La crittografia si espande, come una rassicurante macchia che va a rendere meno trasparenti i dati di aziende e singole persone, oggi esposti allo sguardo di governi e forze di polizia. Riguarda un nuovo standard di encryption della posta elettronica, promosso da Google, Yahoo, Microsoft e altri nomi dell’industria tecnologica, l’ultima iniziativa di rafforzamento della privacy seguita al caso di Apple, pressata dall’Fbi con la richiesta di forzare l’iPhone di un terrorista di San Bernardino. Un caso complesso, di cui vi abbiamo parlato più volte, che ha puntato i riflettori della discussione sul tema della riservatezza dei dati, sul margine di ingerenza concesso a organismi governativi e di polizia per ragioni di indagine, sul grado di “collaborazione” che si può imporre ai fornitori di software e servizi Web.
Di recente il Guardian aveva fatto sapere che Google è al lavoro su alcuni progetti sbocciati anni fa ma mai portati completamente a termine, come l’estensione della crittografia alla posta di Gmail. Più precisamente, le email del servizio di Big G oggi già risultano completamente cifrate in fase di transito, ma solo se lo scambio avviene entro i confini di Gmail. La crittografia, al contrario, non è assicurata se il mittente (o i mittenti) oppure il destinatario (o i destinatari) utilizza un servizio di posta diverso.
Secondo i dati dell’azienda californiana, oggi è crittografato circa l’83% dei messaggi inviati da Gmail ad altri provider e circa il 69% di quelli ricevuti. Ci sono dunque ancora delle debolezze da colmare, ed è solo con la collaborazione fra soggetti diversi che questo potrà realizzarsi.
È significativo, dunque, che i nomi di Yahoo e Microsoft (i due principali concorrenti del servizio posta di Mountain View, con Yahoo Mail e Outlook/Outlook.com) compaiano accanto a quello di Big G in questo nuovo progetto. Si tratta di una proposta di standard crittografico per la posta elettronica, depositata alla Internet Engineering Task Force la scorsa settimana ed elaborata da ingegneri di Google, Yahoo, Microsoft, LinkedIn, Comcast e 1&1 Mail & Media Development.
Il cuore della proposta è la sostituzione del Simple Mail Transfer Protocol (Smtp), protocollo che nel tempo è stato “corretto” con alcune tecnologie crittografiche, comunque risultate facilmente espugnabili da attacchi hacker. La nuova tecnologia illustrata nel documento si chiama Smtp Sts e permette ai fornitori di servizi di email di impedire la ricezione di messaggi non sicuri, cioè che non possono essere trasferiti con garanzia di crittografia. Nella proposta sono elencati molti dettagli tecnici e la descrizione del funzionamento pratico di questo diverso approccio.