Crittografia sul Web, Google non può farcela da sola

A che punto è la transizione verso la crittografia completa nella galassia di servizi Google? Secondo i dati forniti dalla stessa Big G, siamo a tre quarti del percorso. A gennaio 2016, infatti, il 75% delle richieste inviate ai server di Mountain View è stato trasmesso attraverso connessioni Https, che permettono a browser e app di collegarsi in sicurezza ai siti Web. Il dato, rispetto allo stesso periodo del 2015, è salito di circa 13 punti percentuali. Spulciando tra i grafici pubblicati da Google tramite il “Transparency report”, si nota come la totalità del traffico sulla piattaforma Gmail è ormai protetto da crittografia. L’utilizzo esclusivo di Https per il servizio di posta elettronica di Big G è stato infatti introdotto già a marzo 2014. Maps è invece all’83% circa, la galassia della pubblicità al 77%. Fanalino di coda, invece, Google Finanza, con il 58% dei dati scambiati sotto protocolli sicuri.

Dal punto di vista geografico, invece, il tasso maggiore di richieste criptate proviene dal Messico, che guida la classifica con l’86%. Il Brasile è secondo con l’84%, mentre al terzo posto si è piazzato il Giappone (82%). Gli Stati Uniti, a sorpresa, sono noni con il 72% del traffico protetto. L’Italia non figura nella classifica, forse anche perché il grafico di Big G riporta soltanto i primi dieci Paesi per percentuale di traffico ricevuta. Comunque, sottolinea Google, le differenze sono dovute a diversi fattori, tra cui “i tipi di dispositivi utilizzati nei singoli Paesi e la disponibilità di software che supporti il moderno protocollo Tls”.

Perché uno dei principali ostacoli all’implementazione “totale” della crittografia riguarda proprio componenti software e hardware obsoleti, che non sono in grado di supportare le tecnologie e gli algoritmi più recenti. Forse anche per questo motivo, ben il 95% del traffico non criptato ricevuto da Google proviene oggi dai dispositivi mobili: molti modelli, come sottolineato da Mountain View, “potrebbero non venire più aggiornati e di conseguenza non supportare mai la crittografia”.

Fonte: Transparency report, Google

Gli altri scogli maggiori sulla strada della protezione via Https dei dati sono di natura si tecnica sia politica. Per esempio, alcuni Paesi e organizzazioni bloccano o declassano il traffico dei protocolli sicuri, mentre altre realtà non vogliono (o non possono, per mancanza di risorse) implementare Https. Infine, la gestione dei certificati può essere complessa per piattaforme come Blogger, in cui è possibile utilizzare domini di terze parti.

Il tema della crittografia è quanto mai d’attualità in questo periodo. Da diverse settimane ormai domina il dibattito sulla “battaglia” tra Apple e l’Fbi per lo sblocco dell’iPhone appartenuto a Syed Farook, autore della strage nella città californiana di San Bernardino. Ma anche altri grandi nomi del panorama tecnologico mondiale stanno ultimamente reagendo, in modi diversi, alle pressioni giudiziarie e governative.

Indiscrezioni riportate due giorni fa dal Guardian e riguardanti Whatsapp coinvolgevano la crittografia sulle chat di gruppo e sulle chiamate Voip della nota app mobile. Secondo il quotidiano britannico, che cita fonti confidenziali, la piattaforma di proprietà di Facebook potrebbe implementare a breve algoritmi di protezioni dei dati anche per queste funzionalità. La crittografia end-to-end è invece già attiva di default su tutti i messaggi di testo scambiati nelle chat tra singoli utenti.