Di recente, il fondatore di Telegram è stato arrestato in Francia e accusato di noncuranza nei confronti delle varie attività losche che si svolgono sulla piattaforma.
E, anche se tralasceremo di parlare delle persone su questo blog, parleremo delle implicazioni e delle idee che circondano il suo arresto: personalmente non ho un'opinione su Durov o Telegram, anche se ci sono persone su entrambi i fronti per quanto riguarda la sua efficacia in termini di comunicazioni sicure.
Ciò che mi interessa è la preoccupazione più ampia: quando noi come società iniziamo ad arrestare le persone che sono i creatori di piattaforme semplicemente perché quella piattaforma è usata per cattive intenzioni, sento che dobbiamo rivalutare. Stiamo parlando di arrestare e incarcerare il creatore della pistola, non chi preme il grilletto. Qualunque sia la tua opinione sulle armi, puoi iniziare a vedere la china scivolosa su cui ci troviamo.
Ciò implicherebbe quanto segue:
Zuckerberg dovrebbe quindi essere arrestato e processato per la sua negligenza nei confronti di WhatsApp e Facebook Messenger e per l'uso di queste piattaforme per attività illegali.
Anche Tim Apple verrà arrestato per la sua negligenza nell'uso di iMessage e per l'uso di iMessage per spaccio di droga o attività peggiori.
Moxie verrà arrestato e incarcerato per la sua indifferenza nei confronti di Signal e del protocollo E2E da loro sviluppato.
Spiegel per Snapchat. Ecc. Ecc. Ecc.
Saranno i prossimi utenti Linux, visto che GPG e LUKS sono integrati nel sistema operativo?
Ciò significa che Linus Torvalds per il suo coinvolgimento in Linux, Phil Zimmermann per PGP o Joan Daemen e Vincent Rijmen per AES 256 saranno processati? Per non parlare delle decine di migliaia di persone che hanno contribuito allo sviluppo di queste tecnologie e altro ancora.
Viviamo in un mondo in cui le persone che non capiscono la tecnologia stanno creando leggi arbitrarie sulla tecnologia, e questo deve cessare. In particolare, l'idea di "vietare la crittografia" e di istituire backdoor ovunque, perché ciò renderebbe il mondo un posto peggiore se si verificasse (non accadrà).
La crittografia è necessaria per il mondo tecnologico moderno. L'uso legittimo della crittografia consente di conservare i dati degli utenti in modo sicuro e di conservarli in un modo che consenta ai servizi di esistere. Consente l'elaborazione dei pagamenti, l'online banking, il vero giornalismo (per il quale ho il massimo rispetto) e, naturalmente, non da ultimo, la comunicazione.
La crittografia consente alle persone oppresse di comunicare le atrocità contro di loro. Consente alle persone di dire realmente ciò che hanno in mente. La crittografia mantiene al sicuro molte più persone di quante ne danneggi, e questo è un dato di fatto.
E chiunque capisca di informatica saprà che l'idea di vietarla è una bufala, una sconsiderata e decisamente stupida.
Il genio della tecnologia è ormai uscito dalla lampada: ecco perché l'open source deve vincere in tutti gli ambiti.
Tutti gli articoli intimidatori scritti negli ultimi dieci anni sulla possibilità che i paesi vietino la crittografia sono stati scritti da persone che non capiscono la tecnologia (e non sto dicendo di capirla, lasciatemi specificare), ma il fatto è che "intercettare le comunicazioni", come suggerisce questo articolo, non "vieta di fatto la crittografia": la crittografia viene eseguita sul dispositivo e la trasmissione è già crittografata.
Mi dispiace informarti che questa intercettazione è già avvenuta.
Nel mondo moderno, l'unico modo per non farsi intercettare una comunicazione è inviare un messaggio in una bottiglia o tramite un piccione viaggiatore, e sappiamo tutti quanto siano affidabili entrambi questi metodi.
Se vivi in un paese Five-Eyes, le tue comunicazioni sono già intercettate. Se usi Windows, probabilmente non puoi nemmeno crittografare correttamente le tue comunicazioni in primo luogo. Lo stesso è altamente possibile anche per Mac.
L’intercettazione della trasmissione non è una “violazione della crittografia”.
La crittografia end-to-end (E2E) viene eseguita sul dispositivo e, sebbene la trasmissione venga probabilmente intercettata, è come una lettera sigillata e distorta fino al punto di non essere comprensibile. I metadati sono sempre allegati a tale comunicazione, quindi se stai comunicando con un criminale noto, consideralo già noto.
Si può nascondere la propria identità fino all'anonimato, ma in passato la povera OpSec è sempre stata la rovina di chi commette crimini: un post su Internet qui, un'e-mail non crittografata là, e la tua copertura salta.
Agisci come se la trasmissione dovesse sempre essere intercettata. E, se non ti fidi dell'altra parte nella tua comunicazione, il fatto è che il tuo messaggio è valido quanto il testo normale.
L'altro suggerimento di introdurre "backdoor" nella tecnologia di crittografia è sbagliato. Non solo i governi avrebbero accesso a queste informazioni, ma tutti, perché i governi sono notoriamente pessimi nel mantenere qualsiasi cosa al sicuro. L'inevitabilità sarebbe che le chiavi del castello finirebbero su qualche mercato darknet, e allora tutti sarebbero fottuti. Il fatto è che lo spazio è in continua evoluzione e il gioco del gatto e del topo continuerà fino alla nausea.
Ma niente di tutto questo nega il fatto che per vietare la crittografia sarebbe necessario vietare la matematica, il che non è fuori discussione per l'intelligence al potere oggi, ma, ripeto, è impossibile.
L'idea di vietare la crittografia sarebbe la stessa di vietare le serrature alle porte. E non credo che nessuno vorrebbe vivere in quella società.
La crittografia è un diritto umano, il diritto alla privacy e all'espressione personale. Calpestare questo diritto perché alcune persone lo usano per fare del male è come vietare i coltelli da cucina perché le persone li usano per pugnalarsi a vicenda: gli chef e la società in generale soffrono perché qualche idiota ha voluto uccidere qualcuno. E le persone troveranno sempre un modo per farlo, quindi i pali della porta si spostano sempre più lontano finché una società non può avere più niente di bello.
Come hai diritto, ti invito ad aprire un terminale ed eseguire quanto segue:
gpg --full-generate-key
e fanne ciò che vuoi.
Alla prossima.