Posts Tagged ‘governo’

Su skype, intercettazioni e crittografia

febbraio 24, 2009

Donna skypeDa qualche giorno a questa parte il sito di repubblica sta dando una certa visibilità ad un’inchiesta e a varie notizie ad essa correlate, a proposito dell’uso del popolare software skype da parte della criminalità organizzata, e di eventuali contromisure che il governo italiano, o l’Europa dovrebbero intraprendere per arginare il fenomeno.
Per farla breve questi signori (il ministro Maroni in Italia, e tale Carmen Manfredda a livello comunitario, peraltro in conflitto tra loro stando agli articoli di repubblica) avrebbero creato una “task force” avente lo scopo di capire come intercettare le comunicazioni via skype. E qui emerge la grande ignoranza di Maroni & company, che prima di parlare farebbero bene ad informarsi: a livello tecnico l’operazione, per usare un eufemismo, è estremamente onerosa, visto che il client skype, oltre a cifrare tutti i pacchetti (voce, chat e segnalazione), è esso stesso crittografato, e quindi non è possibile nemmeno effettuare un reverse engineering sul binario, come hanno mostrato gli hacker di blackhat in una presentazione del 2006 (vedi qui per una sintesi in italiano). Skype sostiene di usare AES a 256 bit come algoritmo di cifratura del segnale vocale, anche se l’implementazione è totalmente ignota e potrebbe quindi contenere bug o addirittura backdoor introdotte intenzionalmente. Supponendo che sia esente da bachi, la decifrazione a forza bruta di un pacchetto cifrato con un simile algoritmo richiede potenze di calcolo immense e tempi moooolto lunghi (anni). Basti pensare che NSA (National Security Agency americana) ritiene AES 256 una tecnologia adeguata a proteggere documenti classificati top secret! Stiamo parlando quindi di un sistema di livello militare o quasi…
Pertanto escluderei sinceramente la via “tecnica”. A questo punto si prospettano due possibili “soluzioni”: o vietano la strong encryption in ambito civile tout court (come avviene ad esempio in Cina), oppure tentano di ottenere delle backdoor da skype (ammesso che esistano). Dovendo proprio scegliere, propenderei per la seconda ipotesi, che peraltro mostrerebbe una volta di più i limiti intrinseci della “security through obscurity“.
Se si affermasse invece un approccio di tipo legislativo, dopo la crociata contro skype potrebbero finire nel mirino molte altre tecnologie, ormai di uso comunissimo, come VPN, ssl, pgp…insomma qualsiasi cosa abbia a che fare con la crittografia! Il che sarebbe un assurdo, se pensiamo ai servizi che fanno uso di queste tecnologie (home banking, email, gambling on line, telelavoro…).
Accantonando per un attimo il paradosso che vuole paladino delle intercettazioni VoIP lo stesso governo che ha abolito le intercettazioni telefoniche per molte fattispecie di reato, dobbiamo renderci conto che la tecnica delle intercettazioni telefoniche è ormai obsoleta de facto. E ricordiamo che morto uno skype se ne fa un altro! Banalmente anche il protocollo SIP può essere abbinato a tecniche crittografiche (es. ZRTP, SRTP); e quando anche i produttori di telefoni VoIP integreranno queste soluzioni, cosa faranno i nostri governanti?

Aggiornamento 27 febbraio: Skype ha dichiarato che collaborerà con le forze dell’ordine. Il comunicato è stringato, staremo a vedere di che si tratta…