Una serie di tecnologie per il miglioramento della privacy
Nell’UE, il diritto alla privacy è un diritto fondamentale sancito dalla Carta dei diritti fondamentali dell’Unione europea(si apre in una nuova finestra); ciononostante, in un mondo in cui i servizi Internet come la posta elettronica e la messaggistica costituiscono una parte onnipresente della nostra vita, esso viene spesso trascurato. «Tali servizi richiedono spesso che i dati vengano trattati in chiaro e su server gestiti da un unico fornitore», spiega Thomas Schneider, docente di informatica e responsabile del gruppo Cryptography and Privacy Engineering Group(si apre in una nuova finestra) (ENCRYPTO) presso l’Università Tecnica di Darmstadt(si apre in una nuova finestra). La sfida riguarda il fatto che il trattamento non criptato di questi dati può violare la privacy del loro proprietario, ovvero l’utente del servizio; inoltre, la presenza di un unico fornitore introduce un singolo punto di vulnerabilità nel sistema, per cui un attacco che riesca a penetrarvi può compromettere i dati privati di molti utenti. «Sebbene siano state adottate misure per limitare legalmente il potere dei fornitori di servizi sui dati degli utenti, come ad esempio il regolamento generale sulla protezione dei dati(si apre in una nuova finestra) (GDPR) dell’UE , trovare un equilibrio tra la necessità di servizi che tutelino la privacy e l’esigenza di una ricca serie di funzionalità si è rivelato molto impegnativo», aggiunge Schneider. Per contribuire a raggiungere questo equilibrio viene in aiuto il progetto PSOTI(si apre in una nuova finestra), finanziato dall’UE.
Nuovi modi per proteggere i dati degli utenti
Il progetto si è incentrato su diverse tecnologie e protocolli innovativi per il miglioramento della privacy. «Le soluzioni che abbiamo sviluppato aiutano a proteggere i dati degli utenti consentendo al contempo a più fornitori di servizi indipendenti di trattarli in maniera sicura e congiunta», spiega Schneider. Una di queste soluzioni è un framework per il calcolo bipartito sicuro a protocollo misto; tale protocollo migliora in modo significativo la comunicazione di elementi costitutivi comuni, come le moltiplicazioni e i prodotti di punti, offrendo vaste applicazioni nell’apprendimento automatico con garanzia di tutela della privacy. Altri due framework sviluppati dal gruppo ENCRYPTO sono stati citati come esempi di migliori prassi per progetti open-source nella Guida delle Nazioni Unite sulle tecnologie di rafforzamento della tutela della vita privata ai fini delle statistiche ufficiali(si apre in una nuova finestra). Il progetto PSOTI, che è stato sostenuto dal Consiglio europeo della ricerca(si apre in una nuova finestra), ha anche sviluppato lo strumento basato sul web chiamato EMC2(si apre in una nuova finestra) (Encrypted Multi-Channel Communication, ovvero comunicazione crittografata multicanale). Le persone possono utilizzare lo strumento per comunicare attraverso due canali di comunicazione indipendenti, come l’e-mail e WhatsApp. «Grazie a questo strumento, il messaggio viene protetto anche nel caso in cui uno dei canali venga violato o compromesso», osserva Schneider.
Identificare attacchi concreti alla privacy nei servizi Internet
Nel corso del progetto, i ricercatori hanno anche identificato attacchi concreti alla privacy nei servizi Internet esistenti, tra cui l’esposizione delle informazioni di contatto degli utenti nelle popolari app di messaggistica, quali WhatsApp, Signal e Telegram(si apre in una nuova finestra). Inoltre, hanno rilevato una vulnerabilità della privacy nel protocollo AirDrop di Apple per la condivisione di file(si apre in una nuova finestra). «Sulla base di questi risultati, abbiamo proposto alternative in grado di preservare la privacy e sfruttare alcune delle soluzioni concepite da PSOTI», osserva Schneider. La ricerca svolta nell’ambito del progetto sulla scoperta di contatti privati ha vinto il secondo premio assegnato dal German IT Security Award 2020.
Un nuovo progetto per automatizzare le soluzioni rispettose della privacy
PSOTI ha dimostrato che alcuni servizi Internet possono essere ampliati per proteggere la privacy senza sacrificarne la capacità di trattare i dati degli utenti; per di più, ha aperto le porte a nuove opportunità di ricerca. «Il prossimo grande passo sarà quello di sviluppare strumenti che siano in grado di generare automaticamente soluzioni rispettose della privacy a partire da specifiche di alto livello», conclude Schneider. Schneider e il suo team compiranno questo passo nell’ambito del progetto PRIVTOOLS, sostenuto da una sovvenzione di consolidamento del CER(si apre in una nuova finestra).