La legge di Burr-Feinstein mostra che il Congresso fraintende la crittografia, dice Internet

I due senatori americani con il maggior potere di raccogliere e analizzare l'intelligence americana non sembrano comprendere la crittografia.

Questa è la reazione della comunità internazionale della sicurezza informatica e degli analisti della politica di internet su entrambi i lati del corridoio, dopo che è emersa una bozza trapelata di una possibile legislazione che ridurrebbe la già debole protezione sui dati di comunicazione degli americani.

L'industria tecnologica ha trascorso mesi ad aspettare nervosamente il senatore democratico Dianne Feinstein e il senatore repubblicano Richard Burr per presentare un disegno di legge destinato a dare alle agenzie di sicurezza degli Stati Uniti la possibilità di decifrare i messaggi crittografati inviati tramite WhatsApp, iMessage e altri servizi. Quel giorno è finalmente arrivato tardi la scorsa settimana, quando The Hill ha pubblicato una versione non ufficiale del disegno di legge (soprannominato "Compliance With Court Order Act" del 2016). La reazione è stata tanto immediata quanto feroce, come ha detto il direttore dell'Open Technology Institute Cablata "Questa è facilmente la proposta più ridicola, pericolosa, tecnicamente analfabeta che io abbia mai visto".

Il disegno di legge richiede che le società di comunicazione che gli americani usano quotidianamente mantengano la capacità di fornire dati "intelligibili" alla polizia degli Stati Uniti. I legislatori dicono che è un tentativo legittimo di identificare i terroristi prima di lanciare un attacco, anche se di solito dimenticano di dire che questo tipo di misura richiederebbe alle società di Internet di implementare di proposito la sicurezza debole sui servizi di comunicazione più popolari al mondo.

Attualmente, Apple, Facebook (che possiede WhatsApp) e altre aziende utilizzano la crittografia end-to-end, che ha lo scopo di garantire che solo un mittente e il destinatario previsto siano in grado di visualizzare un messaggio. La crittografia end-to-end codifica i messaggi per garantire che non possano essere letti se intercettati mentre sono in transito o archiviati sul server di un'azienda. Quel processo di scrambling è diventato così avanzato che Apple e WhatsApp dicono essi non è in grado di decifrare i messaggi degli utenti, anche se vengono forniti con gli ordini di un giudice.

Ma non sono solo le società di chat. I dati "intelligenti" potrebbero anche significare conservare e-mail cancellate o costringere le aziende a costruire intenzionalmente prodotti con misure di sicurezza che consentano agli investigatori del governo di sondare quando vogliono (note come "backdoor"). La bozza legislativa non tiene conto del vecchio avvertimento dei ricercatori di sicurezza secondo cui qualsiasi backdoor messa a disposizione dell'FBI può anche essere rubata all'FBI, ad esempio dal governo cinese, che avrebbe poi un portale per le comunicazioni americane.

"Ogni servizio, persona, operatore dei diritti umani, manifestante, giornalista e azienda sarà più facile da spiare, Sean Vitka, consulente legale presso l'organizzazione per la privacy Demand Progress, ha detto in una nota venerdì. "Anche se questo disegno di legge mina la privacy e la sicurezza di tutti gli americani, la sua ristrettezza giurisdizionale è ancora un altro difetto catastrofico.Non controlla i prodotti russi o il governo nordcoreano. I senatori Burr e Feinstein stanno chiedendo all'America di paralizzare le sue capacità di informazione difensiva."

Burr-Feinstein potrebbe essere la cosa più folle che abbia mai visto seriamente offerta come un atto legislativo. È "fare magie" in legalese.

- Julian Sanchez (@normative) 8 aprile 2016

Feinstein, Burr, il direttore dell'FBI James Comey, e il resto della sicurezza nazionale hanno per anni avvertito che terroristi, hacker e altri avversari stranieri usano la crittografia end-to-end per nascondere le loro comunicazioni dalla vista pubblica. Dopo che l'ISIS ha ucciso 130 persone a Parigi l'anno scorso funzionari pubblici anonimi hanno riferito alla CNN che gli hacker avevano WhatsApp e Telegram, un'altra app criptata, sui loro telefoni, che sono stati recuperati dalla scena. Ma finora non ci sono quasi prove a sostegno di tali affermazioni e a New York Times Il rapporto del mese scorso indicava che i responsabili utilizzavano principalmente telefoni monouso per bruciatori per coordinare l'attacco, non la crittografia end-to-end.

Il dibattito diventa ancora più controverso quando diventa chiaro che gli investigatori probabilmente non hanno bisogno di accedere a quei messaggi crittografati, comunque. FBI e NSA hanno ancora accesso ai metadati dell'utente (compresi i metadati di WhatsApp), dando loro i numeri composti, la durata della conversazione, le associazioni comuni e altre informazioni sufficientemente sensibili da consentire loro di mettere insieme la vita e le tendenze di una persona. Di fatto, il governo confida nella raccolta di metadati quanto basta per lanciare attacchi di droni contro obiettivi che sono stati sottoposti a sorveglianza.

O, come disse un tempo l'ex capo della CIA e della NSA Michael Hayden: "Uccidiamo le persone sulla base dei metadati".