Integrita' ed identita'
Uno degli argomenti più ostici da affrontare quando si parla di Trusted Computing è la differenza tra i concetti di identità e di integrità. Sebbene strettamente correlati tra loro, non sono la stessa cosa. Prima di addentrarcisi su come funziona tecnicamente il famoso chip Fritz, è necessario chiarire tale distinzione. Lo faccio con una metafora spero banale.
Per viaggiare all'estero verso paesi extra-europei c'è bisogno del passaporto. La foto con i dati anagrafici sul passaporto dicono all'addetto alla frontiera chi siamo. Chi siamo corrisponde alla nostra identità che viene verificata appunto attraverso il matching con la foto sul nostro passaporto. Il fatto che il passaporto sia impossibile da modificare, ossia che sia tamper-proof, rende perfettamente il concetto di integrità del passaporto. Se scopriamo che il passaporto ha la pellicola trasparente manipolata, possiamo essere certi che l'integrità del passaporto è stata violata, anche se la foto sul passaporto (identità) è la stessa. Il guaio è - a voler dare retta a qualcuno - che l'addetto alla frontiera è estremamente interessato all'integrità del passaporto in misura maggiore o uguale all'identità. Anche se io sono certo di essere io al 100%, l'ufficiale alla frontiera non può più avere tale certezza in quanto l'identità senza integrità non serve a molto in una relazione tra entità sconosciute. A completare l'esempio, calzante quasi come un guanto, il fatto che la pellicola trasparente sul passaporto protegge solo una parte sebbene alquanto importante del passaporto stesso: nessuno ci vieta di pasticciare con ghirigori degni di Mirò tutte le restanti pagine del passaporto.
Trasponendo l'esempio nel mondo del trusted computing, la foto (identità) coincide con la password, la smartcard o l'impronta digitale (o meglio ancora una combinazione delle tre); la pellicola trasparente con il secure boot via TPM. Le due cose sono complementari[1] ma purtroppo anche strumenti di identità abbastanza complessi come una smart card o un'impronta digitale sono totalmente inutili per garantire l'integrità. A peggiorare le "cose del software" ed aumentare la paranoia dei tecnofili, un'ulteriore differenza tra l'esempio del passaporto e il mondo software: la scalabilità degli attacchi nel mondo del computing. Se manipolare mille passaporti (entrare nella casa di qualcuno, manipolare, usare e restituire) è mille volte più difficile che manipolarne uno solo, portare a termine un milione di attacchi usando una vulnerabilità 0-day combinata è facile quasi quanto portare a termine un singolo attacco basato sulla stessa vulnerabilità (se la vulnerabilità è "abbastanza buona"). Nella trasposizione dell'esempio, il fatto che possiamo usare le pagine non sigillate del passaporto come vogliamo corrisponde con il fatto che possiamo più o meno lanciare, su una macchina integra, tutti sistemi operativi che vogliamo con tutti i processi che vogliamo, compresi virus e altre schifezze (i menzionati ghirigori): l'unica cosa che non può accadere è che qualcuno modifichi la foto o i dati anagrafici gli elementi importanti per l'integrità del sistema (e questo lo decide il paese che rilascia il passaporto sistema operativo/utente) senza che il titolare se ne possa accorgere.
Un'ulteriore nota sul concetto di integrità. L'integrità è un valore booleano (vero/falso) e non un floating point; non ci sono valori intermedi di integrità (esempio: il sistema è integro al 99.999%). Quanto questo valore interessi il proprietario del sistema è un altro paio di maniche che dipende anche dalla paranoia ma non solo del propetario: se il propetario del sistema è il povero IT manager che deve gestire decine di migliaia di desktop qualsiasi valore inferiore alla certezza matematica potrebbe non avere nessun significato.
Infine un'ultima osservazione: il passaporto tamper-proof è una tecnologia moderna interessante. Come avviene per tutte le tecnologie si possono teoricamente verificare degli abusi. La critica che più va di moda è cosa succederebbe se tutte le pasticcerie del mondo decidessero di vendere bigné solo a cittadini nati in anni dispari che presentano un passaporto tamper-proof alla cassa. È per questo che il gruppo promotore "Mondo senza passaporti", in virtù del fatto che alcuni paesi che rilasciano passaporti sono delle "sanguinarie" dittature, nell'interesse "eventuale futuro" dei diritti dei compratori di bigné ha fatto richiesta presso il "ministero dei passaporti mondiali" che - in base alla pura discrezione del titolare del passaporto - la pellicola trasparente, e quindi anche i dati relativi all'identità, sia facilmente falsificabile; la motivazione ufficiale è "non si sa mai". Non sto scherzando. E pensare che basterebbe smettere di comprare bigné!
Nel prossimo post intendo analizzare quelle che sono le vere paranoie ed entrare nei dettagli tecnici di come il TPM intende risolverle; il secure boot via chain of trust è solo una di quelle.
-quack
[1] Nella realtà è possibile usare - ma è sconsigliato - una delle feature del TPM anche per scopi di identità ma non viceversa (usare la smart card per garantire l'identità)