Cookie free: nessun "biscotto" per spiare i lettori

Bitcoin, la moneta virtuale per transazioni reali

Privacy e sicurezza - Michela Ceria* - Massimiliano Sala** - 17 maggio 2017

I mezzi di informazione hanno ampiamente descritto la tecnica dell’attacco: il malware cifra i file contenuti nei computer attaccati con un meccanismo che solo gli hacker ricattatori possono invertire, e quindi li rende inservibili.

L'unico modo per riavere i propri file è pagare una sorta di riscatto, utilizzando i bitcoin.

Il Bitcoin rappresenta il primo esempio di crittovaluta a larga diffusione. Con crittovaluta si intende una valuta totalmente virtuale, senza contraltare fisico quale monete o banconote, in cui ogni scambio viene effettuato in maniera totalmente digitale. Si tratta di una "critto"-valuta, perché la sua gestione non dipende da nessun organismo centrale (come per esempio sarebbe una banca per euro e dollari), ma si basa solamente sull'utilizzo della crittografia. Altre due caratteristiche importanti di una crittovaluta sono l'essere decentralizzata e il basarsi su un protocollo peer-to-peer.

Il Bitcoin è stato introdotto nel 2009, realizzando l'idea teorica presentata in un articolo del 2008 da Satoshi Nakamoto, pseudonimo per una persona (o più persone?), la cui identità risulta ancora sconosciuta.
La tecnologia fondante per il Bitcoin è la Blockchain, altro tema piuttosto caldo in questi ultimi tempi, viste le sue svariate applicazioni, anche molto lontane dall’argomento "valute e pagamenti".

Gli utilizzatori del Bitcoin sono i cosiddetti "nodi" e formano il network Bitcoin.
Per diventare un nodo Bitcoin, ovvero per utilizzare i bitcoin, basta possedere una connessione Internet ed un apposito programma, chiamato "portafoglio Bitcoin" (eWallet).
L'informazione più importante conservata nell'eWallet consiste in una coppia di chiavi crittografiche (la chiave pubblica e la chiave privata) e una stringa alfanumerica chiamata  "indirizzo Bitcoin".

Le chiavi e l'indirizzo sono indispensabili per scambiare e ricevere bitcoin. In particolare, se rapportiamo le chiavi ai dati relativi ad un conto bancario, possiamo pensare alla chiave pubblica come ai dati pubblici del conto ed alla chiave privata come al PIN della nostra carta di pagamento. L'indirizzo altro non è che l'equivalente dell'IBAN del conto, cioè l'unica informazione che noi comunichiamo affinché terzi possano effettuare dei pagamenti verso di noi. Insomma, i dati privati ci permettono di spendere i bitcoin, i dati pubblici di riceverli dagli altri.

Una cosa molto importante, che fa da base alla sicurezza del nostro e-Wallet, è che conoscendo la chiave privata è facile calcolare la chiave pubblica, così come è facile calcolare l'indirizzo dalla chiave pubblica. Ma è estremamente difficile tornare indietro, quindi anche se tutti conoscono i dati pubblici, nessuno può, in linea di principio, arrivare ai nostri dati privati e spendere la valuta al posto nostro.

Di effettuare il pagamento si occupa il nostro e-Wallet. Ma vediamo un po' più nel dettaglio cosa effettivamente avviene al suo interno.
I bitcoin vengono mossi da un e-Wallet all'altro utilizzando una "transazione". Supponiamo di essere in un negozio e di voler pagare i nostri acquisti in bitcoin. Quello che facciamo è di chiedere all'esercente il suo indirizzo Bitcoin e creare, con il nostro e-Wallet, una transazione verso quell'indirizzo.

All'interno della transazione specifichiamo: il quantitativo di bitcoin da spendere, una prova che attesti che noi li possediamo veramente, l'indirizzo dell'e-Wallet del negoziante a cui inviarli e la nostra "firma digitale". La firma digitale fornisce una prova crittografica inconfutabile del fatto che noi siamo i proprietari dei Bitcoin che stiamo spendendo.

Le transazioni, una volta create, si diffondono in tutto il network, che ne controlla la correttezza, ed infine vengono validate da server speciali del network, i "minatori" (miner), che provvedono ad inserire le transazioni da validare nella blockchain del Bitcoin. Questa funge da registro pubblico ed immutabile di tutte le transazioni validate, liberamente consultabile.

Il nome "blockchain" deriva dall’essere una catena di blocchi, ciascuno contenente un po' di transazioni, legati crittograficamente tra loro in modo che sia impossibile manometterli (almeno in linea di principio).
In particolare, ogni blocco contiene una sorta di impronta digitale crittografica degli altri blocchi; di conseguenza, modificandone uno bisognerebbe cambiare buona parte della catena, con costi computazionali insostenibili.

Ora che abbiamo un'idea più precisa sul funzionamento del sistema Bitcoin, torniamo ai fatti di cronaca di questi giorni.

Il sistema Bitcoin ha una serie di particolarità che puntano a garantire l'anonimato di chi si scambia le transazioni.

In primis, le transazioni vengono spedite ad indirizzi Bitcoin, che sembrano stringhe random di numeri e lettere, e che sono l'unica traccia sull'identità digitale degli utenti. Quindi non c'è un legame predefinito con l'identità dell'utente nella vita reale: per entrare nel network Bitcoin nessun documento viene richiesto, basta scaricare un programma e via.

Secundum, ogni transazione originata da noi (per esempio dal nostro smartphone) si diffonde nel network per il controllo di correttezza e validità con il meccanismo del peer-to-peer, quindi viene scambiata tra migliaia di nodi rendendo difficile capire la sua origine, e questo protegge l'identità del nostro device. Queste due caratteristiche rendono allettante l'uso del Bitcoin da parte di criminali che non vogliono farsi rintracciare.

In realtà l'anonimato nel Bitcoin non è sempre garantito, nemmeno se ci si fida ciecamente della crittografia, infatti si afferma generalmente che il Bitcoin è solo pseudo-anonimo.

Intanto, ci sono tecniche che permettono di tracciare le transazioni relative ad un certo indirizzo ed inferire su chi potrebbe essere la persona fisica corrispondente (o almeno le sue caratteristiche), in base, per esempio, a quello che compra. D'altra parte, chi vuole rimanere anonimo può anche cambiare indirizzo ad ogni transazione per evitare questo tracciamento.

In realtà è anche possibile, con delle transazioni un po' più sofisticate ma ugualmente valide, nascondere l'indirizzo ricevente, sebbene queste non vengano usate dagli hacker normalmente per questioni di praticità.

Comunque, ci sono tecniche sofisticate con cui è possibile tentare di individuare l'origine di una transazione tra i nodi del network. Combinando sapientemente le tecniche note è possibile, con una certa probabilità, arrivare alle identità reali di chi sta usando i bitcoin, anche sfruttando il passaggio tra monete tradizionali e bitcoin, ovvero quando un utente compra bitcoin in cambio, per esempio di euro o dollari, oppure viceversa quando un utente vende i propri bitcoin in cambio di valute tradizionali.

Potremmo riassumere dicendo che, dal punto di vista degli hacker, il sistema Bitcoin è un sistema pratico e "abbastanza anonimo", in cui cioè è piuttosto complicato identificare gli utenti. Se aggiungiamo che l'ecosistema Bitcoin non è ancora soggetto a regolamentazione precisa, diventa evidente la spinta a usare i bitcoin in situazioni come quella che stiamo descrivendo.

Per concludere, rimarchiamo che il Bitcoin, per quanto sia il più famoso, non è l'unica crittovaluta diffusa ed esistono anche altre valute virtuali (almeno 700 al momento). Ad esempio, crittovalute come Monero puntano in maniera più stringente sull'anonimato degli utenti, mentre altre come Ether puntano a estendere gli usi della crittovaluta oltre le transazioni finanziarie.

* Dr. PHD. Michela Ceria
Assegnista di Ricerca presso il Dipartimento di Matematica dell'Università degli Studi di Trento e membro del Laboratorio di Crittografia e Matematica Industriale (CryptoLabTN).

** Prof. Massimiliano Sala
Professore Ordinario di Algebra presso il Dipartimento di Matematica dell'Università degli Studi di Trento e Direttore del Laboratorio di Crittografia e Matematica Industriale (CryptoLabTN)

Il CryptoLabTN dell'Università degli Studi di Trento ha in programma per lunedì 22 Maggio 2017 proprio una giornata di divulgazione sulle diverse crittovalute.
Per informazioni: cryptolabmat[at]unitn.it