Lunedì
10 marzo 2003 si è tenuta la 7^ lezione del Master,
relatore il chiarissimo Prof. Avv. Giovanni Ziccardi che,
lasciati i suoi impegni professionali a Modena (e quelli universitari
a Milano, è "calato" nel tacco d'Italia per
venirci a parlare di crittografia e diritto.
Questa lezione è
stata caratterizzata da spunti tecnico informatici, che per
essere compresi a fondo richiedevano una certa conoscenza
della materia, non solo da un punto di vista giuridico. Devo
dare atto al Prof. Ziccardi (miglior Giurista Informatico
2002) che il suo sforzo di rendere accessibile a tutto l'auditorio
temi così diversi e lontani da quelli legali, per ricondurli
e ricollegarli nell'alveo dell'informatica giuridica, è
stato esemplare, e spero con questa mail di rendere merito
al suo prezioso insegnamento.
Procediamo con ordine.
Il punto di partenza è rappresentato da un concetto
che dobbiamo sempre tener presente e ricordare a noi stessi
ogni volta che osiamo addentrarci in quel mondo particolare
che è l'informatica giuridica: la Sicurezza non si
garantisce con la segretezza, ma Sicurezza uguale a Conoscenza
(Ttrasparenza) del sistema. Può sembrare una contraddizione
in termini, ma, in realtà, se riflettiamo bene, è
una massima legata al buon senso.
Se voglio essere sicuro,
il miglior sistema è essere padrone di ciò che
faccio, avere la conoscenza piena e completa degli strumenti
che uso, conoscere il codice sorgente del programma che utilizzo
per garantire la mia privacy in modo da rendermi conto dei
suoi punti deboli e quindi dei pericoli che corro e prendere
le dovute contromisure.
Mi vengono in mente le
parole di un padre della nostra cultura (di cui "qualcuno"
ebbe a dire: "occorre impedire a quella mente di pensare",
facendo seguire alle parole i fatti), che parlando di cultura,
la definiva come "consapevolezza di ciò che siamo,
della realtà in cui viviamo e del ruolo che abbiamo...".
La sicurezza in questa
nuova realtà è cultura, e siamo tanto più
" sicuri " quanto profonda è la nostra cultura
(conoscenza); a questo punto mi domando, perchè sono
sempre così insicuro di tutto? non sarò per
caso ignorante?.....Mah....!!!.
Il merito del Prof. Ziccardi
è quello di averci dato subito un esempio della portata
di questo principio in campo giuridico. Di recente, un difensore
ha eccepito (e la tesi gli è stata accolta) la non
utilizzabilità delle prove raccolte dalla P.G. poiché
questa non era in grado di fornire il codice sorgente del
software utilizzato nelle attività di indagine; la
motivazione era che la difesa non poteva esercitare in pieno
le sue prerogative (costituzionalmente garantite) poiché
gli veniva impedito di verificare se il processo tecnico informatico
con il quale le prove erano state assunte, non avesse provocato
un'alterazione delle stesse.
Come vediamo, anche la
sicurezza del (sacrosanto) diritto alla difesa passa attraverso
la conoscenza del sistema informatico.
D'altra parte, questo
spiega anche il perché, in alcuni paesi come la Cina,
l'apertura ai sistemi Microsoft passi attraverso la concessione
del codice sorgente (ma qui bisogna fare attenzione, perché
il governo cinese non lo rende pubblico, ma lo tiene per se
e lo usa sia per sicurezza contro un eventuale pericolo di
controllo da parte della Microsoft , sia per tenere sotto
controllo i suoi cittadini).
Ma l'assunto Sicurezza uguale Conoscenza (Trasparenza) dovrebbe
farci riflettere anche su alcuni aspetti della realtà
giuridica che ormai da anni tutti ci troviamo a subire...
Facciamo un esempio.
Chi non ha mai avuto a che fare con una CTU effettuata con
strumentazione laser per la rilevazione dei piani e delle
distanze?...Ebbene, sapete che i dati così rilevati
dipendono da un algoritmo che determina la taratura dello
strumento e che può essere facilmente alterato? Sapete
che sempre questi dati vengono elaborati attraverso alcuni
software di grafica vettoriale costosissimi e il cui codice
sorgente è assolutamente segreto?..
Colleghiamo la cosa alla
formula Sicurezza uguale Conoscenza (trasparenza) e traiamone
le dovute conseguenze.. Già, le conseguenze...... Queste
saranno irrisorie se il confine di un campicello o di un orto
risulterà spostato di 5 o 10 cm, ma diventeranno enormi
se la misurazione riguarda un'area con edifici di 100 o 200
metri di altezza nel centro di una metropoli.....
Ma andiamo oltre. Entriamo
nel cuore della bellissima lezione del Prof. Ziccardi: la
crittografia, cioè come rendere indecifrabile a terzi
un'informazione per garantire la sua segretezza e fruibilità
solo a coloro ai quali è destinata. "Galeotto
fu il libro e chi lo scrisse....."in questo caso galeotta
fu la mail e chi la postò.
Questa procedura, anche
se sconosciuta al grande pubblico, in realtà dovrà
essere approfondita dal giurista, perché coinvolge
inevitabilmente ogni campo del diritto informatico, ripercuotendosi
su privacy, diritti d'autore, firma digitale, documento informatico,
diritti fondamentali dell'individo.
A questo punto devo necessariamente abbandonare lo stile discorsivo
e colloquiale per entrare in un mondo assai più tecnico;
cercherò di farlo con molta discrezione, rimanendo
il più possibile intellegibile a tutti.
Inoltriamoci nella tecnica
crittografica. Esiste in rete un programma "PGP",
ideato da Philip Zimmermann, che nella versione PGP(i) (la
"i" sta per "internazionale") può
essere liberamene scaricato. Questo permette di rendere illeggibili
le informazioni ( documenti ed altro) ai curiosi ( anche di
livello governativo) e per questo negli USA la sua esportazione
è proibita dall'ITAR ( international traffic arms regulations),
essendo parificato ad un'arma da guerra ( basti pensare all'uso
fattone dai terroristi internazionali).
Come sia stato possibile, nonostante l'ITAR, esportare fuori
dagli USA questo programma, ha dell'incredibile.... Infatti
l'esportazione del software espone chiunque a pene detentive
fino a 10 anni e pecuniarie fino a 10 milioni di dollari.
Ma i volumi cartacei contenenti il codice sorgente possono
essere esportati e così è accaduto che siano
stati portati in Europa, da dove si è ricostruito il
programma nella vesione (i).
Alcuni Stati, come la
Francia, hanno però adottato alcune cautele. Il cittadino
francesce che volesse farne uso dovrà essere autorizzato,
previa richiesta, dalle autorità.
Per rendere un'idea del
livello di sicurezza del PGP, è sufficiente sapere
che per ricostruire una chiave privata da 1024 bit, usando
i computer più potenti, occorrerebbero un numero di
anni corrispondenti a 57 seguito da 290 zeri ( e il PGP può
creare chiavi anche a 2048 bit....!). Grosso modo lo stesso
tempo che il nostro sistema giudiziario impiega per emettere
una sentenza definitiva....!!....
Non vado oltre sul PGP(i),
perché trovate il tutto in rete; basta digitare PGP
su qualsiasi motore di ricerca.
Parliamo invece della
crittografia: questa è l'insieme di tecniche di codifica/decodifica
e autenticazione che permettono di mascherare un documento
scritto in chiaro, per renderlo leggibile solo a determinate
persone.
Nella lezione abbiamo
sentito parlare di Crittografia Simmetrica (o a chiave singola),
Asimmetrica ( chiave pubblica) e, aggiungerei, quella a tecnica
mista, che le riassume. Premetto che il PGP (i) permette di
usare queste tecnologie.
La Crittografia Simmetrica
consiste in questo: io ho una chiave e la uso per codificare
un testo; chiunque voglia leggerlo lo può fare adoperando
la mia chiave, e solo quella.
Tale sistema può
essere usato per rendere sicuri i documenti che non devono
essere trasmessi ad altri, poichè in quest'ultimo caso
dovrei trasmettere anche la chiave per decodificarli; questo
è uno dei punti deboli di tale metodo, poichè
nel trasferimento la chiave potrebbe essere intercettata.
Altro punto debole riguarda
il fatto che l'utilizzo del metodo simmetrico da parte di
più soggetti, rende insicura l'individuazione del mittente.
Per superare questi problemi,
si è elaborato il metodo asimmerico a chiave pubblica.
Si utilizza una coppia di chiavi (che in reatà sono
un'unica chiave divisa in due, in modo che una e solo quella
combaci con l'altra) una privata, che rimane di esclusiva
conoscenza del mittente, ed una pubblica, che viene resa disponibile
in rete in appositi elenchi (Keyservers). Io scrivo un messaggio
e lo cripto con la chiave pubblica del destinatario e firmo
con la mia chiave privata; il destinatario decripta applicando
la sua chiave privata (che va a combaciare con quella pubblica
da me utilizzata) e può riconoscere il mittente applicando
la mia chiave pubblica (che è liberamente consultabile
in rete) che va a sua volta a combaciare con quella privata
da me usata (non essendo questo un trattato, ma un semplice
resoconto, devo necessariamente semplificare).
Con questo metodo si
ha segretezza e certezza del mittente. Il terzo metodo, quello
a tecnica mista, riassume in sé le due tecniche sopradette.
Ogni utente ha una coppia di chiavi privata e pubblica. Per
ogni sessione viene generata una "chiave simmetrica di
sessione" unica, la quale viene criptata con la chiave
pubblica del destinatario, e viene spedita al destinatario
insieme al messaggio. Il destinatario, per prima cosa decripta
la chiave di sessione attraverso la sua chiave privata ed
infine usa la chiave di sessione per decodificare il messaggio.
Il vantaggio di questo sistema, oltre che nella doppia sicurezza
(propria del sistema asimmetrico), sta nella velocità
(che caratterizza quello simmetrico). A questo punto mi scuserete,
ma le sinapsi mi si sono 'intrigate', per cui non rispondo
più di quello che dirò in seguito, non essendo
più "sicuro" di niente (anche perchè
voglio accennare ad alcune tecniche di intrusione...).
Fin quì si è
detto che la sicurezza è uguale a trasparenza; ma allora,
la ricerca dell'anonimato in rete, come va inquadrata? Nel
campo della libertà o in quello della copertura per
commettere delitti?...... La risposta non è per me;
per adesso sto ancora studiando per conoscere il fenomeno,
sia dal punto di vista di chi si deve difendere dagli intrusi
e dai curiosi, che da quello di chi lo usa per mantenere libero
il web da spinte sempre più pressanti verso un controllo
indiscriminato da parte del più forte.
Volevo anche parlare
delle tecniche di attacco, dello scanning, dell'intrusione
a forza bruta e con le carezzine, di buttsniff, nmap, di three-way-handshake,
phf, whois.cgi, finger.cgi, di network file system, nbtstat.....smbclient
(in ambiente unix)....., di mimetizzazione termo-ottica.......
ma a ciascuno il suo..... Se un tecnico legge, si faccia avanti
e ci spieghi pazientemente il tutto. Io in fondo sono soltanto
un povero leguleio che non sa niente di informatica, e tutti
questi termini per me sono arabo.....anzi Etrusco antico....(una
scrittura ancora indecifrata).
Certo è che se
vogliamo affrontare il problema della sicurezza informatica,
le tecniche di aggressione devono essere conosciute, almeno
a livello elementare, al fine di inquadrare sul piano giuridico
le conseguenze che ne derivano.
Ma lasciamo i pesanti
e difficili concetti tecnici per chiudere con qualche cosa
di più divertente.
Il Prof. Ziccardi, accennando
alla storia della crittografia, ci ha parlato del cifrario
di Cesare, dei metodi usati dagli antichi Egizi per criptare
le formule del Libro dei Morti riportate nelle sepolture.
Tutte cose affascinanti; d'altra parte il geroglifico si presta
benissimo ad essere usato come esempio di crittografia; basti
pensare che la chive per leggerlo è la Stele di Rosetta
che riporta un trattato internazionale in vaie lingue tra
le quali il Greco antico (vera chiave di decodifica), oltre
al Demotico ed al Geroglifico.
Ma altre notizie sul
tema, estremamente affascinanti, riguardano il fatto che,
mentre gli americani e gli inglesi riuscirono a decodificare
i codici tedeschi e giapponesi, non accadde il contrario.
Questo deve farci riflettere; infatti gli americani mandavano
messaggi in codice usando i dialetti Pellerossa, che sfuggivano
ad ogni logica matematica di codificazione, non vi era algoritmo
capace di ricostruirli, figli come erano di culture fondate
su presupposti logici diversi. La riflessione che viene naturale
è che la globalizzazione, l'appiattimento culturale,
se faranno tabula rasa della diversità, renderanno
più vulnerabile ed indifeso il genere umano dal peggior
nemico che questo abbia mai avuto, se stesso (in una antica
preghiera, un vecchio capo indiano chiedeva al Grande Spirito
di proteggerlo proprio dai suoi difetti, dalle sue debolezze....
una profezia?....od una grande saggezza che dobbiamo tenere
sempre presente anche nella nuova era informatica...).
Non posso mancare di
chiudere con una provocazione, questa volta di natura ludica:
qf mzfal hol itclbl hlzhfzl
sts l vclabf htsbpscfbl qf zphlzhf slqqf rfpq.
In questa mail ho inserito
un brano della Divina Commedia ed una mia frase che lo riguarda.........
sapete dirmi qual' è?........ altro che PGP........
la soluzione è
così semplice che è alla portata di mia figlia.........
buon divertimento e.....scusate
la 'bischerata'.....
un saluto a tutti
Avv. Galeotti Patrizio
