E-mail intercettate? Grande fratello ufficiale? Ai ripari!
Io non ho nulla da nascondere. Lo premetto subito. Ma mi infastidisce non poco sapere che da adesso parte un nuovo decreto-legge antiterrorismo che dovrebbe imporre la conservazione della posta elettronica spedita per due anni. Ne parlano su Zeus News nel dettaglio, e quindi mi fermerò a qualche piccola considerazione mia personale.
La faccenda a me sembra ridicola. Alla fine si otterrà solo che verranno conservate e-mail innocenti o al limite di qualche sproveduto delinquente, ma saranno sepolte nella miriade di e-mail che tutti i giorni le persone normali si scambiano, dalla miriade di news-letter e mailing list ma soprattutto da tutte quelle e-mail di spam. Già il mio archivio personale di posta spedita e ricevuta da me è enorme... quest'anno non riuscivo a gestirlo con un solo file e l'ho dovuto spezzettare in due (un archivio per semestre).
I veri delinquenti sanno benissimo che esiste la crittografia, arma innoqua e già ben diffusa, che permette di mandare messaggi segreti e difficilmente leggibili. Dico difficilmente perché dipende dalla cura che uno ha utilizzato per creare la sua password, ma soprattutto perché un buon computer del futuro potrà in pochi secondi decifrare forse questi algoritmi. Per ora dicono che siamo nell'ordine del centinaio di anni usando i supercomputer che esistono.
Questo
messaggio che scrivo ora è per il mio amico Ack... riuscite a leggerlo?
Il messaggio si scarica cliccando qui di seguito (tasto destro, salva con nome...):
messaggio.txt
La sfida è aperta...
LA MORALE DI QUESTA STORIA: io già da qualche anno ho la mia chiave pubblica disponibile sui keyserver mondiali, una solida chiave privata e il sistema Pgp/Gpg attivo sul mio computer. Da quanto Outlook Express ha smesso di lamentarsi per i messaggi firmati, mando messaggi firmati. Ora voglio passare a uno step successivo: crittografare tutta la mia corrispondenza.
Non ho attentati da preparare, al limite qualche bella festa a sorpresa (ma già in passato ne è saltata una per via delle e-mail, vero Teo?!? ;-D). La questione è proprio di principio. Chi di voi quindi la pensa come me, mi faccia sapere, mi mandi la sua chiave pubblica o banalmente mi avvisi di utilizzare la crittografia nello scambio di messaggi. A me basterà selezionare una casella nella rubrica ("L'utente vuole messaggi crittografati") e manderò e riceverò mail come sempre, come faccio da 9 anni. Ma almeno proteggerò la mia privacy e il mio diritto di comunicare senza che esterni rimangano in ascolto. Che il messaggio sia Ciao come va? Io bene. o Vediamoci stasera per parlare di affari. o Festa a sorpresa per Marta, chi porta lo spumante?.
COMMENTI COMMENTI COMMENTI, mi raccomando, voglio il vostro parere!!! Per gli interessati, li rimando alla pagina contatti del mio sito dove troverete gli indirizzi per scaricare Pgp o Gpg (uno parzialmente a pagamento, l'altro open source) e la mia chiave pubblica.
I commenti dei visitatori
Ho capito la questione di principio, ma non mi sembra il giusto modo di “combattere” la cosa.
Sintetizzando: – se devi comunicare cose che vuoi rimangano segrete, e non parlo di privacy, parlo di segretezza, allora usa la crytto e spera che nessuno ti chieda spiegazioni a riguardo – se invece la usi come “arma politica” allora penso che non sia lo strumento migliore: se non sbaglio in UK, dopo i recenti avvenimenti, è passato un decreto che ti costringe a consegnare le tue chiavi se l’email sono sotto indagine; inoltre non vorrei spararla ma mi sa che in US sta per passare/passerà presto il patriot Act, o la versione “potenziata” non ricordo, che è ancora più invadente, per dirla così. Sarò provocatorio: più gli attentati ci riguarderanno da vicino, più penso che tali provvedimenti verranno presi anche qui. E lo sforzo di usare la chiave verrà vanificato da un “semplice” decreto.
Manga - 26/07/05 - 15:34 - Rispondi a Manga
Una questione di debug.
non è troppo bello che dai commenti vengano strippati via i br/ ...
Difatti il mio commenti precedente ha perso tutto lo stile che gli avevo dato … :
Manga - 26/07/05 - 15:35 - Rispondi a Manga
Rispondo al Manga in due messaggini… per quanto riguarda il debug…. beh, Pivot me l’hai consigliato proprio tu!!! E cmq, la nota alla fine della pagina dei commenti è fatta proprio per avvisare che gli a capo vengono tolti… concordo che è un peccato, magari aggiorneranno…
IlFranz () (URL) - 26/07/05 - 19:23 - Rispondi a IlFranz
Riguardo al discorso provocatorio e politico, non vuole assolutamente esserlo. Io non voglio fare politica, solamente voglio tutelare in modo preventivo i miei diritti, fra cui quello di privacy (che tanto sta a cuore agli italiani!). In sostanza, quello che voglio dire è: la crittografia e la firma digitale esistono e sono facili da usare, e allora usiamole! Non come armi politiche, ma come strumenti di prevenzione. Ovviamente se mandi sempre mail normali tranne una criptata, darai nell’occhio, anche se il contenuto è solo “ciao come va?”...
IlFranz () (URL) - 26/07/05 - 19:26 - Rispondi a IlFranz
Il suntissimo…
se hai GnuPg o Pgp fammelo sapere, così iniziamo a mandarci mail firmate e/o crittografate, se non ce l’hai… beh, provalo prima che sia troppo tardi! Se ti va! Se non ti va… continuiamo così! 
IlFranz () (URL) - 26/07/05 - 19:28 - Rispondi a IlFranz
Beh…
questo è un a-capo…
anche questo…
sto solo usando shift-invio… non so se basti invio…
questo è a capo?
In ogni caso, Manga, sei tu il colpevole di Pivot!!!!
IlFranz () (URL) - 26/07/05 - 19:29 - Rispondi a IlFranz
Io sono dell’idea che le nostre mail già vengano filtrate da anni, e da chissà quali robot, ma probabilmente questa è un’illazione e io sono un’invasata ;)
Tolto questo, il mio parere non cambia rispetto al 1996, anno fatidico in cui scattò la celeberrima legge sul rispetto dei dati personali. La verità è che non è cambiato nulla da prima, ma anzi, le cose sono peggiorate. Questa legge ha ancora, dopo quasi dieci anni, enormi difetti. Le nuove tessere sanitarie sarebbero utilissime, veloci ed efficaci, ma sono in giro da un anno e ancora nessuno le può usare per via della legge sulla privacy. Fa molto piacere a tutti che lo Stato si prenda cura del cittadino e che cerchi di aiutarlo in noiose e costose trafile legali contro la Barilla che gli manda impunemente la pubblicità a casa sfruttando dati che forse non avrebbe mai dovuto avere, ma la privacy è ben lungi dallo spam e i volantini, sta bloccando tutto, anche cose che nemmeno lo Stato aveva calcolato potesse bloccare. E firma qui, e spunta lì, vuoi acconsentire al trattamento dei dati? No? Allora niente servizio. E io cosa devo fare? Privacy è un concetto che si nega solo a pronunciarne il nome, il mio vicino di casa sa a che ora mangio, quando vado a dormire, se e quando pago le bollette, in che supermercato faccio la spesa, se vado d’accordo con Dio, esattamente come io so questo di lui. E nessuno dei due ha mai ficcanasato nella vita dell’altro, semplicemente ci siamo trovati in condizioni di saperlo e basta, per una serie di coincidenze. Se un giorno queste cose venissero usate contro di me, sarebbero dati di fatto innegabili, con o senza privacy, esattamente come i miei dati personali e tutto quello di cui esiste testimonianza. Non è un buon motivo per permettere la libera circolazione dei dati, però è giocoforza che prima o poi essi girino comunque, per caso o per disattenzione (o volontà) di chi li trasmette. Succede tutti i giorni. Lui mi ha detto che l’altro ha fatto questo con quest’altro. E’ tipico. Però i pettegoli non si denunciano mica per violazione di privacy, semmai si fanno delle sane sfuriate per gli altarini scoperti, ma poi il giorno dopo si ricomincia daccapo. Franz, tu sai bene che io non ho mai avuto problemi a parlare di me e della mia vita, quindi io la vedo così perchè è il mio carattere che mi guida. Che mi controllino pure le mail parola per parola. Del resto l’unico modo per salvaguardare (forse) i propri dati è chiudersi in casa ed eliminare chi li conosce. Ma ricordiamoci che il paese è piccolo e le voci circolano ;)
Dopo questa bella pappardella, la mia idea è: Internet è nato per far circolare le informazioni senza vincoli etico-spaziotemporali, noi utenti lo usiamo a nostro rischio e pericolo. Ben vengano i sistemi di sicurezza, ma se proprio non voglio che si leggano le mie mail (cos’avrò mai da nascondere a chi non mi conosce nemmeno?), tanto vale alzare il telefono, piuttosto che incarognirmi con chi magari se ne sbatterebbe altamente del mio spumante, se non fosse pagato per fare il contrario. Concordo col Manga, quello della chiave è uno sforzo quasi capriccioso e, mi sa, a tratti controproducente.
Comunque poi magari ne parliamo meglio anche col Manga, mi piacerebbe. Sappiamo tutti e tre che Internet, nei dibattiti, aiuta ben poco :)) Baci a tutti!!
Dimmy - 28/07/05 - 18:25 - Rispondi a Dimmy
Direi che ci becchiamo tutti in montagna e ne parliamo….. da bravi nerds che siamo dentro!!!! ;) E anche fuori, spesso!! :)
IlFranz () (URL) - 28/07/05 - 22:17 - Rispondi a IlFranz
Su questo argomento i commenti si sprecano, e quindi ne sprechero’ qualcuno anch’io.
Un decreto legge come questo e’ ridicolo e soprattutto e’ inutile perche’:
1) Tanto per cominciare, per decrittare un messaggio cifrato a 128-bit (per non parlare di cifrature a 256,512,1024 bit), SE L’ALGORITMO DI CIFRATURA E’ SICURO, cioe’ non ha bug che ne consentano il crack – e il primo requisito e’ che sia open-source, altrimenti chi ci garantisce che la ditta X non abbia piazzato una backdoor? – sui computer attuali e con i programmi attuali NON OCCORRONO QUALCHE CENTINAIO DI ANNI, ma un tempo che supera di UN MILIARDO DI VOLTE L’ETA’ DELL’UNIVERSO... A MESSAGGIO! In futuro NON OCCORRERANNO POCHI SECONDI, nemmeno al piu’ potente computer che l’uomo possa immaginare… di fronte a questi ordini di grandezza la velocita’ di qualsiasi computer E’ IRRILEVANTE... casomai riprendete in mano qualche libro sulla Complessita’ computazionale o fatevi un giretto sul primo link che ho trovato…
Questo cosa significa? Significa che un decreto legge come questo servirebbe solo a violare la privacy di tutti i cittadini che non hanno nulla da nascondere.
Qualcuno glielo deve avere detto al ministro… perche’ pare che vogliano far depositare le chiavi private a tutti i cittadini che ne fanno uso. Ecco dove entrano in gioco per i criminali le one-time hashing password. Ma lasciamo stare.
2) Se davvero il mio service provider onorasse tale decreto legge (con spese di storage folli)... beh a me basterebbe scrivere uno scriptino di qualche riga che manda 24 ore su 24 messaggi della lunghezza massima consentita leggendo caratteri a caso da /dev/urandom a indirizzi di posta esistenti o inesistenti per mettere in crisi il provider. Se poi passo lo scriptino a tutti quanti… addio decreto legge. Come dite? Fanno un filtro che cancella tutte le mail contententi troppe sequenze di caratteri casuali? Beh, aggiungo in calce al messaggio una firma digitale pubblica finta e poi ditemi come fanno a sapere se il messaggio e’ vero o random.
3) Al di la di tutto, esistono ed esisterranno sempre metodi di comunicazione (restando sempre su internet) alternativi, piu’ sicuri dal punto di vista della privacy delle email. Quindi che passi il decreto o meno, a me frega un cass. Certo, se passa e’ un bell’incentivo all’utilizzo delle firme digitali, per cui in fondo forse e’ pure meglio cosi’... e’ ora che il capo ufficio e il vicino hacker la smettano di leggermi la posta!!
ulibiz () (URL) - 02/08/05 - 01:52 - Rispondi a ulibiz