Le tecnologie crittografiche utilizzate oggi sul Web sono farraginose e, quindi, alla portata di pochi. Google ha ora intenzione di rendere più “digeribile” l’implementazione di chiavi per cifrare le comunicazioni. Big G ha annunciato il progetto open source Key Transparency, il cui obiettivo primario è “semplificare questo processo e creare un’infrastruttura utilizzabile anche dagli utenti inesperti”. Di cosa si tratta? In un blog post Ryan Hurst e Gary Belvin, security and privacy engineering di Google, provano a spiegarlo. I due partono dal presupposto che storici software per la crittografia come Pgp (Pretty Good Privacy), creati vent’anni fa e sfruttabili liberamente per proteggere (tra le altre cose) le mail, presentano ancora oggi gravi lacune sul fronte dell’usabilità.
“Molte persone non sanno o non possono usarlo […]. Le app di messaggistica, i sistemi di file sharing e gli aggiornamenti software devono tutti affrontare la stessa sfida”. Come essere certi al cento per cento che un’entità sul Web sia proprio quella che dichiara di essere? Come garantire la sicurezza totale quando un utente cerca di accedere a una risorsa in Rete, impedendo l’intromissione sul canale di soggetti terzi nonostante la presenza di chiavi crittografiche?
Quello che Google vuole ottenere è un sistema che permetta al “navigatore” di fidarsi di un indirizzo Web, proprio perché la risorsa cercata è in grado di effettuare in autonomia un doppio controllo sulla propria integrità come parte necessaria del processo di verifica. Tutto in modo assolutamente trasparente.
“La relazione tra l’identità digitale e le chiavi pubbliche dovrebbe essere verificabile in automatico e a disposizione del pubblico per gli accertamenti”, hanno aggiunto Hurst e Belvin. “Gli utenti dovrebbero riuscire a vedere tutte le chiavi collegate a un account, rendendo di fatto qualsiasi modifica fraudolenta al registro pubblico immediatamente riconoscibile. Questo assicura inoltre che i mittenti usino sempre le stesse chiavi che i proprietari degli account stanno verificando”.
Per semplificare, si potrebbe prendere in prestito l’esempio proposto da Techcrunch. “Immaginiamola così: trovate online, grazie a una fonte certificata come i registri elettorali, l’indirizzo di una persona. Ma, quando suonate al campanello, non potete essere sicuri che la persona trovata sul Web sia effettivamente lei. L’aggiunta di Key Transparency significherebbe chiedere all’individuo che apre la porta di mostrarvi anche la carta d’identità prima di entrare in casa”.
Il progetto di Google, disponibile su Github, ricalca altre iniziative di directory pubbliche, reperibili online, lanciate in passato. Uno degli esempi più lampanti si chiama Keybase e altro non è che una raccolta di utenti verificati e di tutte le loro credenziali crittografiche, comprese quelle di Pgp e molte altre. Il fattore differenziante è che Big G vuole essere assolutamente certo che i contatti archiviati siano verificati a un livello più profondo. Garantendo così il più possibile la sicurezza delle comunicazioni.
Key Transparency, ovviamente ancora nelle prime fasi, è sviluppato in collaborazione con Coniks, Open Whisper Systems e il team di ingegneri di Yahoo (che presto diventerà Altaba). Il piano prevede diverse fasi per una schedule pluriennale.