Proteggere la nostra privacy e sicurezza online
I protocolli crittografici rappresentano la spina dorsale della nostra attività online, garantendo la privacy e la sicurezza delle nostre comunicazioni, delle nostre transazioni finanziarie e dei nostri impegni civici quali il voto. Eppure, la prevalenza di persone che si collegano a queste reti attraverso dispositivi non abbastanza sicuri o compromessi rende impegnativo mantenere questa infrastruttura di sicurezza. Il progetto SPOOC, finanziato dal Consiglio europeo della ricerca, si è prefisso di costruire quadri teorici e strumenti pratici che potessero convalidare la sicurezza e la privacy degli scambi online, anche quando condotti su piattaforme inaffidabili. «Il nostro obiettivo consiste nel proteggere le comunicazioni, attraverso Internet, i cellulari... qualsiasi tipo di comunicazione digitale», spiega Steve Kremer, coordinatore del progetto e ricercatore presso l’Istituto nazionale francese per la ricerca nelle scienze e nella tecnologia digitali. «Vogliamo assicurare la riservatezza e garantire che quando si è online, ci si connetta al sito web corretto e si parli davvero alla persona con cui si desidera parlare».
Elezioni svizzere
Come affermato da Kremer, una fase fondamentale per dimostrare la privacy e la sicurezza nelle comunicazioni online è l’idea di «equivalenza dei programmi», che descrive una proprietà attraverso cui due programmi sembrano operare allo stesso modo per un osservatore esterno. Kremer sfrutta la nozione di equivalenza dei programmi per rendere indistinguibili le comunicazioni online in modo simile, con l’obiettivo di modellare la privacy e l’anonimato. «Se intercettiamo due comunicazioni, non dovremmo essere in grado di sapere se provengono dallo stesso telefono o da due telefoni diversi», aggiunge. La progettazione di software in grado di analizzare due programmi per vedere se sono equivalenti è stata una parte centrale del progetto SPOOC. Da allora, questo lavoro è stato applicato in Svizzera nel contesto delle elezioni online, in cui agli operatori è richiesto di fornire dimostrazioni di sicurezza del proprio sistema. Un altro elemento del progetto SPOOC è stato lo sviluppo di strumenti che potessero garantire la sicurezza, la privacy e la trasparenza di protocolli che gestiscono il voto online. «Ci sono ancora molti elementi che non sono stati completamente risolti», nota Kremer. «Ma i moderni protocolli possono ora garantire privacy e trasparenza anche se il server che raccoglie i voti è disonesto o compromesso». Come sottolineato da Kremer, le elezioni in cui la posta in gioco è alta rappresentano sfortunatamente un bersaglio valido per lo sviluppo di un malware dedicato, rendendo molto più difficile garantirne la sicurezza. «Nel momento in cui si realizza qualcosa di digitale, è molto semplice aumentare gli attacchi», afferma Kremer. «E se c’è qualcosa in cui sono bravi i computer è fare la stessa cosa molto velocemente e molto spesso».
Autenticazione a più fattori
L’aspetto finale del progetto si è concentrato su dispositivi parzialmente non sicuri. Generalmente, le organizzazioni usano un’autenticazione a più fattori per garantire che le transazioni online siano autentiche, inserendo un essere umano nel ciclo. Il progetto SPOOC ha svolto una completa analisi di questo sistema, considerando migliaia di scenari avversi per quantificare con esattezza i limiti dell’autenticazione a due fattori. «Sono contento di ciò che abbiamo ottenuto», osserva Kremer, aggiungendo che rimane ancora molto lavoro da fare per rendere questo strumento più efficiente. Kremer e il suo team si sono da allora assicurati un finanziamento da parte dell’agenzia di ricerca nazionale francese per sviluppare ulteriormente il loro strumento di convalida. «Intendiamo rendere questi strumenti più veloci e applicabili ai protocolli del mondo reale», conclude. «Ora cerchiamo di applicare tutta la teoria che abbiamo sviluppato alla pratica e far maturare più frutti da questo albero».
Parole chiave
SPOOC, crittografico, automatizzato, sicurezza, prove, protocolli, cellulare, telefoni, comunicazioni
