Per anni gli esperti di cybersicurezza hanno messo in guardia sui rischi posti da sistemi di comunicazione insicuri e obsoleti, e le conseguenze devastanti del Salt Typhoon sottolineano quanto la situazione sia diventata grave. L’hack di Salt Typhoon, definito anche come il peggior hack nella storia degli Stati Uniti, ha portato a un notevole e a lungo atteso cambiamento di politica negli Stati Uniti.

La Cybersecurity and Infrastructure Security Agency (CISA) ha ora raccomandato l’utilizzo di servizi crittografati Ende-zu-Ende per comunicazioni sicure, e soprattutto di quelli che non raccolgono o memorizzano metadati. Questa mossa è significativa non solo perché convalida ciò che i sostenitori della privacy affermano da anni, ma anche perché per la prima volta i funzionari del governo statunitense chiedono a tutti di utilizzare la crittografia. Nel documento “Mobile Communications Best Practice Guidance” la CISA afferma che:

“1. Utilizzare solo comunicazioni crittografate Ende-zu-Ende”.

La CISA cita specificamente l’app di chat Signal come alternativa sicura, non solo per la sua crittografia Ende-zu-Ende a prova di quantum, ma anche perché gli utenti dovrebbero “valutare la misura in cui l’app e i servizi associati raccolgono e memorizzano metadati”, che nel caso di Signal è molto ridotta.

La battaglia contro la crittografia Ende-zu-Ende

Storicamente, il governo statunitense ha avuto un rapporto molto diverso con la crittografia Ende-zu-Ende.

Sia i politici che le agenzie governative hanno spesso dipinto la crittografia come un ostacolo alle forze dell’ordine piuttosto che come una salvaguardia della privacy individuale. Più volte i politici hanno cercato di costringere le aziende tecnologiche che offrono una crittografia sicura ad accedere a backdoor, affermando che “l’accesso per i buoni” dovrebbe essere possibile per prevenire attacchi terroristici o lo sfruttamento sessuale dei bambini.

Gli sforzi per minare la crittografia forte sono stati persistenti per tutto il tempo in cui è esistita la crittografia Ende-zu-Ende.

Le “guerre crittografiche” degli anni ‘90

Agli albori di Internet e poco dopo l’invenzione della crittografia PGP, che per la prima volta consentiva di inviare e-mail criptate su Internet, il governo statunitense si oppose all’esportazione di tale tecnologia. Il governo statunitense sosteneva che una tecnologia come il PGP avrebbe permesso a chiunque - compresi gli avversari stranieri - di proteggere le proprie comunicazioni da occhi indiscreti, in particolare dai servizi segreti statunitensi.

Di conseguenza, le norme governative statunitensi sulle esportazioni vietarono l’esportazione di sistemi crittografici con chiavi a 128 bit, come la crittografia AES/RSA di PGP. L’atteggiamento verso la crittografia negli Stati Uniti era diviso: Da un lato, gli esperti di crittografia militare si concentravano esclusivamente sull’impedire agli avversari di accedere a informazioni sensibili, assicurandosi di utilizzare una crittografia forte per tali informazioni. Dall’altra, i funzionari volevano accedere alle comunicazioni straniere.

Tuttavia, una backdoor per la crittografia non è mai stata introdotta nel PGP e la crittografia Ende-zu-Ende forte viene utilizzata ancora oggi, ora anche con algoritmi resistenti ai quanti.

Apple contro FBI (2016)

Il governo degli Stati Uniti vuole un accesso backdoor agli iPhone di Apple. Gli hacker, i regimi repressivi ecc. sono in fila per ottenere anch’essi l’accesso.

La richiesta dell’FBI ad Apple di creare una backdoor per sbloccare l’iPhone dell’attentatore di San Bernardino ha scatenato un dibattito nazionale negli Stati Uniti. Il rifiuto di Apple ha evidenziato la tensione fondamentale tra privacy individuale e sorveglianza governativa.

Ad oggi, Apple è in grado di offrire ai suoi utenti una forte crittografia Ende-zu-Ende.

La legge “EARN IT” (2020)

Con il pretesto di combattere lo sfruttamento minorile, il governo statunitense voleva costringere le aziende che offrono servizi crittografati a compromettere la crittografia abilitando meccanismi di scansione con l’aiuto dell’EARN IT Act. I critici hanno avvertito che avrebbe di fatto messo al bando la crittografia forte, e l’EARN IT Act non è mai stato approvato.

Legge sull’accesso legale ai dati criptati (2020)

Introdotta come misura per garantire alle forze dell’ordine l’accesso ai dati crittografati durante le indagini, la legge sull’accesso legale ai dati crittografati mirava a imporre alle aziende la creazione di backdoor nei loro sistemi di crittografia. I fautori sostengono che sia necessario per la sicurezza pubblica, ma i critici sottolineano che tali backdoor indebolirebbero la crittografia per tutti, esponendo gli utenti ad attacchi informatici e alla sorveglianza. La proposta ha incontrato una notevole opposizione da parte dei sostenitori della privacy e dell’industria tecnologica e alla fine non è riuscita a ottenere consensi al Congresso.

Ogni tentativo di violare la crittografia ha sempre portato a un dibattito molto controverso sulla crittografia negli Stati Uniti negli ultimi decenni.

Ma ogni volta che qualcuno chiede un accesso backdoor alla crittografia, una cosa emerge con chiarezza:

Qualsiasi indebolimento deliberato della crittografia non solo compromette la privacy, ma espone gli utenti agli stessi tipi di attacchi dimostrati da Salt Typhoon.

Salt Typhoon: Un campanello d’allarme

Il successo di Salt Typhoon è stato determinato dallo sfruttamento delle debolezze delle reti di telecomunicazione (vecchie e obsolete). Sebbene l’attenzione si sia concentrata sulla portata dell’attacco, le sue implicazioni sono ancora più allarmanti. L’attacco ha rivelato che gli aggressori possono accedere a comunicazioni sensibili, raccogliere numerosi metadati e potenzialmente interrompere le infrastrutture critiche.

La violazione ci ricorda che la sicurezza delle comunicazioni non è scontata e che dobbiamo prendere decisioni intelligenti per assicurarci che le nostre comunicazioni online siano sicure, scegliendo servizi criptati come Signal e Tuta Mail, come raccomandato dalla CISA.

Una vittoria per la privacy

Noi di Tuta accogliamo con grande favore la nuova raccomandazione del CISA - non solo la accogliamo, ma la definiamo una vittoria a lungo attesa per la privacy.

Questa raccomandazione del CISA segna un cambiamento significativo e atteso nella politica degli Stati Uniti verso la priorità della privacy e della sicurezza nelle comunicazioni digitali. Per anni gli esperti hanno sottolineato l’importanza della crittografia Ende-zu-Ende e della conservazione minima dei metadati. È l’unico metodo sicuro che abbiamo per assicurarci che le nostre comunicazioni non possano essere monitorate. È incoraggiante vedere che questo aspetto viene finalmente compreso a un livello governativo così alto. La recente dichiarazione del CISA è il più forte sostegno alla crittografia che abbiamo mai sentito da parte di un’agenzia del governo statunitense.

In Tuta, il nostro obiettivo è dare agli utenti il pieno controllo sui loro dati. Implementando algoritmi di crittografia forti e sicuri dal punto di vista quantistico, utilizzando un’architettura a conoscenza zero e memorizzando il minor numero possibile di metadati sui nostri utenti, ci assicuriamo che i dati dei nostri utenti rimangano al sicuro, online e offline.

Perché la privacy è importante

La privacy è spesso considerata necessaria solo per coloro che hanno “qualcosa da nascondere”, ma questa narrazione ignora il ruolo fondamentale che la privacy svolge in una società democratica. La privacy è importante perché senza di essa la libertà di parola, la libertà di espressione e persino la libertà di pensiero sono a rischio. Giornalisti, attivisti e informatori si affidano a comunicazioni sicure per denunciare corruzione e ingiustizia.

Ma questa è solo una parte. Se siamo in grado di mantenere i nostri dati privati e riservati, possiamo proteggerli da qualsiasi tipo di sguardo indiscreto, non solo dagli avversari politici, ma anche da quelli economici. Le aziende dipendono dalla privacy attraverso la crittografia Ende-zu-Ende per proteggere i dati sensibili dalla concorrenza, dallo spionaggio aziendale e dai malintenzionati.

Salt Typhoon ha dimostrato cosa può accadere quando queste protezioni sono assenti. Questa violazione ha colpito soprattutto i politici - spiati dagli aggressori cinesi - ma chiunque potrebbe esserne vittima: privati, aziende, ONG, chiunque. L’hack di Salt Typhoon colpisce la sicurezza nazionale e la fiducia globale nelle infrastrutture di comunicazione critiche - e l’unico metodo che può tenerci al sicuro è la crittografia Ende-zu-Ende.

Invito ai politici a porre fine alle guerre crittografiche

La raccomandazione del CISA di utilizzare la crittografia Ende-zu-Ende è un passo nella giusta direzione, ma deve essere seguita dall’azione. I politici devono resistere ai futuri tentativi di indebolire la crittografia o di minarla con backdoor per i “buoni”.

Le guerre della crittografia devono finalmente finire!

I politici devono invece sostenere attivamente la crittografia Ende-zu-Ende e lo sviluppo di tecnologie sicure, nel loro stesso interesse.

Costruiamo un futuro digitale più sicuro. Combattiamo insieme per la privacy!