Di recente si è spesso parlato di end-to-end encryption in concomitanza dei recenti attacchi terroristici compiuti dai militanti dell’ISIS.

Secondo molti esperti proprio questa modalità di cifratura dei dati rappresenterebbe un ostacolo insormontabile per le investigazioni condotte dalle agenzie di intelligence per l’identificazione di cellule terroristiche sparse nel mondo.

Nel corso di un’audizione al Senato tenutasi la scorsa settimana, il direttore dell’FBI James Comey ha chiesto alle aziende IT che attualmente forniscono servizi agli utenti protetti da cifratura end-to-end di rivedere “il loro modello di business” e smettere di fornire tale modalità di protezione dei dati.

Ma cosa significa end-to-end encryption? Per quale motivo è di ostacolo alle indagini delle forze dell’ordine?

Con il termine End-to-end encryption (E2EE) si riferisce una modalità di comunicazione sicura tra due interlocutori attraverso un mezzo insicuro per definizione, come potrebbe essere una connessione Internet.

Il termine è spesso utilizzato anche per indicare l’archiviazione sicura di dati protetti da cifratura in un sopporto insicuro (untrusted) fornito da terze parti, come ad esempio un cloud storage.

In entrambe le accezioni, il fornitore di terze parti, sia esso un service provider oppure un cloud storage provider non ha accesso alle informazioni scambiate tra due interlocutori oppure memorizzate su un archivio, ciò significa che anche le forze dell’ordine non potranno avere accesso ai dati attraverso attività di sorveglianza autorizzate da una investigazione.

I processi di cifratura end-to-end encryption garantiscono quindi l’integrità dell’informazione e la confidenzialità dei dati trattati consentendo l’accesso solo a coloro che sono autorizzati.

Nell’implementazione dei sistemi di cifratura basati su End-to-end encryption le chiavi crittografiche sono memorizzate e gestite direttamente dagli interlocutori della comunicazione. Tipicamente sono archiviate direttamente nei computer o nei dispositivi mobili che usano applicazione basate su crittografia E2EE.

Va detto subito che stiamo riferendo processi di cifratura a chiave asimmetrica, ovvero in cui ciascun interlocutore è in possesso di una coppia di chiavi, una pubblica e l’altra privata.

end-to-end encryption crittografia asimmetrica

L’applicazione in uso dall’utente genera tale coppia di chiavi, mentre la chiave privata resterà sul dispositivo dell’utente e servirà per decifrare i messaggi ad esso indirizzati, la chiave pubblica è condivisa con l’interlocutore che la utilizzerà per crittografare tutti dati indirizzati all’utente.

Come spiegato in passato i messaggi crittografati con tale schema possano essere decifrati solo dall’utente in possesso della chiave privata accoppiata alla chiave pubblica utilizzata per cifrare i dati.

Le aziende che offrono servizi di cifratura end-to-end encryption quindi non potranno leggere i dati scambiati dagli utenti e cifrati con le chiavi in loro possesso, analogamente le forze dell’ordine non potranno leggere il contenuto dei dati scambiati pur accedendo ai server del service provider.

Il sistema di crittografia end-to-end più popolare è il Pretty good privacy (o PGP), sviluppato da Phil Zimmermann nel 1991.

Il PGP permette di scambiare messaggi di posta elettronica in totale sicurezza, certi che solo il destinatario possa leggerli.

Servizi estremamente popolari come WhatsApp, Telegram, TextSecure oppure Mailvelope implementano la cifratura E2EE, i dati scambiati attraverso questi software quindi non potranno essere acceduti da malintenzionati e polizia.

Concludo ricordandovi che la crittografia end-to-end encryption non ci mette completamente al riparo da attacchi informatici, un attaccante potrebbe compromettere uno degli end-point della comunicazione e rubare le chiavi memorizzate localmente. In questo scenario l’attaccante sarà quindi in grado di decifrare i dati inviati all’utente.

 


Pierluigi PaganiniAutore: Pierluigi Paganini

Membro del Gruppo di Lavoro Cyber G7 2017 presso Ministero degli Affari Esteri e della Cooperazione Internazionale
Membro Gruppo Threat Landscape Stakeholder Group ENISA (European Union Agency for Network and Information Security)
Collaboratore SIPAF – Prevenzione dell’ utilizzo del sistema finanziario per fini illegali – Ministero Dell’Economia e delle Finanze

15 COMMENTS