Capitolo - Simone · La crittografia asimmetrica, o a chiave pubblica (6), si basa su una coppia di chiavi: una chiave privata o segreta, conosciuta solo dal suo titolare, e una chiave

Omaggio delle Edizioni Giuridiche Simone

Capitolo 1La crittografia asimmetrica

Sommario: 1. Premessa. - 2. Concetti generali della crittografia. - 3. Applicazioni delsistema - 4. L’algoritmo di codifica. - 5. Identificazione dell’autore del documento. -6. Data e ora della trasmissione del documento, il cd. time stamping. - 7. Il conflittotra riservatezza e sicurezza delle informazioni telematiche (key escrow, key recovery).- 8. Crittografia simmetrica. - 9. Crittanalisi.

1. PREMESSA

Il legislatore italiano ha recepito, quale presupposto tecnologi-co del documento informatico e della firma digitale, il sistema dicrittografia asimmetrica: è indispensabile, pertanto, prima di ad-dentrarsi nell’esame della nuova normativa, comprendere il fun-zionamento di tale tecnica. Quest’ultima è per lo più, infatti, sco-nosciuta al lettore, soprattutto se di formazione giuridica classica.Per questa categoria di persone può essere in qualche modo inco-raggiante ricordare che la crittografia vanta illustri fonti letterariedi divulgazione: il primo esempio risale a Plutarco, il quale, nellesue “Vite parallele”, ci racconta come gli efori inviarono a Lisan-dro una scitala con l’ordine di tornare in patria. La scitala altronon era che lo strumento di una primitiva forma di crittografiaespressa con bastoni di legno e papiri, definiti da Plutarco, appun-to, come scitale (1).

La crittografia asimmetrica è un argomento denso d’implicazio-ni scientifiche che sono assai lontane dalla tradizionale cultura

(1) Risalendo ancora nel tempo esempi di crittografia sono stati scoperti nei geroglifici enei testi cuneiformi. Cifrari, in verità non molto sofisticati, sono presenti anche nella Bibbia. Perun approfondimento: P.Ridolfi, “Dalla scitala di Plutarco alla firma digitale” sulla rivista “Me-dia Duemila”, ottobre 1998, oppure sul sito Internet www.privacy.it/scitalacritt.html.

G. Rognetta - Firma digitale e documento informatico

giuridica, e proprio per questo motivo essa potrebbe suscitare fi-siologiche reazioni di rifiuto. Sarebbe opportuno, tuttavia, affron-tare lo studio della materia con animo sgombro da diffidenza; taleapproccio, infatti, potrebbe determinare, anche nel più umanistadei lettori, la nascita di un’imprevista passione verso un orizzonteculturale inesplorato o non sufficientemente conosciuto. Nel nuo-vo millennio per il giurista non sarà più sufficiente una formazio-ne professionale priva della conoscenza di quelle tecnologie chefonderanno un nuovo modo di interpretare il suo ruolo, sia esso diavvocato, magistrato, notaio o studioso del diritto. Materie chesembravano assolutamente estranee al bagaglio culturale del giu-rista adesso iniziano a farne parte: la crittografia è una di queste.Tale novità dovrebbe essere vissuta non come un’infelice conta-minazione di scienze avulse, ma come la naturale evoluzione del-la propria formazione giuridica.

Anche il non giurista, inoltre, dovrà maturare una soddisfacentedimestichezza con le tecnologie che gli consentiranno di acquisire apieno titolo la futura cittadinanza telematica.

Per cominciare ad acquisire, sin d’ora, tale dimestichezza, consi-gliamo ai lettori di iscriversi su Internet ad alcuni gruppi di discussio-ne (i cd. newsgroup) dedicati alla crittografia (2), attraverso i quali èpossibile leggere gli interventi d’appassionati provenienti da ogni partedel mondo, ed, eventualmente, intrattenere con loro interessanti scam-bi d’opinioni.

(2) I newsgr oup principali sull’argomento sono: sci.crypt, sci.crypt.research,talk.politics.crypto. Nel primo si discute dei differenti metodi di cifratura e decifratura, nelsecondo di crittografia e crittanalisi in generale, nel terzo dei rapporti tra la crittografia e lepolitiche dei vari Governi. Esiste, inoltre, un ottimo sito sull’evoluzione delle normative sullacrittografia in ogni Paese del mondo: Crypto Law Survey, all’indirizzo http://cwis.kub.nl/~frw/people/koops/lawsurvy.htm, curato da Bert-Jaap Koops. E’ possibile anche iscriversi ad unamailing list per avere tutti gli aggiornamenti sulle modifiche dei contenuti del sito. Per iscriversialla mailing list è sufficiente inviare un e-mail a [email protected] indicando “subscribe CLS-update” nell’oggetto. Chi avesse difficoltà ad orientarsi in Internet o a comprenderne il funzio-namento, soprattutto in riferimento alla ricerca delle informazioni giuridiche, può consultare: F.Brugaletta, “Internet per giuristi”, Napoli, 1998.


2. CONCETTI GENERALI DELLA CRITTOGRAFIA

Iniziamo con le definizioni generali: la crittografia è definita come“sistema segreto di scrittura in cifra o codice” (3) e come “scritturasegreta, che può essere letta solo se se ne conosce la chiave” (4); iltermine deriva dal greco crypto, che significa nascondere e grapheinche significa scrivere. La crittografia è una scienza matematica (5) cheserve a cifrare un testo in modo da renderlo assolutamente incom-prensibile, salvo che al destinatario, assicurando così una funzione disegretezza; è possibile anche garantire l’autenticità e l’integrità deltesto cifrato.

La crittografia asimmetrica, o a chiave pubblica (6), si basa su unacoppia di chiavi: una chiave privata o segreta, conosciuta solo dalsuo titolare, e una chiave pubblica, che è invece conoscibile da partedi chiunque. Il ruolo delle chiavi può essere spiegato con vari esem-pi: il primo risale ai tempi dell’antica Roma, in cui si soleva rompereuna moneta in due per consentire al possessore di una delle metà,ambasciatore di un messaggio segreto, di individuare con certezza ilportatore dell’altra metà coincidente, destinatario del messaggio; unesempio più moderno può essere quello della banconota strappatain due parti, affinché il possessore di una possa risalire senza dubbial possessore dell’altra, grazie alla coincidenza delle irregolarità dellostrappo. Un ultimo esempio è quello della cassaforte che può essereaperta solo con una chiave e chiusa con l’altra.

Le due chiavi sono complementari o correlate: ognuna consentedi sbloccare il codice dell’altra; se una è usata per cifrare, l’altra de-v’essere usata per decifrare e viceversa. In altri termini, il documentocodificato con una delle due chiavi può essere decodificato solo con

(3) La definizione è tratta dal dizionario della lingua italiana della Zanichelli.(4) La definizione è tratta dal dizionario Motta.(5) Per un approfondimento dei principi matematici del sistema: P.Giblin, “Primes and

Programming”, Cambridge, 1993; P. Ridolfi, “Firma digitale e sicurezza informatica”, Milano,1998; W. Wolfowicz, “Introduzione alla moderna crittografia,strumento di protezione dei siste-mi informativi”, all’indirizzo www.securteam.it/bbs/critto/moderna_critto.htm.

(6) Per una breve ma utile disamina dei termini da adoperare correttamente nel sistemacrittografico: C. Giustozzi, “Terminologia crittografica”, in “Mcmicrocomputer n. 168, dicembre1996, pag. 197; l’articolo è consultabile anche sulla rivista “Interlex” all’indirizzowww.interlex.com/docdigit/corrado1.htm.


l’altra chiave, e non riutilizzando la prima. Le due chiavi sono ancheindipendenti, nel senso che la conoscenza della chiave pubblica nonpermette di dedurre la corrispondente chiave privata (7).

3. APPLICAZIONI DEL SISTEMA

Utilizzando un sistema a chiavi asimmetriche è possibile realizzaretre applicazioni che esaminiamo separatamente.

Segretezza del documento

Il mittente cifra il documento con la chiave pubblica del destinatario;il destinatario decifra il documento con la propria chiave privata.

Il mittente usa la chiave pubblica del destinatario per cifrare undocumento; il destinatario, invece, userà la propria chiave privata perdecifrarlo. Nessun altro potrà decifrare il documento, in quanto soloil destinatario dispone della chiave privata necessaria alla decifratura.Lo stesso mittente, che ha cifrato il documento, non sarà in grado didecifrarlo, non disponendo della chiave privata del destinatario (8).

Questa prima applicazione garantisce la segretezza del documento,ma non la sua paternità e integrità. Chiunque, infatti, può utilizzare lachiave pubblica del destinatario, cifrando il documento e inviandolo,così com’è possibile intercettare il documento stesso e modificarlo. Ildestinatario, quindi, non potrà essere sicuro della paternità e dell’inte-grità del documento. Sono, però, soddisfatte le esigenze di riservatezzaposte alla base dell’invio del documento da parte del mittente.

(7) In riferimento a chiavi di 1024 bit, è stato calcolato che una rete di un milione dicomputer impiegherebbe un tempo corrispondente all’età dell’Universo per ricavare una chia-ve privata da una chiave pubblica. Questo non esclude che nel futuro si possa arrivare a violareanche ciò che oggi appare inviolabile: ciò che conta, però, è che, allo stato delle attuali cono-scenze, il sistema sia completamente affidabile. D’altro canto, è inutile cullarsi sull’impossibilitàdi violare il sistema, se, ad esempio, si comunica la frase segreta della propria chiave ad altrepersone o, comunque, non si adottano cautele sufficienti per tenerla riservata. In tal caso,infatti, il tempo potenzialmente infinito per forzare il sistema, al quale si accennava sopra, siridurrebbe drasticamente.

(8) Il mittente, però, potrebbe cifrare il documento anche con la sua chiave pubblica, inmodo da poterlo decifrare dopo la cifratura con la chiave pubblica del destinatario.


Ricapitolando: se si vuole inviare un documento riservato ad undeterminato destinatario, si dovrà utilizzare la chiave pubblica dellostesso destinatario per cifrare il testo; il destinatario, invece, userà lapropria chiave privata per la relativa decodifica. Analogamente, chiun-que potrà decodificare con la propria chiave privata tutti i messaggiche gli giungeranno cifrati con la sua chiave pubblica.

Autenticità e integrità del documento

Il mittente cifra il documento con la sua chiave privata; il destina-tario decifra il documento con la chiave pubblica del mittente.

Il mittente usa la sua chiave privata per cifrare un testo, apponendo-vi la propria firma digitale. Il destinatario, ricevuto il documento pervia telematica, decodifica la firma del mittente attraverso la corrispon-dente chiave pubblica: se la verifica ha esito positivo, è assicurata l’au-tenticità del documento e la sua integrità, poiché soltanto il mittentepuò aver usato la chiave privata per cifrare il documento (9). Se l’ope-razione di verifica, invece, ha esito negativo, ne deriva la certezza cheil documento non appartiene al mittente oppure che è stato alteratodopo l’apposizione della sua firma digitale: basta spostare una solavirgola del testo sottoscritto digitalmente dal mittente, infatti, perché ladecodifica da parte del destinatario dia inesorabilmente un risultatonegativo (10). In tal caso, invero, non vi sarebbe più alcuna possibilitàdi corrispondenza tra la firma digitale e il testo che essa sottoscrive.

È bene precisare che, con la chiave privata, non si codifica l’interodocumento, ma soltanto una parte compressa di questo, frutto dellacd. funzione di hash (11). L’hashing produce un’impronta digitale

(9) Si presume, infatti, che la chiave privata usata per apporre la firma sia nel possessoesclusivo del suo titolare.

(10) Per un esempio concreto, che dimostra la diversità tra due firme digitali, apposte dallostesso sottoscrittore a due testi che si differenziano solo per una virgola, vedi cap. 4 par. 1.

(11) Le funzioni hash più note sono MD5 e SHA: MD5 (acronimo appunto di messagedigest), creato da Ron Rivest, determina un valore hash di 128 bit. SHA (Secure Hash Algori-thm), creato negli USA dal National Institute of Standards and Technology (NIST) e dalla Natio-nal Security Agency (NAS), è utilizzato con il DSS (Digital Signature Standard). Ulteriori infor-mazioni su NIST e NSA si trovano sui loro siti Internet, rispettivamente agli indirizzi www.nist.gove www.nsa.gov.


del documento (il cd. message digest o hash code, una specie diriassunto codificato) (12) che consente la creazione della firma digi-tale (13).

La chiave privata si applica solo sul message digest, e non sull’inte-ro documento, in modo da consentire una cifratura più veloce; lastessa operazione, infatti, se effettuata sull’intero documento richie-derebbe più tempo.

Applicare una chiave privata solo ad ad una parte del messaggiocomplica, tra l’altro, le già scarse possibilità di manomissione dellachiave.

Dopo l’apposizione della firma digitale da parte del mittente,viene creato un documento in chiaro, cioè leggibile, associato adun insieme invece incomprensibile di caratteri che è il frutto dellafunzione di hash. Il destinatario del documento, una volta perve-nutogli il documento firmato digitalmente, provvede alla decifra-zione dell’hash della firma tramite la chiave pubblica del mittente(14).

Se, al termine dell’operazione (15), la verifica effettuata attraversola chiave pubblica del mittente si conclude positivamente, sono ga-rantite:

— autenticità del documento: non vi è alcun dubbio, infatti, che lafirma è stata creata con la chiave privata corrispondente alla chia-ve pubblica usata per decifrare;

— integrità del documento: il documento non può essere stato alte-rato dopo l’apposizione della firma digitale.

(12) La funzione hash, applicata a un messaggio di qualsiasi dimensione, produce unastringa di 128-512 bit (message digest), che identifica in modo univoco il messaggio.

(13) L’hash code ha due caratteristiche: l’unidirezionalità, nel senso che il valore dell’ hashnon consente di risalire al documento originario; la resistenza alle collisioni, cioè l’impossibilitàdi determinare una coppia di documenti con lo stesso valore di hash. E’ stato calcolato, infatti,che gli algoritmi di hashing potrebbero consentire di avere due message digest uguali, damessaggi diversi, in una misura pari soltanto a una su quattro miliardi di possibilità: ciò inducetaluno a precisare che non si dovrebbe parlare, però, di impossibilità di ottenere tale risultato.

(14) In realtà, il destinatario codifica il documento ricevuto con la stessa funzione hashusata dal mittente (cd. hash fresco); quindi, decifra la firma digitale del mittente con la corri-spondente chiave pubblica. Se i due hash così creati corrispondono, la verifica è di segnopositivo.

(15) Queste complicate operazioni di codifica e decodifica, ovviamente, sono effettuate dalcomputer, mentre gli utenti hanno il compito di dettare solo pochi comandi.


Apponendo la firma digitale su un documento, però, se da un latosi ottiene la garanzia dell’autenticità e dell’integrità del documentostesso, dall’altro non è possibile assicurare la sua segretezza, in quan-to il documento rimane leggibile e, d’altro canto, chiunque potrebbeaccedere alla chiave pubblica del mittente al fine di compiere la veri-fica necessaria ad accertare la provenienza del documento.

Segretezza, autenticità e integrità del documento

Il mittente cifra il documento con la sua chiave privata e con lachiave pubblica del destinatario; il destinatario decifra il documentocon la sua chiave privata e con la chiave pubblica del mittente.

È possibile combinare le prime due ipotesi in modo da realizzar-ne contemporaneamente gli obiettivi: se il mittente vuole assicurarenon solo la paternità e l’integrità del documento, ma anche la suasegretezza, può usare la sua chiave privata per firmare il testo, prov-vedendo quindi a cifrarlo con la chiave pubblica del destinatario.Quest’ultimo farà l’operazione inversa, decifrando il testo ricevutocon la sua chiave privata e verificando la firma con la chiave pub-blica del mittente. In questo modo il mittente ha la certezza chesoltanto il destinatario potrà leggere il documento, poiché solo que-st’ultimo dispone della chiave privata necessaria alla decifratura;stessa certezza, ovviamente, sussiste per il destinatario, il quale hala consapevolezza che, oltre a lui, soltanto il mittente può aver lettoil documento. Inoltre, il mittente può utilizzare questa tecnica qua-lora intenda assicurare al suo interlocutore anche la certezza dellapaternità e dell’integrità del documento; dal canto suo, il destinata-rio, se il procedimento di verifica effettuato attraverso la chiavepubblica del mittente ha esito positivo, è sicuro non solo della pa-ternità del documento inviatogli, ma anche della sua integrità, per-ché, se il testo fosse alterato da qualcuno dopo l’apposizione dellafirma digitale del mittente, il procedimento di verifica darebbe esitonegativo.

Questa cifratura combinata (chiave privata del mittente e chiavepubblica del destinatario), pertanto, unitamente alla corrispondentedecifratura (mediante la chiave pubblica del mittente e la chiave pri-


vata del destinatario), esprimono la massima potenzialità del sistemadi crittografia asimmetrica.

4. L’ALGORITMO DI CODIFICA

Dopo aver esaminato le ipotesi concretamente realizzabili con unsistema di crittografia asimmetrica, adeguatamente supportato dalcomputer, è del tutto naturale chiedersi: ma come avvengono in con-creto la cifratura e la decifratura di un documento?

Possiamo fare un esempio pratico, riferendoci ad una rudimentaleforma di crittografia, quella per trasposizione, in cui ad ogni lettera del-l’alfabeto corrisponde un numero progressivo. Gli interlocutori si accor-dano per sostituire ogni lettera del loro messaggio con un’altra che lasegue di un certo numero di posizioni: quindi, se si stabilisce una traspo-sizione di quattro posizioni, la A diventerà E, la B diventerà F, e così via.

Di questo sistema c’interessa individuare l’algoritmo e la chiave:l’algoritmo è costituito dalla trasposizione per ogni lettera di un certonumero di posizioni, la chiave, invece, è data dal numero di posizio-ni necessario per trasporre le lettere.

L’algoritmo e la chiave consentono di trasformare un testo in chia-ro in un testo cifrato, oppure di compiere l’operazione inversa pas-sando da un testo cifrato ad un testo in chiaro. Questo sistema dicrittografia per trasposizione, tuttavia, non può certo essere ritenutoaffidabile, in quanto è abbastanza agevole scoprire l’algoritmo e, suc-cessivamente, indovinare la chiave. La sua debolezza di fondo derivadalla circostanza che, una volta scoperto l’algoritmo, si arriverà conpochi tentativi anche a scoprire la chiave.

Ciò significa che il sistema ha un difetto irrimediabile: fondarsi suun algoritmo che deve rimanere segreto, altrimenti da questo si po-trebbe facilmente risalire alla chiave. Per i sistemi solidi di crittogra-fia, invece, la segretezza dell’algoritmo è irrilevante, anzi essi addirit-tura possono rendere del tutto trasparente l’algoritmo, in quanto fon-dano la propria inviolabilità sulla segretezza della chiave.

Se il lettore vuole utilizzare un sistema più sofisticato di quello pertrasposizione, ad esempio per attuare una delle applicazioni sopraillustrate, non deve fare altro che utilizzare un algoritmo matematico,


come l’algoritmo RSA che sfrutta peculiari proprietà dei numeri primi(16). Quest’operazione, però, può essere compiuta anche ignorandoi più elementari principi matematici; tanto meno è necessario cono-scere il sofisticato teorema di Fermat — Eulero, sul quale si fondal’algoritmo RSA. Il procedimento, infatti, avviene in modo assoluta-mente “indolore”, poiché sarà il computer, attraverso un appositosoftware, ad attivare l’algoritmo RSA, senza che l’utente possa appenapercepire il funzionamento del complicato meccanismo di codifica odecodifica.

A questo punto è già evidente che l’algoritmo di codifica asimme-trica più diffuso è il cd. RSA (17), così chiamato dalle iniziali delcognome dei suoi inventori, e cioè Rivest (18), Shamir e Adleman, trericercatori del Massachusetts Institute of Technology (MIT), i quali,nel 1977, ebbero la geniale idea di sviluppare il teorema di Fermat -Eulero con una particolare applicazione in grado di generare unacoppia di chiavi asimmetriche. Naturalmente i tre pensarono bene dibrevettare il loro algoritmo, fondando anche la RSA Data Security(19) per garantirne la tutela commerciale: curiosamente, però, ciò

(16) Sul sito dell’AIPA, all’indirizzo www.aipa.it/attivita/standard[5/ottica[1/firmaweb.asp,vi è uno studio di M. Terranova dal titolo: “Firma digitale: tecnologie e standard”, in cui, oltreall’algoritmo RSA, vi sono riferimenti sugli algoritmi di Diffie - Helmann e di El Gamal, nonchésul sistema basato sulle curve ellittiche. Sull’algoritmo RSA vedi anche: L. Felician, “Crittografia:istruzioni per l’utilizzo” all’indirizzo www.privacy.it/crittoistruz.html; quest’articolo è stato ori-ginariamente pubblicato su “Il Sole 24 ore” del 13 febbraio 1998.

(17) L’algoritmo RSA è stato scelto, infatti, per la generazione e la verifica delle firme digitalianche nel nostro sistema, unitamente all’algoritmo DSA (Digital Signature Algorithm). Que-st’ultimo era già stato proposto dal National Institute of Standards and Technology statunitensecome alternativa all’algoritmo RSA. Il DSA fu sviluppato per utilizzazioni nell’ambito del cd.Digital Signature Standard (DSS).

(18) Il professore Ron Rivest è anche protagonista della sfida all’ultimo bit nota come “RSA-129”, lanciata nel 1977, di cui si conoscono gli aspetti quasi leggendari diffusi dalla comunità diInternet: il professore avrebbe pagato cento dollari a chi fosse riuscito a fattorizzare un numerodi 129 cifre decifrando il suo messaggio di sfida. Pare che Rivest sia stato battuto dopo 17 anni,grazie ad una rete enorme di computer sparsi in tutto il mondo, con migliaia di volontaricoalizzati ed accomunati dall’intento di decrittare il messaggio.

(19) Sul sito www.rsa.com è possibile trovare ogni notizia utile sull’algoritmo RSA, compre-sa anche una ricca sezione dedicata alle cd. FAQ. Le FAQ rappresentano lo strumento piùdiffuso di apprendimento in Internet e sono dei file di testo che raccolgono tutte le domandealle risposte più frequenti su un determinato argomento. È possibile approfondire la conoscen-za del metodo RSA e le tecniche crittografiche anche consultando il lavoro di L. Berardi e A.Beutelspacher, “Crittologia. Come proteggere le informazioni riservate”, Milano, 1996


non avvenne che molto tempo dopo, perché, probabilmente, nean-che i tre inventori percepirono subito le implicazioni rivoluzionariedella loro scoperta (20).

5. IDENTIFICAZIONE DELL’AUTORE DEL DOCUMENTO

Abbiamo visto che, grazie alla firma digitale, è possibile assicurarel’autenticità e l’integrità di un documento. Tuttavia, come può il desti-natario avere la certezza sull’identità del soggetto che appare comeautore del documento? Sarebbe estremamente semplice, per il mit-tente, usare il nome di un’altra persona o addirittura un nome difantasia, generare una coppia di chiavi ed utilizzarla per formare do-cumenti soltanto apparentemente autentici, ma, in realtà, non corri-spondenti alla firma dell’autore. In altri termini, se il destinatario rice-ve un documento per via telematica, con tanto di firma digitale delmittente, che appare chiamarsi Mr. Bit, attiverà il procedimento diverifica attraverso la chiave pubblica di Mr. Bit; se la verifica saràpositiva, il destinatario avrà la certezza che il documento è stato fir-mato da Mr. Bit. Ma se il mittente, invece, è qualcun altro che sispaccia per Mr. Bit? E se poi il vero Mr. Bit nega di essere l’autore deldocumento? O se, pur essendo l’autore del documento Mr. Bit, tutta-via egli non è in possesso della capacità legale o naturale? O, addirit-tura, se Mr. Bit non esiste?

Occorre, quindi, che il destinatario del documento elimini tuttiquesti dubbi acquisendo altrettante certezze: a tal fine intervengo-no, all’interno del sistema, le cd. Autorità di Certificazione (Certifi-cation Authority o CA) (21), che hanno l’importantissimo compitodi garantire la corrispondenza tra le chiavi e l’identità personale deisoggetti ai quali esse si riferiscono, certificando tale corrispondenzae curando che ogni evento, che possa in qualche modo influire sudi essa, riceva adeguata pubblicità, con il rinnovo periodico del

(20) La RSA Data Security,Inc. fu fondata nel 1982.(21) La Certification Authority è tradizionalmente definita come Trusted Third Party (TTP),

proprio per sottolinearne la natura di terzo di provata fiducia, in grado di svolgere delicatefunzioni di garanzia e certificazione. I puristi della materia tengono a distinguere le CA dalleTTP sulla base del potere di archiviazione delle chiavi private che sarebbe concesso solo alleTTP.


procedimento di certificazione e con la pubblicazione delle vicendeche interessano le chiavi pubbliche (estinzione, revoca, modifica,sospensione).

Le chiavi pubbliche sono inserite nel cd. key repository, cioè in unarchivio elettronico consultabile on line da chiunque abbia interessead ottenere notizie su una determinata chiave e sul suo titolare. Sulleinformazioni inserite in questo tipo di archivi, però, non mancanoperplessità, in quanto si ritiene possibile la lesione della privacy perla diffusione, potenzialmente illimitata, dei dati personali inerenti aciascuna chiave (22).

L’Autorità di Certificazione si avvale della propria firma digitaleper autenticare tutte le informazioni sulle chiavi pubblicate, in modotale che gli utenti possano acquisire le informazioni stesse per viatelematica.

E’ necessario che esista anche un canale telematico in grado dimettere in comunicazione tutte le Autorità di Certificazione dei variPaesi, in modo che il documento informatico non incontri ostacolinella sua circolazione. Una sperimentazione in tal senso è stata già datempo avviata con il progetto ICE - TEL, una Public Key Infrastructu-re (23) che attualmente comprende alcuni Paesi europei (24), gestitoin Italia dal Computer and Network Security Group (CNSG) presso ilDipartimento di Automatica e Informatica del Politecnico di Torino.La CA italiana assicura un servizio di certificazione a chiave pubblicaagli utenti di Internet, e, in particolare, ad organizzazioni pubbliche eprivate o singoli cittadini. Chiunque, anche il lettore, potrebbe richie-

(22) Infatti, nel regolamento tecnico sul documento informatico, si prevede che le informa-zioni su nome, cognome e data di nascita ovvero ragione o denominazione sociale del titolaredella chiave possano essere sostituite con uno pseudonimo, purché la presenza dello pseudo-nimo in luogo dei dati anagrafici sia esplicitamente indicata nel certificato.

(23) Un altro esempio di Public Key Infrastructure è il cd. PKIX-3, un protocollo propostodall’Internet Engineering Task Forces (IETF) al fine di consentire la certificazione incrociata trainterlocutori accreditati da differenti Autorità di Certificazione. Il PKIX-3 è stato adottato dagrandi imprese come Hewlett-Packard, Ibm e Netscape.

(24) I Paesi europei aderenti al progetto ICE-TEL sono Danimarca, Germania, Slovenia,Italia, Regno Unito e Spagna, che hanno creato, sulla base di una piattaforma sviluppata inGermania presso l’Università di Darmstadt, altrettante Autorità di Certificazione. Bisogna sotto-lineare, nell’ambito di questa piattaforma, l’uso di chiavi di cifratura RSA a 1024 bit (quindi dicrittografia forte), grazie all’assenza di vincoli all’esportazione di software.


dere tale servizio, seguendo la procedura indicata nel sito Internetdell’ICE-TEL Italian Certification Authority (25).

In conclusione, tornando al nostro esempio, tutti i dubbi del desti-natario sulla reale identità di Mr. Bit svaniranno nel momento in cuiaccederà alla chiave pubblica di Mr. Bit, debitamente certificata dallacompetente Autorità di Certificazione. Mr. Bit non potrà ripudiare ildocumento da lui firmato digitalmente, così come il destinatario nonpotrà opporgli un documento diverso da quello inviatogli. Quest’ef-fetto è noto con l’espressione inglese di non repudiation, vale a direl’inammissibilità del disconoscimento della trasmissione o della rice-zione del documento informatico.

6. DATA E ORA DELLA TRASMISSIONE DEL DOCUMENTO, ILCD. TIME STAMPING

Nel sistema di crittografia asimmetrica i documenti si trasmettonoper via telematica; ci si potrebbe chiedere, quindi, come sia possibile

(25) L’indirizzo Internet è www.polito.it/ice-tel/ca/. E’ interessante leggere la richiesta dicertificato che l’utente deve avanzare per ottenere il servizio:

Alla ICE-TEL Italian CA c/o Politecnico di Torino - Oggetto: richiesta di certificato a chiavepubblica.

Io sottoscritto….con la presente richiedo alla ICE-TEL Italian CA (nel seguito CA) l’emissio-ne di un certificato a chiave pubblica nel formato X.509v3 per garantire l’associazione tra la miachiave pubblica e la mia identità.

A questo fine, con la presente dichiaro:— di aver preso visione e di accettare le norme specificate nella policy della CA e nelle

relative CPS (Certificate Practice Statement) collettivamente disponibili su Internet alla URLhttp://www.polito.it/ice-tel/ca/policy/;

— di essere a conoscenza che le caratteristiche di sicurezza dei dispositivi hardware o softwa-re che utilizzano i certificati a chiave pubblica dipendono dalla corretta conservazionedella corrispondente chiave privata, di cui dichiaro di essere l’unico depositario;

— di accettare che, nell’utilizzo dei certificati a chiave pubblica, la responsabilità della CA sialimitata alla garanzia di aver effettuato i controlli specificati nelle policy e CPS predette perverificare l’identità di ciascun richiedente un certificato e all’adozione delle misure di sicu-rezza atte a proteggere la chiave privata della CA;

— di autorizzare il trattamento e la conservazione dei miei dati personali da parte della CA— di autorizzare la CA a pubblicare su Internet il certificato a chiave pubblica che mi verrà

rilasciato;— di richiedere sotto la mia personale responsabilità l’inserimento del seguente indirizzo di

posta elettronica, di cui ho la disponibilità, nel campo e-mail del certificato: ………“


accertare il momento in cui avviene la loro trasmissione, in modo taleda poter eventualmente acquisire la relativa prova, anche al fine del-l’opponibilità ai terzi. A ciò provvede la cd. time stamping machine,che effettua un controllo temporale con le stesse tecniche crittografi-che già analizzate. Infatti, se si considera che il documento parte dalcomputer del mittente per arrivare, in pochi secondi, a quello deldestinatario, è possibile apporre una sorta di sigillo temporale di talepassaggio grazie alla firma digitale di chi è chiamato ad effettuare ilcontrollo di time stamping. Pertanto, se il destinatario del documentovorrà, oltre ad accertare la paternità ed integrità del documento, ave-re anche un riscontro sicuro sul momento in cui esso è stato trasmes-so, non dovrà fare altro che applicare l’abituale procedimento di ve-rifica alla firma digitale dell’ente preposto al servizio di controllo tem-porale (26). Anche il mittente, naturalmente, potrà ottenere la confer-ma temporale dei suoi documenti telematici. Così, sempre per viatelematica, sarà possibile acquisire un’ulteriore garanzia sull’affidabi-lità del sistema (27).

Questa procedura di controllo è molto delicata, poiché essa costi-tuisce l’unico strumento per definire la dimensione temporale deidocumenti telematici. Perciò ad essa si applica una disciplina alquan-to rigida, e, inoltre, vi si dedicano apposite chiavi, distinte da quelledi certificazione, e definite di marcatura temporale.

Infine, il legislatore italiano ha definito questo sistema come vali-dazione temporale, evidenziandone la possibilità di attribuire ai do-cumenti informatici una data e un orario opponibili ai terzi (28).

7. IL CONFLITTO TRA RISERVATEZZA E SICUREZZA DELLE IN-FORMAZIONI TELEMATICHE. IL KEY ESCROW E IL KEY RE-COVERY

Uno dei pregi più significativi del sistema di crittografia asimmetri-ca è la possibilità di garantire che il contenuto di un messaggio venga

(26) Potrebbe essere la stessa Autorità di Certificazione a svolgere il servizio di time stam-ping, dato che si deve trattare comunque di una Trusted Third Part.

(27) Nel paragrafo 10 del cap. 2 è riportato l’esempio di un servizio di time stamping,effettuato su Internet.

(28) Vedi art. 1, lettera i), DPR 513/97.


letto, tramite un’apposita decodificazione, solo dal suo destinatario;ciò determina, d’altra parte, almeno secondo un orientamento pre-valente in molti Paesi, il rischio di consentire ad organizzazioni crimi-nali — terroristiche di utilizzare questo canale privilegiato di trasmis-sione delle informazioni per mettersi al riparo da qualsiasi ingerenzadelle autorità investigative (29). Si pone, quindi, il problema dellatutela del diritto alla riservatezza delle comunicazioni telematiche deicittadini, senza con questo impedire eventuali attività tendenti allarepressione della criminalità telematica.

Per ricordare qualcuna delle soluzioni proposte per disciplinare lamateria, merita un cenno il COCOM (Coordinating Committee forMultilateral Export Controls), un’organizzazione internazionale per ilmutuo controllo dell’esportazione di prodotti strategici e tecnologieche, nel 1991, decise di permettere l’esportazione di software di crit-tografia nel mercato di massa. La maggior parte dei paesi membri(30)del COCOM seguirono le sue regolamentazioni. Gli Stati Uniti, inve-ce, preferirono regolamentazioni separate. L’obiettivo principale delCOCOM era impedire l’esportazione di crittografia verso alcuni Paesi,ritenuti pericolosi per i loro contatti con organizzazioni terroristiche,come Libia, Iraq, Iran, e Nord Corea. COCOM cessò di esistere nelmarzo 1994. Nel 1995, ventotto Paesi decisero di dare un seguito alCOCOM con il Trattato di Wassenaar, le cui negoziazioni si conclu-sero nel luglio 1996 con la sottoscrizione di trentuno Paesi (31). IlTrattato di Wassenaar disciplina tuttora l’esportazione delle armi con-venzionali e dei beni e tecnologie a doppio uso (cioè che possono

(29) Il problema si pone per la crittografia strategica. La crittografia può essere di due tipi:la crittografia tattica, che si caratterizza per essere a tempo determinato (ad esempi i sistemi dicodifica delle pay-tv). La crittografia strategica è invece tendenzialmente perpetua, nel sensoche assicura una segretezza non limitata nel tempo: essa si fonda sui preziosi insegnamenti diAuguste Kerckhoffs, un crittologo del secolo scorso.

(30) I diciassette membri erano Australia, Belgio, Canada, Danimarca, Francia, Germania,Grecia, Italia, Giappone, Lussemburgo, Olanda, Norvegia, Portogallo, Spagna, Turchia, RegnoUnito e Stati Uniti. Cooperavano Austria, Finlandia, Ungheria, Irlanda, Nuova Zelanda, Polonia,Singapore, Slovacchia, Corea Meridionale, Svezia, Svizzera, e Taiwan.

(31) I Paesi aderenti furono Argentina, Australia, Austria, Belgio, Canada, Repubblica Ceca,Danimarca, Finlandia, Francia, Germania, Grecia, Ungheria, Irlanda, Italia, Giappone, Lussem-burgo, Olanda, Nuova Zelanda, Norvegia, Polonia, Portogallo, Repubblica di Corea, Romania,Federazione Russa, Repubblica Slovacchia, Spagna, Svezia, Svizzera, Turchia, Regno Unito eStati Uniti. Successivamente anche Bulgaria ed Ucraina firmarono il Trattato.


essere usati sia a scopi militari sia civili: la crittografia rientra in que-sta categoria). Il Trattato, che non è direttamente applicabile nei Pae-si aderenti, è stato rivisto con gli accordi del dicembre 1998 di Vien-na, con cui sono state stabilite precise restrizioni all’esportazione an-che del software di pubblico dominio (General Software Note) e dellacrittografia oltre i 56 bit.

Un’altra soluzione è tradizionalmente affidata al cd. key escrow edal cd. key recovery. Nel primo caso il cittadino è costretto a deposita-re la chiave privata presso un ente governativo, in modo che, se ènecessario, si possa ottenere la decodifica dei suoi messaggi. Attra-verso il key recovery (32), invece, pur non essendo previsto il deposi-to della chiave, è possibile per la Pubblica Autorità decifrare qualsiasidocumento che sia stato in precedenza cifrato.

Tra i Paesi che si sono particolarmente distinti per le soluzionisbilanciate a favore della sicurezza e a danno della riservatezza, ilprimato spetta agli Stati Uniti (33), che hanno una lunga tradizione inqueste attività repressive della libertà di comunicazione telematica.Addirittura gli USA ritenevano che la cd. crittografia forte (34) pre-sentasse la stessa pericolosità delle munizioni da guerra (35), e nevietarono l’esportazione (36).

(32) Efficace la metafora del prof. Rivest, co-inventore dell’algoritmo RSA, sul sistema di keyrecovery: “Key recovery is the effective equivalent of registering duct tape users, or of requiringregistration of every usage of duct tape”; sul significato di questa metafora vedi oltre, nota 44.

(33) Nell’aprile 1993 scoppiò il caso del cd. Clipper Chip, contenente un algoritmo segretodi crittografia della National Security Agency (www.nsa.gov), programmato in modo tale che ilGoverno USA potesse decifrare qualsiasi comunicazione, grazie alla tecnica della cd. backdoor(“passaggio segreto” per violare il sistema). La stessa possibilità era offerta dal chip Clapstone.Questo disegno della Casa Bianca fu velocemente seppellito dalle proteste. Il problema futalmente sentito dalla comunità telematica, da provocare l’immediata creazione di un appositonewsgroup, tuttora molto attivo: alt.privacy.clipper.

(34) Per crittografia forte s’intende quella basata su algoritmi di una certa robustezza,variamente quantificata a seconda delle interpretazioni delle varie autorità. Ad es. l’Office ofDefense Trade Control statunitense di norma colloca gli algoritmi superiori a 40 bit in questacategoria, con la conseguenza di far scattare il divieto di esportazione.

(35) Nell’ottica militare la crittografia rientra nel sistema di sicurezza e di difesa: è un’armaoffensiva perché può violare le comunicazioni dell’avversario, ma è anche un’arma difensivanella misura in cui impedisce al nemico di penetrare nel proprio sistema.

(36) Negli USA il controllo governativo sull’esportazione di crittografia è previsto dall’ArmsExport Control Act e dall’International Traffic in Arms Regulation.


Recentemente il Governo USA ha indicato, con un comunicatoufficiale, il suo nuovo orientamento in materia di crittografia (37):l’intento è innanzi tutto quello di consentire alla Giustizia di poterdecifrare informazioni di matrice criminosa, con la creazione di unorganismo tecnico presso il FBI; altro intento è quello di promuovereil commercio elettronico, consentendo l’esportazione di crittografiaforte a protezione di dati sensibili. L’esportazione di crittografia fortesarà consentita, in particolare, a diversi settori industriali subordinata-mente ad un’autorizzazione. L’esportazione non sarà consentita ver-so sette Paesi catalogati come terrorist countries (Iran, Iraq, Libia,Siria, Sudan, Corea del Nord e Cuba).

È evidente che l’Amministrazione USA, resasi conto che una poli-tica fortemente restrittiva disincentiva gli investimenti industriali, ten-ta di costruire un sistema più liberale, senza peraltro riuscirci. Latendenza, infatti, rimane sempre quella di favorire i prodotti basatisul key recovery, sia pure con una semplificazione dei controlli: ciò alfine di svolgere improbabili indagini giudiziarie, ma sempre a dannodella privacy.

Tutto sommato, si può tranquillamente affermare che la politicaseguita negli Stati Uniti mira ad una tendenziale compressione deldiritto di crittografia dei cittadini (38). Sino a quando, del resto, gliStati Uniti manterranno in vita singolari iniziative, come la cd. DeniedPersons List, una vera e propria lista nera (39) in cui vengono inseritele persone (indicate con nome, cognome e indirizzo) che si sono

(37) Chi volesse approfondire il comunicato della Casa Bianca, che risale al 16 settembre1998, troverà la traduzione italiana sul sito dell’Associazione per la Libertà nella ComunicazioneElettronica Interattiva (ALCEI), all’indirizzo www.alcei.it./doc/newusenc.htm.

(38) A seguito della decisione della Casa Bianca, il Dipartimento per il Commercio degliStati Uniti (Department Of Commerce - Bureau of Export Administration) ha reso note le modi-fiche all’ Export Administration Regulations (EAR), contenute in un regolamento provvisoriodel 31 dicembre 1998, consultabile all’indirizzo: www.securteam.it/bbs/critto/regolexportusa.htm.Il regolamento stabilisce che è lecita l’esportazione di algoritmi di cifratura simmetrica (DES,RC2, RC4, RC5, CAST) con chiave a 56 bit; algoritmi simmetrici per scambio di chiavi a 112 bit;algoritmi asimmetrici per scambio di chiavi a 1024 bit.

(39) La Denied Person List è predisposta dal Bureau of Export Administration dell’U.S.Department of Commerce, pubblicata sul Federal Register Citation, e, come se non bastasse,anche su Internet all’indirizzo www.bxa.doc.gov/DPL/2_denial.htm. La lista include le personefisiche e, eventualmente, gli enti per conto dei quali hanno agito in violazione della regolamen-tazione sulle esportazioni, e non soltanto in materia di crittografia.


macchiate della grave colpa di aver violato l’EAR (Export Administra-tion Regulations), non sembrano molto vicine delle soluzioni accetta-bili.

Il travaglio statunitense è l’espressione più drammatica del conflit-to tra privacy e sicurezza pubblica delle informazioni telematiche, esarebbe certo significativo poter seguire l’evoluzione di tale esperien-za (40) per poterne trarre preziosi insegnamenti.

Il legislatore italiano, per fortuna, non sembra aver seguito l’esem-pio degli USA (41), come vedremo, nell’affrontare lo studio dellanostra normativa.

La comunità telematica d’Internet è il luogo virtuale dove è moltoavvertita l’esigenza di libertà d’espressione e di riservatezza delle co-municazioni; anzi questa esigenza è avvertita più di quanto avvenganel mondo reale.

La peculiare natura di Internet, infatti, affida la sua sopravvivenzaalla assoluta libertà di trasmissione delle informazioni; se tale libertàfosse compressa, Internet cesserebbe di esistere in quanto tale perdivenire un ordinario strumento di comunicazione di massa . Ciòspiega perché siano in corso delle accese forme di protesta (42), per

(40) Sull’esperienza statunitense vedi: A. Monti, “Crittografia: nuove regole o regole nuo-ve?”, in “PC Professionale”, novembre 1998. Sul sito Internet www.crypto.com è possibile con-sultare la rivista “The Encryption Policy Resource Page”, dedicata interamente alle problemati-che della crittografia, al fine di seguire il travagliato iter della crittografia nell’ordinamento USA.La prima pagina del sito si apre significativamente con questo appello: “E’ in corso una battaglianel Congresso degli Stati Uniti d’America e riguarda il vostro diritto alla privacy nell’età dell’in-formazione. Agite ora per impedire all’FBI di creare il Grande Fratello in Internet”.

(41) Ma qual era, prima del DPR 513, la situazione legislativa italiana? Vi fu solo un tenta-tivo di regolare la materia (in riferimento anche alle trasmissioni in codice delle varie forme ditelecomunicazioni) con il disegno di legge n. 3232 del 1992, che però non ebbe un esito felice.Per un approfondimento della pregressa situazione normativa italiana: C. Sarzana di S. Ippolito,“Riflessi normativi sull’uso dei sistemi crittografici in Italia”, in “Per aspera ad veritatem” n.4 del1996.

(42) La Global Internet Liberty Campaign (GILC) è una coalizione di organizzazioni inter-nazionali che si propone di difendere le libertà civili su Internet e che si è resa protagonista dinumerose iniziative a tutela della crittografia, intesa quale strumento di sviluppo dei dirittiumani. Maggiori informazioni si possono trovare all’indirizzo www.gilc.org. Tra le iniziativemerita di essere ricordata una dichiarazione sul Trattato di Wassenaar, la cui traduzione italiana,ad opera della meritoria ALCEI, si può trovare all’indirizzo www.alcei.it/doc/cryp/wasslett.htmsotto il significativo titolo “La crittografia è uno strumento di difesa, non un’arma”. La dichia-razione si chiude con un’accorata esortazione ai delegati delle nazioni firmatarie del Trattato alfine di valutare l’impatto negativo dei controlli esistenti sui programmi di crittografia, rimuo-vendole dalle future versioni del Trattato stesso.


combattere ogni tentativo di comprimere il diritto di crittografia. Trale varie iniziative promosse su Internet a tutela di tale diritto, spiccaquella promossa da uno degli inventori dell’algoritmo RSA, il Prof.Ron Rivest, il quale inoltrò al Senato americano un appello contro lenorme limitative della crittografia (43), utilizzando una metafora perillustrare il potenziale ruolo della crittografia nella società: “Crypto-graphy as duct tape”, cioè la crittografia sostiene il flusso delle infor-mazioni così come il duct tape (44), sigillando i condotti che permet-tono il flusso dell’aria, consente la loro connessione.

(43) Il testo dell’appello venne diffuso su Internet, dove può essere letto tuttora all’indi-rizzo http://theory.lcs.mit.edu/~rivest/ducttape.txt, nella versione del 12 giugno 1997. Indub-biamente è di estremo effetto leggere questo documento, proprio perché proviene da unodegli inventori dell’algoritmo RSA; ne riporto di seguito alcuni passi significativi, tradotti initaliano, ove si rileva la contraddittorietà delle restrizioni ai sistemi di crittografia: “La critto-grafia aiuta, guida e controlla il flusso delle informazioni, così come il nastro adesivo, sigil-lando un condotto d’aria ad un altro, agevola il flusso dell’aria. La crittografia è la “scienzadella connessione” delle reti di computer. Usata bene, la crittografia ci permette di costruirel’infrastruttura di informazioni del ventunesimo secolo: sicura e forte abbastanza per sostene-re la nostra economia nazionale basata sull’informazione. Usata male, costituisce un invito,per pirati e nemici, a smembrare e depredare le nostre reti. La legge e l’ordine richiedonouna forte capacità nazionale nella disciplina della crittografia, al fine di proteggere la nostrastruttura di informazioni. La maggior parte delle tecnologie può essere utilizzata tanto dai“cattivi ragazzi” quanto dai “ bravi ragazzi”. L’automobile può diventare una macchina per lafuga. La radio e il telefono consentono comunicazioni a lunga distanza tra un ladro e il suocapo. Il nastro adesivo può essere usato per legare gli ostaggi. Gli aeroplani trasportanodroghe. La maggior parte delle tecnologie è egualitaria, in quanto aiuta tutti, buoni o cattivi,a realizzare i propri scopi. Naturalmente, ci sono numerosi esempi di tecnologie sviluppatespecificamente per l’applicazione della legge: DNA, analisi di impronte digitali e di calligra-fia, intercettazioni telefoniche, rivelatori di radar, rivelatori di tracce chimiche, rivelatori diintrusioni illegittime, e così via. A causa di questi specifici progressi, chiunque può ragione-volmente concludere che i progressi tecnologici hanno, nel loro insieme, aiutato immensa-mente l’applicazione del diritto. E’ curioso che la tecnologia della crittografia sia divenutatalmente controversa in campo politico. La questione sorge poichè la crittografia permetteagli individui, buoni o cattivi, di mantenere riservate le loro comunicazioni. Naturalmente, ilproblema non sussiste realmente se gli individui possono avere conversazioni private. E,ovviamente, possono. Tu ed io possiamo sempre incontrarci privatamente su una spiaggia oin qualsiasi altro posto per parlare. Credo che una società democratica dovrebbe garantire ildiritto di entrambi gli individui di avere una conversazione privata, a meno che uno di essi otutti e due non siano in prigione”.

(44) Il duct tape è un tipo di nastro adesivo largo circa tre pollici, grigio, usato, tra l’altro,per sigillare le condutture dell’aria. È d’obbligo ringraziare il prof. Rivest: è stato proprio luia spiegarci il significato di questa metafora, con una cortese e-mail. Dobbiamo confessare,infatti, che, prima di tale autorevole spiegazione, la traduzione aveva incontrato qualchedifficoltà.


È bene rilevare che il preteso diritto dell’Autorità di impadronirsi delcontenuto cifrato di un documento del comune cittadino può portare,con il tempo, a sistematiche ingerenze autoritarie nella corrispondenzatelematica dei privati, con irrimediabili lesioni della libertà di comuni-cazione e del diritto alla riservatezza a scapito di presunte e non dimo-strate esigenze di sicurezza pubblica. D’altro canto occorre considerareche, se proprio si vuole raggiungere con il key escrow l’obiettivo del-l’impossibilità per i criminali di utilizzare canali indecifrabili di comuni-cazione, occorrerebbe costringere i criminali stessi a servirsi delle chia-vi regolarmente depositate. Questa è una manifestazione di eccessivoottimismo, dato che è poco probabile che un’organizzazione delin-quenziale si serva di legittimi canali di comunicazione (45).

Poiché il meccanismo di key escrow è obiettivamente poco digeri-bile, rappresentando un’aperta intrusione nelle libertà di comunica-zione dell’individuo, menti più acute hanno partorito un sistema menoantipatico di controllo, almeno a causa della sua apparente non inge-renza nella sfera individuale della privacy. Il sistema è quello basatosu una rooting authority, una sorta di super - certificatore in grado dicontrollare non solo tutte le autorità di certificazione ma anche, indi-rettamente, gli utenti che si affidano ad esse, i quali subirebbero cosìun controllo più morbido, quasi impercettibile, una sorta di GrandeFratello Certificatore.

È evidente che tutti questi meccanismi di controllo portano a delleinammissibili ingerenze nella libertà di comunicazione, e sarebbe quantomai necessario riconsiderare l’opportunità di una revisione del concet-to stesso del rapporto tra riservatezza e sicurezza nelle comunicazionitelematiche in tutti quei Paesi che, come gli USA, soffrono d’inconteni-bili fobie crittografiche e rischiano di condizionare l’atteggiamento dialtri Paesi che iniziano a darsi una legislazione in materia (46).

(45) “Il key escrow non serve a nulla, se non a mettere a rischio la libertà di comunicazionedelle persone oneste”: M. Cammarata, “Key escrow, una questione molto delicata” in “MCmi-crocomputer”, n. 168. L’autore, particolarmente sensibile alle problematiche giuridiche dellaRete, riflette un convincimento assai diffuso nella comunità telematica, e certamente condivisi-bile anche da quanti hanno a cuore le esigenze di sicurezza che si cerca di salvaguardare contraballanti sistemi di controllo delle chiavi dei privati.

(46) All’indirizzo: www.nww.com/ruscrypto.html troviamo la traduzione in inglese del de-creto del Presidente russo Yeltsin, datato 3 aprile 1995, tendente a subordinare all’approvazionedell’Agenzia Federale delle comunicazioni statali e delle informazioni (in Russia nota comeFAPSI) l’esercizio della crittografia, ponendo ad essa sensibili restrizioni.


Recentemente in Francia il Primo Ministro Jospin ha riconosciutoche la legislazione francese in materia (47) non è più adeguata per-ché limita fortemente l’uso della crittografia, senza consentire percontro un’efficace azione dei pubblici poteri nella lotta alla criminali-tà. L’affermazione è molto importante poiché, finalmente, esprimeufficialmente la consapevolezza che la restrizione dei sistemi di crit-tografia non vale a tutelare in modo efficace la sicurezza pubblica(48). Jospin ha proposto, quindi, un uso della crittografia senza restri-

Il variegato panorama internazionale della disciplina della materia crittografica può essereapprofondito consultando il lavoro di C. Sarzana di S.Ippolito, “Le iniziative internazionali intema di sistemi crittografici con riferimento alla tutela dei dati personali”, in “Il Diritto dell’in-formazione e dell’informatica”, n.1 del 1998.

(47) La Francia è uno dei pochi Paesi ad avere una regolamentazione della materia, con lalegge 1170 del 1990 e 659 del 1996, che però non brillano certo per impostazione liberale, datoche finiscono, sia pur con qualche miglioramento nella seconda legge, con l’imporre unapreventiva autorizzazione del Primo Ministro e un sistema di key escrow.

(48) Le dichiarazioni del Primo Ministro francese sono del 19 gennaio 1999, in occasionedella conferenza innanzi al Comitato interministeriale per la società dell’informazione. Ecco latraduzione italiana dei passi più significativi del discorso di Jospin: “Mentre si sviluppano imezzi di spionaggio elettronico, la crittografia appare come un mezzo essenziale per protegge-re la riservatezza degli scambi e la protezione della vita privata. Un anno fa abbiamo saltato unprimo fosso verso la liberalizzazione dei mezzi di crittografia, cioè la tecnica che assicura lasicurezza degli scambi di dati sulle reti. Il Governo ha, poi, ascoltato i protagonisti, interrogatogli esperti e consultato i suoi partner internazionali. Abbiamo acquisito oggi la convinzione chela legislazione dal 1996 non sia più adatta. In effetti, essa limita fortemente l’uso della crittogra-fia in Francia, senza d’altronde permettere ai poteri pubblici di lottare efficacemente contro imessaggi delle organizzazioni criminali la cui cifratura potrebbe facilitare la dissimulazione. Percambiare l’orientamento della nostra legislazione, il Governo ha quindi deciso i seguenti orien-tamenti, su cui mi sono intrattenuto con il Presidente della Repubblica:— offrire una libertà completa nell’utilizzo della crittografia;— sopprimere il carattere obbligatorio del ricorso al terzo di fiducia per il deposito delle

chiavi di cifratura;— completare l’attuale normativa giuridica attraverso l’instaurazione di obblighi, corredati

di sanzioni penali, concernenti la consegna alle autorità giudiziarie, allorché queste larichiedono, della trascrizione in chiaro dei documenti cifrati. Parimenti, le capacità tecni-che dei pubblici poteri saranno significativamente rinforzate ed i mezzi corrispondentisvincolati.Cambiare la legge impegnerà parecchi mesi. Il Governo ha voluto che i principali ostacoli

che gravano sui cittadini per proteggere la riservatezza dei loro scambi e sullo sviluppo delcommercio elettronico siano rimossi senza attendere. Così, nell’attesa delle modifiche legisla-tive, il Governo ha deciso di rialzare la soglia della crittologia il cui utilizzo è libero, da 40 bit a128 bit, livello che secondo gli esperti garantisce in modo durevole una grande sicurezza”.L’intero discorso originale può essere letto su Internet all’indirizzo www.premier-ministre.gouv.fr/PM/D190199.HTM. La traduzione in inglese è all’indirizzo www.premier-ministre.gouv.fr/GB/INFO/FICHE1GB.HTM.


zioni e, nell’attesa delle necessarie modifiche legislative, ha annun-ciato che il Governo ha deciso di elevare la soglia della crittografialibera da 40 a 128 bit. È anche vero, d’altronde, che l’attenzione delPrimo Ministro francese si è polarizzata sull’uso della crittografia, enon sulla sua esportazione, e che, forse, la portata pratica di questelodevoli intenzioni potrebbe essere ridimensionata. Da sottolineare,in ogni modo, tra gli orientamenti espressi da Jospin, quello di elimi-nare l’obbligatorietà del key escrow francese.

Anche il Consiglio d’Europa si è occupato della materia. Infatti, laRaccomandazione n. R(95)13 contiene un significativo principio, se-condo il quale se, da un lato, «dovranno essere esaminate delle misu-re al fine di minimizzare gli effetti negativi della utilizzazione dellacrittografia sulle inchieste nel campo penale», dall’altro, però, occor-rerà che ciò avvenga «senza avere conseguenze non strettamentenecessarie sulla sua utilizzazione legale». Tale principio è rafforzatocon l’affermazione della necessità di trovare delle soluzioni equilibra-te tra le opposte esigenze: «Il conflitto di interessi tra il bisogno degliutilizzatori ed il rispetto della legge deve essere convenientementepreso in considerazione e deve essere trovato un equilibrio».

Infine, per offrire ai lettori una visione complessiva della materia,riportiamo, nelle prossime pagine, tre mappe che illustrano la situa-zione attuale della crittografia nei vari Paesi del mondo, con riferi-mento alle regolamentazioni nazionali e ai controlli sulle importazio-ni e sulle esportazioni.

La pubblicazione di queste mappe è dovuta alla cortese disponibi-lità del Dott. Bert-Jaap Koops, un esperto olandese di crittografia,ricercatore presso la Tilburg University.


ness

un d

ato

ness

un c

ontr

ollo

cont

rolli

cont

rolli

lim

itati

situ

azio

ne n

onch

iara

Con

trol

li su

ll’im

port

azio

ne d

i cri

ttogr

afia

G

enna

io 1

999

(c)

199

9 B

ert-

Jaap

Koo

ps


ness

un d

ato

cont

rolli

loca

li

la le

gge

rich

iede

lade

critt

azio

ne

cont

rolli

liev

i

situ

azio

ne n

on c

hiar

a

ness

un c

ontr

ollo

Con

trol

li lo

cali

sulla

cri

ttogr

afia

Gen

naio

199

9

(c

) 19

99 B

ert-

Jaap

Koo

ps


ness

un d

ato

cont

rolli

sta

bilit

i dal

trat

tato

di W

asse

naar

cont

rolli

sta

bilit

i dal

trat

tato

di W

asse

naar

pres

umib

ilmen

teno

n in

aspr

iti

altr

i con

trol

li

cont

rolli

sta

bilit

i dal

trat

tato

di W

asse

naar

situ

azio

ne n

on c

hiar

a

ness

un c

ontr

ollo

Con

trol

li su

ll’es

port

azio

ne d

i cri

ttogr

afia

Gen

naio

199

9

(c

) 19

99 B

ert-

Jaap

Koo

ps


8. CRITTOGRAFIA SIMMETRICA

Un cenno merita la crittografia simmetrica (49), in modo che pos-sa essere chiara la distinzione rispetto a quella asimmetrica.

Il sistema simmetrico non si basa su una coppia di chiavi, ma suuna chiave singola usata sia per cifrare sia per decifrare (50). Il mit-tente, dopo aver cifrato il messaggio, lo trasmette al destinatario ilquale lo decifrerà con la stessa chiave. In tal caso la persona checodifica il messaggio può anche decodificarlo, grazie alla chiave dicui dispone. Ciò, però, implica che la chiave debba essere scambiatatra gli interlocutori che poi la utilizzeranno per i loro messaggi, con ilrischio che essa venga intercettata da terzi durante la trasmissione.Pertanto, salvo che non esista un canale sicuro per trasmettere lachiave, questo sistema non garantisce certezze sufficienti; ed è al-quanto improbabile che si possa ipotizzare un canale sicuro di tra-smissione della chiave, perché, se tale canale esistesse, non vi sareb-be, d’altro canto, neanche necessità di cifrare i messaggi.

Poniamo caso, tuttavia, che si trovi un canale sicuro di trasmissio-ne del documento: se il mittente invia un messaggio al destinatario,dopo averlo cifrato con la chiave concordata, il destinatario deveutilizzare questa chiave per decifrare lo stesso messaggio; e se inveceil destinatario fraudolentemente usa la chiave per cifrare un falsomessaggio che intende attribuire al mittente, e poi lo decifra soste-nendo che l’autore del documento è il mittente? In tal caso il sistemainizierebbe a traballare, sul piano delle certezze giuridiche.

Inoltre gli interlocutori, all’interno di un sistema simmetrico, do-vrebbero incontrarsi per concordare il codice da utilizzare nei loroscambi, data l’impossibilità di trovare un canale alternativo per tra-smettere con sicurezza la chiave, ma ciò implica una loro preventiva

(49) Un noto sistema di crittografia simmetrica è il Data Encryption Standard (DES). Inven-tato da alcuni ricercatori dell’IBM, esso può vantare un riconoscimento come standard interna-zionale, ottenuto dal National Bureau of Standards il 15 luglio 1975, ed un’adozione ufficialeda parte delle agenzie federali degli Stati Uniti, che lo usano per le loro transazioni. Esisteanche una variante del DES, il Triple-DES (3DES), che utilizza tre volte consecutive l’algoritmoDES mediante tre chiavi diverse. Altri algoritmi sono IDEA (International Data EncryptionAlghorithm) e RC4, ideato da Ron Rivest.

(50) Si suole, infatti, raffigurare il sistema simmetrico con l’immagine della serratura di unaporta, che può essere chiusa o aperta con la stessa chiave.


conoscenza fisica non del tutto compatibile con un sistema che do-vrebbe funzionare anche tra interlocutori separati da grandissime di-stanze.

È necessario aggiungere che la crittografia simmetrica presental’inconveniente di presupporre una chiave per ogni coppia di corri-spondenti, in quanto non si può ammettere che siano usate le stessechiavi per diverse coppie di interlocutori, pena la perdita di quellastessa segretezza su cui il sistema si fonda.

Infine, non si può dimenticare che il sistema simmetrico fu utiliz-zato dai tedeschi, durante la seconda guerra mondiale, per salvaguar-dare la segretezza dei messaggi militari; all’epoca, ovviamente, nonesistevano i computer, e quindi i tedeschi usavano Enigma, la famosamacchina immortalata spesso dalla cinematografia di guerra, al finedi cifrare i testi e renderli incomprensibili al nemico. La storia diEnigma è molto importante, perché essa stimolò, come vedremo trapoco, la creazione dei moderni elaboratori elettronici.

Enigma derivava da un sistema di cifratura simmetrica creato dal-l’olandese Hugo Koch nel 1919 e basato sulla Geheimschrifmachine(macchina per scrittura segreta). Quest’invenzione, però, non ebbegrandi fortune, e il suo brevetto fu ceduto all’ingegnere tedesco Ar-thur Scherbius. Costui, intuendone l’importanza, realizzò la macchinabattezzandola Enigma (51), ma neanche in tal caso, nonostante igrandi sforzi pubblicitari, Enigma s’impose sul mercato. Nel primianni ’30, però, lo Stato Maggiore tedesco adottò Enigma, convintoche essa fosse al di sopra di ogni tentativo di crittanalisi.

Come funzionava Enigma? Le sue dimensioni erano di appenasessanta centimetri di lunghezza per quarantasei di larghezza e do-veva essere collegata a due macchine da scrivere elettriche. Per cifra-re un messaggio, i tedeschi scrivevano il testo in chiaro sulla macchi-na di sinistra, dopo aver scelto una chiave (52); quindi entravano infunzione alcuni cilindri rotanti (53) che riportavano impresse le lette-re dell’alfabeto: queste lettere, moltiplicate e spostate dalla rotazione

(51) Pare che il nome fu ispirato da un’opera del musicista inglese Elgar, le Enigma varia-tions, in cui si descrivevano alcune persone in chiave musicale.

(52) La chiave più usata dai tedeschi fu quella corrispondente all’ora, giorno e mese, più ilmese del trimestre della trasmissione.

(53) I cilindri sequenziali rotanti erano tre per l’esercito e l’aviazione, quattro per U.Boot edunità speciali della Marina.


dei cilindri, venivano stampate su un nastro e trasferite sulla macchi-na da scrivere di destra, dove appariva il testo cifrato. Usando lastessa chiave, ma con l’operazione inversa, si otteneva il testo inchiaro da quello cifrato.

Il controspionaggio inglese, tuttavia, riuscì ad individuare un inge-gnere polacco che aveva partecipato alla costruzione militare di Enig-ma, convincendolo a ricostruirne un modello. A quel punto fu affida-to incarico a due grandi scienziati, il crittanalista Dilwyn Knox e ilmatematico Alan Thuring (54), di svelare il funzionamento di Enig-ma: i due idearono una macchina, chiamata Ultra (55), in grado diviolare i segreti di Enigma. Infatti, quando i tedeschi mettevano infunzione la codifica di Enigma attraverso la rotazione dei suoi cilin-dri, Ultra era in grado di risalire alla chiave che li faceva muovere.

In conclusione, possiamo affermare che, proprio per fronteggia-re il pericolo costituito dai testi cifrati da Enigma, iniziò a porsi lanecessità di costruire delle macchine che potessero decifrare rapi-damente i codici militari: si delineava quindi la nascita degli elabo-ratori elettronici, di cui Ultra ed Enigma rappresentano un lontanoembrione.

9. CRITTANALISI

La crittografia può essere ricompresa nella più vasta categoria del-la crittologia, cioè la scienza che si occupa di scritture segrete e siste-mi di cifra. La crittologia si suddivide in due branche antitetiche: lacrittografia, che disciplina i sistemi segreti di scrittura cifrata, e lacrittanalisi che, invece, mira a violare gli stessi sistemi. In sostanzacon la crittanalisi si studiano i modi per scardinare la segretezza deisistemi crittografici.

È opportuno accennare ai principali strumenti con i quali il cd.nemico (56) può cercare di violare ciò che la crittografia rende, alme-

(54) Thuring fu allievo di Einstein e ideò il geniale teorema che costituisce il fondamentodel concetto di procedura computabile.

(55) Il nome Ultra derivava dai codici usati dagli ammiragli a Trafalgar.(56) Il nemico, in gergo, è colui che cerca di violare la segretezza di un documento senza

esserne il destinatario e, quindi, senza essere in possesso della chiave necessaria.


no tendenzialmente, impenetrabile. Un sistema crittografico forte (57),naturalmente, renderà assai arduo il compito del nemico, il qualedovrà realizzare attacchi assai faticosi per riuscire nell’impresa.

Una consueta tipologia di attacco del nemico è costituita dal bruteforce attack, che consiste nel provare ogni possibile combinazionedella chiave sino a indovinare quella giusta. Questo tipo di attacco èdestinato a facile insuccesso, in riferimento a sistemi asimmetrici robu-sti (58). Invece, rispetto a chiavi deboli di 40 bit, ad esempio, l’attaccodi forza bruta può avere un successo relativamente agevole (59).

Ma quali sono le ipotesi dell’attacco? La prima è quella del cypher-text-only attack, in cui il nemico percepisce soltanto il passaggio deitesti cifrati e non ha nessun’altra informazione. In tal caso l’attacco èassai complicato giacché costituito dalla sola brute force.

La seconda ipotesi è quella nota come known plaintext attack, incui il nemico s’impossessa di un messaggio in chiaro e del corrispon-dente cifrato e, quindi, cerca di individuare l’algoritmo e la chiaveintuendo le informazioni necessarie dal testo in chiaro.

La terza ipotesi è nota come chosen plaintext attack, in cui il ne-mico subdolamente suggerisce il testo in chiaro per ottenere da que-sto il testo cifrato. Il chosen plaintext attack vanta precedenti storicinella seconda guerra mondiale, quando gli americani inviavano dellecomunicazioni di fantasia per indurre i giapponesi a trasmetterle ci-frate al proprio comando: ciò consentiva agli americani di carpireinformazioni decisive sul tipo di codice usato dal nemico.

(57) Il sistema crittografico forte o robusto è quello che si basa su una elevata dimensionedella chiave e su una notevole difficoltà d’inversione della chiave di codifica.

(58) Il brute force attack parte dalla chiave pubblica di cui il nemico dispone: l’attacco saràtanto più difficile quanto più la chiave sarà lunga. Una chiave di 2048 bit ovviamente richiederàuna brute force di gran lunga più intensa rispetto ad una chiave di 512 bit.

(59) L’algoritmo a chiave simmetrica DES è stato violato dal DES Key Search Project, sviluppatoda Cryptography Research (www.cryptography.com), Advanced Wireless Technologies(www.awti.com) e Electronic Frontier Foundation (www.eff.org) con la creazione della DES KeySearch Machine, capace di cercare 90 miliardi di chiavi al secondo e trovare quella giusta in 56 ore,attraverso un brute force attack. Ciò è stato possibile perché il DES utilizza chiavi non particolar-mente robuste, con una lunghezza di 56 bit, che implicano la possibilità di utilizzazione di72,057,594,037,927,936 di chiavi diverse per la codifica di un messaggio. Le attuali potenzialità dicalcolo nella ricerca esaustiva delle chiavi consentono, se supportate, ovviamente, da idonei finan-ziamenti, di violare questi sistemi. Infatti, l’Electronic Frontier Foundation, il 19 gennaio 1999, haulteriormente abbassato i tempi di attacco necessari a violare il DES, grazie al Distributed.Net, unarete di circa 100.000 computer coalizzati su Internet, e al sistema DES Cracker, capaci di cercare 245miliardi di chiavi al secondo e di trovare quella giusta in 22 ore e 15 minuti.

Documents

Capitolo - Simone · La crittografia asimmetrica, o a chiave pubblica (6), si basa su una coppia di chiavi: una chiave privata o segreta, conosciuta solo dal suo titolare, e una chiave