Oggi parliamo di crittografia, perché ultimamente stanno venendo fuori fatti un po' pesantucci, ed è bene che tutti sappiano a quali "geniali" menti siano affidati aspetti della nostra vita quotidiana che richiederebbero un livello di sicurezza quanto meno adeguato.

Parto dal presupposto che sappiate almeno vagamente di quello di cui sto parlando (magari datevi una letta al link che ho postato ad inizio articolo), quindi non mi dilungo in dettagliate spiegazioni sul tema. Il punto è questo: esistono algoritmi e tecniche crittografiche di pubblico dominio, collaudate da tantissimo tempo e sicure proprio perché i loro meccanismi sono conosciuti da tutti e possono essere migliorati da una enorme comunità di persone, ognuna in grado di contribuire da un punto di vista diverso rispetto a quello di tutti gli altri. A tal proposito cito il famoso e azzeccatissimo principio di Kerckhoffs, che recita: "un sistema crittografico dovrebbe essere sicuro anche se tutto ciò che lo riguarda, ad eccezione della chiave, è di dominio pubblico".

In quest'ottica capirete sicuramente che creare un sistema proprietario da zero e chiuderlo nella proverbiale "botte di ferro" per evitare la diffusione dei suoi segreti e dei suoi algoritmi vuole dire, in realtà, darsi la zappa sui piedi. Perché la logica che sta alla base del sistema verrà studiata solo da quel gruppo di persone che ci ha lavorato sin dall'inzio, e a cui può sicuramente sfuggire qualcosa (da che mondo è mondo uno degli aspetti della filosofia open source in ambito informatico è proprio questa). Perché la FORZA di un sistema di questo tipo sta proprio nell'essere a DISPOSIZIONE DI TUTTI, COMPRESI I NEMICI!

E allora io mi domando, per quale motivo si continua a voler creare il proprio sistema di crittografia, chiuderlo a riccio ricorrendo a quella stupida idea della Security through obscurity? Io non lo so, ma vi faccio soltanto due esempi.

1 - le RFID contenute nei famosi abbonamenti ai mezzi pubblici "da passare davanti al lettore" senza bisogno di strisciare la tessera. Molte aziende di trasporti (tra cui le Metro londinesi o i trasporti olandesi, e forse qualcuna anche in Italia) si affidano ad un algoritmo proprietario, il CRYPTO-1, che è stato recentemente craccato, permettendo in linea teorica la duplicazione e la falsificazione di qualsiasi tipo di tessera che faccia uso di chip RFID con quel tipo di crittografia. Pensiamo ai trasporti pubblici, ma anche per esempio alle carte di credito o ai sistemi di sicurezza per l'accesso agli edifici.

2 - i meccanismi di cifratura dei telecomandi di apertura delle automobili. Ogni volta che premete il pulsante sul telecomando, viene attivato un algoritmo che può far variare la chiave inviata via radio all'interno di uno spettro di miliardi di miliardi di possibilità. Il problema, anche qui, è che si tratta di un algoritmo proprietario e quindi poco sicuro. Uno studio condotto ha dimostrato che un semplice tentativo di crack a "forza bruta" di quel tipo di algoritmo richiederebbe solo un'oretta di tempo con un normale computer acquistabile per circa un migliaio d'Euro. Questo vuol dire che, mentre voi siete al Centro Commerciale, un malintenzionato con un portatile si siede accanto alla vostra macchina e ve la apre in meno di un'ora, senza lasciare traccia. Per metterla in moto si deve comunque scontrare con l'algoritmo del blocco di accensione, che è diverso da quello di apertura e forse più robusto, ma rimane il fatto che senza neanche toccare la vettura, il nostro ladro può tranquillamente entrarvi. Il sistema fallato, attualmente, "protegge" decine di modelli appartenenti a grossi gruppi come Chrysler, Daewoo, Fiat, General Motors, Honda, Toyota, Volvo, Volkswagen e Jaguar. E ho detto tutto.

Ora, porca miseria, ma ci vuole tanto ad accorgersi che in giro ci sono crittosistemi con la 'C' maiuscola, che vantano anni di onorata carriera alle spalle, di cui si conosce TUTTO e che, proprio per questo motivo, sono studiati continuamente da una marea di persone in tutto il mondo? A quanto pare sì ...