di Ian DeMartino per Sputnik International – traduzione a cura di Old Hunter
Lunedì, il CEO di Telegram Pavel Durov è stato arrestato in Francia subito dopo l’atterraggio nel paese. Alla fine è stato accusato di una serie di crimini, tra cui “l’importazione di un software di crittografia”. È solo l’ultimo attacco in una guerra contro la privacy che dura da più di tre decenni.
Gli anni ‘90
Alla fine del gennaio 1991, un senatore del Delaware, Joe Biden, allora 48enne, presentò il il disegno di legge 266 del Senato: il Comprehensive Counter-Terrorism Act of 1991. Nell’ultimo terzo del testo della proposta di legge era contenuta una sezione sulle “comunicazioni elettroniche” che imponeva requisiti ai fornitori di servizi di comunicazione elettronica.
“È opinione del Congresso che i fornitori di servizi di comunicazione elettronica e i produttori di apparecchiature per servizi di comunicazione elettronica debbano garantire che i sistemi di comunicazione permettano al governo di ottenere il contenuto in chiaro delle comunicazioni vocali, di dati e di altro tipo, quando ciò è autorizzato dalla legge”, si legge nella proposta di legge.
In sostanza, la proposta di legge SB266 avrebbe imposto alle aziende di creare delle backdoor per consentire al governo di spiare i loro clienti, rendendo impossibile avere conversazioni veramente private in formato digitale. Questo può sembrare relativamente banale nel mondo in cui viviamo dopo la fuga di notizie di Snowden, ma questa era la nascita dell’era digitale e gli standard di cui godiamo oggi online non esistevano ancora. Le e-mail, ad esempio, venivano inviate attraverso Internet in chiaro. Qualsiasi malintenzionato con l’hardware e le conoscenze giuste, non solo il governo, poteva intercettare le e-mail e persino inviarle facendo credere che provenissero da qualcun altro. Lo sviluppo di un modo sicuro e privato per inviare informazioni online non era solo una questione di diritti civili; era un ostacolo che doveva essere risolto prima che Internet potesse diventare un fenomeno di massa. Se il senatore Biden avesse avuto la meglio, oggi Internet sarebbe un posto molto diverso. Oggi la crittografia viene utilizzata sia per nascondere il contenuto delle e-mail sia per verificare il mittente. Ma già nel 1991 era chiaro che la crittografia sarebbe diventata una parte importante del modo in cui le persone comunicano in digitale e il senatore Biden voleva garantirsi che il governo avesse le chiavi di una backdoor, in senso letterale e figurato.
PGP e Phil Zimmermann
Pur avendo raccolto tre co-sponsor, tra cui l’allora senatore Harry Reid (D-NV), la proposta di legge non uscì mai dalla commissione. Nel 1991 il terrorismo e Internet non erano preoccupazioni della maggior parte delle persone, nemmeno del Congresso. Ma fu sufficiente a spaventare i sostenitori della privacy che popolavano la prima Internet, tra cui un giovane informatico di nome Phil Zimmermann. Zimmermann stava già lavorando al suo software di crittografia quando fu introdotta la legge SB266, ma questo fece scattare nella sua testa un allarme che lo avrebbe spinto a passare da un hobby a un’ossessione. In seguito avrebbe detto di aver saltato cinque rate del mutuo mentre ci lavorava.
Il Congresso potrebbe non aver visto l’imminente lotta per la privacy nell’era digitale, ma alcuni, come il relativamente giovane Biden, avevano iniziato ad accorgersene. La guerra non era ancora iniziata, ma le linee di battaglia erano state tracciate. Il 5 giugno di quell’anno, Zimmermann inviò la prima versione di PGP 1.0, acronimo di “Pretty-Good-Privacy”, ad alcuni amici perché la caricassero su Internet. La prima volta apparve su un newsgroup chiamato Peacenet, un luogo di incontro online per gli attivisti di tutto il mondo. Il giorno dopo era su Usenet, la più grande raccolta di newsgroup e un servizio che esiste ancora oggi. Il PGP utilizzava una tecnica chiamata “crittografia a chiave pubblica”, un metodo inventato negli anni ’70 da un gruppo del MIT di Stanford guidato da Martin Hellman. In precedenza, se due parti volevano comunicare utilizzando la crittografia, era necessaria una chiave per decodificare i messaggi. Questo rappresenta un problema perché, a meno che le due parti non si trovino fisicamente nello stesso spazio, la chiave deve essere condivisa prima che avvenga la crittografia. La chiave dovrebbe passare attraverso un canale insicuro, che potrebbe essere intercettato, oppure attraverso un canale sicuro, che probabilmente implica il trasferimento fisico di una chiave, che potrebbe essere intercettato. La crittografia a chiave pubblica funziona fornendo a ciascun utente due chiavi: una pubblica e una privata. La chiave pubblica, come dice il nome, è condivisa pubblicamente. Chiunque voglia inviare un messaggio all’utente utilizza la chiave pubblica del destinatario per crittografare il messaggio, che può essere decodificato solo con la chiave privata del destinatario. Nemmeno l’autore del messaggio può decodificarlo una volta crittografato. Inoltre, permetteva agli utenti di “firmare” i messaggi utilizzando la propria chiave privata, dimostrando di essere l’autore del messaggio senza rivelare la chiave privata. Questa e una successiva innovazione degli sviluppatori del PGP, chiamata Web of Trust, sono ancora oggi parte del modo in cui le e-mail vengono convalidate.
“La loro invenzione ci permette essenzialmente di eseguire operazioni sulle informazioni nei nostri computer desktop senza introdurre alcun tipo di overhead. Il tempo aggiuntivo richiesto per crittografare un messaggio con questa tecnologia è fondamentalmente trascurabile“, ha spiegato il Dr. James Bidzos, allora presidente di RSA Data Security, durante una discussione sulla sicurezza di Internet tenutasi al Commonwealth Club della California nel 1995. “È essenzialmente gratuita e infrangibile e questo rappresenta un problema per il governo“.
PGP decollò presto e nel settembre 1992 era stato portato praticamente su tutte le piattaforme, oltre al Mac. Ma questo attirò l’attenzione del governo, che non era contento che una potente crittografia venisse rilasciata gratuitamente e per tutti. La crittografia dei computer, a quel tempo, era quasi esclusivamente appannaggio dei governi. Dopo tutto, era stata originariamente utilizzata per inviare – e decifrare – messaggi militari durante la Seconda Guerra Mondiale. Negli anni ’90 esistevano alcune opzioni commerciali, ma erano costose, soggette a licenza e, cosa fondamentale, controllate. PGP era gratuito, disponibile per tutti e utilizzava un metodo di crittografia più sicuro di qualsiasi altro disponibile in commercio all’epoca. Il governo statunitense considerava la crittografia un’arma e la sua esportazione era vietata dagli Stati Uniti. Aveva annunciato un’indagine penale su Zimmermann, accusandolo di aver violato l’Arms Export Control Act (legge sul controllo delle esportazioni di armi), ovvero di essere un trafficante di armi, perché il suo software era stato scaricato al di fuori degli Stati Uniti. Alla fine veniva perquisito dagli agenti della dogana statunitense tutte le volte che viaggiava. Era iniziata quella che fu presto chiamata “la guerra della crittografia”. A quel tempo, il PGP era già utilizzato da organizzazioni per i diritti umani di tutto il mondo, tra cui Amnesty International. L’indagine fu infine archiviata nel 1996, quattro anni e mezzo dopo la pubblicazione del PGP su Usenet. La mossa avvenne quando l’amministrazione Clinton modificò le leggi sull’esportazione di armi, rimuovendo il software di crittografia dall’elenco delle “munizioni”. Tutte le democrazie occidentali hanno presto seguito il suo esempio. Oggi, PGP sopravvive come OpenPGP e può essere scaricato gratuitamente da chiunque nel mondo. È ancora considerato il gold standard per le comunicazioni private.
Il Clipper chip
Zimmermann non è stato l’unico protagonista della guerra dell’amministrazione Clinton alla privacy e alla crittografia. Nel 1993 annunciò un altro fronte nella guerra della crittografia. Sosteneva di aver sviluppato un chip con funzionalità di “key escrow” che forniva la crittografia pur consentendo l’accesso al governo; privacy e sicurezza patriottica in un unico pacchetto. Ufficialmente denominata MYK-78, ma colloquialmente nota come “Clipper Chip”, la proposta dell’amministrazione Clinton ha scatenato una tempesta di fuoco di indignazione non solo tra la comunità di Internet, ma anche tra le industrie delle telecomunicazioni e della sicurezza dei dati.
Il New York Times l’ha definita “la prima guerra santa dell’autostrada dell’informazione”.
Il Clipper Chip è stato creato in risposta all’annuncio da parte di AT&T del lancio del TSD-3600, un dispositivo che permetteva agli utenti – al prezzo relativamente basso di 1.295 dollari – di effettuare telefonate completamente criptate. Il chip Clipper era stato progettato per essere inserito nei dispositivi, consentendo di effettuare telefonate criptate, ma poteva essere sbloccato da chiavi in possesso del governo. Il suo chip gemello, Capstone, era stato progettato per fare la stessa cosa con i dati, comprese le trasmissioni internet e fax. AT&T annunciò una versione modificata del TSD-3600 con il chip Clipper, ma il resto del settore non ne fu entusiasta. Il piano è stato osteggiato con veemenza sia da destra che da sinistra: tutti, dall’American Civil Liberties Union a Rush Limbaugh, un personaggio di spicco dei talk show radiofonici conservatori, hanno inveito contro di esso. Secondo i resoconti dei media dell’epoca, più di 50.000 persone hanno risposto alla richiesta del governo di presentare una petizione sul piano, e la stragrande maggioranza si è opposta. Il piano Clipper Chip è crollato quando il governo lo ha affidato a Matt Blaze, un informatico che lavora per i Bell Labs, nella speranza di ottenere la sua approvazione. Nel giro di un giorno, Blaze trovò delle falle che lo rendevano inutilizzabile, tra cui una che eliminava la backdoor che il governo voleva usare. Se quella versione del Clipper Chip fosse stata implementata, i criminali che il governo sperava di catturare avrebbero potuto modificarla per avere più sicurezza di quanta ne avrebbero avuta senza. Ma non erano i difetti il motivo per cui il chip era una cattiva idea, bensì la premessa del chip stesso, come Blaze ha spiegato in un’intervista successiva.
“È un bene che Clipper sia stato ucciso – e sono contento di aver contribuito a farlo – ma è stato ucciso per le ragioni sbagliate”, ha dichiarato Blaze a Gizmodo. “Il bug che ho trovato non era il motivo per cui era una cattiva idea. Le cose che ho trovato potevano essere risolte… ma c’erano tutti questi altri problemi: il fatto che coinvolgesse un algoritmo segreto… il fatto che includesse un meccanismo di deposito delle chiavi che poteva essere compromesso”.
“Non c’era nessuna versione che si potesse costruire che non avesse questi problemi“,aveva detto.
Il governo degli Stati Uniti è stato l’unico “cliente” ad acquistare il Clipper Chip. Anche se i numeri esatti sono difficili da trovare, è stato riferito che lo ordinarono in “massa”, nel tentativo di creare una domanda. Nel 1996, lo stesso anno in cui fu abbandonata l’indagine Zimmermann, il Clipper Chip fu ufficialmente cancellato. La tempistica di questi due eventi non è probabilmente una coincidenza. Il 1996 era un anno di elezioni e il candidato repubblicano alla presidenza, Bob Dole, stava attaccando l’amministrazione Clinton per la sua politica sulla privacy online.
“Bill Clinton vuole mettere il ‘Grande Fratello’ nel vostro computer“, recitava un sottotitolo del sito web della campagna di Dole. “Nei suoi primi 100 giorni da presidente, Bill Clinton ha proposto il Clipper Chip… Da allora, Bill Clinton ha rilasciato versioni aggiornate di proposte di crittografia che insistono sul fatto che il governo detenga una chiave per le comunicazioni di dati privati degli individui“.
“Bob Dole ritiene che gli americani debbano avere il diritto di proteggersi usando la crittografia“.
Clinton vinse le elezioni, ma la pressione dell’opinione pubblica, sostenuta dal suo avversario politico, incoraggiò la sua amministrazione a fare marcia indietro. Le loro idee non erano popolari: nel 1996 gli americani apprezzavano ancora la privacy.
Dalla guerra al terrore a Telegram
Ma il desiderio di eliminare la privacy online non è mai scomparso, si è solo spostato. Negli anni Novanta si discuteva se il pubblico dovesse avere accesso agli strumenti che consentono la privacy. Il governo ha perso quella battaglia e ha iniziato a costruire sistemi per spiare tutti coloro che non usavano quegli strumenti di proposito, erodendo lentamente l’aspettativa di privacy del pubblico. Dopo gli attacchi terroristici dell’11 settembre 2001, sono state avviate massicce operazioni di spionaggio, sia pubblico che in segreto. Lentamente, sia per la paura del terrorismo che per l’apatia, il popolo americano ha iniziato a perdere l’apprezzamento per la privacy, che ha iniziato a essere dipinta come dominio esclusivo dei criminali e dei paranoici. Nel 2014, sulla scia delle fughe di notizie di Snowden, l’ex vicedirettore della CIA John McLaughlin, che ne è stato anche direttore ad interim per poco più di due mesi nel 2004, ha scritto un articolo di opinione sul Washington Post per rassicurare l’opinione pubblica americana sul fatto che l’Agenzia per la sicurezza nazionale degli Stati Uniti (NSA) non stava realmente spiando gli americani (lo stava facendo) e che, anche se lo stava facendo, non era un grosso problema.
“Sebbene la nostra società lodi, in modo quasi da “mogli di Stepford”, i meriti della “trasparenza”, manca una comprensione collettiva e matura di come funziona l’intelligence, di come si integra con la politica estera e di come contribuisce al benessere nazionale. Nel frattempo, l’interesse per i dettagli dell’intelligence trapelata sale alle stelle, e la gente divora materiale che non è una prova di abuso, ma che è semplicemente affascinante – e ancora più affascinante per gli avversari degli Stati Uniti”.
Secondo la prospettiva rovesciata di McLaughlin, coloro che vogliono sapere cosa fa il nostro governo sono le “mogli di Stepford” che seguono ciecamente la “società” e danno aiuto ai nostri nemici. Coloro che rimangono volontariamente ignoranti, secondo McLaughlin, sono i realisti che sanno che la NSA “non è perfetta“, ma il vero problema è “l’ampia sfiducia nel governo che si è radicata negli Stati Uniti negli ultimi decenni“. Le fughe di notizie di Snowden non hanno portato a nessuna vera riforma. Il governo ha dichiarato di aver adottato misure per proteggere la privacy dei cittadini, ma si trattava di modifiche interne marginali e le nuove regole vengono comunque abitualmente ignorate. Nessuno è stato licenziato. Nessuno è stato arrestato. Nessuna protesta di massa si è riversata nelle strade. Il pubblico era stato condizionato ad aspettarsi che il governo lo stesse osservando. Quest’anno, la sezione 702 del Foreign Intelligence Surveillance Act è stata rinnovata per altri due anni, un duro colpo per i sostenitori della privacy e dei diritti civili.
“Il flusso naturale della tecnologia tende a muoversi nella direzione di rendere più facile la sorveglianza“, disse profeticamente Zimmermann quasi 30 anni fa.
L’unico residuo di privacy online è la crittografia. Per anni si è trattato di un processo piuttosto complicato, la crittografia a chiave pubblica lo ha reso molto più semplice di prima, ma pochi nel mainstream utilizzavano strumenti come PGP. Sì, le e-mail erano diventate sicure da spoofing, ma la maggior parte della crittografia era gestita dai provider di e-mail. Google può usare la crittografia per tenere gli utenti al sicuro da attacchi man-in-the-middle, ma se ha accesso alle vostre e-mail decifrate (e ce l’ha se usate Gmail), non c’è nulla che impedisca loro di consegnare quelle informazioni. La situazione è cambiata con applicazioni come Telegram e Signal, che dispongono di una vera crittografia end-to-end che nemmeno i proprietari possono decifrare. Ora più che mai, le persone normali utilizzano app che consentono la loro privacy per impostazione predefinita. Non sono perfette, i dispositivi stessi sono ancora vulnerabili alle intrusioni governative, ma è molto più difficile accedervi rispetto al semplice invio di un mandato di comparizione a un fornitore di servizi. Il governo poteva tollerare la crittografia quando era limitata a poche centinaia di migliaia di smanettoni che postavano sulle bacheche, ma 950 milioni di utenti di Telegram sono un problema molto più grande. Mercoledì scorso, l’amministratore delegato di Telegram Pavel Durov è stato accusato di una litania di reati, con l’accusa di non aver fatto abbastanza per impedire l’abuso della sua piattaforma.
L’accusa critica, tuttavia, quella su cui poggiano tutte le altre perché senza di essa non potrebbe essere incolpato delle loro azioni, è ancora una volta – come lo fu per Zimmermann negli Stati Uniti decenni fa – quella di aver fornito strumenti che consentono la crittografia, che è l’unica vestigia di privacy rimasta su Internet in un mondo post-Snowden.
Durov è fuori con una cauzione di 5 milioni di euro e gli è stato impedito di lasciare la Francia perché, secondo l’accusa, “forniva servizi di crittografia volti a garantire la riservatezza senza una dichiarazione certificata” e “forniva uno strumento di crittografia che non assicurava esclusivamente l’autenticazione o il monitoraggio dell’integrità senza una dichiarazione preventiva“. E, in terzo luogo, perché stava “importando uno strumento di crittologia che garantisce l’autenticazione o il monitoraggio dell’integrità senza dichiarazione preventiva“.
Le accuse rispecchiano quasi quelle per cui Zimmermann era stato indagato. Il reato non è l’esportazione di strumenti di crittografia, ma l’importazione di strumenti di crittografia. Negli anni ’90, il governo degli Stati Uniti sosteneva di non volere che gli avversari stranieri potessero accedere alla privacy che la crittografia consente. Forse avevano altri motivi, ma questa era la base della loro indagine. Le autorità francesi sostengono che è un crimine dare ai propri cittadini la possibilità di comunicare privatamente. Stanno aggiungendo accuse relative a ciò che gli utenti di Durov hanno fatto per diminuire la simpatia dell’opinione pubblica associandolo ai crimini più orribili, il che sarebbe come incolpare AT&T perché qualcuno ha usato un telefono per dare ordini a un sicario. Tuttavia, l’accusa di crittografia è il cuore del caso.
“Una compagnia telefonica non può essere citata in giudizio [per i crimini commessi sulla sua rete], non può controllare ciò che le persone dicono al telefono”, ha dichiarato a Sputnik l’ex professore universitario e giornalista Jim Kavanagh. “Ed è quello che dovrebbe accadere con queste società di social media“.
Si potrebbe obiettare che i francesi non sono gli americani e che quindi si tratta di lotte separate condotte da governi diversi su popolazioni diverse con aspettative diverse in merito alle loro libertà, ma questo sarebbe il massimo dell’ingenuità. Gli attacchi alla privacy di Internet e alla libertà di parola si sono diffusi in tutto l’Occidente. Nel Regno Unito e in Australia vengono arrestate persone e giornalisti per i loro post sui social media. Il governo statunitense sta abusando della legge sulla registrazione degli agenti stranieri per attaccare qualsiasi critica alle sue politiche e ha fatto pressioni sulle società di social media per vietare contenuti e utenti. In Brasile, un giudice amante della censura sta aprendo indagini sui suoi critici, per poi pronunciarsi su quegli stessi casi. Lo stesso giudice ha appena chiuso X all’interno del Paese e ha imposto una multa di circa 8.900 dollari a chiunque cerchi di aggirare il divieto. Il fatto che Durov sia stato arrestato in Francia non significa che non sia collegato al resto. Anche l’incriminazione del fondatore di WikiLeaks Julian Assange e del whistleblower Edward Snowden ne fanno parte. Il loro lavoro sarebbe stato impossibile senza una crittografia affidabile.
“[I francesi] fanno parte della rete dei “cinque occhi” delle agenzie NSA. E potete scommettere che i francesi non hanno agito in modo disonesto, che hanno parlato con le loro controparti americane e, immagino, anche britanniche e forse israeliane e altre. Sono sicuro che questo sta accadendo”, ha dichiarato Ted Rall, vignettista politico e conduttore di Final Countdown di Sputnik Radio, nel programma The Backstory.
L’Occidente sta sistematicamente eliminando la libertà di parola dalla piazza pubblica di Internet. Quando questo processo sarà completato, verranno a controllare le parole negli angoli privati di Internet ed è per questo che devono porre fine alla crittografia veramente sicura.
“Quando guardo a quello che è successo con Durov“, ha detto mercoledì il co-conduttore di Critical Hour ed ex ufficiale delle forze dell’ordine Garland Nixon, “sapete quale termine mi viene in mente? Una Extraordinary rendition [Consegna straordinaria]. Non possiamo farla franca [arrestando Durov] qui, quindi ti rinchiuderemo se atterri in… una delle nostre colonie“.
L’11 ottobre 2020, l’Ufficio Affari Pubblici del Dipartimento di Giustizia degli Stati Uniti ha rilasciato una “dichiarazione internazionale” sulla crittografia end-to-end, chiarendo che ritiene che le aziende tecnologiche abbiano la responsabilità di installare backdoor nei loro software.
La crittografia end-to-end che preclude l’accesso legittimo al contenuto delle comunicazioni in qualsiasi circostanza ha un impatto diretto su queste responsabilità, creando gravi rischi per la sicurezza pubblica in due modi:
- compromettendo gravemente la capacità di un’azienda di identificare e rispondere alle violazioni dei propri termini di servizio. Ciò include la risposta ai contenuti e alle attività illegali più gravi sulla sua piattaforma, tra cui lo sfruttamento e l’abuso sessuale dei minori, i crimini violenti, la propaganda
terroristica e la pianificazione di attacchi.
- precludendo la possibilità per le forze dell’ordine di accedere ai contenuti in circostanze limitate, laddove ciò sia necessario e proporzionato per indagare su reati gravi e proteggere la sicurezza nazionale, laddove vi sia un’autorità legittima in tal senso.
Come negli anni ’90, il governo sostiene che non si può garantire la privacy agli innocenti, perché anche i criminali la avrebbero. Ma la privacy non è solo per i criminali. Ogni cosa, dalle transazioni finanziarie all’invio del proprio indirizzo a un parente per spedire un regalo a vostro figlio, dovrebbe essere criptata prima di farlo. Qualsiasi backdoor è suscettibile di essere violata e abusata. L’eliminazione della crittografia renderà il mondo non solo meno privato, ma anche meno sicuro. Nell’era digitale, una conversazione privata non è così semplice come andare in giardino. Non dimenticate mai che la privacy dovrebbe essere la norma nelle società libere, mentre le intercettazioni governative dovrebbero essere l’eccezione.
“Quindi, questa è la fine della celebrazione della democrazia e della libertà di parola [e] di espressione che si supponeva fosse una parte fondamentale della civiltà americana e occidentale“, ha detto Kavanagh.
Scrivendo nel 2021 in occasione del 30° anniversario dell’uscita di PGP, Zimmermann avvertì che i suoi vecchi nemici sarebbero tornati e implorò l’opinione pubblica di prendere sul serio la minaccia.
“Lo vediamo in Australia, nel Regno Unito, negli Stati Uniti e in altre democrazie liberali. Vent’anni dopo che tutti pensavamo di aver vinto la guerra delle criptovalute. Dobbiamo mobilitarci di nuovo? I veterani delle guerre cibernetiche potrebbero avere problemi a rientrare nelle loro vecchie uniformi. Ricordate la scena de Gli Incredibili della Pixar in cui Mr. Incredible cerca di infilarsi nel suo vecchio costume? Avremo bisogno di truppe fresche“.
È tempo che una nuova generazione di combattenti per la libertà digitale prenda il posto dei nostri antenati che utilizzavano Usenet e il dial-up. Utenti di TikTok, Twitter, Telegram e Signal, unitevi! Non avete nulla da perdere se non le vostre catene digitali.