privacy e sistemi di crittografia forte:...
TRANSCRIPT
PRIVACY E SISTEMI DI CRITTOGRAFIA FORTE:
RIMANERE ANONIMI ONLINE
Daniele TorelliLinux user and developer since 14 years
Arch Linux / Arch Linux ARM packages maintainerIT security enthusiast
Freelance software developerCo-founder of DataToKnowledge
VI SENTITE AL SICURO SUL WEB ?
2
LA PRIVACY NELL’ERA DIGITALE
BlogForumChatWiki
Social media(Flickr, YouTube, Vimeo, Facebook, Myspace, Twitter,
Google+, Linkedin, Foursquare, Last.fm, ...)
DATI
Progressiva perdita di privacyDati personali collezionati, spesso, ad insaputa degli utenti
Perdita di controllo sulla propria identità digitale
Effetti collaterali:
3
I nostri dati comunicano chi siamo!
LA PRIVACY NELL’ERA DIGITALE
Chi controlla i dati, controlla la pubblicità.Chi controlla la pubblicità, può controllare gli acquisti.
Chi controlla gli acquisti, di fatto, controlla la produzione.
GustiBisogni
Persone da frequentareLuoghi da visitare
Prodotti da acquistare
PensieriAbitudini
Persone frequentateLuoghi visitati
Dati impliciti:Dati espliciti:
Cui prodest?
4
PRIVACY ONLINE: IL CASO DATAGATE
Programma PRISM(nome in codice: US-984XN)
2007
Programma clandestino di sorveglianza elettronica di massa mediante analisi dei dati (metadati)
9 Providers:
Microsoft (2007), Yahoo! (2008),Google (2009), Facebook (2009),PalTalk (2009), YouTube (2010),
Skype (2011), AOL (2011),Apple (2012)
Dati ricevuti:
Telefonate, E-mail,Chat - video, voce, Video,
Foto, Dati salvati, VoIP,File trasferiti, Videoconferenze,Notifiche di attività - logins, etc.,
Dati delle reti sociali,Altri dati su richiesta
NSA
Rivelato nel 2013 da Edward Snowden, 29 anni, informatico e contractor della NSA (attualmente ricercato)
5
343 Gbps
PRIVACY ONLINE: IL CASO DATAGATE
Idee di base:
Gran parte delle comunicazioni del mondo passano per gli Stati
Uniti.Le chiamate, e-mail o chat di un target prenderanno il percorso
meno costoso, che non sempre è quello (fisicamente) più breve.
Europe
U.S. & Canada Africa
Latin America & Caribbean
Asia & Pacific
4972 Gbps
2946 Gbps
2721 Gbps
5 Gbps1345 Gbps
10 Gbps
40 Gbps
Larghezze di banda internazionali per Internet (2011)
Le comunicazioni dei target potrebbero facilmente passare
per gli Stati Uniti.
6
1. Nascondetevi durante la navigazioneUsate TOR. Sebbene l’NSA tracci gli utenti di questo servizio, questo richiede lavoro. Essere meno prevedibili vuol dire esser più al sicuro.
2. Criptate le vostre comunicazioniUsate TLS. Usate IPsec. Usate GPG. Sebbene sia vero che l’NSA tracci connessioni criptate e che potrebbe essere in possesso di tecniche per bypassare questi protocolli, sarete molto più protetti che se comunicaste in chiaro.
3. Il vostro computer potrebbe esser facilmente compromessoTuttavia, questo richiede grande lavoro ed espone a rischi. Quindi probabilmente non lo è.
4. Siate sospettosi circa i software crittografici proprietari/commercialiÈ probabile che gran parte dei prodotti di crittografia provenienti da grandi compagnie statunitensi contengano backdoors. Il software closed-source è più facile da compromettere rispetto a quello open-source. Inoltre, le modifiche apportate in software proprietari sono più difficili da scoprire.
5. Cercate di usare solo algoritmi di crittografia di larga diffusioneInfatti, sono più difficili da compromettere poiché devono essere largamente compatibili.
[ Fonte: Bruce Schneier, crittografo e saggista statunitense ]
COME TUTELARSI ?
7
RENDERSI ANONIMI: TOR
Progetto free, originariamente sviluppato per la Marina Militare degli Stati Uniti allo scopo di proteggere le comunicazioni governative.
Consiste in una rete, liberamente accessibile, di relay che permettono il traffico anonimo in uscita.
Aiuta a proteggersi contro le tecniche di analisi del traffico e a bypassare restrizioni nazionali sulla raggiungibilità dei siti web.
[ Fonte: https://www.torproject.org ]
8
TOR: FUNZIONAMENTO
Considerazioni:
Focalizzato solo sul proteggere il trasporto dei dati.
Non fornisce protezione contro gli attacchi “end-to-end”, ossia quelli che coinvolgono il mittente ed il destinatario dei dati.
9
TOR: DATI DI UTILIZZO
Cosa è successo ad Agosto 2013? Tre ipotesi:
1. Censura di The Pirate Bay e lancio di PirateBrowser (Firefox + TOR)
2. Effetto della risonanza mediatica del programma di sorveglianza PRISM
3. Entrata in vigore della nuova legge anti-pirateria in Russia
Utilizzatori attuali:
Più di 3.000.000
10
TOR: THE NORMAL WAY
TOR Browser BundleUltima versione: 2.3.25-13
Disponibile per:Microsoft Windows
Linux/UnixApple OS X
AndroidNokia Maemo / N900
https://www.torproject.org/download/download.html.en
goo.gl/WpcsLP
oppure, in breve:
11
TOR: THE NORMAL WAY
1. Download del browser bundle dal sito web ufficiale2. Esecuzione del programma3. Non c’è nessun punto 3. Buona navigazione anonima! :-)
TOR Browser BundleUltima versione: 2.3.25-13
12
TOR: THE NERD WAY :-)
1. Installazione del binario precompilato da repository / Compilazione da codice sorgente2. Avvio del servizio3. Avvio del programma da anonimizzare mediante torify
TOR / TorifyUltima versione stable: 0.2.3.25
Esempio senza TOR
Esempio con TOR
curl ifconfig.me
93.45.21.2
sudd systemctl start tortorify curl ifconfig.me
36.44.189.100
13
PROTEGGERE IL CONTENUTO DEI DATI: CRITTOGRAFIA
“Vi sono due tipi di crittografia: quella per impedire al vostro fratellino di leggere le vostre lettere, e quella per impedire al governo di leggere i vostri file”
(Bruce Schneier, “Applied Cryptography”)
Forza della crittografia:
Tempo e risorse di calcolo necessarie per risalire al testo in chiaro.Influenzata da due fattori: algoritmo crittografico e la lunghezza della chiave (in bit).
È una caratteristica che cambia nel tempo, poiché soggetta fortemente alla potenza di calcolo dei microprocessori.
La sicurezza del messaggio criptato dipende da:Forza dell’algoritmoSegretezza della chiave
Non dipende dalla segretezza dell’algoritmo (in genere pubblico poiché soggetto a studi di crittoanalisi)
14
Perfect secrecy:
Ottenuta dall’utilizzo di una chiave di lunghezza pari al messaggio da crittografare ed usata una sola volta (“one-time pad”) (Teoria dell’informazione di Shannon).
PROTEGGERE IL CONTENUTO DEI DATI: CRITTOGRAFIA
Sicurezza computazionale:
I sistemi crittografici utilizzati in pratica sono “computazionalmente sicuri”, cioè tali per cui solo un attacco di tipo “brute-force” permetterebbe in un dato tempo di decifrare il messaggio.
Tipologie dei sistemi di crittografia:
- Chiave simmetrica (stessa chiave per criptare e decriptare i dati, utilizzo consigliato: canali sicuri)- Chiave asimmetrica (chiavi diverse per cifrare e decifrare i dati, utilizzo consigliato: canali non sicuri)
15
Proprietà dei sistemi di crittografia asimmetrica:
- Non è possibile risalire dalla chiave pubblica a quella privata- La chiave che effettua la cifratura dei dati non può decifrarli
Bob vuole inviare ad Alice un messaggio segreto
1. Bob chiede ad Alice la sua chiave pubblica2. Alice invia a Bob la sua chiave pubblica
CRITTOGRAFIA ASIMMETRICA: ESEMPIO
16
CRITTOGRAFIA ASIMMETRICA: ESEMPIO
Bob vuole inviare ad Alice un messaggio segreto
3. Ottenuta la chiave pubblica, Bob compila il messaggio, lo cripta utilizzando la chiave pubblica di Alice e lo invia4. Solo Alice, in possesso della chiave privata, potrà decriptare il messaggio inviato da Bob.
17
PRETTY GOOD PRIVACY (PGP)Sviluppato nel 1991. È oggi uno dei sistemi di crittografia più noti al mondo.Distribuito a pagamento dalla PGP Incorporated.
OpenPGP:
Richiesto come standard alla Internet Engineering Task Force dalla stessa PGP Inc. per supportare il PGP.Descritto nei documenti ufficiali: RFC 2440 (1998) e RFC 3156 (2001).
Versione della Free Software Foundation (FSF):
Gnu Privacy Guard (GPG), compatibile con lo standard OpenPGP.
18
GNU PRETTY GUARD (GPG)
http://www.gnupg.org
Ultima versione stable: 2.0.2
Disponibile per:FreeBSD
OpenBSDNetBSD
Linux/UnixMicrosoft Windows
Apple OS X
Permette di proteggerci da attacchi “end-to-end”. Poiché solo il mittente ed il destinatario potranno conoscere il testo del messaggio scambiato.
19
GPG: CREAZIONE DELLA COPPIA DI CHIAVI
gpg --gen-key
Creazione della coppia di chiavi:
gpg: directory `/home/s3th/.gnupg' createdgpg: new configuration file `/home/s3th/.gnupg/gpg.conf' createdgpg: WARNING: options in `/home/s3th/.gnupg/gpg.conf' are not yet active during this rungpg: keyring `/home/s3th/.gnupg/secring.gpg' createdgpg: keyring `/home/s3th/.gnupg/pubring.gpg' createdPlease select what kind of key you want: (1) RSA and RSA (default) (2) DSA and Elgamal (3) DSA (sign only) (4) RSA (sign only)
Your selection?
Scelta dell’algoritmo:
RSA keys may be between 1024 and 4096 bits long.What keysize do you want? (2048)
Scelta della dimensione delle chiavi:
1
2048
20
Requested keysize is 2048 bitsPlease specify how long the key should be valid. 0 = key does not expire = key expires in n days w = key expires in n weeks m = key expires in n months y = key expires in n yearsKey is valid for? (0)
GPG: CREAZIONE DELLA COPPIA DI CHIAVIScelta del tempo di validità delle chiavi:
You need a user ID to identify your key; the software constructs the user IDfrom the Real Name, Comment and Email Address in this form: "Daniele Torelli"
Real name: danieleEmail address: [email protected]: My test GPG keysYou selected this USER-ID: "daniele (My test GPG keys) "
Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? OYou need a Passphrase to protect your secret key.
Enter Passphrase
Scelta dello username e della password:
0
VerYSecurePassWord!!68 21
GPG: CIFRATURA DI UN MESSAGGIO
gpg --output secret.asc --encrypt --armor --recipient [email protected] message.txt
-----BEGIN PGP MESSAGE-----Version: GnuPG v2.0.22 (GNU/Linux)
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=sfH7-----END PGP MESSAGE-----
Composizione del messaggio:
echo “This is a very secret message for Daniele!” > message.txt
Cifratura del messaggio:
OpenPGP ASCII armored encrypted
message
22
GPG: DECIFRATURA DI UN MESSAGGIO
cat message.txt
This is a very secret message for Daniele!
Decifrtura del messaggio:
gpg --output message.txt --decrypt secret.asc
Cifratura del messaggio:
23
NO NERD? NO PARTY!
24
NO NERD? NO PARTY!
Estensione per i vari browser web che rispetta lo standard crittografico OpenPGPIntegrato direttamente nella UI delle webmail
Disponibile per:Google ChromeMozilla Firefox
Webmail preconfigurate:GmailGMX
Outlook.comYahoo! Mail
25
Mailvelope!http://www.mailvelope.com
Ultima versione stable: 0.6.6
NO NERD? NO PARTY!
Mailvelope+
Gmail
Mailvelope!http://www.mailvelope.com
Ultima versione stable: 0.6.6
26
DOMANDE ?
GO AND STAY SAFE!