Sicurezza

Google e privacy: può davvero difenderci dagli spioni?

L’azienda ha promesso di aumentare le misure di sicurezza per Gmail con la crittografia "end-to-end". Ma potrebbe non bastare

– Credits: Yuri Samoilov, Flickr

Solo qualche giorno fa Google ha introdotto la crittografia “end-to-end” per tutti gli iscritti a Gmail. Questo vuol dire che i messaggi di posta elettronica inviati (e ricevuti) dagli utenti del servizio sono protetti sia in uscita che in ingresso, cioè non leggibili da occhi indiscreti. Quello che succede quando si entra in possesso di un’email del genere, è che ci si trova davanti ad un messaggio incomprensibile, che può essere tradotto solo dal destinatario finale e da nessun altro, nemmeno dalla stessa Google.

Come evidenzia il Guardian , molti potrebbero chiedersi come mai l’azienda c’abbia messo così tanto a integrare la crittografia “end-to-end” nel suo client di posta. Qualcuno potrebbe tirare in ballo la NSA, che in questo modo potrebbe essere incapace di leggere il contenuto dei messaggi, altri la politica commerciale di Google, per cui le persone che utilizzano le sue piattaforme ricevono annunci pubblicitari cuciti su misura proprio grazie alle tracce lasciate in rete e, anche se non è stato mai dichiarato, all’interno delle email.

Con l’introduzione di questo nuovo tipo di crittografia le carte in tavola cambiano notevolmente. Google afferma che in questo modo nessuno potrà più leggere le conversazioni via email di due o più interlocutori, se non gli stessi destinatari dei messaggi. Ma è tutto vero?

La tecnologia che utilizza Google è stata sviluppata nel 1991 da Phil Zimmerman. In quell’anno l’autore rese disponibile il programma per computer PGP per camuffare le comunicazioni digitali. Il problema è che sia il mittente che il ricevente dovevano non solo possedere una copia del software ma anche sapere come usarlo per crittografare e leggere i vari messaggi. Funzionava (e funziona) in questo modo: ogni utente ha due serie di numeri (molto lunghi) che rappresentano le chiavi per crittografare/decriptare il messaggio. Una serie è privata, l’altra può essere condivisa con il destinatario della comunicazione. In questo modo il messaggio viene tradotto solo da chi possiede la chiave privata utile a combaciare con quella pubblica che servirà, dopo un primo processo di verifica, a leggere i dati.

Ogni chiave pubblica è legata ad un nome utente o un indirizzo email, quindi non può essere riutilizzata per accedere a combinazioni diverse di dati. Il motivo per cui i grandi nomi del web non hanno utilizzato un sistema del genere è che il suo processo non è (come si può ben intendere) così semplice e renderebbe lo smistamento delle email davvero complicato.

Il piano di Google è stato rendere più accessibile il sistema PGP incorporandolo come estensione sul browser proprietario Chrome. In linea di principio è una grande idea, ma vediamo come funziona davvero. Resta la necessità che gli utenti conservino una chiave privata che, almeno in teoria, diventerà come una grande password da conservare in un posto ben sicuro e chiuso. Questa chiave diventerà l’unico metodo per leggere le email inviate con lo stesso metodo PGP. Rubarla servirebbe solo per spiare le conversazioni e non per entrare negli altri servizi di Google (YouTube, Maps, ecc.).

Con tale presupposto gli attacchi informatici dovranno diventare maggiormente mirati. Non basterà rubare l’account di Google per entrare all’interno delle comunicazioni, oppure spingere gli utenti a rispondere ad una mail di Big G dove chiedere di immettere le informazioni di accesso per i suoi controlli (ovviamente falsi). Per leggere le conversazioni dei cittadini servirà quella serie di numeri da associare alla chiave pubblica, che dovrà a sua volta essere rubata dal computer (o da qualsiasi dispositivo) in possesso di un utente.

Basterà a far desistere gli spioni? In realtà no. Un esempio è il Power Act britannico del 2000  che ha dato al ministro degli interni il potere di esigere la consegna delle chiavi di crittografia utilizzate per le comunicazioni digitali; il rifiuto potrebbe costare fino a due anni di reclusione. E così anche la super-invenzione di Google diventa, tutto d’un tratto, piccolissima. In parole povere l’introduzione della crittografia “end-to-end” rende di certo Gmail più forte ma non del tutto inaccessibile agli occhi delle agenzie di sicurezza. Ed ecco che ci si ritrova di nuovo al punto di partenza: non basta migliorare le tecnologie, servono leggi in grado di far rispettare quello che è sempre stato nostro: la privacy.

 
© Riproduzione Riservata

Commenti