La firma digitale: maggiore sicurezza o maggiore preoccupazione?
Quando si parla di sicurezza digitale c'è molta gente che è perplessa e pensa che la sicurezza nel mondo dei computer sia una chimera. Anzi. Non scopriamo nulla se diciamo che per molte persone la sicurezza in Internet non esiste e sono perfettamente convinti che i rischi e i pericoli sono di gran lunga maggiori delle certezze. Hacker, sniffatori, malfattori di rete, delinquenti telematici e chi più ne ha più ne metta, sono il pane quotidiano che si incontra nella rete. In parte è vero. Ma da qui ad affermare che la sicurezza in rete non esiste, ci corre molto. Oggigiorno, in rete, vengono effettuate milioni di operazioni che riguardano il trasferimento di denaro in rete, on-banking, trading on-line, operazioni telematiche di borsa, bonifici bancari, e-commerce, ecc.. senza che si siano sentite notizie certe di furti, nè di grandi cifre, nè di poche lire. Paradossalmente i soli furti possibili che subiscono le banche sono solo quelle tradizionali, con ladri che sfondano i vetri di una banca con un autocarro e rapinano, con in mano una pistola, i cassieri di banconote. Possiamo allora dire che in rete la sicurezza è garantita? Neanche questo è vero. Probabilmente la verità è a mezza strada. In ogni caso, sembra importante chiarire alcuni aspetti della questione e alcune implicazioni che riguardano la sicurezza (cifrata) in rete.
Partiamo da una semplice domanda che riguarda la affidabilità della firma digitale: questa benedetta firma digitale è, o non è, sicura? Le poche righe che seguiranno si propongono, anche se in maniera riduttiva e d eccessivamente semplicistica, di chiarire un po' la questione. Iniziamo da una considerazione precisa: il rischio esiste ed è inutile nasconderlo. Esistono rischi che si concretizzino operazioni di aggiramento dell'ostacolo attraverso i famosi "Cavalli di Troia". Esistono pericoli che persone poco serie approfittino della ingenuità di ignari utilizzatori e trasformino una banale operazione di autenticazione in un vero e proprio esproprio di identità. In teoria - perchè nella pratica è molto difficile - se un malintenzionato riuscisse ad inserire nel disco rigido del nostro personal computer (supponendo di essere noi a dover firmare digitalmente un documento) uno di questi "troiani" (programma software), magari sviluppato ad hoc da un bravo programmatore, noi non saremmo in grado di accorgercene. In qualità di proprietari del computer penseremmo di firmare un documento presente sullo schermo a proprio nome mentre al contrario il programma pirata attiverebbe la firma di un altro documento, magari non proprio piacevole per noi che siamo i possessori del computer su cui risiede il software che produce la nostra firma digitale. Questo rischio è concreto? Oppure è tanto difficile da rendere trascurabile il rischio? L'unica risposta attualmente corretta riguarda il fatto che il problema sta tutto in questo apparente e banale fatto: come rendere trascurabile il pericolo di essere aggirati.
In maniera semplice e a costo di essere riduttivi diciamo subito che in nessun caso esiste una sicurezza assoluta. In pratica nessuno, proprio nessuno, può essere certo di non essere bersaglio di hacker e di malfattori. Ne sanno qualcosa tutti coloro i quali sono stati raggirati da imbroglioni che hanno rifilato loro banconote false in qualche pagamento. Diciamo la verità, quante volte siamo stati oggetto di scippi e furti di portafogli in qualche affollato autobus o in metropolitana? Quante volte è successo che alcuni musei hanno esposto per anni, se non per decenni, dei falsi al posto di capolavori d'arte? E a quanti commercianti non è successo di essere stati oggetto di assegni falsi? Dalle poche cose dette sembra essere evidente una risposta evidente e consequenziale: il problema non è l'eliminazione totale e assoluta della possibilità di essere raggirati ma, viceversa, è cautelarsi al massimo rendendo difficile, sempre più difficile e complessa, la falsificazione dell'oggetto del desiderio del ladro di turno. Immaginiamo per un istante di costringere il malfattore che vuole eseguire un'operazione di falsificazione a dover adoperare strumenti costosi, operazioni complesse, difficili e molto lunghe. Forse si porrà la domanda se ne vale la pena. Immaginate che il ladro per poter conseguire il proprio obiettivo non solo deve necessariamente violare un codice (operazione di per sè molto complessa), ma che diventa necessario violare anche una carta elettronica e il computer del possessore. In altre parole se l'attaccante vuole effettivamente attaccare una persona, e solo quella, se vuole cioè rendere verosimile il risultato di un attacco è costretto ad operazioni complesse, falsificabili con grandissima difficoltà, ripetute, diversificate e per lui molto pericolose. Ecco pertanto qual'è la difesa più efficace: rendere difficile una operazione pirata. Ripetiamo che è impossibile riuscire a provare che una firma digitale sia adeguatamente affidabile. Ma la stessa firma è più sicura di una firma manuale. Il perchè ha a che vedere con la possibilità di cifrare i dati che costituiscono la firma digitale. Una codifica dei dati di difficile manipolazione potrebbe essere il deterrente maggiore per scoraggiare anche gli esperti del settore. In questo si crede sta il futuro della firma digitale.