Un personaggio scomodo: nella propria relazione al DefCon, Dmitry ha fatto notare come alcune protezioni crittografiche vendute per migliaia di dollari siano ridicole.
[ZEUS News - www.zeusnews.it - 09-08-2001]
C'è di più. La relazione tenuta da Sklyarov al DefCon ha evidenziato che molti sistemi di crittografia comunemente utilizzati per la protezione di documenti sono, in realtà, di una ingenuità ridicola. Ad esempio, l'algoritmo con cui New Paradigm Research Group crittografa le proprie relazioni, che vende al "modico" prezzo di 3000 dollari l'una, è lo stesso usato da Giulio Cesare (si, proprio *quel* Giulio Cesare) per trasmettere i messaggi ai luogotenenti in missione e si basa sulla sostituzione di ciascuna lettera dell'alfabeto con la lettera che la segue di un numero costante di posizioni. Davvero impenetrabile.
Ma alcuni sistemi di crittografia sono proposti sul mercato, con promesse altisonanti. Quello realizzato da E-Book Pro maschera ogni byte del documento con una operazione di XOR con un byte costante, pertanto è reversibile semplicemente riapplicandolo pari pari al documento crittato: il programmatore, probabilmente, intendeva effettuare la XOR ciclicamente sui bytes che compongono la parola "encrypted" (reperibile in chiaro nel documento crittato), ma un errore di programmazione ha indebolito ulteriormente l'algoritmo. Naturalmente, E-Book Pro pubblicizza il proprio prodotto come "100% a prova di scasso".
Se il reverse engineering è vietato, se è proibito diffondere informazioni che possano essere utilizzate per sconfiggere un sistema di protezione, se è illecito anche rivelarne l'implementazione, per l'azienda che voglia acquistarne uno sul mercato può risultare molto difficile effettuare una scelta ragionata. A chi deve un ringraziamento Adobe, per avere avuto l'opportunità di conoscere i limiti di ciò che ha (presumibilmente) pagato denaro sonante? Chi glielo ha venduto o, piuttosto, Dmitry Sklyarov?
Questo è il punto: in quale modo il DMCA sostiene l'innovazione? Ancora una volta esso si rivela adatto piuttosto ad evitare a prodotti mediocri il confronto con i migliori e la critica degli esperti, ed è interessante notare come tale sua caratteristica possa ritorcersi contro gli stessi soggetti che lo hanno voluto a protezione dei propri interessi: forse il "nemico" non è sempre dove si crede di vederlo.
Inoltre, è noto che l'efficacia della crittografia non dipende dalla segretezza dell'algoritmo usato. In altre parole, se questo è valido, non è possibile (o quantomeno facile) decifrare il suo prodotto neppure quando se ne conosca l'implementazione. Ciò vale per tutti gli algoritmi non reversibili quali, ad esempio, quelli a doppia chiave: non a caso PGP è ritenuto uno dei più sicuri programmi di crittografia ed è open source. Anzi, la disponibilità dei sorgenti assicura che nel software non siano implementate backdoors, cioè modalità di accesso facilitate che qualcuno (il produttore?) potrebbe sfruttare ad insaputa dell'utilizzatore. Perché allora mantenere il segreto su un algoritmo di crittografia, se non per timore che venga smascherato come debole?
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News
ti consigliamo di iscriverti alla Newsletter gratuita.
Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui
sotto, inserire un commento
(anche anonimo)
o segnalare un refuso.
© RIPRODUZIONE RISERVATA |
|
|
||
|