Lo stato vuole informazioni sicure sui suoi soggetti. Fin dal primo censimento in Egitto 5.000 anni fa, gli stati hanno sempre cercato di ottenere informazioni personali sui propri cittadini, soprattutto le tirannie, dove informatori e polizia segreta raccolgono informazioni su ogni attività potenzialmente sovversiva. Nell’era di internet e dello spionaggio governativo, le agenzie di spionaggio raccolgono informazioni su di noi – per lo più offerta ingenuamente da noi stessi tramite i social media – a livelli che avrebbero reso verde d’invidia l’NKVD di Stalin. Quando finirà tutto ciò non lo sa nessuno; intanto, meno informazioni utili si possono raccogliere e meno efficace è il controllo dello stato su di noi. Per quanto riguarda gli attivisti nel primo mondo, forme di comunicazione private o anonime potrebbe la soluzione ideale per evitare l’arresto preventivo. In posti come la Siria, poi, diventa una questione di vita o di morte.

All’inizio speravo che compagnie come Google sarebbero venute in soccorso implementando potenti sistemi di criptografia; purtroppo sembra sempre più improbabile che imprese in mano agli azionisti e intrecciate con il governo possano offrire servizi sicuri efficacemente. Se è vero che queste compagnie, che fanno grossi profitti e spendono grosse somme in attività lobbistiche, sono le meglio posizionate nella lotta contro lo spionaggio di stato, è anche vero che sono quelle che hanno più da perdere se non tirano dritto.

Lavabit di Ladar Levison era un servizio di email quasi sicuro. Ad agosto Levison lo ha chiuso citando interferenze e minacce da parte del governo. Secondo speculazioni terze, Levison aveva ricevuto una lettera della Nsa che chiedeva di ottenere dati sui clienti, probabilmente Edward Snowden. Recentemente si è scoperto che un giudice aveva emesso un ordine rivolto ad ottenere la chiave d’accesso SSL dei servizi offerti da Lavabit. Questa chiave permette una connessione criptata sicura tra utente e server. Il suo possesso dà la possibilità al governo di accedere in tempo reale alle informazioni mandate al sito dagli utenti. Questo a sua volta avrebbe reso possibile il rastrellamento delle credenziali e l’accesso alle email criptate dei 400.000 utenti di Lavabit.

Con suo grande merito, Ladar Levison decise di chiudere Lavabit, negando l’accesso all’archivio in cui sono custoditi i messaggi dei suoi clienti. Il suo rifiuto di principio è un’eccezione. Levison non aveva azionisti a cui rendere conto; solo se stesso e i suoi clienti. Non possiamo aspettarci che grosse imprese come Google, che finge di stare dalla nostra parte mentre in realtà cerca di favorire l’intrusione del governo, decidano di sfidare realmente lo stato. Altri, come la Microsoft, sembrano entusiasti di collaborare con l’NSA e altre agenzie a tre lettere.

Cosa significa per noi? Siamo condannati ad abbassare la testa? No! Dobbiamo prendere la cosa nelle nostre mani. Ci sono molti sistemi di criptografia gratis, open source e a standard aperto. Da quel che sappiamo, l’NSA è riuscita a penetrare i sistemi criptografati solo tramite la coercizione e la sovversione, non decodificando il codice. Molto probabilmente, possiamo ancora fidarci della matematica.

Quando un progetto è open source, il suo codice è disponibile allo scrutinio generale. Possiamo esaminarlo, possiamo sapere esattamente come fa quello che fa. La maggior parte di noi non ha le conoscenze tecniche per esaminare il codice di un programma prima di compilarlo, ma ci sono esperti e accademici fidati che possono farlo e lo fanno per noi. Così possiamo conoscere i potenziali punti deboli del software di criptografia e capire i limiti delle sua capacità. Quando comunichiamo usando PGP, ad esempio, usiamo uno standard aperto. Non abbiamo bisogno di affidare i nostri messaggi ad una compagnia che magari è stata costretta dal governo a compromettere la nostra riservatezza. Con PGP la chiave d’accesso è nelle tue mani; nessun altro può essere costretto a rivelarla. Il progetto Tor, più complesso, non è altrettanto ben definito. Per via della sua natura distribuita, le possibilità di abuso aumentano, ma il progetto è open source e questi possibili abusi sono documentati, e dunque possiamo studiarne i limiti.

La conclusione è che siamo tutti dentro. Se decidiamo di servirci dei servizi offerti dalle grosse compagnie, dobbiamo tenere conto del fatto che potrebbero comprometterci da un momento all’altro: non con la forza bruta ma con la coercizione. Con il software proprietario non c’è modo di valutare e prendere per buone le dichiarazioni dello sviluppatore. E quando usiamo un software open source dobbiamo renderci conto delle sue limitazioni e usarlo di conseguenza.

La sicurezza su internet è responsabilità nostra.

Traduzione di Enrico Sanna.

The state requires information on its subjects to be effective. From the first census in Egypt more than 5000 years ago, states have sought personal information on their citizens, especially in tyrannical states, where informants and secret police gather information on any and all potentially subversive activities. In the age of the Internet and the surveillance state, spy agencies collect information on us that would make Stalin’s NKVD green with envy — much of it naively handed over via social media. When the surveillance state will be dismantled is anyone’s guess, but, in the meantime, the less useful data that can be collected on us the less effective the state’s control of us. For activists, use of private or anonymous communication in first world countries could be key to avoiding pre-emptive arrest, In places like Syria, it becomes a matter of life and death.

Initially, I had hoped companies like Google would come to the rescue by implementing powerful encryption systems; unfortunately it seems less and less likely that corporations beholden to shareholders and intertwined with government can effectively and securely create these services. While these big companies with their large profits and lobbying budgets are probably in the best position to fight back against the surveillance state, they  also have the most to lose if they don’t play along.

Ladar Levison’s Lavabit was a semi-secure email service. In August, Levison shut down Lavabit citing government threats and interference. Observers speculated that Levison had received a National Security Letter demanding customer data, likely that of NSA whistleblower Edward Snowden. Recently unsealed court document show that a warrant was issued for the private SSL key for the Lavabit service. This key allows a secure encrypted connection between user and server. Having access to this key would give the government real time access to information being sent by users to the site. This in turn would allow them to scoop up log-in credentials and access the encrypted emails of any of Lavabit’s 400,000 customers.

Much to his credit, Ladar Levison decided to shut down Lavabit — denying access to the privately stored communications of its customers. This sort of principled stance is unexpected. Levison didn’t have shareholders to answer to. He answered to himself and his customers. We cannot expect large tech corporations like Google, who put forth the public image of being on our side and actually attempt to publicize government intrusion, to actually defy the government when compelled by law. Other players, such as Microsoft, appear to be enthusiastic in their collaboration with the NSA and other 3 letter agencies.

So what does this all mean for us? Is it all doom and gloom? No! We have to take this into our own hands. There are a multitude of free and open source projects and open standards for encryption. From what we understand, the NSA has broken encryption through coercion and subversion, not by raw attempts at bashing away at the numbers and cracking the codes. Most likely, we can still trust the mathematics.

When a project is open source its code is open to scrutiny. It can be vetted and we can know exactly how it does what it does. While the majority of us do not have the technical know-how to look through the code of a specific program to vet it before compiling it,  trusted researchers and academics can and do vet these for us. Thus we can be aware of potential vulnerabilities of encryption software and know the limits of its capabilities. When we communicate with PGP, for example, we are using an open standard. We do not need to trust our communications to a company that may have been coerced by government to compromise our privacy. With PGP, you are  in possession of your private key and no one else can be made to hand it over. The Tor project, due to its complexity, is not so clear cut. Because of its distributed nature, there are more opportunities for exploitation, but the project is open source and these potential exploits are documented so we are able to understand its limits.

The conclusions we must draw is that we are in this together. If we decide to use corporate service that claim to be secure, we must be aware that they could be compromised at any time — not through brute force, but coercive force. With closed source encryption software, there is no way to evaluate or trust the developer’s claims. When we use open source encryption software we must make ourselves aware of its limitations and use it accordingly.

Internet security is our responsibility.

Translations for this article:

• Portuguese, Segurança Na Internet É Responsabilidade Nossa.
• Italian, La Sicurezza su Internet È Responsabilità Nostra.