Il First Report on Encryption recentemente pubblicato dall’EU Innovation Hub for Internal Security contiene le line guida e i desiderata in materia di crittografia delle strutture unionali che si occupano di sicurezza e contrasto alla criminalità, ed evidenzia le contraddizioni irrisolte della libera disponibilità di tecnologie crittografiche di Andrea Monti – professore incaricato di Digital Law – università di Chieti-Pescara – Inizialmente pubblicato su Formiche.net
Il dibattito sulla crittografia, pur senza guadagnare le luci della ribalta, continua serrato nella comunità degli addetti ai lavori. Di nuovo, in realtà, non c’è molto perché non ci si è allontanati dalle posizioni che maturarono agli inizi degli anni ’90 relativamente alla necessità di avere crittografia indebolita, fornire alle forze di polizia accessi privilegiati alle centrali e alle reti telefoniche, progettare metodi che consentono l’interfacciamento con sistemi di intercettazione.
Da questo punto di vista, il First Report on Encryption è uno strumento utile per capire a che punto della curva si trova il processo di depotenziamento di alcuni utilizzi della crittografia che costituiscono un ostacolo a volte insormontabile per le attività delle forze di polizia e dei servizi di intelligence.
Il Report da’ conto della proposta di regolamento unionale sul client side scanning (cioè la perquisizione automatica, preventiva e indiscriminata di qualsiasi device prima di consentire l’invio di un messaggio criptato localmente), che ha suscitato maggiori polemiche nella società civile e, in parte, nell’industria, ma che non è l’unica e che, per certi versi, non è nemmeno la più complessa da gestire. Le difficoltà di imporre di una simile modalità di funzionamento, infatti, sono più di tipo normativo e politico che di natura tecnologica.
Maggior interesse, invece, suscitano altri punti del Report che identificano nella relazione con il settore privato (Big Tech, ma anche —più in generale— comunità tecnica indipendente) un elemento cruciale della futura strategia per rendere più efficace l’accesso ad informazioni cifrate.
La inarrestabile dipendenza istituzionale dal settore privato
In primo luogo, gli estensori del Report evidenziano l’inevitabile e crescente dipendenza degli inquirenti dal contributo degli operatori di telecomunicazioni e servizi di comunicazione elettronica. Questi soggetti già svolgono un ruolo essenziale per le attività di indagine che è quello della conservazione obbligatoria dei dati di traffico telematico dei propri utenti, ma questo non basta.
Oltre ai “classici” parametri su numero IP, data e ora del collegamento, utente che accede alla rete, user-agent e via discorrendo, sempre di più gli inquirenti hanno preso a fare affidamento sulle interrogazioni ai DNS (Domain Name System – cioè quei servizi che consentono di sapere a cosa l’utente stia cercando di collegarsi).
L’importanza investigativa di queste informazioni è evidente, ma la possibilità di prenderne cognizione è limitata dal fatto che le interrogazioni al DNS sono cifrate secondo standard definiti, da Big Tech come Google (DoQUIC) e Cloudflare (ODOH). Questo significa, rileva il Report, che “law enforcement will become more dependant of DNS service providers’ cooperation” (le forze di polizia diventeranno più dipendenti dai fornitori di servizi DNS).
Allo stesso modo, prosegue il Report, “l’uso della crittografia nelle tecnologie di telecomunicazione 4G (VoLTE) e 5G (Standalone 5G) complica la capacità delle forze dell’ordine e delle autorità giudiziarie di svolgere le indagini. Questi standard introducono la crittografia end-to-end (E2EE) per le chiamate vocali sulla rete, che complica l’intercettazione delle comunicazioni criminali nelle connessioni in roaming. Per questo motivo, è importante che i fornitori di servizi di comunicazione disabilitino le tecnologie di protezione della privacy nel routing interno.”
Queste considerazioni portano gli estensori dello studio a richiedere che le necessità di intercettazione e decifrazione siano considerate già a livello di progettazione degli standard tecnologici, arrivando a consentire (come peraltro le centrali telefoniche già facevano da tempo) un collegamento diretto degli investigatori al network dell’operatore.
Quantum computing, HPC e indagini di polizia
Un altro aspetto rilevante che emerge dal Report è il ruolo del quantum computing nelle attività di crittanalisi, cioè di “rottura” della cifratura di un messaggio senza conoscere la chiave di decifrazione. Il Report ritiene, infatti, che la mostruosa potenza di calcolo di cui dispongono questi elaboratori sia tale da rendere decrittabile in tempi ragionevoli ciò che oggi richiederebbe anche soltanto qualche decennio, se non addirittura secoli o addirittura millenni.
Dotarsi di questa tecnologia è, si ritiene, di importanza strategica per potenziare le capacità investigative delle strutture istituzionali. Ma questo, anche se il Report non lo dice, implica dover sciogliere almeno due nodi politici.
Il primo riguarda la scelta del se, come e con quale estensione applicare il noto principio “store now, decrypt later” in base al quale anche se non si possiede la capacità di decrittare il materiale acquisito, è sempre opportuno raccoglierlo per potersi avvantaggiare, in futuro, delle nuove possibilità offerte dal progresso, come appunto nel caso del quantum computing.
A parte il costo industriale di una retention generalizzata e indiscriminata anche solo del traffico cifrato sulle reti pubbliche, persino i più accaniti sostenitori della teoria dell’uomo di vetro difficilmente potrebbero accettare una opzione del genere.
Il secondo nodo che andrebbe sciolto è a chi rendere disponibili tecnologie come il quantum computing. Se, infatti, quando la loro evoluzione consentirà di utilizzarle per offrirle in modalità “as a service” come già avviene con l’intelligenza artificiale, è chiaro che queste tecnologie saranno disponibili anche ai criminali e non solo per utilizzi legittimi. Dunque, i regolatori potrebbero doversi trovare di fronte alla scelta di impedire non solo la commercializzazione generalizzata del quantum computing, ma anche di controllare la conoscenza necessaria per svilupparlo.
È chiaro che questa scelta avrebbe innegabili vantaggi dal punto di vista della superiorità tecnologica dello Stato sui criminali (o di alcuni Stati nei confronti di altri, come accade con il contenimento della proliferazione nucleare). Una soluzione del genere, tuttavia, avrebbe come conseguenza l’impossibilità di fornire servizi a una larga base di utenza e dunque comporterebbe la difficoltà di rendere sostenibili gli investimenti non solo per la ricerca e sviluppo nel settore.
L’obbligo di consegnare le chiavi di decifrazione come strumento complementare
Prima di avere architetture di quantum computing effettivamente disponibili sul mercato e concretamente utilizzabili bisognerà aspettare almeno una decina d’anni, e dunque ci sarebbe il tempo per valutare con la dovuta ponderatezza i pro e i contro delle opzioni sul tavolo. Nel frattempo, tuttavia, il problema dell’accesso alle informazioni cifrate rimane in tutta la sua gravità e dunque —veniamo all’ultimo aspetto rilevante del Report— si pone il problema di trovare una soluzione che possa funzionare nell’immediato.
Per quanto possa sembrare controintuitivo, parallelamente alla crittanalisi tecnica, si sta consolidando un approccio che potremmo definire “crittanalisi giuridica” cioè l’adozione di norme che rendono obbligatoria anche per l’indagato o il sospettato la consegna delle chiavi di decifrazione. Per esempio in Olanda, si legge nel Report, è già possibile ricorrere, senza l’autorizzazione del giudice, a un moderato uso della forza per indurre il sospettato a sbloccare l’accesso a un apparato protetto.
Tuttavia, una soluzione del genere si scontra con il divieto di autoincriminazione che è uno dei cardini dei sistemi giudiziari occidentali e un pilastro del rule of law. Questo è ancora più vero per quelle ipotesi che suggeriscono di prevedere una pena sufficientemente pesante da indurre alla cooperazione chi non consente di accedere alle informazioni cifrate, visto che rischierebbe in ogni caso di essere condannato a una lunga detenzione.
Conclusioni
Dalla lettura del Report emerge in modo abbastanza chiaro che il rapporto fra crittografia e indagini giudiziarie sia affrontato tenendo un basso profilo e in modo (apparentemente) privo di una strategia complessiva.
Questo approccio è dovuto, probabilmente, alla necessità di evitare un dibattito pubblico sui principi che, come si è visto per le questioni sollevate dal riconoscimento facciale biometrico e dall’uso dell’intelligenza artificiale nei settori della difesa e della sicurezza nazionale, potrebbero risultare molto divisivi.
Rimane aperto, infine, senza una reale aspettativa di soluzione, il tema del rapporto fra settore privato e organismi istituzionali non più e non solo in termini di cooperazione sul campo, ma soprattutto nella prospettiva dello sviluppo di tecnologie di punta da mettere al servizio delle istituzioni o del mercato.
Possibly Related Posts:
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)
- La rottura tra Stati e big tech non è mai stata così forte