The Eternity Service | Cerca per titolo, autore, parola chiave | ||||||||
The Eternity Service Ross J. Anderson, Cambridge University Computer Laboratory, 1997. Ross Anderson è autore di questo articolo, in cui propone alcune tecniche, anche crittografiche, per creare un archivio documentale distribuito, difficile, quindi, da censurare o attaccare. L'autore chiamò il servizio The Eternity Service. Abstract: Internet venne progettata per offrire un canale di comunicazione che fosse resistente agli attacchi del tipo "denial of service", quali la umana ingenuità può portare a termine. In questo articolo, noi proponiamo la creazione di un mezzo di conservazione dei dati (storage medium) che abbia simili proprietà. L'idea di base è di utilizzare la ridondanza e le tecniche di distribuzione dei dati, al fine di duplicare i dati da conservare su più macchine, aggiungendo un meccanismo di anonimato, al fine di far crescere i costi di un attacco selettivo del tipo service denial. Nel medioevo, il sapere veniva protetto per il potere che garantiva. La Bibbia era controllata dalla Chiesa: oltre ad essere scritta in Latino, spesso veniva fisicamente tenuta sotto chiave. Anche il sapere secolare veniva conservato gelosamente, con le associoazioni dei mestieri che pretendevano giuramenti di segretezza dai loro affiliati, al fine di restringere la competizione. Anche quando le informazioni venivano carpite, normalmente non andavano cosi lontano da creare effetti significativi. Per esempio, John Wycliffe (1324 – 1384) tradusse la Bibbia in inglese negli anni 1380–1, ma il movimento dei Lollardi, a lui ispirato, venne soppresso insieme alla rivolta dei contadini (Peasants' Revolt), nel 1381. Ma, l'invenzione della stampa, da parte di Johannes Gensfleisch zur Laden zum Gutenberg, nel corso della seconda metà del quindicesimo secolo, cambiò completamente le carte in tavola. Quando William Tyndale tradusse il Nuovo Testamento, nel 1524–5, la tecnologia permetteva di raggiungere tutto il mondo così velocemente da rendere impossibile, alla Chiesa e ai principi, fermarne la diffusione. Tyndale fu giustiziato, ma troppo tardi. 50,000 copie del suo Nuovo Testamento erano ormai state stampate. Furono libri come questo che portarono alla Riforma. Proprio come la pubblicazione della Bibbia aveva sfidato gli abusi derivati, per secoli, dal monopolio religioso, così la diffusione delle conoscenze tecniche distrusse le corporazioni professionali. La Riforma e la nascita di una nuova classe artigiana portò alla rivoluzione scientifica e industriale, che portò ad un miglioramento del livello della qualità della vita. Al contrario, quelle società che tendevano a controllare, in un modo o nell'altro, l'informazione divennero non competitive; con il collasso dell'impero sovietico, il capitalismo liberale e democratico sembra finalmente aver vinto, chiudendo l'argomento. Ma, che ha a che fare tutto questo con la crittografia? Molto semplice: la nascita della pubblicazione elettronica ha messo a rischio l'eredità di Gutenberg: come nel 15esimo secolo il progresso tecnologico rese molto difficile il controllo dell'informazione, lo stesso progresso tecnologico, oggi, lo sta rendendo molto più facile. La Bibbia si diffuse rapidamente perchè, una volta pubblicata e distribuita, il gran numero delle copie disperse in giro per il mondo rendeva impossibile a vescovi, giudici e principi di recuperarle per bruciarle. Al contrario, oggi, pubblicare qualcosa significa metterne una copia digitale su uno o pochi altri server, anche sparsi per il mondo: il proprietario di questi server può essere costretto a rimuoverli. È irrilevante che l'ordine di rimozione arrivi da ricchi contendenti attraverso una causa legale, oppure da politicanti che cospirano al solo fine di controllare il flusso delle idee. L'effetto della rete è l'erosione dell'eredità ricevuta da Gutenberg: la stampa viene 'disinventata' e un documento elettronico può essere ‘de-pubblicato’. La questione è la seguente: come possiamo conservare l'eredità di Gutenberg? Questo problema è un caso estremo di un problema più generale: come è possibile assicurare la disponibilità di un servizio digitale. Questo problema è uno dei tradizionali obiettivi della sicurezza informatica: gli altri obiettivi sono assicurare la confidenzialità e l'integrità dell'informazione processata. La gran parte degli scritti sulla sicurezza informatica tratta della confidenzialità. La restante parte tratta dell'integrità. Praticamente, nessuno scritto parla della disponibilità. Eppure, la disponibilità è l'obiettivo più importante nella sicurezza informatica. Al di la dei settori militare, dell'intelligence e diplomatico, nulla viene speso per la confidenzialità; mentre un tipico sistema informativo, pubblico o privato, spende circa il 2% del suo budget per l'integrità, destinando, invece, ben il 20-40% del suo badget alla disponibilità, sotto forma di backup dei dati. Ci sono molti tipi di record che dobbiamo proteggere dalla distruzione, deliberata o accidentale che sia. Inoltre, c'è il problema di assicurare la longevità dei documenti elettronici. I computer diventano obsoleti molto presto e la sopravvivenza di molti documenti pubblici è seriamente minacciata da questo invecchiamento: cosa accade quando il computer su cui i documenti sono stati salvati non può più essere consultato? O quando il software che permette di aprirli ed interpretarli non può più essere eseguito? Per tutte queste ragioni, crediamo sia necessario creare un archivio di file che abbia un elevato grado di persistenza, anche di fronte a qualsiasi tipo di errore, a qualsiasi tipo di incidente e agli attacchi deliberati del tipo denial of service. Molti articoli sostengono che le aziende, mediamente, non sarebbero in grado di sopravvivere a lungo senza i loro sistemi informatici, senza i loro conputer, e che solo il 20–40% di queste aziende hanno testato un qualche intervento di recupero dei dati, in caso di disastro. Gli articoli più onesti vengono presentati per quello che sono: brochure pubblicitarie di aziende che si occupano proprio di disaster recovery service, mentre la gran parte di essi hanno le sembianze di articoli accademici. Articoli che vengono regolarmente smentiti da incidenti quali la bomba esplosa a Londra, presso la Bishopsgate (un'importante arteria nel distretto finanziario di Londra: era il 24 aprile 1993), che distrusse i sistemi di centinaia di aziende. Alcune banche non furono in grado di accedere ai loro dati per alcuni giorni, poichè sia i loro uffici, sia i loro siti di backup si trovavano all'interno dell'area di esclusione definita dalla polizia. Nonostante ciò, nessuna di queste aziende fallì, in seguito a quell'evento. Un ancor più recente attentato dell'IRA, nell'area portuale di Londra, conferma la regola: la bomba ha distrutto molti sistemi informatici, le aziende hanno acquistato nuovo hardware e hanno ripristinato tutto il sistema in pochi giorni. Quindi, è probabile che la gran parte della letteratura esistente sulla disponibilità possa essere tranquillamente ignorata e che dovremo porre la massima attenzione nello scegliere gli articoli da ritenere più affidabili. In uno di questi, si suggerisce che la disponibilità abbia a che fare con l'anonimato — i segnali anonimi impediscono agli attacchi del tipo denial of service di selezionare il bersaglio. Questa intuizione deriva dallo studio dei sistemi di allarme anti intrusione, e assume significato anche nello scenario della nostra pubblicazione: se la locazione fisica di un sito web non può essere identificata, un avvocato non avrà alcun indirizzo su cui eseguire il sequestro. Ma come si può realizzare, in pratica, un servizio anonimo di pubblicazione? Prenderemo ispirazione proprio da Internet, che nacque proprio per offrire un canale di comunicazione che potesse sopravvivere ad una guerra termonucleare. È possibile creare un archivio dati che sia altrettanto resistente anche alle minacce più estreme? Innanzitutto, permettetemi di abbozzare una serie di specifiche funzionali che un archivio simile, che chiameremo 'Eternity Service', dovrebbe avere. Eternity Service sarà semplice da usare. Diciamo che vogliate conservare un file di 1MB per i prossimi 50 anni; ci sarà una tariffa da pagare, per esempio, $99.95. Con il file, voi invierete al server una somma espressa in moneta digitale, senza che dobbiate inviare alcunché relativo alla vostra identità. Una volta inviato il file, voi riceverete un attestato di invio: per i prossimi 50 anni, il vostro file sarà la, a disposizione di chiunque voglia effettuare un anonimo file transfer. Copie del file saranno salvate su vari server dislocati in giro per il mondo. Come Internet, questo servizio si fonderà sulla cooperazione di un gran numero di sistemi che avranno in comune solo un protocollo; non ci sarà alcuna sede centrale, che potrebbe essere vittima di coercizione o di corruzione; inoltre, le diverse proprietà e le diverse implementazioni dei differenti server garantiranno una certa resistenza sia agli errori, sia agli attacchi. Il risultato di questa rete sarà che il vostro file, una volta inviato all'eternity service, non potrà essere cancellato, ne da voi spontaneamente, ne da voi sotto tortura, ne da voi dietro imposizione di un tribunale, ne da voi, di fronte ad una pistola puntata sulla tempia di vostra moglie. Gli attacchi esterni diventeranno molto costosi, se un file potrà sopravvivere alla fisica distruzione della gran parte dei server coinvolti, oppure alla cospirazione malevola di gran parte degli amministratori dei sistemi coinvolti. Se i server, inoltre, fossero sparsi in più giurisdizioni, allora un attacco diventerebbe molto dispendioso, forse anche per la pubblica amministrazione. L'architettura più semplice per un Eternity Service è la riproduzione della distribuzione editoriale. Io pago 100 server sparsi nel mondo, affinchè possano ospitare ciascuno una copia del mio libro (file), tenendo a mente i nomi di soli 10 di essi, scelti a caso, giusto per verificarne le performance e far rispettare il contratto, distruggendo qualsiasi informazione relativa agli altri 90 server. A questo punto, se anche fossi costretto dalle autorità a cancellare quel mio file e a consegnare l'elenco dei 10 server sui quali le copie del mio file sono state salvate, se anche quei server fossero costretti, dalle stesse autorità, a cancellare le copie del mio file che conservano, rimarrebbero, comunque, novanta copie del mio file, residenti su novanta server sparsi per il mondo intero, di cui nessuno (nemmeno io) conosce l'ubicazione esatta. Non appena io desiderassi recuperare il mio file, non dovrei fare altro che inviare un messaggio broadcast di richiesta. I server interessati, a questo punto, risponderebbero alla mia richiesta, inviandomi copia del mio file, utilizzando una catena di server remailer anonimi. Se anche il meccanismo sembra semplice, l'utilizzo di un gran numero di server sparsi nelle giurisdizioni più disparate, porterebbe ad un alto grado di resilienza. Ma non è tutto. Al fine di proteggere il proprietario stesso del file da azioni criminali quali il rapimento, l'estorsione e la corruzione, abbiamo previsto una regola che impedisce anche al suo proprietario di cancellare un file. A questo punto, l'attenzione del malintenzionato si potrebbe spostare agli amministratori del sistema. E noi abbiamo l'obbligo di proteggere anche loro. Quindi, la regola diventa ancora più ampia: nessun gruppo identificabile di persone, inclusi gli amministratori di sistema, deve poter eliminare alcun file identificabile, all'interno del sistema. L'approccio più semplice sarebbe di incapsulare il cosiddetto trusted computing base in un hardware protetto, come i moduli hardware usati dalle banche per conservare i numeri identificativi bancomat dei clienti.
|
|||||||||
The Eternity Service | Disclaimer: questo è un link a contenuti ospitati su server esterni. |