel 1996 per permettere alla polizia e ai servizi segreti di rompere i codici usati dai criminali o dai terroristi sull’internet. Liberalizzando l’uso della cifratura, Lionel Jospin attribuisce priorità alla lotta contro la “guerra elettronica”, i cui effetti sono giudicati molto più preoccupanti per la sicurennza . in senso lato – del paese. «Visto lo sviluppo dei mezzi di spionaggio elettronico, rileva Matignon, la possibilità di criptare le comunicazioni appare una risposta efficace per proteggere la riservatezza delle comunicazioni e della vita privata.»… Sono quindi stati implicitamente tirati in ballo i sistemi di intercettaizone realizzati dai concorrenti della Francia e in particolar modo il network Echelon….

Morale

Insomma… tocca rassegnarsi e cominciare a fare l’abitudine al fatto che quando Echelon ed Enfopol cominceranno a funzionare insieme, ogni nostra conversazione avrà almeno un paio di “portoghesi” in ascolto…

Possibly Related Posts: