Il mondo del PGP, 'Pretty Good Privacy', il più famoso software di crittazione a chiave pubblica e privata, ha cominciato a tremare, anche se gli aficionados del programma, almeno in Italia, sembrano proprio non rendersene conto.
Secondo quanto riferisce l'autorevole bollettino telematico spagnolo Kriptopolis, che fa capo a una comunità di oltre 6000 utenti interessati ai temi della sicurezza dei dati personali e a quelli della crittazione della corrispondenza personale in rete, non solo sulla società che distribuisce il programma si sono abbattute le ombre della cessione commerciale.
In breve, il programma, dopo la fuoriuscita del suo ideatore e realizzatore Phil Zimmermann da Network Associates, sarebbe stato venduto. In buona sostanza, cambiando il distributore e la software house di appoggio, c'è il serio rischio che il programma non sia più così ermeticamente sicuro come lo era al tempo della storica versione 2.6.3i di cui erano disponibili anche i sorgenti.
In buona sostanza chi usa il PGP non si fida più, e preferisce di gran lunga affidarsi alle vecchie versioni per DOS piuttosto che tuffarsi nella incertezza di una distribuzione che non permetta all'utente finale di vedere cosa c'è dentro, per verificare se per caso il programma non sparga per l'hard disk delle tracce che permettano a qualche arrivista incompetente di andare a prelevare le informazioni vitali della chiave privata.
E la paura non è affatto ingiustificata se la stessa fonte, in un altro articolo, rivela che l'FBI starebbe mettendo a punto un programma, denominato Magic Lantern, capace di rastrellare, attraverso l'installazione di un trojan remoto proprio quelle chiavi private (le pubbliche, come è noto, non c'è bisogno di rubarle, essendo vivamente raccomandata la loro massima diffusione) che ci consentono di decriptare un messaggio in arrivo o di trasformare un file in una sequela di caratteri incomprensibili a chi non disponga di chiave privata e relativa passphrase.
Naturalmente vale la pena domandarsi, a questo punto, chi ha paura del PGP e, come mai, da un lato ci sia la tendenza a sbarazzarsi di un prodotto gratuito per i privati (e, quindi, per le masse) attraverso oscuri processi di vendita, e dall'altro a fare in modo che si arrivi a rompere il sistema e a dimostrare che, bene o male, PGP sarebbe perfettamente craccabile. Di quest'ultima verità non solo sono perfettamente convinto da tempo, ma mi sembra un dato sotto gli occhi di tutti che le chiavi PGP si possono craccare e come e che chiunque potrà essere un giorno in grado di leggere qualsiasi tipo di corrispondenza crittata con il PGP. Il fatto è che per arrivarci sarà necessario un periodo ti tempo talmente lungo che, probabilmente, quando qualcuno avrà gridato Eureka! la gente non avrà più bisogno del PGP.
Il problema, con tutta probabilità, è un altro. Il problema è che si continua ad associare a PGP e alla crittografia in genere (i sistemi steganografici non vengono percepiti a livello di utenza di massa del PC come essenziali nel contribuire a risolvere il problema della segretezza del dato) non già il concetto di dato riservato, ma quello di dato segreto, da tenere lontano da sguardi indiscreti e, quindi, potenzialmente pericoloso. Finché non si riuscirà a risolvere questo nodo piccolo ma essenziale, nessuno potrà mai uscire dalla situazione di stallo che vede il PGP nelle vesti di una patata bollente che ciascuno tenta di rifilare a qualcun altro per non avere la scomodità e il cocente imbarazzo di tenerlo tra le mani.
