In risposta alla protesta sulla sorveglianza di massa da parte della National Security Agency (NSA), gli ingegneri che sviluppano i protocolli alla base della Rete, sono immersi in uno sforzo per criptare tutto il traffico Web, e si aspettano di presentare il sistema rinnovato alla fine del prossimo anno. Lo sforzo, dell’Internet Engineering Task Force, o IETF, un’organizzazione informale di ingegneri che cambia il codice Internet e funziona per consenso di massima, coinvolge l’HTTP o hypertext transfer protocol (in italiano protocollo di trasferimento di un ipertesto), che disciplina lo scambio di informazioni tra i browser Web di telefoni e computer e i server che contengono i dati del sito che si sta visitando.
I documenti trapelati, portati alla luce da Edward Snowden l’ex impiegato della NSA che ha spifferato i giochetti dei governi di tutto il mondo, suggeriscono che l’agenzia raccolga e memorizzi abitualmente enormi quantità di informazioni dalle principali piattaforme di cloud computing e da operatori wireless. Oggi, gran parte del traffico Web tra un dispositivo e il server non è crittografato a meno che i siti Web non scelgano di utilizzare una variante del protocollo HTTP chiamato HTTPS, che di solito viene utilizzato per le pagine in cui si effettuano pagamenti o negli e-commerce, ad esempio Amazon, il quale comprende un passo di crittografia chiamato Transport Layer Security. Se l’indirizzo di un sito Web quindi, inizia con “https://” vuol dire che già utilizza la crittografia.
Il cambiamento avviato dall’IEFT introdurrebbe la crittografia predefinita per tutto il traffico Internet e il lavoro per realizzarla nella prossima generazione di HTTP, chiamata HTTP 2.0, sta procedendo in modo molto frenetico, spiega Stephen Farrell, uno scienziato informatico presso il Trinity College di Dublino, che è parte del progetto. La speranza è che possa essere pronta entro la fine del 2014. Starebbe poi ai siti Web adottare la tecnologia, un’operazione che non è obbligatoria, ma che se non fatta può mettere in cattiva luce la piattaforma stessa. Molti esperti hanno fatto notare che lo spionaggio di massa sul Web viene effettuato perché è un’operazione molto semplice. Alcuni sostengono che, complicando la vita a agenzie di sicurezza nazionale come la NSA, ma non solo, queste potrebbero concentrarsi maggiormente su problemi legittimi piuttosto che sull’accaparrare tutto e fare domande solo dopo.
Farrel sostiene:
“Penso che potremo fare la differenza nel prossimo periodo per rendere la crittografia molto diffusa nel Web e nella posta elettronica”.
Infatti, l’IETF si sta avvicinando alla fine del progetto che riguarda l’aumento della sicurezza nelle e-mail e nei messaggi istantanei, due obiettivi chiave per la sorveglianza della Rete. Al momento, esistono protocolli per crittografare le comunicazioni in spostamento: in primo luogo dal dispositivo al vostro provider di posta elettronica, quindi a provider e-mail del destinatario e, infine, al telefono del destinatario o al computer. Il problema è che spesso, i protocolli necessari per la crittografia, non sono impostati correttamente e quindi non funzionano tra i diversi server di posta elettronica, come quelle di piccole organizzazioni, o quando saltano tra i servizi di grandi aziende come Gmail e quelli di una piccola azienda o istituzione. Quando questo accade, l’indirizzo e-mail finisce per essere inviato ‘in chiaro‘, perché i protocolli di posta elettronica danno priorità alla consegna attuale rispetto a tutti gli altri interessi, inclusa la crittografia, anche se in realtà stava funzionando. “Penso che si possa fare di meglio”, dice Farrell, per rendere l’installazione più semplice e controllabile.
In qualche modo si tratta di un dietro-front, perché un anno e mezzo fa un gruppo all’interno della IETF aveva deciso di aggiungere la crittografia di default in HTTP. “Ciò che rende il compito difficile”, sostiene Farrell, “è la parte statica delle pagine Web che vengono ‘nascoste’ o memorizzate su server locali più vicini all’utente”. Il caching è problematico perché il contenuto della cache si trova tra il browser e il server, ed è tipicamente mantenuto ‘in chiaro’, o non crittografato, in modo che possa essere identificato. Per sua natura, la crittografia fa sì che ogni pezzo di contenuto appaia unico. “Il problema è che se si inizia la criptografia il caching diventa più difficile”, spiega Farrell. “La sfida tecnica è, come ottenere il vantaggio della sicurezza mantenendo il vantaggio del caching? E’ su questo che si sta lavorando”.
Siamo all’alba di un nuovo Web, più attento alla privacy e maggiormente sicuro. Non ci aspettiamo che ciò avvenga presto, ma per ora è un piccolo tassello di una grande rivoluzione che potrebbe rendere il Web un posto migliore per tutti.
