Egregio Presidente Obama, Noi sottoscritti rappresentanti di un ampia varietà di organizzazioni della società civile impegnate nella tutela dei

Transcript

1 Egregio Presidente Obama, Noi sottoscritti rappresentanti di un ampia varietà di organizzazioni della società civile impegnate nella tutela dei diritti civili, dei diritti umani e per l innovazione online, così come aziende di tecnologia, del commercio ed esperti di sicurezza e strategia, Le scriviamo oggi in seguito alle recenti dichiarazioni di alcuni funzionari dell Amministrazione riguardanti l applicazione di tecnologia avanzata di crittografia nei dispositivi e nei servizi offerti dall industria tecnologica degli Stati Uniti. Questi funzionari hanno suggerito che le aziende americane dovrebbero astenersi dal fornire qualsiasi prodotto protetto da crittografia, a meno che queste aziende non riducano la sicurezza di questi dispositivi per consentirne la possibilità di decifrare i dati dei loro clienti su richiesta del governo. Alcuni di questi funzionari si sono spinti fino al punto di suggerire che il Congresso debba agire per vietare tali prodotti o sottoporli ad autorizzazione controllata. Noi la esortiamo a rifiutare qualsiasi proposta secondo cui la aziende degli Stati Uniti deliberatamente riducano la sicurezza dei loro prodotti. Chiediamo che la Casa Bianca invece si impegni su politiche di sviluppo che promuovano piuttosto che indebolire un ampia adozione di tecnologia avanzata di crittografia. Tali politiche dovranno inoltre favorire la sicurezza informatica, la crescita economica e dei diritti umani, sia negli Stati Uniti che all estero. Una crittografia avanzata è la pietra angolare della sicurezza della moderna economia dell informazione. La crittografia protegge miliardi di persone ogni giorno da innumerevoli minacce, siano esse i criminali di strada che tentano di rubare i nostri telefoni e laptop, siano criminali informatici che tentano di truffarci, siano spie aziendali che cercano di accedere ai segreti commerciali più preziosi delle nostre aziende, siano governi autoritari che cercano di soffocare il dissenso o agenzie di intelligence straniere che tentano di compromettere le informazioni più sensibili della sicurezza nazionale nostra e dei nostri alleati. La crittografia quindi ci protegge da innumerevoli minacce criminali e verso la sicurezza nazionale. Questa protezione sarebbe compromessa dall inserimento obbligatorio di qualsiasi nuova vulnerabilità nei servizi e nei dispositivi. Che essi siano definite front doors o back doors, l introduzione intenzionale di vulnerabilità ad uso governativo renderà questi prodotti meno sicuri da qualsiasi attacco. Tutti gli esperti di sicurezza informatica che hanno pubblicamente dibattuto su questo tema sono d accordo su questo punto, compreso gli stessi esperti governativi. Oltre a compromettere la sicurezza informatica, qualsiasi tipo di vulnerabilità introdotta rappresenterebbe anche una seria minaccia alla sicurezza economica. Le aziende statunitensi stanno già lottando per mantenere la fiducia internazionale dopo le rivelazioni sui programmi di sorveglianza della National Security Agency. L introduzione obbligatoria di vulnerabilità nei prodotti Americani potrebbe maggiormente spingere molti clienti, siano essi nazionali o internazionali, ad allontanarsi da tali prodotti e servizi compromessi. Questi e molti dei cattivi attori il cui comportamento il governo intende fronteggiare, si affideranno semplicemente a prodotti criptati di fornitori stranieri o si avvarranno della vasta gamma di prodotti di crittografia open-source e gratuiti che sono facilmente reperibili online.

2 Oltre a compromettere la sicurezza informatica di ogni americano e la sicurezza economica nazionale, l introduzione di nuove vulnerabilità sui prodotti crittografati statunitensi, comprometterebbe anche i diritti umani le la sicurezza delle informazioni in tutto il mondo. Se le aziende Americane manterranno la possibilità di accedere si dati ed ai dispositivi dei loro clienti su richiesta, anche altri governi, oltre gli Stati Uniti, chiederanno lo stesso accesso e saranno anche incoraggiati a richiedere la stessa possibilità alle aziende produttrici dei loro paesi. Il governo degli Stati Uniti, avendo fatto le stesse richieste, avrà poco margine di opposizione. Il risultato sarà un ambiente informativo crivellato di vulnerabilità che potranno essere sfruttate anche da regimi più autoritari o pericolosi. Non è questo il futuro che gli Americani o le persone di tutto il mondo meritano. L Amministrazione deve affrontare una scelta critica: intende adottare politiche che favoriscono un ecosistema digitale globale che sia più sicuro, oppure no? Questa scelta potrebbe meglio definire il futuro di internet nel 21 secolo. Quando dovettero affrontare una scelta simile alla fine del secolo scorso, i politici americani valutarono molte delle stesse proccupazioni ed argomenti che sono stati sollevati nel dibattito in corso e, correttamente, conclusero che le gravi conseguenze di compromettere la tecnologia di crittografazione superavano i presunti benefici. Questa anche fu la scelta del President s review Group on Intelligence and Communications Technologies, che unanimemente raccomandò, nel suo rapporto del Dicembre 2013 che il Governo degli Stati Uniti dovesse: 1) sostenere pienamente e non minare gli sforzi per creare standard di cifratura 2) mai ed in alcun modo, compromettere, sovvertire, indebolire o rendere vulnerabili il software commerciale generalmente disponibile 3) aumentare l uso di crittografia e sollecitare le aziende statunitensi a farlo, al fine di meglio proteggere i dati in transito depositati nel cloud o in altri sistemi di memorizzazione Noi esortiamo l Amministrazione a seguire le raccomandazioni del Review Group s e ad adottare strategie che promuovano piuttosto che minare la diffusa adozione di tecnologie di crittografia avanzata, e così facendo a percorrere la strada verso un futuro più sicuro, prospero e rispettoso dei diritti per l America ed il mondo. 19 Maggio 2015 Firmato Civil Society Organizations Access Advocacy for Principled Action in Government American-Arab Anti-Discrimination Committee (ADC) American Civil Liberties Union American Library Association Benetech Bill of Rights Defense Committee

3 Center for Democracy & Technology Committee to Protect Journalists The Constitution Project Constitutional Alliance Council on American-Islamic Relations Demand Progress Defending Dissent Foundation DownsizeDC.org, Inc. Electronic Frontier Foundation Electronic Privacy Information Center (EPIC) Engine Fight for the Future Free Press Free Software Foundation Freedom of the Press Foundation GNOME Foundation Human Rights Watch The Media Consortium New America's Open Technology Institute Niskanen Center Open Source Initiative PEN American Center Project Censored/Media Freedom Foundation R Street Reporters Committee for Freedom of the Press TechFreedom The Tor Project U.S. Public Policy Council of Association for Computing Machinery World Privacy Forum X-Lab Companies & Trade Associations

4 ACT The App Association Adobe Apple Inc. The Application Developers Alliance Automattic Blockstream Cisco Systems Coinbase Cloud Linux Inc. CloudFlare Computer & Communications Industry Association Consumer Electronics Association (CEA) Context Relevant The Copia Institute CREDO Mobile Data Foundry Dropbox Evernote Facebook Gandi.net Golden Frog Google HackerOne Hackers/Founders Hewlett-Packard Company Internet Archive Internet Association Internet Infrastructure Coalition (i2coalition) Level 3 Communications LinkedIn Microsoft Misk.com

5 Mozilla Open Spectrum Inc. Rackspace Rapid7 Reform Government Surveillance Sonic ServInt Silent Circle Slack Technologies, Inc. Symantec Tech Assets Inc. TechNet Tumblr Twitter Wikimedia Foundation Yahoo Security and Policy Experts* Hal Abelson, Professor of Computer Science and Engineering, Massachusetts Institute of Technology Ben Adida, VP Engineering, Clever Inc. Jacob Appelbaum, The Tor Project Adam Back, PhD, Inventor, HashCash, Co-Founder & President, Blockstream Alvaro Bedoya, Executive Director, Center on Privacy & Technology at Georgetown Law Brian Behlendorf, Open Source software pioneer Steven M. Bellovin, Percy K. and Vida L.W. Hudson Professor of Computer Science, Columbia University Matt Bishop, Professor of Computer Science, University of California at Davis Matthew Blaze, Director, Distributed Systems Laboratory, University of Pennsylvania Dan Boneh, Professor of Computer Science and Electrical Engineering at Stanford University Eric Burger, Research Professor of Computer Science and Director, Security and Software Engineering Research Center (Georgetown), Georgetown University Jon Callas, CTO, Silent Circle L. Jean Camp, Professor of Informatics, Indiana University

6 Richard A. Clarke, Chairman, Good Harbor Security Risk Management Gabriella Coleman, Wolfe Chair in Scientific and Technological Literacy, McGill University Whitfield Diffie, Dr. sc. techn., Center for International Security and Cooperation, Stanford University David Evans, Professor of Computer Science, University of Virginia David J. Farber, Alfred Filter Moore Professor Emeritus of Telecommunications, University of Pennsylvania Dan Farmer, Security Consultant and Researcher, Vicious Fishes Consulting Rik Farrow, Internet Security Joan Feigenbaum, Department Chair and Grace Murray Hopper Professor of Computer Science Yale University Richard Forno, Jr. Affiliate Scholar, Stanford Law School Center for Internet and Society Alex Fowler, Co-Founder & SVP, Blockstream Jim Fruchterman, Founder and CEO, Benetech Daniel Kahn Gillmor, ACLU Staff Technologist Robert Graham, creator of BlackICE, sidejacking, and masscan Jennifer Stisa Granick, Director of Civil Liberties, Stanford Center for Internet and Society Matthew D. Green, Assistant Research Professor, Johns Hopkins University Information Security Institute Robert Hansen, Vice President of Labs at WhiteHat Security Lance Hoffman, Director, George Washington University, Cyber Security Policy and Research Institute Marcia Hofmann, Law Office of Marcia Hofmann Nadim Kobeissi, PhD Researcher, INRIA Joseph Lorenzo Hall, Chief Technologist, Center for Democracy & Technology Nadia Heninger, Assistant Professor, Department of Computer and Information Science, University of Pennsylvania David S. Isenberg, Producer, Freedom 2 Connect Douglas W. Jones, Department of Computer Science, University of Iowa Susan Landau, Worcester Polytechnic Institute Gordon Fyodor Lyon, Founder, Nmap Security Scanner Project Aaron Massey, Postdoctoral Fellow, School of Interactive Computing, Georgia Institute of Technology

7 Jonathan Mayer, Graduate Fellow, Stanford University Jeff Moss, Founder, DEF CON and Black Hat security conferences Peter G. Neumann, Senior Principal Scientist, SRI International Computer Science Lab, Moderator of the ACM Risks Forum Ken Pfeil, former CISO at Pioneer Investments Ronald L. Rivest, Vannevar Bush Professor, Massachusetts Institute of Technology Paul Rosenzweig, Professorial Lecturer in Law, George Washington University School of Law Jeffrey I. Schiller, Area Director for Security, Internet Engineering Task Force ( ), Massachusetts Institute of Technology Bruce Schneier, Fellow, Berkman Center for Internet and Society, Harvard Law School Micah Sherr, Assistant Professor of Computer Science, Georgetown University Adam Shostack, author, Threat Modeling: Designing for Security Eugene H. Spafford, CERIAS Executive Director, Purdue University Alex Stamos, CISO, Yahoo Geoffrey R. Stone, Edward H. Levi Distinguished Service Professor of Law, The University of Chicago Peter Swire, Huang Professor of Law and Ethics, Scheller College of Business, Georgia Institute of Technology C. Thomas (Space Rogue), Security Strategist, Tenable Network Security Dan S. Wallach, Professor, Department of Computer Science and Rice Scholar, Baker Institute of Public Policy Nicholas Weaver, Researcher, International Computer Science Institute Chris Wysopal, Co-Founder and CTO, Veracode, Inc. Philip Zimmermann, Chief Scientist and Co-Founder, Silent Circle