Della ripudiabilità e coercizione

Immaginate di essere in un posto di frontiera e la guardia chiede di consegnare tutti i dispositivi elettronici per lo screening.
Vi chiede, poi, di sbloccare il dispositivo, fornire le password e le chiavi di decrittazione. Per il momento ve lo chiede gentilmente ma potrebbe farlo con un inviso flessibile gommato (sì, i crittografi la chiamano crittanalisi da flessibile gommato.”) e sembra essere disposta a usarlo. Immaginate di essere un giornalista che si occupa di crimini di guerra e che state cercando di lasciare il paese. Cosa fate? ( XKCD è d’obbligo)

Non si tratta di una situazione ipotetica. La fondazione The Freedom of the Press ha pubblicato una lettera aperta ai produttori di fotocamere chiedendo che forniscano la “crittografia” per impostazione predefinita. Il problema è che quello che vogliono non è soltanto la crittografia, bensì ripudiabilità, che è una cosa leggermente diversa.

Gli schemi di ripudiabilità (considero ripudiabilità nella tradizione di Canetti et al . È importante notare che la ripudiabilità si riferisce alla capacità di negare qualche testo in chiaro e non negare che si stia utilizzando un algoritmo di ripudiabilità .) consentono di mentire sul fatto di aver fornito pieno accesso a una parte, o a tutto il testo cifrato. Questo è importante perché non si può dare alla guardia dell’esempio precedente una password falsa: la proverà, rimarrà bloccata e proseguirà con la fustigazione.

Sono convinto che ci sia una lacuna sociotecnica nel modo in cui la tecnologia attuale gestisce l’accesso ai dispositivi personali. Noi, nella comunità INFOSEC, dobbiamo iniziare a concentrarci maggiormente su come permettere agli utenti di avere la flessibilità necessaria a gestire situazioni coercitive piuttosto che controllare gli accessi. Codici di ripudiabilità e coercizione possono dare un’ottima mano ad ottenerli.

Alcuni cenni relativi al contesto giuridico degli Stati Uniti

Alcuni recenti avvenimenti legali hanno evidenziato la necessità, in particolare, di codici di ripudiabilità e coercizione.

Più precisamente, un caso recente ha stabilito un precedente in Minnesota (l’opinione completa della corte è qui: Minnesota contro Diamond ) ha sancito che utilizzare le impronte digitali per il controllo dell’accesso non costituisce violazione dei diritti del quinto emendamento. La logica della decisione, con la quale sono incline a concordare, è che le impronte digitali equivalgano alle prove ottenute dai sospetti nel corso di un’indagine, quali campioni di sangue, campioni di grafia, registrazioni vocali, ecc., la totalità delle quali sono state ritenute dalla Corte suprema di non essere tutelate dal quinto emendamento.

Orin Kerr ha analizzato egregiamente questa decisione qui ma l’essenza è che i giudici hanno sancito che le impronte digitali non contano come “testimonianza” e quindi non sono protette dal quinto emendamento.

C’è un risvolto interessante nel caso: l’imputato ha detto volontariamente alla polizia quale dito avrebbe sbloccato il telefono. Certamente il giudice avrebbe potuto semplicemente chiedere al ragazzo di fornire tutte le sue impronte digitali e provarne una alla volta. Volendo estremizzare, questo non è molto diverso dal sostenere che la polizia abbia il diritto di cercare di decifrare una password del dispositivo che ha ottenuto legalmente e che, guarda caso, i caratteri della password siano oggetti fisici. (Beh, in questo caso, le dita dell’imputato.)

La buona notizia è che altre sentenze hanno deciso che le password sono costituzionalmente protette. Nell’esoterico “In re Grand Jury Subpoena Duces Tecum”, (“In re Grand Jury Subpoena Duces Tecum”, 670 F.3d 1335 (11th Cir. 2012)) è stato deciso che le password tradizionali sono testimonianza incriminante e che, di conseguenza, gli imputati possano invocare il quinto se necessario.

Tuttavia la cattiva notizia è che le password digitate manualmente sono sempre più considerate come retaggio del passato, i token hardware e il rilevamento biometrico sono considerati molto più usabili e saranno utilizzati sempre più in futuro.
(Google, ad esempio, sembra muoversi verso i token hardware e la biometria , strumenti molto più usabili)

Cosa possiamo fare velocemente: aggiungere codici anticoercizione

Come accennato in precedenza, un’osservazione chiave tratta da questi casi è che la polizia può costringervi a usare un’impronta digitale ma non può ordinarvi di dire quale dito venga utilizzato per sbloccare il dispositivo. Ciò equivarrebbe a ordinarvi di fornire un codice di accesso.

A breve termine Apple e Google possono adottare misure per alleviare questa minaccia con l’aggiunta di codici di coercizione nei loro meccanismi di controllo dell’accesso. Ad esempio, qualsivoglia scansione diversa dal dito indice destro potrebbe attivare un blocco solo-password. La scansione del mignolo (o altra impronta digitale/combinazione di impronte digitali) potrebbe attivare il factory reset, o sbloccare e attivare la cancellazione di una parte specifica dei dati degli utenti. L’aggiunta di questa funzionalità potrebbe richiedere alcune settimane per il codice e mesi di ricerca UX ma potrebbe facilmente contribuire a colmare l’attuale vuoto costituzionale.

A lungo termine dobbiamo ripensare la distribuzione della ripudiabilità come un insieme di strategie per aiutare gli utenti a evitare la coercizione in generale. Altrettanto importante è che tutti i dispositivi abbiano una sorta di ripudiabilità integrata, punto. Aggiungere sistemi ripudiabili ai dispositivi soltanto quando la persona è minacciata, offre scarsa protezione alle popolazioni a rischio quali i giornalisti. Se non integrato nel sistema operativo, il fatto che il giornalista usi un software fuori dell’ordinario, che può o non può avere tratti innegabili, farebbe verosimilmente scattare un allarme rosso e indurrebbe un libero uso del flessibile gommato.

Mike Specter Dottorando in informatica al MIT, ringraziamenti a Danny Weitzner (primo ricercatore), Jonathan Frankle (altro dottorando al MIT) e il resto della Internet Policy Research Initiative

(Il post è stato tradotto grazie all’esplicita autorizzazione di Michael A. Specter)

Fonte: On Deniability and Duress

Written by admin

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *