Pagine

martedì 21 aprile 2020

Un documento sul tracciamento digitale dei contatti della comunità di studiosi di crittografia e sicurezza

di Enrico Nardelli

La comunità mondiale degli studiosi di crittografia e sicurezza ha rilasciato un documento firmato da più di 300 scienziati di tutto il mondo sul tema del tracciamento digitale dei contatti.

Il documento è tecnicamente ben fatto e preciso e le sue raccomandazioni giuste, ma ho delle riserve, diciamo così "politiche".

Infatti, nonostante si dica che il tracciamento digitale può essere utile in alcune situazioni e che la sua efficacia sia controversa, vengono poi comunque formulate indicazioni sul come preservare la privacy nelle soluzioni che verranno implementate.

Questo è il passaggio, proprio all'inizio: «In some situations, so-called “contact tracing Apps” on peoples’ smartphones may improve the effectiveness of the manual contact tracing technique. ... Though the effectiveness of contact tracing Apps is controversial, we need to ensure that those implemented preserve the privacy of their users.»

A partire dalle stesse affermazione io avrei invece formulato sopratutto una raccomandazione affinché prima di mettere in campo tali soluzioni, se ne studiassero e sperimentassero utilità ed efficacia. Temo che invece così il documento dia sostegno ad un approccio tecnologico che non affronta i problemi reali ma dà per scontato che il tracciamento digitale dei contatti sia utile ed efficace.

Inoltre, continuo a pensare che ci siano dei problemi pratici (non teorici) nel realizzare soluzioni decentralizzate che siano al tempo stesso, come tutti giustamente chiedono, aperte e scrutinabili dal pubblico e siano resistenti agli attacchi che io ho chiamato delle "ancillary app" (vedi alla fine del post) e che Serge Vaudenay ha chiamato delle "enriched app" (vedi il "nerd attack" a pag.10).

Anche se entrambe le analisi sono state fatte su DP-3T ritengo che l'attacco sia valido per qualunque schema decentralizzato con un protocollo di comunicazione "aperto".

L'unica contromisura che riesco a immaginare, rimanendo con un approccio decentralizzato e aperto, è avere un'infrastruttura che "certifichi" il codice sorgente delle app e lo "autentichi" come "ufficiale". Nessun problema da un punto di vista teorico, ma che questa cosa si riesca a fare non dico a livello mondiale ma europeo in tempi ragionevoli lo ritengo praticamente impossibile.

Addendum (22 apr 2020, 11:15 CEST): un altro gruppo di studiosi di crittografia e sicurezza (più piccolo ma non meno qualificato) ha prodotto un'analisi dettagliata di come sia difficile, se non impossibile, effettuare il tracciamento digitale dei contatti mantenendo la privacy. È in francese, ma usa un linguaggio semplice senza termini tecnici

Nessun commento:

Posta un commento

Sono pubblicati solo i commenti che rispettano le norme di legge, le regole della buona educazione e sono attinenti agli argomenti trattati: siamo aperti alla discussione, non alla polemica.