In linea generale, si può affermare che la riduzione al minimo dei dati personali da trattare e, a maggior ragione, la fornitura di servizi in modalità anonima non sia possibile senza l'uso di protocolli a base crittografica: il pensiero va in particolare ai protocolli di tipo zero-knowledge (ZK), che permettono di dimostrare che una delle parti conosce un segreto senza rivelare il contenuto di questo segreto. In altri casi può essere necessario invece l'uso di protocolli di tipo minimum disclosure, che permettono di rivelare solo un piccolo sottoinsieme di dati tra tutti quelli disponibili sulle parti coinvolte nella transazione.

L'idea che sta alla base dei protocolli di tipo zero-knowledge è quella di non rivelare direttamente una informazione, ma di rivelarne un'altra, non rilevante dal punto di vista della privacy, che però non può essere posseduta in mancanza della prima, ma può da essa verire ricavata grazie all'uso di altre informazioni pubbliche.

Ad esempio, se Alì Babà volesse dimostrare di essere davvero entrato nella caverna dei 40 ladroni senza rivelare dove si trova e quale sia la parola chiave per entrarvi, potrebbe dichiarsi disponibile ad esibire, su richiesta, un qualunque oggetto proveniente dalla caverna (evidentemente è necessario che chi verifica le pretese di Alì Babà disponga di un inventario autentico del contenuto della caverna). Naturalmente Alì Babà potrebbe cercare di imbrogliare e presentare, invece del vero oggetto proveniente dalla caverna, una sua copia che si è procurato in qualche modo, però man mano che vengono richiesti sempre nuovi oggetti e Alì Babà soddisfa sempre la richiesta, diminuisce la probabilità che stia imbrogliando.

Vediamo le cose più in concreto. L'esempio base di questo genere di protocolli è considerato quello di Fiat-Shamir, che attualmente non è più considerato di interesse pratico, a differenza di due sue evoluzioni, il protocollo di Feige-Fiat-Shamir e quello di Guillou-Quisquater (citato anche come protocollo GQ). Un approccio alternativo, anche se concettualmente analogo, è quello del protocollo di Schnorr.

Questi tre protocolli sono attualmente considerati molto sicuri, sotto l'ipotesi che alcuni problemi matematici (quello della fattorizzazione di grandi numeri e quello del logaritmo discreto) siano computazionalmente insolubili. Si tratta degli stessi problemi su cui si basa la crittografia a chiave pubblica, per cui si può affermare che la sicurezza dei tre protocolli sia all'incirca la stessa di quella della crittografia a chiave pubblica.

In questi protocolli si assume innanzitutto che il soggetto che si deve autenticare disponga di una chiave pubblica, registrata presso un soggetto ritenuto fidato (trusted), argomento sul quale ritorneremo, e di una chiave privata, che sarebbe il segreto di cui si deve dimostrare il possesso. Il soggetto fidato pubblica alcuni parametri di sistema, che sono numeri scelti secondo determinati criteri previsti dal protocollo (ad esempio, nel protocollo di Feige-Fiat-Shamir si tratta di n = pq, dove p e q sono due numeri primi, mantenuti segreti, entrambi congruenti a 3 mod 4, e tali che sia computazionalmente irrealizzabile la fattorizzazione di n, cioè la sua scomposizione in fattori primi).

Chiamiamo ora A chi deve provare la conoscenza del segreto (prover) e B chi la deve verificare (verifier). Lo schema generale dei protocolli è il seguente:

- A sceglie alcuni valori casuali, entro vincoli determinati dai parametri di sistema, con i quali effetta dei calcoli, e manda il risultato (chiamato in questo contesto witness=testimonianza) a B (ma non gli manda i valori su cui il risultato è basato)
- B manda ad A un valore casuale, ad esempio un vettore di bit in Feige-Fiat-Shamir, detto challenge
- A manda a B un numero, detto response, basato sui valori utilizzati nel primo passo, sul challenge e sulla sua chiave privata
- a questo punto B, con i dati di cui dispone (tra cui la chiave pubblica di A), è in grado di fare dei calcoli tali che danno un certo risultato se A è effettivamente a conoscenza del segreto (ossia se per i suoi calcoli ha veramente usato la chiave privata) e un altro in caso contrario.

Come già detto, si tratta di protocolli probabilistici, nei quali la probabilità di impersonazione (cioè che B si faccia passare per uno che possiede la chiave privata, mentre in realtà non la possiede) può essere resa piccola a piacere aumentando le iterazioni del protocollo o scegliendo in modo appropriato i parametri di sistema. Nella pratica, tale probabilità può essere tranquillamente portata a una su un milione o anche meno.

Questo articolo CONTINUA >>>
1 - Quali informazioni trattano le biblioteche?
2 - Non solo la Legge 675
3 - Qualche principio fondamentale
4 - Applicazioni pratiche
5 - Protocolli zero-knowledge
6 - Ancora qualche problema
7 - Identificazione degli operatori
8 - Qualche risultato
9 - Bibliografia