12 minute read
di Giangiuseppe Pili “
441
Advertisement
di Giangiuseppe Pili1
Oggi Julian Assange, Edward Snowden, l’asserito attacco degli hacker russi al comitato elettorale di Hillary Clinton; ieri Alan Turing, Ultra, Enigma e la «Bomba» di Bletchley Park, tra decifrazioni matematico/informatiche e rivelazioni o sottrazioni dei codici di cifratura. La storia affascinante della continua sfida tra protezione2 e violazione3 delle comunicazioni strategiche4 include anche il regime dei controlli multilaterali all’esportazione di crittografia, una delle tecnologie critiche «a doppio uso»5 soggette al CoCom (1948-1994)6 e poi al Wassenaar Arrangement (WA). Com’è noto la storia del CoCom registra pure i continui conflitti di interesse tra gli stati membri, e in particolare la comprensibile propensione degli Stati Uniti a interpretare le restrizioni in modo elastico nell’interesse delle proprie esportazioni7, soprattutto in settori di punta come le tecnologie informatiche e specialmente quelle che richiedono l’uso di tecnologia crittografica sia hardware che software. E’
1 Ringrazio gli informatici Stefano Sabatini e Riccardo Scasseddu per le preziose indicazioni. 2 Ross Anderson, Security Engineering: A Guide to Building Dependable Distributed Systems, John Wiley, Indianapolis, 2008. 3 David Kahn, The Codebreakers. The Story of Secret Writing, New York, Macmillan, 1967.
Corrado Giustozzi, Andrea Monti e Enrico Zimuel, Segreti Spie Codici Cifrati, Milano, 1999. Henry Corrigan-Gibbs, «Keeping Secrets. A History of the Birth of Non-Governmental Cryptography Research», Stanford Magazine, 6 Nov. 2014. 4 V. Auguste Kerchkoffs, «La cryptographie militaire», Journal des sciences militaires, IX, 1883, Janvier, pp. 5–38 ; Février, pp. 161–191. 5 J.E. Fischer, Dual-Use Technologies, Center for Strategic and International studies, Washington, 2006, pp. 2-5. 6 C. Lewis, «COCOM: An International Attempt to Control Technology», DISAM Journal, 1990. 7 J. Holmes, K. Boss, J. Heming, (a cura di), “Multilateral Export Control Policy: The Coordinating Committee (CoCom)” in Technology and East-West trade, 1978.
442
Economic WarfarE - PotEri E armi dElla guErra Economica
infatti di vitale interesse per gli Stati Uniti mantenere il più a lungo possibile il primato commerciale nel settore della crittografia informatica «di massa», non solo per tutelare le proprie aziende da spionaggio e sabotaggio informatico, ma anche per poter accedere più facilmente ai dati criptati con tecnologie americane.8
Gli storici della crittografia in America ricordano che valenti crittografi furono Benjamin Franklin, inventore (1748) del cifrario di sostituzione omofona, e Thomas Jefferson, autore di un dispositivo di cifratura considerato inviolabile per tutto l’Ottocento e ancora utilizzato negli anni 1960. La prima struttura permanente di intercettazione e decrittazione americana risale però al 28 aprile 1917, tre settimane dopo l’intervento nella grande guerra, quando nell’ambito del servizio informazioni dell’esercito (MI) fu istituito a Washington un Ufficio Cifra (MI-8), trasferito nel 1919 a New York. Dal MI-8 dipendeva pure la «Camera Nera», incaricata di controllare le comunicazioni telegrafiche private trasmesse dalla Western Union, soppressa però nel 1929 dal segretario di stato Larry S. Stimson con la motivazione «Gentlemen do not read each others’ mail»9. Durante la seconda guerra mondiale l’intercettazione e la decifrazione delle comunicazioni nemiche fu svolta da un apposito ente (Signal Security Agency, SSA), le cui funzioni tornarono nel 1945 all’esercito (ASA), per divenire interforze nel 1949 (AFSA). La caratterizzazione militare era però un ostacolo alla cooperazione col Dipartimento di Stato, la CIA e l’FBI, per cui, con memorandum segreto del 24 ottobre 1952, il presidente Truman prepose al controllo delle comunicazioni un ente interministeriale, la National Security Agency (NSA), la cui esistenza rimase a lungo segreta, tanto che era scherzosamente nota come «No Such Agency»10. Alla NSA era inoltre attribuita la secretazione di ogni aspetto della crittografia, inclusi gli studi teorici e tecnici: quello che oggi viene considerato il primo articolo di teoria matematica della crittografia, scritto dal grande matematico Claude Shannon (1916-2001), pubblicato nel 1949, era uscito tre anni prima su
8 Giustozzi, op. cit., pp. 65-67. 9 Herbert O. Yardley, The American Black Chamber, The Bobbs-Merrill, Indianapolis, 1931. 10 Thomas L. Burns, The Origins of the National Security Agency, 1940-1952, United States Cryptologic History, Series V, vol. 1, 1990, Top Secret declassified.
I controllI alle esportazIonI dI crIttografIa strategIca 443
una rivista classificata11. Anche Shannon, infatti, aveva dato il suo contributo durante la seconda guerra mondiale: lavorava per la Bell proprio sulla crittografia, con un contratto con la D-2 (Control System section) del NDRC (National Defence Research Committee). La «pax crittografica», come è stata definita da alcuni autori, includeva pure i centri NSA creati – per lo più a loro insaputa – nei paesi alleati, e, a partire dal 1972, l’intercettazione satellitare. L’esistenza della NSA emerse con lo scandalo delle intercettazioni illegali (operazione MINARET) degli oppositori alla guerra del Vietnam accertate dalle audizioni parlamentari presiedute dal senatore Frank Church (1975), cui seguì nel 1978 una legge (Foreign Intelligence Surveillance Act) che limitava la prassi della sorveglianza di massa nel territorio degli Stati Uniti.
La secretazione assoluta della tecnologia crittografica non era però compatibile col crescente sviluppo delle comunicazioni informatiche. Non potendo opporsi alla diffusione dei sistemi di sicurezza, la NSA cercò di pilotarla. Così nel 1972 l’IBM mise sul mercato il primo sistema crittografico commerciale, segretamente autorizzato e molto probabilmente supervisionato dalla NSA, la quale aveva lavorato a sistemi affini e aveva imposto limitazioni alla complessità della chiave, già da subito considerata da alcuni esperti insufficiente se non nel presente, nel breve termine: la complessità della chiave verrà aumentata diverse volte nell’arco dei successivi vent’anni. Nel 1973-1974 il National Bureau of Standards and Technology (NIST) bandì un concorso per un sistema crittografico comune. Vinse il Data Encryption Algorithm (DEA), derivato proprio dal sistema IBM e sempre sotto il controllo della NSA. Il DEA, un sistema di cifratura a blocchi simmetrici considerato standard (DES), cercava di risolvere il problema della cifratura live12. Un sistema alternativo di cifratura a chiave pubblica, sufficientemente robusto da non essere violabile neppure dalla NSA, fu tuttavia proposto nel 1977 da Withfield Diffie e Martin Hellman13 ,
11 «Communication Theory of Secrecy Systems» di Claude Shannon, già apparso in A Mathematical Theory of Cryptography del 1° settembre 1946. . 12 W. Tuchman, «A brief history of the data encryption standard», Internet besieged: countering cyberspace scofflaws. ACM Press /Addison-Wesley Publishing, New York, 1997, pp. 275–280. 13 Giustozzi, op. cit., pp. 52-57.
444
Economic WarfarE - PotEri E armi dElla guErra Economica
due studiosi poco più che trentenni della Stanford University14. La NSA aveva tentato di opporsi alla pubblicazione, facendo giungere agli autori un ammonimento sul rischio di violare la sicurezza nazionale. Il maldestro tentativo, denunciato dalla rivista Science e dal New York Times, fu un boomerang, anche perché il consulente legale dell’università, John Schwartz, dimostrò, anche in base a diverse sentenze della Corte Suprema, la piena legalità della cifratura, purché, ovviamente, non diretta a scopi illeciti.15
Tuttavia, l’impatto economico del DES si rivelò decisivo negli anni cruciali e conclusivi della guerra fredda, soprattutto nel periodo 19791991. Il DES è stato assunto dal NIST (National Institute of Standards and Technologies) come standard, di fatto, internazionale. Gli USA non solo svilupparono per primi la tecnologia informatica, ma furono il paese maggiormente coinvolto nella diffusione di scambi economici attraverso sistemi che avevano bisogno di crittografia per garantire la sicurezza sufficiente. Dal 1977 al 1982 il volume di transazioni bancarie avvenute per via elettronica per le piccole banche è quadruplicato ed è sceso il numero di equivalenti operazioni con strumenti non elettronici. Per i grandi istituti bancari si registrano dati simili. L’utilizzo della tecnologia informatica non solo ha accelerato gli scambi economici e ha contribuito ad intensificare lo sforzo per le tecnologie legate al settore bancario e finanziario, ma ha anche abbattuto i costi delle operazioni bancarie. Si è stimato che dal 1977, con l’introduzione del DES, il beneficio netto sia stato di $72,466,519 e sia salito sino a raggiugere la soglia dei $281,682,880 nel 1982. Per il periodo successivo fino alle soglie del 2000, il guadagno netto rispetto ai costi e benefici del sistema bancario è stato di ben oltre 1 miliardo di dollari. Inoltre, il risparmio economico dovuto al taglio dei costi delle transazioni è stato importante per i grandi istituti, ma è stato estremamente significativo per le piccole banche. Nel solo 1982 si sono stimati ben $180,944,346 risparmiati tra grandi e piccoli istituti bancari. Ma il dato più importante, e che
14 Whitfield Diffie & Martin Hellman, «New directions in cryptography», IEEE transactions on Information Theory 22, 1976, No. 6, pp. 644-654. Corrigan-Gibbs, op. cit. V. dello stesso il video Cryptography in the Open: History of Crypto and the NSA (youtube). 15 J. Fraser, «The Use of Encrypted, Coded and Secret Communications is an Ancient Liberty Protected by the United States Constitution», Virginia Journal of Law and Technology, 1997.
I controllI alle esportazIonI dI crIttografIa strategIca 445
fornisce un indice dell’impatto economico del DES, è il ritorno economico sul piano sociale. E’ stato stimato che il tasso reale di ricaduta economica sul piano sociale è pari al 267% per un periodo medio di tre anni mentre è del 272% per un periodo medio di sei anni.16
Al di là dell’impatto economico, di cui ha usufruito il sistema americano sin dal 1977 e ha continuato ininterrottamente almeno sino al 2001, sono da rimarcare i risultati ‘politici’ del DES. E’ infatti su questa base che il NIST ha rilasciato le patenti agli sviluppatori di hardware e software. Le industrie americane hanno dovuto sviluppare tecnologia crittografica sulla base di quanto ottenuto e ratificato più volte dallo sviluppo dello standard. Il mercato americano dell’informatica e delle transazioni finanziarie è maturato attorno agli standard fissati dal NIST. Inoltre, la tecnologia richiesta per sviluppare simili sistemi crittografici è nata in USA ed è continuata ad essere sostanzialmente tecnologia quasi esclusivamente americana per almeno un decennio. Dopodiché gli sviluppatori non americani di simili tecnologie hanno dovuto fondarsi sul parametro fornito dal DES. Infatti, alcuni studi hanno mostrato il fatto che il DES è stato rilevante anche sotto questo punto di vista: la tecnologia crittografica estera doveva di fatto uniformarsi agli standard americani per essere garantita come ‘sicura’ e, quindi, competitiva sul mercato internazionale. Il NIST e, di fatto, l’NSA, attraverso il DES, e il WA hanno garantito una proiezione di potenza americana sul controllo di gran parte dello sviluppo di tecnologie informatiche, crittografiche e, soprattutto, tutto l’apparato tecnologico necessario all’attuale sistema bancario e finanziario mondiale.
Tuttavia, la crescente inadeguatezza del DES a garantire la sicurezza delle comunicazioni informatiche federali, condusse all’approvazione, l’8 gennaio 1988, del Computer Security Act of 1987 (PL No. 100-235, H. R. 146) che attribuiva all’Ufficio Nazionale di Standardizzazione (poi NIST) il compito di elaborare, col supporto della NSA, piani di sicurezza informatica e rendeva obbligatoria una adeguata formazione degli operatori e utenti. Sicché viene proposto l’Escrowed Encryption Standard (EES), ba-
16 The Economic Impacts of NIST’s – Data Encryption Standard (DES) Program, Planning
Record Prepared by TASC Inc. (David P. Leech and Michael W. Chinworth) for NIST, Program Office Strategic Planning and Economic Analysis Group, NIST, October 2001, online.
446
Economic WarfarE - PotEri E armi dElla guErra Economica
sato sull’algoritmo a doppia chiave con microprocessore derivato skypjack. Come già il DES, l’EES pare che sia stato elaborato dal NIST, sotto la supervisione della NSA. Per tale ragione, quando Bill Clinton, allora presidente, annuncia l’esistenza dell’EES il 16 aprile 1993, si scatenano le polemiche sulla mancata trasparenza del sistema di decisione impiegato per elaborare e promuovere il nuovo standard. Sebbene la guerra fredda fosse finita, rimaneva viva la preoccupazione del governo americano di mantenere un alto livello di vigilanza sulla crittografia e, soprattutto, sulla capacità eventuale di poter intercettare le comunicazioni. Intanto, con la liberalizzato del mercato della telefonia (1992) si moltiplicano le imprese private che potevano utilizzare tecnologia crittografica tale da garantirsi la non tracciabilità delle comunicazioni. L’FBI propone il Digital Telephone Proposal nel 1994, per facilitare le intercettazioni elettroniche. Sebbene esso non venne accettato, venne fatto invece passare il Digital Telephony and Communication Privacy Improvement Act, che, nonostante il nome, mantiene le caratteristiche della precedente proposta.
Gli anni successivi sono noti come «first crypto war», con cui si intende la battaglia per l’estensione dei diritti di vendita e utilizzo, da parte di privati, di sistemi di crittografia forte.17 Tra il 1996 e il 1998 il governo americano accettò di ridurre i divieti all’utilizzo e alla vendita di crittografia forte, per quanto essa sia rimasta sotto stretto controllo da parte delle istituzioni americane e inserita tra le tecnologie «a doppio uso» soggette al regime di controllo internazionale (MECR). In particolare una interim rule del 22 settembre del 1998 consentì l’esportazione di sistemi crittografici per banche e settori finanziario verso 45 paesi senza meccanismi di key recovery e il 31 dicembre 1998 fu consentito l’impiego di sistemi di cifratura con chiavi di una dimensione pari a 1024 bit con una tecnologia a 56 bit. Il Federal Information Security Management Act (FISMA) del 200218 riconobbe l’importanza della sicurezza delle informazioni per gli interessi economici e di sicurezza nazionale degli Stati Uniti e impose agli enti federali di elaborare specifiche procedure di sicurezza informatica e propri
17 D. Kehl, A. Wilson, K. Bankston, Doomed to Repeat History? Lessons from the Crypto
Wars of the 1990s, online New America, 2015. 18 Forma il titolo III dell’E-Government Act del 22 dicembre 2002 (PL 107-347, 116 Stat. 289944 USC § 3541 ss.)
I controllI alle esportazIonI dI crIttografIa strategIca 447
servizi di controllo sotto la supervisione dell’Ufficio di Amministrazione e Bilancio (OMB) e del NIST, al quale ultimo venivano attribuiti il progetto esecutivo FISMA, il programma di automazione della sicurezza informatica (ISAP) e il database della vulnerabilità nazionale (NVD). Lo scambio di informazioni sul traffico internet tra il governo e le imprese di sicurezza informatica è stato recentemente autorizzato e disciplinato dal Cybersecurity Information Sharing Act (CISA) del 18 dicembre 2015.
Nonostante la guerra fredda sia terminata, gli USA e il blocco occidentale continuano a mantenere alta la presa sulla tecnologia ritenuta strategica, tra cui la crittografia. La tensione creata dall’istituzione della NSA e del rigido controllo sullo sviluppo di sistemi crittografici non ha attenuato la volontà del governo americano di mantenere il controllo su questo tipo di tecnologia. Il CoCom era finito, ma un simile accordo fu presto ratificato ufficialmente (settembre 1996) ed è noto come Wassenaar Arrangement (WA), che abbiamo già incontrato. L’accordo è stato ufficialmente accettato da 33 paesi cofondatori. Va notato che negli stessi documenti ufficiali liberamente disponibili in rete, si fa riferimento al fatto che il WA è il prodotto della fine e proseguimento del CoCom. Quindi, anche in questo caso, nonostante tutto, l’eredità storica della guerra fredda continua a pesare. E così, dunque, anche laddove non sembra, la storia segna pur sempre la traccia dei nostri stessi passi.
448
Economic WarfarE - PotEri E armi dElla guErra Economica
Scultura di Alan Turing a Bletchley Park. Foto di David Dickson (2016). Licensed for reuse under creative commons https://creativecommons.org/licenses/by-sa/2.0/ (background removed)
