COS'È PGP?
di Luc@Pac
tratto da DECODER #9

A una manciata di anni dal nuovo secolo, Big Brother pare farsi più minaccioso. O meglio, quali diritti civili sulla frontiera elettronica?
La domanda è rimbalzata con preoccupazione nelle comunità virtuali del pianeta dopo le recenti mosse dell'amministrazione Clinton.
All'inizio di febbraio, c'è stato il varo della proposta-Clipper. Brevetto di proprietà AT&T, il computer chip così denominato dovrebbe diventare l'unico sistema di crittazione consentito sui sistemi di intercomunicazione made in Usa-compresi apparecchi telefonici, fax, computer. Le chiavi di decifrazione sarebbero possedute soltanto dalle agenzie federali, con conseguente ampio potere discrezionale nel loro uso (ed abuso).
Meno di un mese dopo, l'FBI annuncia la presentazione al Congresso di un disegno di legge per facilitare e ampliare la sorveglianza elettronica. Industrie costruttrici e compagnie telefoniche dovrebbero garantire lo spionaggio governativo inserendo opportuni congegni negli apparecchi e trasmettendo immediatamente i dati in loro possesso all'agenzia federale, pena pesanti multe e perfino la chiusura. Si tratta, in questo caso, della riproposizione di un elaborato della presidenza Bush già bocciato da politici e industriali nel 1992.
Ambedue le proposte sono state motivate con la necessità di un adeguamento tecnologico nella sempre più difficile lotta contro il crimine organizzato, in particolare narcotrafficanti e terroristi internazionali. A supporto di questa tesi, infatti, è stato spesso citato l'attentato dello scorso anno al World Trade Center di New York, che ha causato danni per oltre 5 miliardi di dollari.
Notevole l'allarme suscitato all'interno di piccoli e grandi network elettronici, come pure tra le associazioni per la difesa dei diritti civili.
Computer Professionals for Social Responsibility (CPSR), Electronic Frontier Foundation (EFF), ACLU (American Civil Liberties Union) hanno lanciato diverse iniziative per bloccare le due proposte, muovendosi sia a livello parlamentare e sia attraverso la sottoscrizione di petizioni pubbliche.
Le riviste specializzate si danno da fare per chiarire retroscena e implicazioni dei piani governativi: "Wired" ha preannunciato un infuocato numero anti-Clipper e articoli critici sono apparsi perfino sul "New York Times". "Ulteriore invasione della privacy o necessaria sicurezza per l'era dei computer?" chiedeva un pezzo sulla proposta dell'FBI; e ancor più chiaramente, William Safire, noto e temuto commentatore politico dello stesso quotidiano, ha scritto un editoriale dal titolo: Affondare il Clipper chip.
Ovviamente, c'è grande spazio per l'informazione e la discussione nelle comunità on-line. Numerosi i siti Internet dove è possibile trovare notizie utili, inclusi i testi ufficiali delle proposte governative (vedi altra parte della rivista), con talk.politics.crypto nei gruppi Usenet e The WELL (conf EFF, topic 555) che ospitano le tastiere più calde. Migliaia di proteste via e-mail sono arrivate direttamente sui videoterminali di Clinton e Gore, e il maggior numero di firme a sostegno della petizione anti-Clipper di CPSR arriva addirittura dal prestigioso Massachusetts Institute of Technology (MIT). Dibattiti, conferenze e incontri pubblici sono in calendario per le prossime settimane, mentre nuove iniziative sono in fase di progettazione, tra cui una clamorosa azione di disobbedienza civile elettronica. Questo il quadro della situazione, inizio primavera, anno 1994.
Un momento cruciale per il futuro della democrazia elettronica. Per la prima volta nella storia si tenta di legalizzare la costante intrusione dello Stato nella sfera privata e intima dei singoli. Siamo di fronte all'esplicito tentativo di codificare il controllo della libertà d'espressione e della privacy di ciascuno di noi. E se è pur vero che già oggi i nostri movimenti possono essere seguiti elettronicamente attraverso carte di credito, tessere telefoniche, e-mail e quant'altro, formalmente esistono delle garanzie costituzionali da rispettare. In ogni stato del mondo un'autorizzazione scritta è ancora necessaria per consentire a polizia e servizi segreti di origliare conversazioni telefoniche o perquisire proprietà personali, mentre diverse banche non consentono l'accesso della magistratura ai conti dei propri clienti. Ma nel cyberspace, l'elemento dove oltre 20 milioni di persone spendono attualmente gran parte del loro tempo, pare non debbano esistere garanzie.
Proprio come nel mitico Far West, la frontiera elettronica richiede passione, coraggio e inventiva. Bruce Sterling in Giro di vite contro gli hacker ha ben chiarito come il 95% degli hacker rispetti un preciso codice deontologico basato su professionalità, serietà e cooperazione, sfiorando a volte un ingenuo infantilismo. Grazie a queste bande di coraggiosi cybernauti il villaggio globale sta diventando realtà e si vanno aprendo le porte a interessi commerciali e culturali di enorme portata per l'intera popolazione del pianeta. Tuttavia, per gran parte delle società umane di fine secolo, si tratta solo di banditi senz'arte né parte, criminali informatici da perseguire anche a costo di calpestare ogni garanzia costituzionale: l'Operation Sundevil insegna.
E se a quattro anni dall'episodio il clima generale è cambiato (vedi i successi legali del caso di Steve Jackson, ad esempio), ancora molta strada resta da fare per garantire il rispetto dei diritti civili nel cyberspace.
Con le proposte legislative più sopra esposte, lo stato pretende di limitare e controllare idee, comunicazioni e movimenti di ciascuno di noi. Non si creda infatti che tale scenario interessi solo l'attuale minoranza di gente che vive tra monitor e tastiere. Presto la televisione interattiva sarà una realtà in ogni casa e molto probabilmente fra qualche anno potremo usare un unico apparecchio con comandi vocali per fare telefonate, collegarsi via modem, inviare fax, guardare la TV, fare acquisti. Forse tutto ciò sembra lontano per il Vecchio Mondo e ancor più per l'Italia, ma pensiamo soltanto a come ci sentiremmo se i servizi segreti elettronici avessero la facoltà di monitorare a piacimento il contenuto di ogni nostra telefonata o fax, avendo libero e legale accesso a informazioni personali o professionali. O anche se, grazie al Clipper chip, le nostre traversate notturne in cyberspace venissero registrate per "futura memoria". Certo, potremmo sempre ricorrere a mailer anonimi o altri sistemi criptici (PGP soprattutto) per le nostre comunicazioni via modem; ma non dimentichiamo che qui ci si riferisce anche ad apparecchi di uso comune, compresi telefoni, fax, computer. Potrebbero essere scoperti e registrati perfino i nostri gusti personali in fatto di videogames, compresi quelli a sfondo sessuale o violento.
E' inutile negare, infatti, che qualora queste misure dovessero venire approvate dal governo Usa, ben presto tutti gli altri stati si adeguerebbero. O, ancor peggio, si scatenerà una grossa bagarre commerciale a livello internazionale per imporre la migliore tecnologia di crittazione magari con standard diversi nei vari continenti ed enormi problemi per l'esportazione.
Riguardo infine la necessità di difendere la società dal crimine organizzato mediante maggiori controlli personali, l'esperienza ha dimostrato che i segreti governativi restano tali solo per brevi periodi e ci sarà sempre qualcuno che inventerà un sistema per verificarli e infrangerli, come testimoniano le continue intrusioni su Internet. Infine, come non dubitare dell'abuso di potere da parte di giudici e agenti segreti poco scrupolosi di eventuali direttive federali "garantiste"?
Nei prossimi mesi il futuro della democrazia elettronica sarà in ballo nelle aule del Congresso Usa. E' urgente attivarsi nella diffusione delle informazioni e delle possibili implicazioni future. Se le attuali proposte dovessero passare così come sono, si darebbe via libera a un reale scenario da Big Brother, giustificando intrusioni elettroniche nella nostra privacy da parte dello stato e impedendo la libera circolazione delle idee. Verrebbero così irrimediabilmente lesi i diritti civili basilari per le moderne democrazie del XXI secolo. Con gravi implicazioni per il "cittadino comune" così come per le prossime generazioni di ogni paese del mondo.
Si tratta di difendere l'essenza stessa della frontiera elettronica, impegnandosi per la costruzione del Bill of Rights del cyberspace. Qui e ora, prima che sia troppo tardi.

Come mai tanto casino a causa di un programma che è una semplice implementazione di algoritmi matematici studiati da anni?
La crittografia a chiave pubblica nasce per ovviare a uno dei principali inconvenienti della crittografia tradizionale: la disponibilità di un canale di comunicazione sicuro attraverso il quale scambiarsi la chiave di codifica/decodifica. Se A vuole mandare un messaggio segreto a B, tale che possa essere letto solo da quest'ultimo, A e B devono trovare il modo per concordare e scambiarsi una chiave; possono vedersi di persona o usare altri mezzi (telefono, radio, altro) ma in ogni caso esiste la possibilità che la chiave venga intercettata nel momento in cui passa da uno all'altro degli interlocutori.
La crittografia a chiave pubblica non fa uso di un'unica chiave comune a tutti i partecipanti, bensì di una coppia di chiavi personali specifiche per ciascun individuo. Ognuno genera in privato la propria coppia: una è la chiave privata che andrà tenuta segreta (e alla quale è associata per maggior sicurezza una parola d'ordine), l'altra è la chiave pubblica vera e propria che andrà diffusa in rete. Ogni chiave è costituita da stringhe di poche centinaia di byte, facilmente trasportabili nel cyberspace. Le due chiavi sono legate da una relazione algebrica, ma conoscendo la chiave pubblica non è in alcun modo possibile risalire a quella privata in tempi computazionali ragionevoli (diverse decine di anni di calcolo con la migliore tecnologia attuale).
Le due chiavi si dividono i compiti: quella pubblica codifica i dati, senza poterli decodificare; se A vuole comunicare con B, userà la chiave pubblica di B per crittografare il messaggio, sicuro che solo B è in possesso della corrispondente chiave privata (e della parola d'ordine) che consente di risalire al testo in chiaro. Naturalmente A deve essere in possesso della chiave pubblica di B e per questo motivo è interesse di B che la propria chiave pubblica venga distribuita il più possibile su tutti i canali del c-spazio, tanto più che essa ora può essere vista anche da terze parti "male intenzionate", che non essendo in possesso della chiave segreta non avrebbero comunque più la possibilità di decodificare il messaggio. Detto per inciso, questo ha fatto nascere una delle tante mode on-line: la configurazione personalizzata del proprio editor allo scopo di aggiungere la propria chiave pubblica alla fine di ogni messaggio immesso in rete; inoltre, sempre l'esigenza di diffondere il più possibile le chiavi pubbliche ha condotto alla creazione di archivi/database in cui si può eventualmente cercare la chiave di una persona specifica con cui si vuole comunicare in perfetta privacy - un primo tentativo in Italia in questo senso è stato intrapreso su BITs Against The Empire BBS (la tana di chi scrive).
Una seconda caratteristica della crittografia a chiave pubblica è la possibilità di firmare un messaggio con la propria chiave privata, lasciandolo in chiaro (senza necessariamente crittografarlo). Si tratta del processo inverso: B scrive un messaggio, lo sottopone a un algoritmo in cui vengono usati come argomenti la chiave privata (e la parola d'ordine) e il messaggio stesso; il risultato è una firma elettronica costituita da una stringa di caratteri che viene aggiunta in fondo al testo. A riceve il messaggio firmato, lo sottopone a verifica utilizzando la chiave pubblica di B e ottiene la conferma che solo B può averlo scritto.
I fondamenti della crittografia a chiave pubblica, cioè ciò che spiega come tutto questo sia possibile, vengono trattati in testi specifici reperibili nelle librerie scientifiche. Il software PGP è disponibile su molti nodi di Cybernet, in versioni eseguibili in ambiente MS-DOS, Amiga e UNIX, e sotto forma di codice sorgente compilabile su qualsiasi altra piattaforma hardware.
BIBLIOGRAFIA ESSENZIALE:
(tutti i documenti elettronici sono disponibili su vari nodi della rete Cybernet)
• PGP Pretty Good Privacy User's Manual (allegato al pacchetto PGP)
• David Chaum, Achieving Electronic Privacy, in "Scientific American", agosto 1992
• Chuck Hammil, From Crossbows to Cryptography: Thwarting the State Via Technology, documento elettronico, 1987
• Eric Hughes, A Cypherpunk's Manifesto, documento elettronico, 1993
• Timothy C. May, The Crypto Anarchist Manifesto, documento elettronico, 1988
pgp.htm - toppgp.htm - top