Why I Wrote PGP - Philip R. Zimmermann
Part of the Original 1991 PGP User's Guide (updated in 1999)
Qualsiasi cosa facciate sarà insignificante, ma è molto importante che la facciate.
Mahatma Gandhi
È personale. È privato. E non sono affari di nessuno se non vostri. Potreste pianificare una campagna politica, discutere delle vostre tasse o avere una storia d'amore segreta. Oppure potreste comunicare con un dissidente politico in un Paese repressivo. In ogni caso, non volete che la vostra posta elettronica privata (e-mail) o i vostri documenti riservati vengano letti da altri. Non c'è nulla di male nell'affermare la propria privacy. La privacy è una torta di mele come la Costituzione.
Il diritto alla privacy è diffuso implicitamente in tutta la Carta dei diritti. Ma quando fu redatta la Costituzione degli Stati Uniti, i Padri fondatori non videro la necessità di enunciare esplicitamente il diritto a una conversazione privata. Sarebbe stato sciocco. Duecento anni fa, tutte le conversazioni erano private. Se qualcun altro era a portata d'orecchio, si poteva andare dietro il fienile e conversare lì. Nessuno poteva ascoltare a sua insaputa. Il diritto alla conversazione privata era un diritto naturale, non solo in senso filosofico, ma anche in senso di legge fisica, data la tecnologia dell'epoca.
Ma con l'avvento dell'era dell'informazione, a partire dall'invenzione del telefono, tutto questo è cambiato. Ora la maggior parte delle nostre conversazioni avviene per via elettronica. Ciò consente di esporre le nostre conversazioni più intime a nostra insaputa. Le telefonate al cellulare possono essere monitorate da chiunque abbia una radio. La posta elettronica, inviata attraverso Internet, non è più sicura delle telefonate al cellulare. La posta elettronica sta rapidamente sostituendo la posta ordinaria, diventando la norma per tutti, non più la novità di un tempo.
Fino a poco tempo fa, se il governo voleva violare la privacy dei cittadini comuni, doveva spendere una certa quantità di denaro e di lavoro per intercettare, aprire e leggere a vapore la posta cartacea. Oppure doveva ascoltare ed eventualmente trascrivere le conversazioni telefoniche, almeno prima che fosse disponibile la tecnologia di riconoscimento vocale automatico. Questo tipo di monitoraggio ad alta intensità di lavoro non era pratico su larga scala. Veniva fatto solo in casi importanti, quando ne valeva la pena. È come prendere un pesce alla volta, con un amo e una lenza. Oggi, le e-mail possono essere scansionate di routine e automaticamente alla ricerca di parole chiave interessanti, su vasta scala, senza essere rilevate. È come pescare con le reti da posta derivanti. E la crescita esponenziale della potenza dei computer sta rendendo possibile la stessa cosa con il traffico vocale.
Forse pensate che la vostra e-mail sia abbastanza legittima da rendere ingiustificata la crittografia. Se siete davvero cittadini rispettosi della legge e non avete nulla da nascondere, allora perché non spedite sempre la vostra posta cartacea su cartoline? Perché non sottoporsi ai test antidroga su richiesta? Perché richiedere un mandato per le perquisizioni della polizia a casa vostra? State cercando di nascondere qualcosa? Se nascondete la vostra posta all'interno di buste, significa che dovete essere un sovversivo o uno spacciatore, o forse un pazzo paranoico? I cittadini rispettosi della legge hanno bisogno di criptare le loro e-mail?
E se tutti credessero che i cittadini rispettosi della legge dovrebbero usare le cartoline per la loro posta? Se un anticonformista cercasse di affermare la propria privacy usando una busta per la posta, attirerebbe i sospetti. Forse le autorità aprirebbero la sua posta per vedere cosa nasconde. Fortunatamente non viviamo in un mondo del genere, perché tutti proteggono la maggior parte della posta con le buste. Quindi nessuno attira sospetti affermando la propria privacy con una busta. La sicurezza sta nel numero. Analogamente, sarebbe bello se tutti usassero abitualmente la crittografia per tutte le loro e-mail, innocenti o meno, in modo che nessuno attiri sospetti affermando la propria privacy con la crittografia. Pensate a una forma di solidarietà.
La legge 266 del Senato, una legge omnibus anticrimine del 1991, conteneva una misura inquietante. Se questa risoluzione non vincolante fosse diventata legge, avrebbe costretto i produttori di apparecchiature di comunicazione sicure a inserire speciali "botole" nei loro prodotti, in modo che il governo potesse leggere i messaggi criptati di chiunque. La risoluzione recita: "È opinione del Congresso che i fornitori di servizi di comunicazione elettronica e i produttori di apparecchiature per servizi di comunicazione elettronica debbano garantire che i sistemi di comunicazione permettano al governo di ottenere il contenuto in chiaro delle comunicazioni vocali, di dati e di altro tipo quando ciò è autorizzato dalla legge". Fu questa proposta di legge che mi spinse a pubblicare gratuitamente il PGP in formato elettronico quell'anno, poco prima che la misura venisse bocciata dopo una vigorosa protesta dei libertari civili e dei gruppi industriali.
Il Communications Assistance for Law Enforcement Act (CALEA) del 1994 ha imposto alle compagnie telefoniche di installare porte di intercettazione a distanza nei commutatori digitali degli uffici centrali, creando una nuova infrastruttura tecnologica per le intercettazioni "point-and-click", in modo che gli agenti federali non debbano più uscire e attaccare i morsetti a coccodrillo alle linee telefoniche. Ora potranno sedersi nel loro quartier generale a Washington e ascoltare le vostre telefonate. Naturalmente, la legge richiede ancora un ordine del tribunale per le intercettazioni. Ma mentre le infrastrutture tecnologiche possono durare per generazioni, le leggi e le politiche possono cambiare da un giorno all'altro. Una volta che un'infrastruttura di comunicazione ottimizzata per la sorveglianza diventa radicata, un cambiamento nelle condizioni politiche può portare all'abuso di questo nuovo potere. Le condizioni politiche possono cambiare con l'elezione di un nuovo governo o, forse, più bruscamente con l'attentato a un edificio federale.
Un anno dopo l'approvazione del CALEA, l'FBI ha reso noti i piani per richiedere alle compagnie telefoniche di inserire nelle loro infrastrutture la capacità di intercettare simultaneamente l'1% di tutte le telefonate nelle principali città degli Stati Uniti. Ciò rappresenterebbe un aumento di oltre mille volte rispetto ai livelli precedenti del numero di telefoni che possono essere intercettati. Negli anni precedenti, le intercettazioni ordinate dai tribunali negli Stati Uniti erano solo un migliaio all'anno, a livello federale, statale e locale. È difficile capire come il governo possa impiegare un numero sufficiente di giudici per firmare un numero sufficiente di ordini di intercettazione per intercettare l'1% di tutte le nostre telefonate, e ancor meno assumere un numero sufficiente di agenti federali per ascoltare tutto quel traffico in tempo reale. L'unico modo plausibile per elaborare una tale quantità di traffico è un'applicazione massiccia e orwelliana della tecnologia di riconoscimento vocale automatizzata per setacciare il tutto, alla ricerca di parole chiave interessanti o della voce di un particolare interlocutore. Se il governo non trova l'obiettivo nel primo 1% del campione, le intercettazioni possono essere spostate su un altro 1% fino a quando l'obiettivo non viene trovato, o fino a quando le linee telefoniche di tutti non sono state controllate per il traffico sovversivo. L'FBI ha dichiarato di aver bisogno di questa capacità per pianificare il futuro. Questo piano ha suscitato una tale indignazione che è stato respinto dal Congresso. Ma il solo fatto che l'FBI abbia chiesto questi ampi poteri è rivelatore della sua agenda.
I progressi della tecnologia non permetteranno di mantenere lo status quo, per quanto riguarda la privacy. Lo status quo è instabile. Se non facciamo nulla, le nuove tecnologie daranno al governo nuove capacità di sorveglianza automatica che Stalin non avrebbe mai potuto sognare. L'unico modo per mantenere la privacy nell'era dell'informazione è una forte crittografia.
Non è necessario diffidare del governo per voler usare la crittografia. La vostra attività può essere intercettata da rivali commerciali, dalla criminalità organizzata o da governi stranieri. Diversi governi stranieri, ad esempio, ammettono di utilizzare i loro segnali di intelligence contro le aziende di altri Paesi per dare alle proprie imprese un vantaggio competitivo. Ironia della sorte, le restrizioni imposte dal governo degli Stati Uniti alla crittografia negli anni '90 hanno indebolito le difese delle aziende statunitensi contro l'intelligence straniera e il crimine organizzato.
Il governo sa che la crittografia è destinata a svolgere un ruolo centrale nel rapporto di potere con la popolazione. Nell'aprile del 1993, l'amministrazione Clinton ha presentato una nuova e audace iniziativa politica sulla crittografia, che era in fase di sviluppo presso la National Security Agency (NSA) dall'inizio dell'amministrazione Bush. Il fulcro di questa iniziativa era un dispositivo di crittografia costruito dal governo, chiamato Clipper chip, contenente un nuovo algoritmo di crittografia classificato della NSA. Il governo ha cercato di incoraggiare l'industria privata a inserirlo in tutti i suoi prodotti di comunicazione sicura, come telefoni sicuri, fax sicuri e così via. AT&T ha inserito Clipper nei suoi prodotti vocali sicuri. Il problema: Al momento della produzione, ogni chip Clipper viene caricato con una chiave unica e il governo ne trattiene una copia, messa in garanzia. Ma non c'è da preoccuparsi: il governo promette che userà queste chiavi per leggere il vostro traffico solo "se debitamente autorizzato dalla legge". Naturalmente, per rendere Clipper completamente efficace, il passo successivo sarebbe quello di mettere fuori legge altre forme di crittografia.
Inizialmente il governo sosteneva che l'uso di Clipper sarebbe stato volontario, che nessuno sarebbe stato costretto a usarlo al posto di altri tipi di crittografia. Ma la reazione dell'opinione pubblica contro il chip Clipper fu forte, più forte di quanto il governo avesse previsto. L'industria informatica proclamò monoliticamente la sua opposizione all'uso di Clipper. Il direttore dell'FBI Louis Freeh rispose a una domanda in una conferenza stampa del 1994 dicendo che se Clipper non avesse ottenuto il sostegno dell'opinione pubblica e le intercettazioni dell'FBI fossero state escluse dalla crittografia non controllata dal governo, il suo ufficio non avrebbe avuto altra scelta se non quella di chiedere un intervento legislativo. Più tardi, all'indomani della tragedia di Oklahoma City, Freeh ha testimoniato davanti alla Commissione Giudiziaria del Senato che la disponibilità pubblica di crittografia forte deve essere limitata dal governo (anche se nessuno aveva suggerito che la crittografia fosse stata usata dagli attentatori).
Il governo ha un curriculum che non ispira fiducia nel fatto che non abuserà mai delle nostre libertà civili. Il programma COINTELPRO dell'FBI prendeva di mira i gruppi che si opponevano alle politiche del governo. Hanno spiato il movimento contro la guerra e il movimento per i diritti civili. Hanno intercettato il telefono di Martin Luther King. Nixon aveva la sua lista dei nemici. Poi c'è stato il pasticcio del Watergate. Più recentemente, il Congresso ha tentato o è riuscito ad approvare leggi che limitano le nostre libertà civili su Internet. Alcuni elementi della Casa Bianca di Clinton hanno raccolto file riservati dell'FBI su funzionari pubblici repubblicani, probabilmente a scopo di sfruttamento politico. E alcuni procuratori troppo zelanti si sono dimostrati disposti ad andare in capo al mondo pur di smascherare le indiscrezioni sessuali dei nemici politici. In nessun momento dell'ultimo secolo la sfiducia del pubblico nei confronti del governo è stata così ampiamente distribuita in tutto lo spettro politico, come oggi.
Negli anni '90 ho pensato che se vogliamo resistere a questa inquietante tendenza del governo a mettere fuori legge la crittografia, una misura che possiamo applicare è quella di usare la crittografia il più possibile ora che è ancora legale. Quando l'uso della crittografia forte diventa popolare, è più difficile per il governo criminalizzarla. Pertanto, l'uso del PGP è utile per preservare la democrazia. Se la privacy viene messa fuori legge, solo i fuorilegge avranno la privacy.
Sembra che la diffusione del PGP abbia funzionato, insieme ad anni di continue proteste da parte dell'opinione pubblica e di pressioni da parte dell'industria per allentare i controlli sulle esportazioni. Negli ultimi mesi del 1999, l'amministrazione Clinton annunciò un cambiamento radicale nella politica di esportazione della tecnologia crittografica. In sostanza, ha eliminato l'intero regime di controllo delle esportazioni. Ora siamo finalmente in grado di esportare crittografia forte, senza limiti massimi di potenza. È stata una lunga lotta, ma alla fine abbiamo vinto, almeno sul fronte del controllo delle esportazioni negli Stati Uniti. Ora dobbiamo continuare a impegnarci per diffondere una crittografia forte, in modo da attenuare gli effetti dei crescenti sforzi di sorveglianza su Internet da parte di vari governi. E dobbiamo ancora consolidare il nostro diritto di usarlo a livello nazionale, nonostante le obiezioni dell'FBI.
Il PGP consente alle persone di prendere in mano la propria privacy. C'è stata una crescente necessità sociale. Ecco perché l'ho scritto.
Philip R. Zimmermann
Boulder, Colorado
Giugno 1991 (aggiornato al 1999)