Un cypherpunk è un attivista libertario che sostiene l'uso intensivo della crittografia informatica come parte di un percorso di cambiamento sociale e politico. Gruppi informali, che comunicavano tra loro attraverso la mailing list Cypherpunks, ambivano ad ottenere privacy e sicurezza attraverso l'uso proattivo della crittografia. I cypherpunk sono un movimento attivo sin dalla fine degli anni '80. Esempio di attivismo cypherpunk è il sito Wikileaks di Julian Assange.[1][2]
Fino agli anni 1970, la crittografia veniva praticata in segreto dalle agenzie militari o di spionaggio. Tuttavia, la situazione cambiò quando due pubblicazioni portarono alla luce la crittografia al pubblico: la pubblicazione da parte del Governo statunitense riguardo alla Data Encryption Standard (DES), un algoritmo di cifratura a blocchi che divenne molto diffuso, fu inoltre il primo ad essere disponibile anche al pubblico, è tutt'oggi basato sulla crittografia asimmetrica ideata da Whitfield Diffie e Martin Hellman.[3]
Le radici tecniche riguardo all'ideologia del cypherpunk provengono dagli studi condotti dal crittografo David Chaum su tematiche come il denaro digitale anonimo e i sistemi di reputazione pseudonimizzati, descritti approfonditamente nel suo articolo "Security without Identification: Transaction Systems to Make Big Brother Obsolete" del 1985.[4]
Alla fine degli anni 1980, queste idee si coalizzarono in un qualcosa simile a un movimento.[4]
Alla fine del 1992, Eric Hughes, Timothy C. May e John Gilmore fondarono un piccolo gruppo che si riuniva mensilmente alla Cygnus Solutions (l'azienda di Gilmore), presso la San Francisco Bay Area, ed è stato umoristicamente chiamato cypherpunks da Jude Milhon in uno dei primi incontri. Il termine coniato deriva da cypher (cifrario) e cyberpunk.[5] A novembre 2006, la parola è stata aggiunta nell'Oxford English Dictionary.[6]
La mailing list dei cypherpunk fu avviata nel 1992, mentre nel 1994 aveva raggiunto 700 abbonati.[5] Al suo apice, fu un forum molto attivo con discussioni tecniche che spaziano dalla matematica, crittografia, informatica, politica fino alla filosofia, con un discreto spam nelle argomentazioni. Un'email di John Gilmore riporta che le discussioni nel gruppo avevano una media di 30 messaggi al giorno in un intervallo di tempo che andava dal 1º dicembre 1996 fino al 1º marzo 1999, suggerisce inoltre che il numero fosse ancora più alto nei primi anni.[7] Nel 1997, è stato stimato che il numero degli abbonati raggiunsero i 2000.[5]
A febbraio 1997, Jim Choate e Igor Chudov istituirono il Cypherpunks Distributed Remailer,[8] un network di mailing list indipendenti a nodi che avevano lo scopo di eliminare il Single point of failure inerente a un'architettura a lista centralizzata. Al suo culmine, la Cypherpunks Distributed Remailer aveva almeno sette nodi.[9] A metà 2005, al-qaeda.net rimase l'unico nodo attivo.[10] A metà 2013, a seguito di una breve interruzione, il software del nodo al-qaeda.net fu cambiato da Majordomo a Mailman,[11] successivamente il nodo fu rinominato in cpunks.org.[12] L'architettura del Cypherpunks Distributed Remailer non è più attiva, anche se l'amministratore della lista dichiarò nel 2013 che stava cercando un modo per integrare questa funzionalità nel nuovo software della mailing list.[11]
Per un certo periodo, la mailing list dei cypherpunk era divenuto uno strumento popolare grazie anche ai mailbomber, coloro che iscrivono la vittima alla mailing list al fine di inviare a lui o lei una marea di messaggi (questo atto viene praticato solitamente come scherzo, in contrasto con lo stile del terrorista definito come un mailbomber). Questi avvenimenti hanno fatto precipitare la mailing list del SysOp, istituendo un sistema di risposta riservato agli abbonati. All'incirca la mailing list aveva duecento messaggi al giorno, divisi fra argomentazioni personali, discussioni politiche e tecniche.[13][14]
La mailing list dei cypherpunk ebbe ampie discussioni sulle questioni politiche pubbliche relative alla crittografia e ad alcuni concetti come: l'anonimato, gli pseudonimi, la reputazione e la privacy. Queste discussioni continuano sia sul nodo rimanente sia altrove, visto che la lista è divenuta sempre più moribonda.[senza fonte]
Eventi come il GURPS Cyberpunk hanno dato peso all'idea che i privati avevano bisogno di prendere provvedimenti per proteggere la loro privacy. Nel suo periodo d'oro, la lista discuteva di questioni politiche relative alla crittografia, oltre a questioni matematiche, computazionali, tecnologiche e crittografiche più pratiche. La lista aveva una serie di punti di vista e probabilmente non c'era un accordo completamente unanime su nulla. L'atteggiamento generale, mette la privacy e la libertà personali al di sopra di tutte le altre considerazioni.[senza fonte]
La lista discuteva su questioni riguardanti la privacy, il monitoraggio governativo, il controllo corporativo delle informazioni e questioni correlate all'inizio degli anni 1990 che non divennero temi principali fino al prossimo decennio. Alcuni partecipanti della lista furono più radicali di chiunque altro su questi temi.[senza fonte]
Coloro che desiderano comprendere il contesto della lista devono prima conoscere la storia della crittografia; agli inizi degli anni 1990, il Governo statunitense considerava il software della crittografia una munizione a fini commerciali. (Il codice sorgente del Pretty Good Privacy è stato pubblicato come libro cartaceo per aggirare queste regole e dimostrare la loro inutilità). Nel 1992, National Security Agency e SPA fecero un accordo per l'esportazione consentita della crittografia basato su RC2 a 40 bit, RC4 invece è stato considerato un cifrario a blocchi relativamente più debole (soprattutto dopo la creazione di SSL, c'erano molti concorsi che lo oltrepassavano). Il Governo statunitense cercò di sovvertire la crittografia attraverso schemi come Skipjack. Non era ancora ben noto che tutte le comunicazioni fossero registrate dalle agenzie governative (tale evento dopo essere stato rivelato creò uno scandalo contro NSA e AT&T) anche se tutta questa situazione venne interpretata come un assioma palese da parte dei cypherpunks.[15]
La mailing list originale dei cypherpunks e la lista spin off che ne deriva da essa ovvero i coderpunks, erano originariamente ospitati su toad.com, il cui proprietario era Gilmore, ma dopo un disaccordo con il sysop oltre alla moderazione, la lista è migrata su diversi server di posta interconnessi, in quella che poi verrà chiamata la "distributed mailing list".[16][17] La lista dei coderpunks poteva essere aperta solamente su invito ed è esistita per un certo periodo di tempo, venivano trattate questioni tecniche ed ebbe meno discussione riguardo alla politica pubblica. Ci sono diverse liste che oggi hanno preso ispirazione dalla lista originale dei cypherpunks: la lista della crittografia, la lista della crittografia finanziaria e tante altre piccole liste chiuse (al quale è possibile accedervi solo tramite invito).[senza fonte]
Toad.com continuò a funzionare grazie agli abbonati della lista, nonostante comunque i messaggi della "lista distribuita" non comparivano su Toad.com.[18] Come per la popolarità della lista che presto si appassì, anche il numero dei nodi disponibili agli abbonati si ridussero drasticamente, fino a quando il servizio divenne inattivo.
In parte, la lista della crittografia fa da successore ai cypherpunks;[19] di fatto ha molti membri attivi su tematiche simili a quelle dei cypherpunks. Tuttavia, si tratta di una lista moderata, notevolmente meno scherzosa ma più tecnica e seria. Un certo numero di sistemi ancora oggi in uso seguono la mailing list, tra cui Pretty Good Privacy e /dev/random basati su Linux Kernel, (il codice effettivo è stato modificato diverse volte) e gli anonymous remailers.[senza fonte]
Gli ideali principali li possiamo trovare in un saggio scritto da Eric Hughes nel 1993 intitolato A Cypherpunk's Manifesto: «La privacy è necessaria per una società aperta nell'era digitale. Non possiamo aspettarci che i governi, le aziende o altre grandi organizzazioni senza volto ci concedano la privacy. Dobbiamo difendere la nostra privacy se ci aspettiamo qualcosa. I cypherpunk scrivono il codice. Sappiamo che qualcuno deve creare i software per difendere la privacy, e ... lo stiamo facendo».[20]
La prima discussione dei mass media sui cypherpunks fu in un articolo scritto dal giornalista Steven Levy di Wired nel 1993, intitolato Crypto Rebels:[21]
«The people in this room hope for a world where an individual's informational footprints .. everything from an opinion on abortion to the medical record of an actual abortion .. can be traced only if the individual involved chooses to reveal them; a world where coherent messages shoot around the globe by network and microwave, but intruders and feds trying to pluck them out of the vapor find only gibberish; a world where the tools of prying are transformed into the instruments of privacy. There is only one way this vision will materialize, and that is by widespread use of cryptography. Is this technologically possible? Definitely. The obstacles are political .. some of the most powerful forces in government are devoted to the control of these tools. In short, there is a war going on between those who would liberate crypto and those who would suppress it. The seemingly innocuous bunch strewn around this conference room represents the vanguard of the pro-crypto forces. Though the battleground seems remote, the stakes are not: The outcome of this struggle may determine the amount of freedom our society will grant us in the 21st century. To the Cypherpunks, freedom is an issue worth some risk»
«Le persone in questa stanza sperano in un mondo dove l'impronta informativa di un individuo .. scaturita da un'opinione sull'aborto alla cartella clinica di un vero e proprio aborto .. possano essere rintracciati solo se l'individuo interessato decidesse di rivelarli; un mondo dove i messaggi coerenti girano intorno al globo dalla rete e dalla microonda, ma gli intrusi e i federali che cercano di strapparli fuori dal vapore troveranno solo spazzatura; un mondo dove gli strumenti del ficcanasare si trasformino in strumenti di privacy. C'è solo un modo in cui questa visione si possa realmente materializzare, attraverso l'uso diffuso della crittografia. Questo è tecnologicamente possibile? Sicuramente. Gli ostacoli sono politici .. alcune delle forze più potenti del governo sono dedicate al controllo di questi strumenti. In breve, c'è una guerra in corso tra coloro che libererebbero la crittografia e coloro che invece la sopprimerebbero. Il gruppo apparentemente innocuo sparso intorno a questa sala conferenze rappresenta l'avanguardia delle forze a favore della crittografia. Anche se il campo di battaglia sembra remoto, la posta in gioco non è: Il risultato di questa lotta che può determinare la quantità di libertà che la nostra società ci concederà nel XXI secolo. Ma bensì per i Cypherpunks, la libertà è un problema che vale la pena rischiare.»
Successivamente, Levy scrisse un libro intitolato Crypto: How the Code Rebels Beat the Government – Saving Privacy in the Digital Age,[22] il quale tratta dettagliatamente le Crypto Wars (le guerre della crittografia), degli anni 1990. L'uso di "Code Rebels" nel titolo del libro è un sinonimo per riferirsi ai cypherpunks.
Il cypherpunk è un termine è leggermente ambiguo. Nella maggior parte dei contesti può significare l'individuo che sostiene la crittografia come strumento per il cambiamento, l'impatto e l'espressione sociale. Tuttavia, il termine può essere usato anche per indicare un partecipante della mailing list dei cypherpunks. Le due definizioni si sovrappongono ma non sono affatto sinonimi.[senza fonte]
I documenti che esemplificano l'ideologia dei cypherpunks sono: The Crypto Anarchist Manifesto del 1992[23] e The Cyphernomicon del 1994,[24] entrambi i testi sono stati scritti da Timothy C. May e A Cypherpunk's Manifesto scritto da Eric Hughes nel 1993.[20]
Un problema di base che si verifica nei cypherpunks è la libertà e segretezza della corrispondenza e la conservazione dei dati. John Gilmore disse che voleva: "una garanzia tramite la fisica e matematica e non con la legge... avere la possibilità di avere la vera privacy nelle comunicazioni personali."[25]
Tali garanzie richiedono una crittografia forte, i cypherpunks sono fondamentalmente contrari alle politiche governative che tentano di controllare l'uso o l'esportazione della crittografia, il quale rimase un problema fino alla fine degli anni 1990. Il Cypherpunk Manifesto stabilisce che "I cypherpunks si lamentano delle norme sulla crittografia, perché di fatto essa è fondamentalmente un atto privato".[20]
Questo fu un serio problema per molti cypherpunks. La maggior parte erano contrari ai vari tentativi governativi di limitare la crittografia... come ad esempio le leggi di esportazione, la promozione dei cifrari di lunghezza limitata ma soprattutto la key escrow.[senza fonte]
Nonostante le questioni dell'anonimato, dello pseudonimo e della reputazione sono state ampiamente discusse.
Probabilmente, la possibilità di parlare e pubblicare in forma anonima è vitale per una società aperta che concede una vera libertà di parola... questo è ciò che pensano la maggior parte dei cypherpunks.[20] Il fatto che gli articoli e i saggi contenuti nel The Federalist Papers siano stati originariamente pubblicati con uno pseudonimo è un chiaro esempio.
Generalmente, i cypherpunks erano contrari alla censura e al monitoraggio da parte del governo e della polizia.
In particolare, lo schema del chip Clipper sviluppato dall'Agenzia per la sicurezza nazionale per la cifratura a key escrow per le conversazioni telefoniche (un tipo di crittografia presumibilmente sicura contro la maggior parte dei malintenzionati, ma facilmente vulnerabile per il governo). Questo fu un problema che provocò una forte opposizione ma al tempo stesso portò molte nuove reclute nei ranghi dei cypherpunks. Matt Blaze il quale faceva parte della lista, trovò un grave errore nel protocollo, contribuì involontariamente ad accelerare la scomparsa di tale schema.[26]
Steven Schear suggerì per la prima volta il warrant canary nel 2002 per contrastare le disposizioni sulla segretezza dei mandati e dei provvedimenti della sicurezza nazionale. A partire dal 2013, i warrant canaries iniziarono ad ottenere l'accettazione commerciale.[27]
Una serie importante di discussioni riguardante l'utilizzo della crittografia in presenza di autorità oppressive. Di conseguenza, i cypherpunks hanno discusso e migliorato i metodi steganografici il quale nascondono l'uso della crittografia stessa, o che permettono agli interrogatori di credere di aver forzatamente estratto informazioni nascoste da un soggetto. Ad esempio, il Rubberhose era uno strumento che partizionava e mescolava dei dati segreti su un'unità con dati segreti falsi, ognuno dei quali accessibili tramite una password differente. Gli interrogatori, dopo aver estratto una password, sono indotti a credere di aver effettivamente sbloccato i segreti desiderati, ma in realtà i dati veri sono ancora nascosti. In altre parole, anche la sua presenza è nascosta. Allo stesso modo, anche i cypherpunks discussero in quali condizioni la crittografia potesse essere utilizzata senza essere rilevata dai sistemi di monitoraggio della rete installati dai regimi oppressivi.[senza fonte]
Come dice il Manifesto: "I cypherpunks scrivono il codice";[20] il concetto che le buone idee debbano essere implementate, non solo discusse, è una parte integrante della cultura della mailing list. John Gilmore, il cui sito ospitava la mailing list originale dei cypherpunks, dice che: "Siamo letteralmente ad una gara tra la nostra capacità di costruire e implementare la tecnologia e la loro capacità di costruire e applicare le leggi e i trattati. È probabile che nessuna delle due parti si ritirerà fino a quando non avrà definitivamente perso la competizione".[28]
I remailers anonimi come il Mixmaster Remailer erano quasi interamente sviluppati dai cypherpunks. Tra gli altri progetti in cui sono stati coinvolti, era presente anche il Pretty Good Privacy per la privacy delle email, FreeS/WAN per la crittografia opportunistica dell'intera rete, Off-the-Record Messaging per la privacy delle chat ed infine Tor per la navigazione anonima.[senza fonte]
Nel 1998, l'Electronic Frontier Foundation, con l'assistenza della mailing list, hanno costruito il Deep Crack noto anche come EFF DES cracker, un dispositivo dal valore di $200,000, in grado di recuperare la chiave segreta di un messaggio cifrato tramite la Data Encryption Standard, conducendo un attacco a forza bruta.[29] Il progetto ha dimostrato che il DES era, senza alcun dubbio, un cifrario a blocchi non sicuro e obsoleto, in netto contrasto con la raccomandazione del governo statunitense dell'algoritmo.
I cypherpunks hanno partecipato, insieme ad altri esperti, a diversi rapporti su questioni crittografiche.
Tra questi documenti vi era anche il "Minimal Key Lengths for Symmetric Ciphers to Provide Adequate Commercial Security".[30] Tale documento, suggeriva che i 75 bit fossero la dimensione minima della chiave, il quale permette ad un cifrario esistente di essere considerato sicuro e mantenuto in servizio. A suo tempo, il Data Encryption Standard con chiavi a 56 bit era ancora uno standard del governo statunitense, obbligatorio per alcune applicazioni.[senza fonte]
Altri documenti invece riguardavano l'analisi critica degli schemi governativi. Ad esempio in "The Risks of Key Recovery, Key Escrow, and Trusted Third-Party Encryption", venivano esaminate le varie proposte di key escrow.[31] Mentre in "Comments on the Carnivore System Technical Review" si parlava di un sistema dell'FBI che monitorava le email.[32]
Al National Research Council del 1996, i cypherpunks contribuirono in modo significativo tramite un rapporto sulla politica della cifratura, intitolato "Cryptography's Role In Securing the Information Society".[33] Questo documento, commissionato dal Congresso statunitense nel 1993, fu sviluppato attraverso ampie audizioni in tutta la nazione da parte di tutte le parti interessate, il comitato era formato da persone talentuose. Esso ha raccomandato un rilassamento progressivo delle attuali restrizioni governative statunitensi sulla crittografia. Come tanti altri documenti sugli studi, le sue conclusioni furono ampiamente ignorate dai politici. Successivamente altri eventi come le sentenze finali nelle cause dei cypherpunks, costrinsero ad un rilassamento ulteriore ma stavolta più completo riguardo ai controlli incostituzionali di un software crittografico.[senza fonte]
I cypherpunks hanno presentato un gran numero di cause, la maggior parte di esse contro il governo degli Stati Uniti il quale si afferma che alcune azioni prese dal governo risultino essere incostituzionali.
Nel 1994, Phil Karn citò in giudizio il Dipartimento di Stato per i controlli di esportazione della crittografia[34], dopo aver stabilito che, mentre il libro Applied Cryptography[35] potrebbe essere legalmente esportato, un floppy disk contenente una copia letterale del codice stampato nel libro era legalmente una bomba ed inoltre richiedeva anche un permesso di esportazione, il quale non venne mai concesso. Lo stesso Karn apparve persino davanti alle commissioni della Camera e del Senato per esaminare e discutere dei problemi relativi alla crittografia.
Daniel J. Bernstein, sostenuto dalla Electronic Frontier Foundation, anche lui citò le restrizioni all'esportazione, affermò che impedire alla pubblicazione del codice sorgente crittografico fosse una restrizione incostituzionale alla libertà di espressione. Dopo il suo discorso, riuscì a vincere la causa rovesciando di fatto la legge sull'esportazione.
Dopo Bernstein, altri seguirono il suo esempio, come Peter Junger il quale citò in giudizio altri motivi simili e riuscì anche lui a vincere.
I cypherpunks incoraggiavano alla disobbedienza civile, in particolare riguardo alla legge statunitense sull'esportazione della crittografia. Fino al 1997, il codice crittografico era legalmente una bomba, le restrizioni sulla lunghezza della chiave nell'EAR rimasero fino al 2000.
Nel 1995, Adam Back scrisse una versione dell'algoritmo RSA per la crittografia asimmetrica in tre righe di Perl, suggerì alle persone di usarlo come un file di firma email:[36][37]
#!/bin/perl -sp0777i<X+d*lMLa^*lN%0]dsXx++lMlN/dsM0<j]dsj
$/=unpack('H*',$_);$_=`echo 16dio\U$k"SK$/SM$n\EsN0p[lN*1
lK[d2%Sa2/d0$^Ixp"|dc`;s/\W//g;$_=pack('H*',/((..)*)$/)
Vince Cate creò una pagina web che invitava chiunque a diventare un trafficante di armi internazionale; ogni volta che qualcuno cliccava sul modulo, un articolo con le restrizioni all'esportazione, originariamente chiamato Pretty Good Privacy, successivamente divenne una copia del programma di Back che sarebbe stato spedito da un server degli Stati Uniti a uno in Anguilla. Tutto ciò ottenne un'attenzione schiacciante. C'era anche un'opzione per aggiungere il tuo nome ad una lista di trafficanti.[38][39][40]
Nel romanzo Cryptonomicon di Neal Stephenson, molti personaggi fanno parte di una mailing list chiamata "Secret Admirers". Il romanzo è chiaramente basato sulla lista dei cypherpunks, diversi cypherpunks molto famosi vengono menzionati nei ringraziamenti. Gran parte della trama ruota attorno alle idee dei cypherpunks; i protagonisti del romanzo stanno costruendo un paradiso di dati che permetterà di effettuare in modo anonimo delle transazioni finanziarie, il libro tratta molto la tematica della crittografia. Secondo l'autore stesso, il titolo del libro nonostante abbia una fonetica simile non è basato sul Cyphernomicon, un documento online dedicato alle FAQ dei cypherpunks.[41][42]
Le vittorie conseguite dai cypherpunks sarebbero poi state utilizzate anche per il portafoglio elettronico canadese, il MintChip, successivamente porterà anche alla creazione del bitcoin. Fu di grande ispirazione per il CryptoParty decenni dopo a tal punto che il Cypherpunk Manifesto fu citato all'intestazione della loro wiki.[43] Eric Hughes pronunciò il suo discorso di apertura al CryptoParty di Amsterdam il 27 agosto 2012.[44]