231 lines
No EOL
19 KiB
XML
231 lines
No EOL
19 KiB
XML
<?xml version="1.0" encoding="utf-8"?>
|
||
<?xml-stylesheet type="text/xsl" href="../assets/xml/rss.xsl" media="all"?><rss version="2.0" xmlns:dc="http://purl.org/dc/elements/1.1/" xmlns:atom="http://www.w3.org/2005/Atom"><channel><title>Caught in the Net (Posts about crittografia)</title><link>francescomecca.eu</link><description></description><atom:link href="francescomecca.eu/categories/crittografia.xml" rel="self" type="application/rss+xml"></atom:link><language>en</language><copyright>Contents © 2023 <a href="mailto:francescomecca.eu">Francesco Mecca</a> </copyright><lastBuildDate>Wed, 30 Aug 2023 15:57:17 GMT</lastBuildDate><generator>Nikola (getnikola.com)</generator><docs>http://blogs.law.harvard.edu/tech/rss</docs><item><title>L&#8217;FBI contro la crittografia</title><link>francescomecca.eu/blog/2015/6/13/lfbi-contro-la-crittografia/</link><dc:creator>Francesco Mecca</dc:creator><description><div class="MsoNormal" style="text-align: justify;">
|
||
Un argomento sul quale si è discusso molto negli ultimi tempi è quello della crittografia dei dati, un ufficiale dell’FBI ha testimoniato che lo scopo delle forze dell’ordine è quello di collaborare con una società tecnologica per prevenire la crittografia. Anche se le compagnie non dovrebbero mettere l’accesso alla crittazione dei clienti prima di preoccupazioni per la sicurezza nazionale, perché la maggiore priorità del governo è quella di prevenire l’uso di tecnologie che proteggono ogni cosa che le persone fanno online. Il loro scopo non è quello di usare una “back door”, termine usato dagli esperti per descrivere punti di accesso integrati, ma quello di accedere ai contenuti dopo essere passati per un processo giudiziario.
|
||
</div>
|
||
|
||
<div class="MsoNormal" style="text-align: justify;">
|
||
</div>
|
||
|
||
<div class="separator" style="clear: both; text-align: center;">
|
||
</div>
|
||
|
||
<div class="separator" style="clear: both; text-align: center;">
|
||
</div>
|
||
|
||
<div class="separator" style="clear: both; text-align: center;">
|
||
<a style="margin-left: 1em; margin-right: 1em;" href="http://francescomecca.eu/wp-content/uploads/2015/08/90e0d-encryption_2.jpg"><img src="http://francescomecca.eu/wp-content/uploads/2015/08/90e0d-encryption_2.jpg?w=300" alt="" width="320" height="320" border="0"></a>
|
||
</div>
|
||
|
||
<div class="separator" style="clear: both; text-align: center;">
|
||
<span style="font-size: xx-small;">presa da: <a href="http://www.tophdgallery.com/7-zip-encryption.html">tophdgallery</a></span>
|
||
</div>
|
||
|
||
<div class="separator" style="clear: both; text-align: center;">
|
||
</div>
|
||
|
||
<div class="MsoNormal" style="text-align: justify;">
|
||
</div>
|
||
|
||
<div class="MsoNormal" style="text-align: justify;">
|
||
Dopo le rivelazioni da parte di Edward Snowden dello spionaggio dell’NSA, alcune compagnie tecnologiche, quali per esempio Apple, hanno iniziato a proteggere i propri utenti con la crittografia, usandone una chiamata “end-to-end”, dove solo colui che manda e che riceve il messaggio sono in grado di leggerlo. Così queste compagnie non possono provvedere l’accesso alle forze dell’ordine, pure se munite di un ordine del tribunale.
|
||
</div>
|
||
|
||
<div class="MsoNormal" style="text-align: justify;">
|
||
D’altra parte questa situazione permette la sicurezza anche di criminali, rendendo più difficile alle forze dell’ordine di rintracciarli.
|
||
</div>
|
||
|
||
<div class="MsoNormal" style="text-align: justify;">
|
||
</div>
|
||
|
||
<div class="MsoNormal" style="text-align: justify;">
|
||
Alcuni esperti di crittografia affermano che usare questo tipo di soluzioni potrebbe compromettere la sicurezza, perché non c’è garanzia che un cracker non possa utilizzare la stessa “back door”. Per risolvere questo problema Michael Rogers ha pensato di dividere le chiavi per decodificare il messaggio per rendere più difficile la crittografia agli crackers.
|
||
</div>
|
||
|
||
<div class="MsoNormal" style="text-align: justify;">
|
||
</div>
|
||
|
||
<p> </p>
|
||
<div class="MsoNormal" style="text-align: justify;">
|
||
Recentemente sono stati approvati due emendamenti per gli stanziamenti a un disegno di legge. Il primo, da Zoe Lofgren e Ted Poe, bloccherebbe al governo di forzare una compagnia per modificare misure di sicurezza per spiare gli utenti. Il secondo, da Thomas Massie, stopperebbe i fondi previsti per le agenzie che stabiliscono gli standard crittografici dall’essere usati per consultarsi con l’NSA a meno che non rafforzi la sicurezza delle informazioni.
|
||
</div>
|
||
|
||
<div class="MsoNormal" style="text-align: justify;">
|
||
</div>
|
||
|
||
<div class="MsoNormal" style="text-align: justify;">
|
||
fonte: <a href="http://www.washingtonpost.com/blogs/the-switch/wp/2015/06/04/fbi-official-companies-should-help-us-prevent-encryption-above-all-else/">washingtonpost</a>
|
||
</div>
|
||
|
||
<div class="MsoNormal" style="text-align: justify;">
|
||
</div>
|
||
|
||
<div class="MsoNormal" style="text-align: justify;">
|
||
</div>
|
||
|
||
<div class="MsoNormal" style="text-align: right;">
|
||
Gabriele Corso
|
||
</div></description><category>crittografia</category><category>FBI</category><category>Mr G.</category><category>snowden</category><guid>francescomecca.eu/blog/2015/6/13/lfbi-contro-la-crittografia/</guid><pubDate>Sat, 13 Jun 2015 12:29:00 GMT</pubDate></item><item><title>Guida pratica a LUKS</title><link>francescomecca.eu/blog/2015/6/1/guida-pratica-a-luks/</link><dc:creator>Francesco Mecca</dc:creator><description><blockquote>
|
||
<p></p><div style="text-align: left;">
|
||
<i>“When privacy is outlawed, only outlaws will have privacy”</i>
|
||
</div>
|
||
</blockquote>
|
||
<p style="text-align: right;">
|
||
<a href="https://en.wikipedia.org/wiki/Phil_Zimmermann">Phil Zimmerman </a>
|
||
</p>
|
||
|
||
<p style="text-align: left;">
|
||
Questa e` una guida pratica all’uso di LUKS su Linux.
|
||
</p>
|
||
|
||
<p style="text-align: left;">
|
||
LUKS e` un acronimo che sta per Linux Unified Key Setup ed e` il formato standard per il disk-encryption, creato nel 2004, si distingue da molti altri formati crittografici per la particolareggiata documentazione e soprattutto per esser stato sottoposto ad auditing, ovvero il processo di controllo del codice sorgente per verificarne l’integrita`, l’efficacia e la robustezza degli algoritmi e l’assenza di backdoor o bug software critici.
|
||
</p>
|
||
|
||
<p style="text-align: left;">
|
||
Il primo passo per utilizzare LUKS e` installarlo sulla propria distribuzione, o controllare se e` gia` presente.
|
||
</p>
|
||
|
||
<h3 style="text-align: left;">
|
||
Preparare la partizione
|
||
</h3>
|
||
|
||
<p style="text-align: left;">
|
||
In questo esempio la partizione /dev/sda1 viene formattata e sovrascritta.
|
||
</p>
|
||
|
||
<pre class="wp-code-highlight prettyprint linenums:1"># cryptsetup -y -v luksFormat /dev/sda1
|
||
WARNING!
|
||
========
|
||
This will overwrite data on /dev/sda1 irrevocably.
|
||
Are you sure? (Type uppercase yes): YES
|
||
Enter LUKS passphrase:
|
||
Verify passphrase:
|
||
Command successful.</pre>
|
||
|
||
<p>In questo post useremo i parametri di default che sono:</p>
|
||
<pre class="wp-code-highlight prettyprint linenums:1"># cryptsetup -v –cipher aes-xts-plain64 –key-size 256 –hash sha1 –iter-time 1000 –use-urandom –verify-passphrase luksFormat /dev/sda1</pre>
|
||
|
||
<p>ed equivalgono al precedente; se si vuole adottare un livello di sicurezza maggiore e personalizzata si puo` eseguire</p>
|
||
<pre class="wp-code-highlight prettyprint linenums:1">#cryptsetup benchmark</pre>
|
||
|
||
<p>e scegliere il cypher e l’algoritmo che si preferisce. Si ricorda che il numero relativo alla dimensione della chiave e` la meta` di quello usato da LUKS, ovvero 512 bit in questo caso.</p>
|
||
<p>Il prossimo comando inizializza il volume dopo aver inserito la chiave per il volume. Il terzo argomento e` il nome che si vuole scegliere per la partizione.</p>
|
||
<p>La password scelta non puo` esser in nessun modo recuperata.</p>
|
||
<pre class="wp-code-highlight prettyprint linenums:1">#cryptsetup luksOpen /dev/sda1 testvolume
|
||
Enter passphrase for /dev/sda1:</pre>
|
||
|
||
<p style="text-align: left;">
|
||
Ora /dev/sda1 correttemente inizializzato viene mappato su /dev/mapper/testvolume. Per verificare lo stato del volume:
|
||
</p>
|
||
|
||
<pre class="wp-code-highlight prettyprint linenums:1"># cryptsetup -v status testvolume
|
||
/dev/mapper/testvolume is active.
|
||
type: LUKS1
|
||
cipher: aes-cbc-essiv:sha256
|
||
keysize: 512 bits
|
||
device: /dev/sda1
|
||
offset: 4096
|
||
sectors size: 419426304
|
||
sectors mode: read/write
|
||
Command successful.</pre>
|
||
|
||
<h3 style="text-align: left;">
|
||
Formattare la partizione
|
||
</h3>
|
||
|
||
<p>Ora ci si deve assicurare che in caso di un’analisi esterna ogni dato venga visto come una serie random di zero ed uno senza valore e assicurarsi che non ci sia un leak di informazioni relative all’uso del disco:</p>
|
||
<pre class="wp-code-highlight prettyprint linenums:1"># dd if=/dev/zero of=/dev/mapper/testvolume</pre>
|
||
|
||
<p>Poi creare un filesystem, in questo caso ext4</p>
|
||
<pre class="wp-code-highlight prettyprint linenums:1"># mkfs.ext4 /dev/mapper/testvolume</pre>
|
||
|
||
<h3 style="text-align: left;">
|
||
Montare e chiudere il disco
|
||
</h3>
|
||
|
||
<p>Per montare da /dev/mapper il disco e poterlo utilizzare digitare:</p>
|
||
<pre class="wp-code-highlight prettyprint linenums:1"># mount /dev/mapper/testvolume /mnt/testvolume</pre>
|
||
|
||
<p>e per chiudere il volume in maniera sicura:</p>
|
||
<pre class="wp-code-highlight prettyprint linenums:1"># umount /mnt/testvolume
|
||
# cryptsetup luksClose testvolume</pre>
|
||
|
||
<h3 style="text-align: left;">
|
||
Cambiare password
|
||
</h3>
|
||
|
||
<p>LUKS supporta anche piu` di una password per volume quindi si procede aggiungendo una nuova password:</p>
|
||
<pre class="wp-code-highlight prettyprint linenums:1"># cryptsetup luksAddKey /dev/sda1
|
||
Enter any passphrase:
|
||
Enter new passphrase for key slot:
|
||
Verify passphrase:</pre>
|
||
|
||
<p>e poi rimuovendo quella precedente:</p>
|
||
<pre class="wp-code-highlight prettyprint linenums:1"># cryptsetup luksRemoveKey /dev/sda1</pre>
|
||
|
||
<p>Oppure in alternativa si puo` utilizzare</p>
|
||
<pre class="wp-code-highlight prettyprint linenums:1">#cryptsetup luksChangekey /dev/sda1</pre>
|
||
|
||
<p>Se si volesse rendere completamente inaccessibile il volume basta rimuovere la chiave attraverso il comando:</p>
|
||
<pre class="wp-code-highlight prettyprint linenums:1">#cryptsetup luksErase /dev/sda</pre>
|
||
|
||
<p style="text-align: left;">
|
||
questa opzione non richiede password ed e` irreversibile.
|
||
</p>
|
||
|
||
<p style="text-align: right;">
|
||
Francesco Mecca
|
||
</p></description><category>crittografia</category><category>guida</category><category>linux</category><category>Luks</category><category>PesceWanda</category><category>tutorial</category><guid>francescomecca.eu/blog/2015/6/1/guida-pratica-a-luks/</guid><pubDate>Mon, 01 Jun 2015 12:14:00 GMT</pubDate></item><item><title>Defend yourself: crittografia e &#8220;plausible deniability&#8221;</title><link>francescomecca.eu/blog/2015/5/22/defend-yourself-crittografia-e-plausible-deniability/</link><dc:creator>Francesco Mecca</dc:creator><description><p>Nel 2000, ben molto prima dello scandalo datagate, prima perfino dell’attacco alle torri gemelle, il Parlamento inglese approvo` una legge sulla sorveglianza di massa.<br>
|
||
Questa legge, intitolata <a href="https://en.wikipedia.org/wiki/Regulation_of_Investigatory_Powers_Act_2000">RIPA</a>, Regulation of Investigatory Powers Act, interviene su come il corpo di polizia puo` condurre le investigazioni telematiche. </p>
|
||
<p>Con questa legge viene permesso: </p>
|
||
<ul>
|
||
<li>l’accesso ai dati dell’ISP, in segreto;</li>
|
||
<li>monitoraggio indiscriminato delle comunicazioni in transito e delle attivita` online;</li>
|
||
<li>permette di non rivelare davanti alla Corte i dati raccolti. </li>
|
||
</ul>
|
||
<p>L’aspetto piu` terribile di questa legge in ultimo e` la possibilita`, da parte degli investigatori, di obbligare il sospetto a rivelare le proprie chiavi crittografiche con le quali ha criptato i propri hard disk, i propri messaggi o le email. </p>
|
||
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left:auto;margin-right:auto;text-align:center;">
|
||
<tr>
|
||
<td style="text-align:center;">
|
||
<a href="http://francescomecca.eu/wp-content/uploads/2015/08/5673d-unclesamlistensin.jpg" style="margin-left:auto;margin-right:auto;"><img border="0" height="640" src="http://francescomecca.eu/wp-content/uploads/2015/08/5673d-unclesamlistensin.jpg?w=225" width="480"></a>
|
||
</td>
|
||
</tr>
|
||
|
||
<tr>
|
||
<td class="tr-caption" style="text-align:center;">
|
||
Graffito a Columbus, Ohio (foto di <a href="https://secure.flickr.com/photos/jeffschuler/2585181312/in/set-72157604249628154">Jeff Schuler</a>)
|
||
</td>
|
||
</tr>
|
||
</table>
|
||
|
||
<p>Vi sono due metodi per difendersi da questa che ritengo una orribile prevaricazione:<br>
|
||
Il primo e piu` svantaggioso e` il <em>nuke</em>, ovvero l’eliminazione dei dati: l’utente rivela una password, non quella per accedere ai dati criptati,ma una che una volta inserita sovrascrive permanentemente le chiavi crittografiche, rendendo cosi` impossibile l’accesso. </p>
|
||
<p>In Linux questa funzione e` implementata da <a href="https://gitlab.com/cryptsetup/cryptsetup/blob/master/README.md">LUKS</a> attraverso una patch distribuita dagli sviluppatori di <a href="https://www.kali.org/tutorials/emergency-self-destruction-luks-kali/">Kali Linux</a>.</p>
|
||
<p>Il secondo metodo invece si basa sull’ingegneria sociale, oltre che su una buona soluzione software.<br>
|
||
Un volume crittografico sicuro non ha alcuna firma digitale ed e` indistinguibile da un pugno di dati random. Per questo motivo posso includere un secondo volume all’interno del primo e proteggere ciascuno di essi con una password differente.</p>
|
||
<p>Ad esempio supponiamo che io abbia un volume da due GiB diviso in due sottovolumi da 1 GiB l’uno. Se dovessi essere interrogato o torturato affinche’ ceda la password, posso fornire la chiave di uno solo dei due volumi, dove non tengo files sensibili ma dati che non possono incriminarmi e cosi` il secondo volume rimane nascosto. Questo sistema di protezione e` nominato: “Plausible Deniability”. </p>
|
||
<p>Nel 1997 Julian Assange (il fondatore di <a href="https://wikileaks.org/index.en.html">Wikileaks</a>) insieme a Suelette Dreyfus e Ralf Weinmann ha sviluppato Marutukku, piu` semplicemente chiamato RubberhoseFS, ovvero un insieme di file system che proteggono i dati dell’utente e forniscono la “deniability”. </p>
|
||
<p>Tecnicamente il progetto consiste in varie porzioni di dati criptati che riempiono il drive. Ogni porzione ha la propria password, la propria mappatura e ciascuno una chiave crittografica differente: quando si decritta un pezzo esso appare come l’intero drive e cosi` non permette di sapere quanti altri volumi con dati differenti sono allocati nell’hard disk. Lo sviluppo di Rubberhose e` stato interrotto benche` sia disponibile in alpha per Linux, FreeBsd e NetBsd. </p>
|
||
<table cellpadding="0" cellspacing="0" class="tr-caption-container" style="float:left;margin-right:1em;text-align:left;">
|
||
<tr>
|
||
<td style="text-align:center;">
|
||
<a href="http://francescomecca.eu/wp-content/uploads/2015/08/0dcb9-truec.jpg" style="clear:left;margin-bottom:1em;margin-left:auto;margin-right:auto;"><img border="0" height="228" src="http://francescomecca.eu/wp-content/uploads/2015/08/0dcb9-truec.jpg?w=300" width="400"></a>
|
||
</td>
|
||
</tr>
|
||
|
||
<tr>
|
||
<td class="tr-caption" style="text-align:center;">
|
||
Il menu creazione volume di Truecrypt 7.1a su GNU/Linux
|
||
</td>
|
||
</tr>
|
||
</table>
|
||
|
||
<p>Un altro noto software che implementa la deniability e` <a href="https://en.wikipedia.org/wiki/TrueCrypt">Truecrypt</a>.<br>
|
||
Questo sofware crittografico, coperto da un velo di mistero da quando il 28 maggio 2014 gli sviluppatori hanno <a href="http://r.duckduckgo.com/l/?kh=-1&amp;uddg=http%3A%2F%2Farstechnica.com%2Fsecurity%2F2014%2F05%2Ftruecrypt-is-not-secure-official-sourceforge-page-abruptly-warns%2F">inspiegabilmente</a> terminato lo sviluppo, e` probabilmente uno dei piu` avanzati, sottoposto ad audit, ha dato dimostrazione della sua corretta implementazione crittografica con il caso di Daniel Dantas (<a href="https://en.wikipedia.org/wiki/Daniel_Dantas_%28entrepreneur%29">Operation Satyagraha)</a>.<br>
|
||
Truecrypt permette di creare un volume crittografico che si presenta come un file ma viene gestito, quando aperto correttamente con la propria password) come una partizione del disco. Inoltre vi e` anche la possibilita` di criptare l’installazione di Windows in toto, similmente a <a href="https://diskcryptor.net/wiki/Main_Page">Diskcryptor</a>.</p>
|
||
<p>Quando si crea uno di questi volumi si ha la possibilita` di riservare dello spazio ad un “hidden volume” che avra` una password differente (perfino algoritmi crittografici diversi dal primo volume se lo si richiede). Non si puo` sapere senza conoscere la seconda password se vi e` un volume nascosto aggiuntivo e quando si apre il volume principale esso risultera` avere le dimensioni di tutto l’archivio criptato e quindi anche riempiendolo di dati il volume nascosto verrebbe sovrascritto, ma la sicurezza dell’utente preservata. </p>
|
||
<p>La crittografia e` la piu` forte arma di cui dispone un cittadino digitale. E` la propria roccaforte contro l’invasione del cloud, l’intercettazione delle comunicazioni e soprattutto, la prima difesa che ci protegge dalla NSA.</p>
|
||
<p><a href="http://caught-in-thenet.blogspot.it/2015/04/non-abbiamo-nulla-da-nascondere.html">Anche se non abbiamo nulla da nascondere</a></p>
|
||
<div style="text-align:right;">
|
||
Francesco Mecca
|
||
</div></description><category>crittografia</category><category>deniability</category><category>PesceWanda</category><category>privacy</category><guid>francescomecca.eu/blog/2015/5/22/defend-yourself-crittografia-e-plausible-deniability/</guid><pubDate>Fri, 22 May 2015 21:52:00 GMT</pubDate></item></channel></rss> |