Obcrypto: crittografia by default sui dispositivi

Obcrypto: crittografia by default sui dispositivi

L’articolo 15 della Costituzione italiana recita:

La libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione sono inviolabili. La loro limitazione può avvenire soltanto per atto motivato dell’autorità giudiziaria [cfr. art. 111 c. 1] con le garanzie stabilite dalla legge.

Questo diritto costituzionale viene oggi quotidianamente violato. Nell’era digitale le comunicazioni passano attraverso sistemi operativi e software chiusi, e sono sistematicamente registrate e conservate per scopi spesso non dichiarati.
Esigere il rispetto della privacy nell’era digitale non è una questione secondaria o “d’elite”. La storia degli ultimi anni ci ha mostrato che con questi mezzi sono state messe in atto colossali operazioni di sorveglianza di massa, per non parlare dell’utilizzo dei Big Data per profilare gli elettori di un’intera nazione e interferire con la democrazia di un Paese, o degli scenari da Black Mirror in Cina.
Quello che proponiamo è quindi una legge che imponga ai produttori di hardware e software l’adozione di alcune misure tecniche per garantire la segretezza della comunicazione e la privacy dei dati.
Perché i diritti delle persone vengono prima delle esigenze di business.

 

INIZIO PROPOSTA DI LEGGE

ONOREVOLI COLLEGHI! – È compito dei legislatori decidere saggiamente in base alle priorità; ebbene, ogni volta che è in gioco la segretezza della corrispondenza, questa deve essere considerata una priorità. Siamo consapevoli che questa legislazione richiede enormi cambiamenti nella mentalità, nella comprensione degli aspetti tecnici e nello sviluppo delle infrastrutture da parte dei produttori di dispositivi di telecomunicazioni; tuttavia confidiamo nel fatto che la mole di opportunità economiche nel mercato europeo delle telecomunicazioni fornirà la necessaria motivazione.
Crediamo inoltre che la libertà di assemblea sia stata compromessa negli ultimi venti anni, con lo sviluppo della tecnologia digitale. Ad oggi un gruppo di persone non può incontrarsi in Internet senza essere tracciato, né avere degli incontri dal vivo lontano dalla vista delle autorità, a meno che i partecipanti non lascino intenzionalmente lo smartphone a casa.
Riteniamo che la democrazia possa essere assicurata soltanto se una sana opposizione e l’innovazione politica sono incoraggiate e promosse, anziché sorvegliate dai propri governanti, che -per definizione- hanno interessi politici opposti. Confondere la libertà di assemblea concessa all’opposizione con la minaccia di attività terroristiche non è solo un tentativo di barattare la libertà con la sicurezza; significa inseguire una minaccia per l’ordine pubblico con una minaccia ancora maggiore per la democrazia.
I governi in carica possono anche essere mossi dalle migliori intenzioni, ma stanno creando uno squilibrio a favore dei governi a venire, qualunque siano i loro propositi.

La crittografia end-to-end è il primo passo per salvaguardare la segretezza della corrispondenza nell’era digitale. Poiché i dati digitali possono essere elaborati in modo molto più efficiente rispetto a quelli su carta, è opportuno considerare anche la ripudiabilità, la “segretezza in avanti”, gli “schemi di riempimento” e l’ offuscamento dei soggetti coinvolti nella conversazione per garantire anche in ambito digitale quel diritto alla segretezza nella corrispondenza riconosciuto nella maggior parte delle Costituzioni e Carte dei diritti. Gli “schemi di riempimento” migliorano la protezione contro un’analisi statistica che potrebbe altrimenti rivelare ciò che è probabile essere contenuto nella busta di una lettera.

Il tracciamento degli spostamenti dei dispositivi e dei relativi proprietari può essere considerato una violazione dei diritti umani (Ogni individuo ha diritto alla vita, alla libertà ed alla sicurezza della propria persona, Art. 3 della Dichiarazione Universale dei Diritti dell’Uomo;

Ogni individuo accusato di un reato è presunto innocente sino a che la sua colpevolezza non sia stata provata legalmente in un pubblico processo nel quale egli abbia avuto tutte le garanzie necessarie per la sua difesa”, Art. 11.1;

Nessun individuo potrà essere sottoposto ad interferenze arbitrarie nella sua vita privata, nella sua famiglia, nella sua casa, nella sua corrispondenza, né a lesione del suo onore e della sua reputazione, Art. 12.

Articolo 1
(definizioni)

1. Ai fini della presente legge si intende per:

a) « comunicazione »: ogni interazione digitale, tra persone fisiche o riguardante persone fisiche, di natura privata

b) « apparecchio »: ogni tipo di dispositivo in commercio (come telefoni, tablet o computer) tecnicamente dotato della possibilità di fornire servizi di comunicazione. Detta possibilità può essere data specificamente, ma non esclusivamente:

  1. dal fatto che il dispositivo è dotato di un ingresso per microfono, di un microfono incorporato, e/o di una funzione di foto e video camera, o entrambe le cose
  2. dal fatto che il dispositivo abbia un microfono esterno, una videocamera esterna o cuffie esterne
  3. dal fatto che il dispositivo fornisce un software di comunicazione, così come definita nella presente legge
  4. dal fatto che il dispositivo fornisca un modo facile e diretto per installare il software di comunicazione mancante

c) « crittografia »: l’equivalente della sicurezza delle chiavi a 128 bit, così come definito da ECRYPT II recommendations on Algorithms and Keysizes.

d) « crittografia end-to-end »: un canale crittografato che si stabilisce tra gli apparecchi delle persone che partecipano alla comunicazione, assicurando che terze parti o semplici conduttori possano accedere ai contenuti

e) «segretezza in avanti »: i canali con crittografia end-to-end rinnovano le proprie chiavi crittografiche almeno una volta al giorno in caso in cui avvenga comunicazione, e almeno una volta a settimana in assenza di comunicazione.

f) « offuscazione »: la comunicazione tra gli apparecchi viene fornita su una rete eterogenea di nodi di trasmissione, in modo tale che
qualsiasi terza parte non può sapere quali utenti partecipano alla comunicazione.

g) «dimensioni uniformi dei pacchetti di dati»: tutte le comunicazioni vengono trasmesse sotto forma di pacchetti di dati di dimensioni standard uniformi: multipli di 8 kilobyte per dati in tempo reale (come la telefonia) e 64 kilobyte per dati asincroni (come la messaggistica). Se i dati di una comunicazione scendono al di sotto della dimensione minima, devono essere ripristinati con dati ausiliari o casuali che non possono essere distinti dai dati di comunicazione effettivi.

h) « porta »: il servizio che interfaccia le comunicazioni tra apparecchi e dispositivi antecedenti all’introduzione degli apparecchi

i) « scoperta di prossimità »: una caratteristica tecnica degli apparecchi che permette al proprietario di venire a conoscenza delle chiavi di autenticazione di altri apparecchi che si trovino nelle vicinanze.

j) «scoperta di rete»: un meccanismo che, in maniera anonima, recupera le chiavi di autenticazione di un altro apparecchio, o di una specifica porta nel caso in cui si tratti di un dispositivo preesistente all’apparecchio

Articolo 2
(Riservatezza nella comunicazione)

1. Tutti gli apparecchi, al momento dell’acquisto, devono essere perfettamente funzionanti e utilizzare una comunicazione segreta in qualunque scambio con altri apparecchi. Ciò significa:

  • utilizzo della crittografia end-to-end
  • utilizzo della segretezza in avanti
  • utilizzo dell’offuscazione dell’identità ai partner della comunicazione
  • utilizzo dimensioni uniformi dei pacchetti di dati

Articolo 3
(caratteristiche degli apparecchi)

1. Gli apparecchi non devono rivelare le chiavi crittografiche private a nessuno all’infuori del legittimo proprietario.

2. Il venditore dei dispositivi è tenuto a rendere pubblico e anonimamente visionabile sotto licenza General Public Affero il codice sorgente del software utilizzato per implementare le funzionalità di comunicazione.

3. L’utilizzatore dell’apparecchio deve essere abilitato dal produttore a riprodurre l’esatta implementazione binaria della funzionalità di comunicazione fornita con l’apparecchio dal codice sorgente.

Articolo 4
(divieto di tracciamento degli spostamenti)

1. Il tracciamento degli spostamenti degli apparecchi di cui all’Art.1, comma 1, lettera b della presente legge, nonché dei proprietari, contro la volontà di questi ultimi, sono vietati.

Facebooktwittergoogle_plusredditpinterestlinkedinmailFacebooktwittergoogle_plusredditpinterestlinkedinmail

Flattr this!