Simon Singh - Codici e Segreti
Short Description
MISTERO...
Description
SIMON SINGH
Codici & Segreti Simon Singh è nato nel Somerset da una famiglia originaria del Punjab. Ha studiato all’Imperial College di Londra e ha ottenuto un Ph.D. in fisica delle particelle presso l’Università di Cambridge e il Cern di Ginevra. Ha lavorato come direttore e produttore di programmi scientifici per la BBC. Tra i suoi libri, L’ultimo Teorema di Fermat (1997, disponibile in BUR) e Big Bang (Rizzoli 2004). Vive a Londra, Inghilterra.
Simon Singh in BUR L’Ultimo Teorema di Fermat L’avventura di un genio, di un problema matematico e dell’uomo che lo ha risolto
La storia di un teorema tra i più impenetrabili della matematica. Simon Singh la ripercorre sulla falsariga di un thriller matematico che ha nel tempo coinvolto generazioni di studiosi. Saggi - Pagine 360 - ISBN 1711291
Proprietà letteraria riservata © 1999 by Simon Singh © 1999 RCS Libri S.p.A., M ilano
ISBN 978-88-17-12539-0
Titolo originale dell’opera: The Code Book
Edizione italiana a cura di Stefano Galli Edizione digitale a cura di M arzolino
Prima edizione Rizzoli 1999 Prima edizione BUR Saggi aprile 2001 Prima edizione digitale su TNT Village settembre 2014
Author photo © Nigel Spalding
www.bur.eu
A mia madre e a mio padre, Sawaran Kaur and Mehnga Singh
Il desiderio di svelare segreti è profondamente radicato nella natura umana; la promessa di partecipare a conoscenze negate ad altri eccita anche la mente meno curiosa. Qualcuno ha la fortuna di trovare un lavoro che consiste nella soluzione di misteri, ma la maggior parte di noi è spinta a soddisfare questo desiderio risolvendo enigmi artificiali ideati per il nostro divertimento. I romanzi polizieschi o i cruciverba sono rivolti alla maggioranza; la soluzione di codici segreti può essere l’occupazione di pochi.
John Chadwick The Decipherment of Linear B
Indice
Copertina L’Autore Dello stesso Autore Frontespizio Copyright Dedica Epigrafe Introduzione 1 La corrispondenza cifrata di Maria Stuarda 2 «Le Chiffre Indéchiffrable» 3 L’automazione della sicurezza 4 Far breccia in Enigma 5 La barriera del linguaggio 6 Il segreto alla luce del sole di Alice e Bob 7 Una riservatezza niente male 8 Un salto quantico nel futuro Partecipate alla sfida crittografica Appendici Glossario Ringraziamenti Letture consigliate - Bibliografia Fonti delle illustazioni
Introduzione
P
er migliaia di anni, re, regine e generali hanno avuto bisogno di comunicazioni efficienti per governare i loro Paesi e comandare i loro eserciti. Nel contempo, essi compresero quali conseguenze avrebbe avuto la caduta dei loro messaggi in mani ostili: informazioni preziose sarebbero state a disposizione delle nazioni rivali e degli eserciti nemici. Fu il pericolo dell’intercettazione da parte degli avversari a promuovere lo sviluppo di codici e cifre, tecniche di alterazione del messaggio destinate a renderlo comprensibile solo alle persone autorizzate. Il bisogno di segretezza ha indotto le nazioni a creare segreterie alle cifre e dipartimenti di crittografia. È stato loro compito garantire la sicurezza delle comunicazioni, escogitando e impiegando i migliori sistemi di scrittura segreta. Nello stesso tempo, i decrittatori hanno tentato di far breccia in quei sistemi e carpire i dati che custodivano. Crittografi e decrittatori sono cercatori di significati, alchimisti votati alla trasmutazione di astruse serie di segni in parole dotate di senso. La storia dei codici è la storia dell’antica, secolare battaglia tra inventori e solutori di scritture segrete; una corsa agli armamenti intellettuale il cui impatto sulle vicende umane è stato profondo. Scrivendo Codici e segreti mi sono proposto due obiettivi principali. Il primo è ricostruire l’evoluzione delle scritture segrete. Evoluzione è un termine del tutto appropriato, perché lo sviluppo della crittografia può essere considerato una forma di lotta per la sopravvivenza. Un codice è costantemente esposto alle insidie dei decrittatori. Quando essi creano una nuova tecnica di analisi che sfrutta un suo punto debole, il codice diventa inutile; può cadere in disuso, o evolvere in un codice nuovo e più forte. Quest’ultimo prospera finché i decrittatori non scoprono un suo punto debole, e così via. La situazione è simile a quella di un ceppo batterico. Il ceppo può sopravvivere e diffondersi finché i medici non scoprono un antibiotico capace di debellarlo. A questo punto il ceppo è costretto a sviluppare caratteristiche inedite, che lo mettano al riparo dall’antibiotico; se ci riesce potrà sopravvivere e diffondersi. I batteri devono modificarsi continuamente, per resistere all’assalto dei nuovi farmaci. La lunga battaglia tra inventori e solutori di codici ha prodotto importanti progressi scientifici. Gl’inventori hanno creato codici sempre più resistenti mentre i solutori, per farvi breccia, hanno escogitato metodi sempre più sofisticati. Nello sforzo di tutelare e, rispettivamente, violare la segretezza, gli opposti schieramenti hanno attinto a
un’ampia gamma di scienze e specializzazioni, dalla matematica alla linguistica, dalla teoria dell’informazione alla fisica quantistica. A loro volta, inventori e solutori di codici hanno arricchito queste discipline, e il loro lavoro ha accelerato il progresso tecnologico, come è dimostrato dal caso dei calcolatori. Non è difficile trovare circostanze in cui la decifrazione di un messaggio ha deciso l’esito di una battaglia o il destino di una testa coronata. Ho quindi potuto ricorrere a noti intrighi politici, e a vicende sospese tra la vita e la morte, per illustrare alcune fasi decisive dell’evoluzione della crittografia. In effetti, la storia dei codici è così ricca di aspetti drammatici che ho dovuto tralasciare molti episodi affascinanti, e la mia ricostruzione è tutt’altro che completa. Chiedo scusa al lettore se ho omesso il suo episodio o il suo decrittatore preferito; ho comunque preparato un elenco di titoli che spero soddisferà quanti desiderano approfondire l’argomento. Affrontata l’evoluzione dei codici e il suo impatto sulla storia, il secondo obiettivo del libro è dimostrare che attualmente le scritture segrete sono ancora più importanti che in passato. Man mano che l’informazione diventa la materia prima più preziosa, e la rivoluzione delle comunicazioni trasforma la società, l’arte di rendere accessibili i messaggi solo ai destinatari, ovvero di crittarli, diventa sempre più rilevante per la vita di tutti i giorni. Oggi le nostre telefonate rimbalzano dai satelliti e i nostri e-mail passano attraverso catene di elaboratori elettronici; in entrambi i casi le occasioni di intercettazione sono innumerevoli, e la nostra privacy è messa a repentaglio. In modo analogo, sempre più transazioni sono effettuate via Internet, e la tutela della privacy è indispensabile tanto ai grandi operatori quanto al singolo cliente. La crittografia è il solo strumento in grado di garantire la riservatezza di tutti e il successo del commercio telematico. Sarà compito di questa disciplina forgiare le chiavi e le serrature dell’Età dell’informazione. D’altra parte, il naturale desiderio di riservatezza dei cittadini e la crescente domanda di crittografia si scontrano con le esigenze della legalità e della sicurezza nazionale. Per decenni, corpi di polizia e servizi di controspionaggio sono ricorsi alle intercettazioni per contrastare i gruppi terroristici e il crimine organizzato; ma il recente sviluppo di codici super-resistenti potrebbe togliere a quest’arma gran parte della sua efficacia. La soglia del terzo millennio è sempre più vicina, e le forze politiche di tendenza progressista sono favorevoli a un ampio uso della crittografia per tutelare il diritto alla riservatezza; con loro tende a schierarsi la comunità degli affari, che ha bisogno di codici sicuri per proteggere le compravendite via computer - un’attività in rapida espansione. D’altronde, coloro che devono garantire la sicurezza collettiva premono in senso opposto. Il problema è, cosa consideriamo prioritario: la nostra privacy o la tutela dell’’ordine pubblico? Oppure si può trovare un compromesso? Ho sottolineato la crescente importanza della crittografia civile, ma è bene
precisare che la crittografia militare è tutt’altro che superata. Se la prima guerra mondiale è stata definita la guerra dei chimici, a causa dell’impiego senza precedenti dei gas tossici, e la seconda la guerra dei fisici, perché ha visto per la prima volta l’impiego bellico dell’energia atomica, il terzo conflitto mondiale potrebbe essere la guerra dei matematici. Essi sono infatti gli specialisti della super-arma del futuro: l’informazione. Sia nella creazione dei codici che attualmente proteggono le informazioni militari, sia nei tentativi di violarli, i matematici sono in prima linea. Nel discutere l’evoluzione dei codici e le sue conseguenze storiche, mi sono concesso una modesta divagazione. Il quinto capitolo si sofferma sulla decifrazione di due scritture dell’Antichità: i geroglifici egiziani e il lineare B della Grecia preomerica. In senso stretto, la crittografia riguarda testi resi incomprensibili per ragioni di sicurezza, mentre gli scritti delle antiche civiltà non miravano all’incomprensibilità; quest’ultima era il prodotto accidentale della nostra ignoranza. Tuttavia, i metodi e le intuizioni che hanno permesso di decifrare quelle scritture ricordano da vicino il modus operandi della crittografia. Fin dalla lettura di La decifrazione del lineare B, il racconto di John Chadwick di come fu svelato il significato di un antico testo, mi ha colpito la straordinaria perspicacia degli uomini e delle donne che ci hanno permesso di leggere gli scritti dei nostri progenitori. In tal modo, preziose testimonianze sulla loro civiltà, religione e vita quotidiana sono diventate accessibili. Devo inoltre qualche scusa ai puristi per il titolo del libro, e per l’uso un po’ disinvolto della terminologia in questa introduzione. In senso stretto, il Libro dei codici riguarda più che i soli codici. La parola «codice» designa un tipo particolare di scrittura segreta, il cui uso è andato scemando nel corso dei secoli. È il tipo in cui una parola, o una frase, sono sostituiti da un’altra parola, frase, numero o simbolo. Per esempio, gli agenti segreti hanno nomi in codice; si tratta di parole usate in messaggi e documenti al posto dei nomi e cognomi veri, per tener celata la loro identità. Allo stesso modo, nelle comunicazioni tra uno stato maggiore e un comandante sul campo di battaglia l’ordine «attaccare all’alba» potrebbe essere rimpiazzato dalla parola «Jupiter», per non mettere sull’avviso il nemico. Purché il quartier generale e il comandante si siano accordati in anticipo, un messaggio sintetico come «Jupiter» sarà chiaro ed esauriente per questi, ma incomprensibile per il nemico che l’abbia intercettato. L’alternativa al codice è la cifratura, una tecnica che opera a un livello più fondamentale perché comporta la sostituzione non delle parole, ma delle lettere. Così, una cifratura basata sulla sostituzione di ciascun segno alfabetico col successivo trasformerebbe la frase «attaccare all’alba» nella sequenza «buubddbsf bmm’bmcb». In crittografia, la cifratura è così importante che questo saggio dovrebbe chiamarsi Codici, cifrature e segreti. Tuttavia, ho sacrificato la precisione alla concisione.
Man mano che se ne presentava la necessità, ho definito i termini tecnici usati in crittografia. Benché in generale mi sia attenuto alle definizioni, in qualche caso ho adoperato una parola tecnicamente meno accurata, ma a mio parere più accessibile ai non specialisti. Per esempio, riferendomi a chi cerca di interpretare un messaggio cifrato ho usato talvolta l’espressione «solutore di codici» [codebreaker], invece del più accurato «solutore di cifrature» [cipherbreaker]. Mi sono comportato in tal modo solo quando il senso dell’espressione era chiarito dal contesto. Al termine del volume c’è un glossario, ma il più delle volte il gergo dell’arte crittografica è abbastanza trasparente; per esempio, «testo chiaro» e «testo cifrato» pur essendo espressioni tecniche non richiedono particolari spiegazioni. Vorrei sottolineare, infine, una specifica difficoltà in cui si imbatte chi scrive di crittografia: mi riferisco al fatto che si tratta di una disciplina in gran parte segreta. Molti protagonisti di questo libro non ottennero, in vita, alcun riconoscimento. Questo perché i loro contributi non potevano essere divulgati, finché erano suscettibili di impiego in campo diplomatico o militare. Raccogliendo il materiale per questo saggio ho potuto discutere con esperti del Quartier generale delle comunicazioni del Governo britannico (GCHQ). Da essi ho appreso i particolari di alcune affascinanti ricerche, che avevano appena cessato di essere coperte dal segreto. L’abolizione del segreto ha permesso a tre dei più abili crittografi al mondo di ottenere i riconoscimenti che meritavano. Ma questo recente episodio dimostra l’esistenza di molte altre scoperte e ricerche di cui né io, né alcun autore siamo a conoscenza. Enti come il GCHQ e la National Security Agency (NSA) americana continuano a compiere studi ultrariservati sulla crittografia; ovviamente, le conoscenze che ne derivano non sono divulgate, e i loro autori restano anonimi. Nonostante la cortina di segreto innalzata dalle autorità di governo, ho dedicato l’ultimo capitolo del libro alla discussione del futuro dei codici e delle cifrature. In sostanza, esso costituisce un tentativo di capire se l’esito della competizione evolutiva tra inventori e solutori di codici possa essere previsto. Riusciranno i primi a creare un codice veramente inviolabile? O i secondi a realizzare un congegno capace di decifrare qualsiasi messaggio? Visto che alcune delle intelligenze più brillanti sono all’opera in laboratori inaccessibili, e che a loro è destinata la maggior parte dei finanziamenti in questo campo, è chiaro che le conclusioni tratte nell’ultimo capitolo hanno un ampio margine di errore. Ho affermato per esempio che i computer quantistici - calcolatori capaci, in linea di principio, di violare tutti i codici oggi in uso - sono ancora in fase embrionale; d’altra parte, non mi sento di escludere in modo tassativo che la NSA ne possieda già uno funzionante. Per fortuna, le sole persone che potrebbero denunciare i miei errori sono quelle che, per la loro posizione, non sono libere di farlo.
1 La corrispondenza cifrata di Maria Stuarda
M
ercoledì 15 ottobre 1586. È mattina. Maria Stuarda entra nell’affollata aula di giustizia del castello di Fotheringhay. Anni di prigionia e l’insorgere di una malattia reumatica hanno lasciato il segno, ma la regina è dignitosa, composta e incontestabilmente regale. Scortata dal medico oltrepassa magistrati, dignitari e curiosi, dirigendosi verso il trono posto circa a metà del locale lungo e stretto. Pensa che sia per lei, in segno di rispetto, ma si sbaglia: il trono simboleggia l’assente Elisabetta, sua nemica e persecutrice. Gentilmente la spingono verso il fondo della sala, dove una poltroncina di velluto cremisi è il modesto sedile riservato all’imputata. Maria, regina degli scozzesi, è accusata di tradimento: avrebbe partecipato a un complotto mirante a sopprimere Elisabetta e a porla sul trono d’Inghilterra al posto dell’uccisa. Il segretario di Stato, Sir Francis Walsingham, ha già arrestato gli altri cospiratori, e dopo averli costretti a confessare li ha consegnati al boia. Ora intende dimostrare che la Stuarda merita la morte, perché era al corrente della congiura e vi ha partecipato attivamente. Walsingham sa bene che Elisabetta non firmerà la condanna se non sarà certa della colpevolezza della Stuarda. Infatti pur temendo e avendo in antipatia la rivale, per varie ragioni non è ansiosa di consegnarla al carnefice. In primo luogo Maria è regina di Scozia, e molti dubitano che mandare a morte il capo di un Paese straniero rientri nei poteri di un tribunale inglese. In secondo luogo, l’esecuzione può creare un pericoloso precedente: se uno Stato si arroga il diritto di sopprimere un monarca, i capi di un’eventuale rivolta non avranno scrupoli a fare lo stesso - ed Elisabetta ha ancora molti nemici. In terzo luogo, l’imputata è sua cugina - un legame abbastanza stretto per aumentare la sua titubanza. In breve, ella non autorizzerà l’esecuzione a meno che Walsingham abbia fugato ogni dubbio sul ruolo di Maria nella congiura.
Figura 1 M aria Stuarda regina degli scozzesi.(fonte)
I cospiratori erano nobili cattolici, decisi a sbarazzarsi della protestante Elisabetta per insediare un sovrano della loro confessione. La corte non esita a credere ch’essi considerassero la Stuarda il principale punto di riferimento politico; questo non significa però che le loro trame abbiano avuto la sua benedizione. In realtà l’hanno avuta, e per Walsingham la sfida sta nel dimostrarlo; deve presentare prove irrefutabili che colleghino la regina di Scozia agli uomini che ha già fatto condannare.
È il mattino del primo giorno del processo, e Maria siede sola al banco degli imputati, luttuosamente vestita di nero. Nei processi per tradimento l’accusato non può farsi assistere, né convocare testimoni a propria discolpa. Ella non ha potuto nemmeno ricorrere a segretari per preparare la sua difesa. Eppure la situazione non le sembra disperata, perché ha avuto cura di cifrare tutta la corrispondenza coi congiurati. Sui fogli di carta, al posto di parole e frasi ha vergato simboli apparentemente privi di significato. Anche se fosse venuto in possesso di alcuni biglietti, Walsingham non saprebbe come interpretarli; tanto meno potrà servirsene per farla giustiziare. Questo, naturalmente, a condizione che la cifratura abbia resistito. Purtroppo per Maria, Walsingham non è solo il segretario di Stato ma anche, come diremmo oggi, il capo del controspionaggio. Appena visti i messaggi, ha capito chi poteva riuscire a volgerli in chiaro. Thomas Phelippes è il miglior decrittatore d’Inghilterra; da anni viene a capo dei crittogrammi dei nemici della Corona, e fornisce al suo superiore l’occorrente per arrestarli. Se riuscirà a violare la fatale corrispondenza tra Maria e i cospiratori, la morte della regina sarà inevitabile. Al contrario, se la cifratura terrà, ella potrà sperare di salvarsi. Non per la prima volta, l’inviolabilità di un crittogramma è il filo che regge una vita umana.
L’evoluzione delle scritture segrete Alcuni dei più remoti esempi di crittografia si trovano nelle Storie di Erodoto, lo storico che Cicerone considerava il «padre della storiografia». La maggior parte della sua opera è dedicata alle guerre che i greci combatterono contro l’impero persiano nel V secolo a.C. Per Erodoto non si trattò solo di uno scontro tra potenze rivali, ma di una lotta tra i valori di libertà delle póleis elleniche e l’assolutismo orientale. Ebbene, secondo Erodoto fu l’arte della scrittura segreta a salvare la Grecia da Serse, Re dei re, il dispotico signore dei persiani. La cronica inimicizia tra questi e i greci si acuì improvvisamente poco dopo l’inizio della costruzione di Persepoli, la nuova capitale voluta da Serse. Tributi e doni giunsero da ogni parte dell’impero e da quasi tutti i Paesi vicini, con la significativa eccezione di Atene e Sparta. Deciso a vendicare l’affronto, Serse cominciò ad arruolare soldati, e proclamò che avrebbe «esteso la signoria della Persia tanto che avrà per limite lo stesso Cielo divino, cosicché il sole non potrà abbassare lo sguardo su un territorio posto oltre i confini di ciò che ci appartiene». Dedicò i cinque anni seguenti all’arruolamento della più grande armata mai vista, finché, nel 480 a.C., ritenne che i tempi fossero maturi per sferrare un attacco di sorpresa. Volle il caso che di alcuni preparativi fosse testimone Demarato, un esule greco stabilitosi nella città persiana di Susa. Benché in esilio, egli era ancora legato alla Grecia da amor di patria, e decise di fare il possibile per avvisare gli spartani. Pensò di spedire un messaggio, ma come evitare che fosse intercettato dalle guardie del Re dei re? Racconta Erodoto: Infatti, il pericolo di essere scoperti era grande; gli venne in mente un solo modo di far giungere in patria l’avviso: grattar via la cera da un paio di tavolette per scrittura, annotare sul legno sottostante le intenzioni di Serse, e ricoprire il messaggio con cera nuova. In tal modo le tavolette, che sembravano vergini, furono recapitate senza insospettire le guardie. Quando il messaggio giunse a destinazione, mi risulta che nessuno immaginò la sua esistenza, finché Gorgo, moglie di Leonida, ebbe una premonizione e disse che, grattando via la cera, sul legno sarebbe apparsa una scritta. Fu fatto così, il messaggio fu trovato e letto, poi riferito agli altri greci.
Il risultato fu che gli elleni, fino a quel momento del tutto impreparati, cominciarono ad armarsi. Per esempio, le rendite delle miniere d’argento di proprietà dello Stato, di solito distribuite ai cittadini, furono messe a disposizione della marina da guerra che iniziò la costruzione di duecento navi. Quando, il 23 settembre del 480 a.C., la flotta persiana giunse davanti alla baia di Salamina, presso Atene, la possibilità di cogliere i greci di sorpresa era sfumata. Serse credette di avere imbottigliato le navi nemiche; in realtà, i greci miravano ad
attirare le sue nella baia. Le loro imbarcazioni, meno numerose e di dimensioni più modeste, in alto mare erano votate alla sconfitta, mentre in uno specchio d’acqua angusto avrebbero fatto valere la loro manovrabilità. Il vento diede una mano ai difensori, cambiando direzione e spingendo nell’insenatura la flotta di Serse, che dovette dar battaglia nel luogo e nel modo scelto dagli avversari. La principessa persiana Artemisia, circondata da tre lati, in un disperato tentativo di guadagnare il mare aperto speronò una nave amica; il panico si diffuse, ci furono altre collisioni. Intuendo il momento propizio gli elleni attaccarono con decisione, e nel volgere di un giorno la formidabile armata persiana subì una sconfitta cocente. La tecnica di scrittura segreta usata da Demarato si basava sull’occultamento del messaggio. Erodoto narra un altro episodio in cui questa tecnica fu impiegata con successo. Si tratta della storia di Istièo, che voleva incoraggiare Aristagora di Mileto a ribellarsi al re persiano. Per far giungere le relative istruzioni in modo sicuro, egli fece rasare il capo a un corriere, gli scrisse il messaggio sulla cute e aspettò che gli ricrescessero i capelli. A quel tempo, evidentemente, non si aveva sempre fretta come oggi. Poiché non sembrava dar adito ad alcun sospetto, il corriere attraversò indisturbato il territorio persiano. Giunto a destinazione si rasò il capo e lo rivolse al destinatario. La comunicazione segreta basata sull’occultamento del messaggio si chiama steganografia, dalle parole greche steganós, che significa coperto, e gráphein, che significa scrivere. Nei duemila anni trascorsi dal tempo di Erodoto, innumerevoli forme di steganografia sono state impiegate in tutto il mondo. Nell’antica Cina si dipingeva il messaggio su striscioline di seta finissima, che venivano appallottolate e coperte di cera. Le palline erano quindi inghiottite dal messaggero. Nel XVI secolo lo scienziato italiano Giambattista Della Porta spiegò come comunicare tramite un uovo sodo, preparando un inchiostro con trenta grammi di allume in mezzo litro d’aceto, e usandolo per scrivere sul guscio. La soluzione penetra nel guscio, che è poroso, senza lasciar tracce, e tinge l’albume solidificato; quest’ultimo potrà esser letto sbucciando l’uovo. È una forma di steganografia anche la scrittura con inchiostri cosiddetti simpatici. Già nel I secolo d.C. Plinio il Vecchio insegnava che dal latice di titimabo si può ricavare un inchiostro «invisibile». Trasparente una volta asciutto, il latice vira al marroncino se esposto a un calore moderato. Poiché questo comportamento è legato alla presenza del carbonio, di cui le molecole organiche sono ricche, molte sostanze biologiche si comportano allo stesso modo, ed è noto il caso di moderni agenti segreti che avendo esaurito la scorta di inchiostro simpatico «ufficiale» non hanno esitato a servirsi della loro urina. La longevità della steganografia dimostra ch’essa garantisce una certa sicurezza, ma il suo punto debole è evidente: se il latore del messaggio è attentamente perquisito, è probabile che il testo sia scoperto; in tal caso, il nemico può farne l’uso
che crede. In altre parole, la segretezza è perduta nel momento stesso dell’intercettazione. Niente impedisce alle guardie di confine, se hanno l’ordine di non trascurare alcun nascondiglio, di raschiare le tavolette, scaldare i fogli, sbucciare le uova sode, rasare le persone in transito e così via. In tal caso, è inevitabile che molti messaggi siano trovati. Perciò in parallelo con lo sviluppo della steganografia si assisté all’evoluzione della crittografia, dal greco kryptós, che significa nascosto. La crittografia non mira a nascondere il messaggio in sé, ma il suo significato. Per rendere incomprensibile un testo, lo si altera per mezzo di un procedimento concordato a suo tempo dal mittente e dal destinatario. Questi può quindi invertire il procedimento, e ricavare il testo originale. Il vantaggio della crittografia è che anche se il nemico intercetta il messaggio, esso risulta irriconoscibile e inutilizzabile. Infatti il nemico, non conoscendo il procedimento di alterazione, dovrebbe trovare difficile, se non impossibile, ricostruire il significato. Anche se la steganografia e la crittografia sono discipline indipendenti, possono essere impiegate per alterare e occultare il medesimo testo, garantendo un livello di sicurezza molto più alto. Per esempio, il «microdot», cioè la riduzione di uno scritto alle dimensioni di un punto, è una forma di steganografia che ebbe largo impiego durante la seconda guerra mondiale. Tramite un procedimento fotografico, gli agenti tedeschi in America latina trasformavano una pagina scritta in una macchia con un diametro inferiore al millimetro, che poteva essere nascosta nel puntino di una «i» in una comunicazione banale. Il primo microdot fu scoperto dall’FBI nel 1941 grazie a una soffiata. Fu consigliato agli americani di cercare, sulla superficie di una lettera, un luccichio che tradiva la presenza di una pellicola liscia. Da quel momento il controspionaggio statunitense individuò e lesse gran parte dei microdot, eccettuati i casi in cui i tedeschi, prima di rimpicciolire il messaggio, l’avevano crittato. Quando steganografia e crittografia erano usate in modo combinato, l’FBI riusciva ancora a intercettare e bloccare le comunicazioni nemiche, ma non a ricavare notizie fresche sull’attività spionistica dei tedeschi. Delle due forme di comunicazione segreta, la crittografia è comunque la più potente, opponendo la maggior resistenza alla cattura di informazioni da parte del nemico. La crittografia può essere a sua volta suddivisa in due tipi, noti come transposizione e sostituzione. Nella trasposizione, le lettere del messaggio sono mutate di posto, generando, in effetti, un anagramma. Nel caso di messaggi brevi, come una singola parola, questo metodo non dà alcuna sicurezza, perché una manciata di caratteri alfabetici può essere combinata in pochi modi diversi. Così, una parola di tre lettere ammette al massimo sei anagrammi. Tuttavia, col crescere della lunghezza del messaggio il numero di anagrammi «esplode», rendendo di fatto impossibile la sua ricostruzione per prove ed errori. Per esempio, prendiamo
questa breve frase: le 35 lettere da cui è formata possono essere allineate in più di 6.000.000.000.000.000.000.000.000.000.000 (seimila miliardi di miliardi di miliardi) di modi diversi. Se un uomo potesse controllare una combinazione al secondo, e l’intera popolazione terrestre si dedicasse giorno e notte solo a questo compito, per controllare tutte le combinazioni occorrerebbe un tempo pari a innumerevoli volte l’età dell’universo. La trasposizione casuale delle lettere garantisce in teoria la massima inviolabilità, nel senso che in caso d’intercettazione da parte del nemico la ricostruzione del testo originale sarebbe impossibile. D’altra parte una simile comunicazione segreta sarebbe inutilizzabile anche per il destinatario. Per essere efficace, la ricombinazione deve ubbidire a un criterio fissato in anticipo dai corrispondenti ma - si spera ignoto al nemico. Gli scolari si servono a volte di una trasposizione detta «a inferriata». Essa consiste nella trascrizione di un testo lungo due linee orizzontali, una superiore e una inferiore, passando da una all’altra a ogni successivo carattere alfabetico. Finita la trascrizione, la seconda fila di caratteri sarà accodata alla prima per dare origine al testo cifrato. Per esempio:
Il destinatario può riordinare il testo eseguendo la trasposizione in senso inverso. Sono stati impiegati molti altri tipi di trasposizione, compresa la cifratura a inferriata con tre file di caratteri invece di due; quella in cui il passaggio da una linea all’altra avviene dopo due caratteri invece che dopo ogni singolo carattere; e così via. Un altro tipo rimanda niente meno che alla prima tecnica nota di crittografia militare, la scitale spartana del V secolo a.C. La scitale era un’asticciola di legno intorno alla quale veniva arrotolata una striscia di pelle o pergamena, come mostrato nella figura 2. Il mittente scriveva il messaggio lungo l’asticciola, quindi svolgeva la striscia, che recava su di sé una serie di lettere apparentemente priva di senso: la trasposizione era stata effettuata. La striscia di pelle o pergamena poteva essere camuffata da cintura, uno stratagemma steganografico che sommava la sua efficacia alla trasposizione crittografica. Per ricostruire il messaggio, al destinatario era sufficiente avvolgere la striscia su una scitale dello stesso diametro di quella usata dal mittente. Nel 404 a.C. lo spartano Lisandro ricevette un corriere pesto e insanguinato, uno dei cinque sopravvissuti all’attraversamento del territorio persiano. Il corriere porse la «cintura» a Lisandro, che l’avvolse intorno all’asticciola e
apprese che il persiano Farnabazo progettava di attaccarlo. Ebbe così il tempo di prepararsi, e il nemico fu respinto.
Figura 2 Una volta srotolata dalla scitale (asta lignea) del mittente, la striscia di cuoio sembra recare una serie di lettere senza senso: M , U, F, A.… Solo avvolgendola attorno a una scitale dello stesso diametro ricompare un messaggio dotato di senso.
L’alternativa alla trasposizione è la sostituzione. Una delle più antiche descrizioni di cifratura per sostituzione si trova nel Kāma-Sūtra, opera del brahmino Vātsyāyana, un erudito del IV secolo d.C. che utilizzò manoscritti risalenti anche al IV secolo a.C. Il Kāma-Sūtra raccomanda che le donne studino 64 arti, comprese la preparazione dei cibi, l’abbigliamento, il massaggio e la fabbricazione di profumi. L’elenco comprende anche discipline meno prevedibili, quali la magia, gli scacchi, la legatura dei libri e la falegnameria. La sua quarantacinquesima voce è la mlecchitavikalpā, l’arte della scrittura in codice, menzionata perché preziosa per gestire un’eventuale liaison. Una delle tecniche raccomandate consiste nell’accoppiare in modo casuale le lettere dell’alfabeto, e nel sostituire ciascuna lettera del testo con quella a lei accoppiata. Per esempio, nel caso dell’alfabeto italiano un’associazione casuale potrebbe generare queste coppie:
e incontriamoci a mezzanotte darebbe la sequenza crittata GSMQSZLGVCQMG V CUTTVSQZZU. Questo metodo di scrittura segreta è un esempio di cifratura per sostituzione, in quanto la segretezza è ottenuta sostituendo le lettere del testo chiaro. Tale procedimento può essere considerato
complementare alla cifratura per trasposizione: in questa, ogni carattere alfabetico mantiene la sua identità ma cambia di posto; nella sostituzione esso cambia identità ma conserva il suo posto. Il primo esempio documentato di impiego militare della cifratura per sostituzione si trova nel De bello gallico di Giulio Cesare. L’autore racconta del riuscito invio di un messaggio a Cicerone, assediato e sul punto di arrendersi. La cifratura comportò l’uso di caratteri dell’alfabeto greco al posto di quelli latini. Il recapito, che fu drammatico, è descritto con ricchezza di particolari: Fu raccomandato al messaggero, se non avesse potuto avvicinarsi, di scagliare un giavellotto col messaggio fissato alla punta oltre la recinzione dell’accampamento… Sentendosi in pericolo, il Gallo scagliò il giavellotto come gli era stato ordinato. Per caso esso si conficcò in una torre, e per due giorni nessun nostro soldato lo notò; il terzo giorno fa scorto da un milite, recuperato e consegnato a Cicerone. Egli lesse il messaggio e, passando in rassegna le truppe, annunciò il suo contenuto con gran gioia di tutti.
Cesare ricorreva così spesso alla scrittura in codice che Valerio Probo dedicò ai suoi cifrari un intero trattato - il quale, purtroppo, non ci è pervenuto. Tuttavia, grazie alla Vita dei Cesari di Svetonio, un’opera del II secolo d.C., disponiamo della descrizione precisa di un’altra scrittura segreta per sostituzione usata dal grande generale. Si tratta del semplice scambio di ogni lettera del messaggio con quella tre posti più avanti nell’alfabeto, come mostrato nella figura 3. I crittografi usano ragionare in termini di alfabeto chiaro - quello ordinario, usato per il testo originale - e di alfabeto cifrante - quello che si ottiene sostituendo ogni lettera dell’alfabeto chiaro con la lettera che la rimpiazza nel crittogramma. Nel caso in questione, riproducendo il primo alfabeto sopra il secondo appare evidente che l’alfabeto cifrante non è altro che l’alfabeto ordinario spostato a destra di tre posti. Questo tipo di sostituzione è anche nota come cifratura di Cesare. «Cifratura» è il termine che designa qualunque tipo di sostituzione crittografica in cui una lettera è rimpiazzata da un’altra lettera o da un simbolo.
Figura 3 - Cifratura di Cesare applicata a un breve messaggio. La cifratura di Cesare si basa su un alfabeto cifrante traslato di un certo numero di posti (in questo caso tre) rispetto all’alfabeto chiaro. In crittografia vige l’uso di scrivere l’alfabeto chiaro in lettere minuscole, quello cifrante in lettere maiuscole. Analogamente, il testo chiaro è scritto in caratteri minuscoli, quello cifrato in caratteri maiuscoli.
Sebbene Svetonio, nel caso di Cesare, menzioni solo uno spostamento di tre lettere, è chiaro che impiegando qualsiasi spostamento tra 1 e 20 lettere (nel caso dell’alfabeto italiano di 21 lettere) si possono generare 20 diverse cifrature. Se invece di ricorrere al semplice spostamento, si ammette l’uso di qualunque alfabeto cifrante ottenuto per riorganizzazione dell’alfabeto chiaro, si può generare un numero molto più alto di cifrature. Per un gruppo di 21 lettere le riorganizzazioni possibili sono oltre 50 miliardi di miliardi, ognuna delle quali permette una diversa cifratura. Qualunque scrittura segreta può essere analizzata in termini di metodo crittografico generale, o algoritmo, e di chiave, che definisce i particolari di una cifratura efficace. Nell’ultimo caso menzionato, l’algoritmo prescrive che il posto di ogni lettera dell’alfabeto chiaro sia preso da una lettera dell’alfabeto cifrante, e che l’alfabeto cifrante consista in una qualunque riorganizzazione dell’alfabeto chiaro. Quanto alla chiave, essa consiste nell’alfabeto cifrante, tra i tanti ammessi dall’algoritmo, da adoperare per la produzione o l’interpretazione di uno specifico crittogramma. Il rapporto tra algoritmo e chiave è illustrato nella figura 4. In generale, il nemico che abbia intercettato un messaggio in codice può avere forti sospetti sull’algoritmo utilizzato, ma non sulla chiave. Per esempio, può sospettare fortemente che le lettere del testo chiaro siano state sostituite una per una, ma per quanto osservi il crittogramma non troverà niente che suggerisca quale alfabeto cifrante sia stato usato per produrlo. Se l’alfabeto cifrante effettivamente usato - cioè la chiave - resta un segreto gelosamente custodito dal mittente e dal destinatario, il crittogramma, anche se intercettato, non svela i suoi segreti. La netta separazione concettuale di chiave e algoritmo è uno dei più saldi princìpi della crittografia, e fu formulata in modo definitivo nel 1883 dal linguista olandese Auguste Kerckhoffs von Nieuwenhof, nel trattato dal titolo La Cryptographie militaire: «Legge di Kerckhoffs: la sicurezza di un crittosistema non deve dipendere dal tener celato il critto-algoritmo. La sicurezza dipenderà solo dal tener celata la chiave».
Figura 4 Per cifrare il testo chiaro di un messaggio, il mittente lo introduce in un algoritmo crittografico. L’algoritmo è un procedimento generale di scrittura segreta, i cui dettagli vanno precisati scegliendo una chiave. Applicando insieme chiave e algoritmo a un testo chiaro, questo è trasformato in un testo cifrato, o crittogramma. Il crittogramma può essere intercettato dal nemico durante la trasmissione al destinatario; ma il nemico non dovrebbe essere in grado di decifrarlo. Il destinatario, invece, conoscendo l’algoritmo e la chiave usati dal mittente, può ripristinare il testo chiaro.
Oltre a basarsi su una chiave gelosamente custodita, un buon sistema crittografico deve permettere di sceglierla tra un numero molto grande di chiavi potenziali. Per esempio, se il mittente usa una cifratura di Cesare per rendere incomprensibile un messaggio, il livello di segretezza è piuttosto basso perché le chiavi sono, nel caso dell’alfabeto italiano, solo 21. Dal punto di vista del nemico, se il messaggio è intercettato e si sospetta che l’algoritmo sia una cifratura di Cesare, la decrittazione può essere effettuata controllando le possibili chiavi una per una. Ma se il mittente ha impiegato l’algoritmo più generale che ammette qualunque alfabeto cifrante ottenuto per riorganizzazione dell’alfabeto chiaro, le chiavi possibili sono, come si è detto, cinquanta miliardi di miliardi. Un esempio è mostrato nella figura 5. Dal punto di vista del nemico, una volta intercettato il messaggio e individuato l’algoritmo, si dovrebbe compiere l’impresa da incubo di controllare questo numero di chiavi. Anche procedendo al ritmo di una chiave al secondo, per completare il controllo occorrerebbe un tempo di gran lunga superiore all’età dell’universo.
Figura 5 Un esempio di algoritmo: la sostituzione monoalfabetica, in cui ogni lettera del testo chiaro è rimpiazzata da un’altra lettera in base a una chiave, e la chiave è l’alfabeto cifrante.
Il pregio di questa cifratura consiste nel fatto che è semplice da eseguire, ma garantisce un alto livello di sicurezza. È facile per il mittente definire la chiave: non deve far altro che fissare l’ordine dei 21 elementi dell’alfabeto cifrante; nel contempo la verifica di tutte le chiavi possibili, cioè il tentativo di far breccia nel crittogramma con la forza bruta, è irrealizzabile per ragioni di tempo. La semplicità della chiave è un vantaggio da non sottovalutare, perché mittente e destinatario devono concordarla scambiandosi informazioni, e la semplicità riduce il pericolo di malintesi. In effetti si può disporre di una chiave ancora più comoda, se il mittente è disposto a un piccolo sacrificio quanto al numero di chiavi potenziali. Invece di generare l’alfabeto cifrante per mezzo di una riorganizzazione casuale, egli può servirsi di una parola chiave o di una frase chiave. Supponiamo, per esempio, di voler impiegare il nome JULIUS CAESAR come frase chiave. In primo luogo, si dovranno eliminare sia gli spazi sia le lettere ripetute; la sequenza così ottenuta (JULISCAER) sarà l’inizio dell’alfabeto cifrante, mentre le lettere che non fanno parte della sequenza verranno aggiunte in ordine alfabetico, partendo dall’ultima lettera della chiave. Usando l’alfabeto completo di 26 lettere, si ottiene il seguente risultato:
Il vantaggio di questo metodo consiste nel fatto che memorizzare una parola o una frase è molto più facile che memorizzare una sequenza priva di senso. Non è un vantaggio da poco, perché la difficoltà di memorizzazione può indurre il mittente o il destinatario a conservare l’alfabeto cifrante in forma scritta, col rischio che cada in mani ostili e ogni segretezza sia perduta. Ovviamente, il numero di alfabeti cifranti
generati da una parola o frase chiave è inferiore al numero di alfabeti cifranti generati per riorganizzazione casuale, ma è pur sempre immenso. Anche in questo caso, sarebbe impossibile per il nemico chiarire il crittogramma controllando tutte le parole e frasi chiave immaginabili. Semplicità e affidabilità sono i pregi grazie ai quali la cifratura per sostituzione dominò la crittografia per tutto il primo millennio della nostra era. Gli inventori di scritture segrete avevano messo a punto un procedimento che garantiva la sicurezza delle comunicazioni, e non si sentiva il bisogno di cambiarlo; del resto, è raro che si arrivi alle invenzioni senza il pungolo della necessità. La palla passava ora ai decrittatori: loro era il compito di far breccia nella cifratura per sostituzione. Sarebbe mai stato possibile, dopo l’intercettazione, chiarire un crittogramma generato da quel metodo anche senza conoscere la chiave? Molti dotti dell’antichità avevano giudicato inviolabile la cifratura per sostituzione, perché troppo numerose erano le chiavi che si potevano impiegare; e per secoli i fatti diedero loro ragione. Ciò nonostante i decrittatori finirono col trovare una scorciatoia che semplificava radicalmente il problema. Invece che in miliardi di anni, essa permetteva di chiarire un crittogramma in tempi ragionevoli - a volte, in pochi minuti. La scoperta fu compiuta in Oriente, e richiese una felice combinazione di linguistica, statistica e religiosità.
I crittoanalisti arabi All’età di circa quarantanni Maometto cominciò a recarsi in una caverna isolata del Monte Hira, appena fuori La Mecca. Era un ritiro, un luogo di preghiera, meditazione e contemplazione. Durante un periodo di profonda riflessione, intorno al 610 d.C., egli fu visitato dall’arcangelo Gabriele che lo proclamò messaggero di Dio. Fu la prima di una serie di rivelazioni proseguite fino alla morte di Maometto, che avvenne circa due decenni più tardi. Le parole dette dal Profeta durante queste esperienze furono trascritte da vari collaboratori, ma in forma frammentaria. Spettò ad Abū Bakr, primo califfo dell’Islam, riunirle in un solo libro. La redazione fu continuata da ‘Umar, il secondo califfo, con l’aiuto della figlia Hafsa, e conclusa da ‘Othmān, il terzo califfo. Ogni singola rivelazione diede origine a uno dei 114 capitoli del Corano. Chi era investito dell’autorità di califfo doveva proseguire l’opera di Maometto, custodire il suo insegnamento e diffondere la sua parola. Tra l’ascesa al califfato di Abū Bakr, nel 632, e la morte di Alì, il quarto califfo, nel 661, l’Islam si diffuse così rapidamente che metà del mondo passò sotto il controllo dei musulmani. Poi, dopo un secolo di consolidamento, l’inizio del califfato (o dinastia) Abbaside, nel 750 d.C., inaugurò l’età aurea della civiltà islamica. Arti e scienze fiorirono in ugual misura, come testimoniano le superbe pitture, le splendide decorazioni e i capolavori dell’artigianato tessile risalenti a quel periodo, nonché il gran numero di parole di origine araba entrate a far parte del lessico scientifico, come algebra, alcalino, zenith e molte altre. Esse dimostrano il nostro debito nei confronti degli scienziati musulmani.. Lo splendore della cultura islamica fu, in parte, il frutto di una società opulenta e pacifica. I califfi Abbasidi si curarono meno dei predecessori di ampliare i loro domini, cercando piuttosto di rendere coesa e ben governata una società in rapido progresso. Una bassa pressione fiscale diede impulso all’economia, favorendo l’artigianato e i commerci; leggi severe ridussero la corruzione e accrebbero il senso di sicurezza dei cittadini. Attività produttive e ordine pubblico poggiavano sulla solida base di un’amministrazione efficiente, che a sua volta dipendeva dalla sicurezza delle comunicazioni garantita dalla crittografia. Oltre ai messaggi riguardanti delicate questioni di Stato, è documentato che i funzionari musulmani crittavano tutta la documentazione fiscale - un particolare che indica un impiego diffuso e routinario delle scritture segrete. Il quadro trova conferma nei trattati di amministrazione, come l’‘Adab al-Kuttāb (Il manuale del segretario) del X secolo, una cui sezione è riservata alla crittografia. Per l’amministrazione ci si serviva di solito di un alfabeto cifrante ottenuto per semplice riorganizzazione dell’alfabeto chiaro, come descritto in precedenza, ma a
volte anche di alfabeti contenenti simboli inconsueti. Per esempio, a poteva esser rimpiazzata da # nell’alfabeto cifrante, b da +, e così via. Sostituzione monoalfabetica è il nome generico di qualunque cifratura per sostituzione in cui l’alfabeto cifrante può includere simboli oltre che lettere. Tutte le cifrature per sostituzione incontrate finora in questo libro rientrano nella categoria generale delle cifrature per sostituzione monoalfabetica. Se gli arabi del Medioevo avessero solo mostrato di padroneggiare la sostituzione monoalfabetica, non vi sarebbe ragione di soffermarsi su di loro in una storia delle scritture segrete. Ma oltre a far largo uso di tecniche crittografiche, in certi casi essi le resero irrimediabilmente obsolete. Infatti, va loro attribuita l’invenzione della crittoanalisi, la scienza dell’interpretazione di un messaggio di cui si ignora la chiave. Mentre i crittografi mettono a punto nuovi sistemi di scrittura segreta, i crittoanalisti cercano di individuare i loro punti deboli e carpire i segreti che custodiscono. E furono i crittoanalisti arabi a trovare il punto debole della sostituzione monoalfabetica, un sistema che da secoli resisteva a ogni assalto. La crittoanalisi poté sorgere solo quando una civiltà ebbe raggiunto una sufficiente maturità in discipline come la matematica, la statistica e la linguistica. Da questo punto di vista l’Islam rappresentò un terreno ideale, perché impone di agire secondo giustizia in ogni sfera della vita umana, e afferma che per riconoscere la giustizia occorre ’ilm, il sapere. Il buon musulmano dovrebbe quindi coltivare il sapere in tutte le sue forme, e la prosperità del periodo Abbaside fece sì che gli studiosi avessero il denaro, il tempo e gli strumenti per farlo. Così, per esempio, essi cercarono di assimilare le conoscenze delle più antiche culture, dall’egiziana alla babilonese, dall’indiana alla cinese, dalla persiana all’armena, dall’ebraica alla grecoromana, acquistando opere di ogni genere e traducendole in arabo. Nell’anno 815 il califfo al-Ma’mūn fondò a Baghdad la Bayt al-Hikmah (Casa della sapienza), che era biblioteca e centro di traduzione. La civiltà islamica non si limitò a importare il sapere, ma ebbe il grande merito di diffonderlo. La fabbricazione della carta, inventata dai cinesi, fu impiegata su larga scala dai seguaci del Profeta. Nacque così la corporazione dei warrāgīn, «coloro che usano la carta» - press’a poco i nostri copisti. Trascrivendo i manoscritti, essi cercavano di soddisfare la domanda di un mercato in prodigiosa espansione. Quando essa raggiunse il culmine, le novità pubblicate ogni anno erano decine di migliaia, ed esisteva un sobborgo di Baghdad che disponeva, da solo, di un centinaio di botteghe di librai. Oltre che di classici come Le mille e una notte gli scaffali delle librerie erano ingombri di volumi su ogni argomento immaginabile. Non v’è dubbio che l’Islam di quel periodo fosse la civiltà più colta e informata del mondo. Oltre a una migliore comprensione degli argomenti secolari, un altro fattore fu cruciale per la nascita della crittoanalisi. A Bassora, Kufa e Baghdad erano sorte
importanti scuole teologiche, dove raffinati metodi linguistici erano applicati sia al Corano, compendio di verità divine di cui Maometto era stato solo il portavoce, sia all’Hadīth, la raccolta canonica degli atti e delle massime del Profeta. Per esempio, il computo della frequenza di alcune parole era usato per stabilire la cronologia dei capitoli del Corano: poiché taluni vocaboli erano considerati di uso più recente, la loro abbondanza in un capitolo giustificava la sua collocazione nell’ultima parte della cronologia. Tipico dello studio dell’Hadīth era invece lo sforzo di stabilire l’etimologia dei vocaboli e di individuare formule ricorrenti, per dimostrare che una massima attribuita al Profeta corrispondeva alle sue abitudini linguistiche. Particolarmente importante per il nostro tema è il fatto che l’esame dei testi non si arrestava al livello delle parole, ma giungeva alle singole lettere. Ci si accorse allora che esse compaiono con frequenza molto variabile. Così, a e l sono le lettere più comuni nella lingua araba, in parte per via dell’articolo determinativo al-, mentre ğ è dieci volte meno frequente. Questa constatazione apparentemente innocua condusse alla prima grande scoperta della crittoanalisi. Non si sa chi per primo abbia capito che la diversa frequenza delle lettere permetteva di decifrare un crittogramma; di certo, la più antica descrizione del procedimento si deve allo studioso del IX secolo Abū Yūsūf ibn Is-hāq al-Kindī. Il «Filosofo degli arabi», com’egli fu soprannominato, scrisse 290 opere su argomenti disparati come la medicina, l’astronomia, la matematica, la linguistica e la musica. La sua più lunga monografia, ritrovata solo nel 1987 nell’Archivio ottomano Sulaimaniyyah di Istanbul, si intitola Sulla decifrazione dei messaggi crittati (figura 6). Essa contiene ampie disquisizioni circa la statistica, la fonetica e la sintassi della lingua araba, ma il rivoluzionario procedimento crittoanalitico di cui ci stiamo occupando è tutto in due brevi paragrafi: Un modo di svelare un messaggio crittato, se conosciamo la lingua dell’originale. consiste nel trovare un diverso testo chiaro nella stessa lingua, abbastanza lungo da poter calcolare la frequenza di ciascuna lettera. Chiamiamo «prima» quella che compare più spesso, «seconda» quella che la segue per frequenza, «terza» la successiva, e cosi via, fino a esaurire tutte le lettere del campione di testo chiaro. Esaminiamo poi il testo in cifra che vogliamo interpretare, ordinando [in base alla frequenza] anche i suoi simboli. Troviamo il simbolo più comune, e rimpiazziamolo con la «prima» lettera dell’esempio chiaro; il simbolo che lo segue per frequenza sia rimpiazzato dalla «seconda» lettera, il successivo simbolo più comune sia rimpiazzato dalla «terza», e così via, fino ad aver preso in considerazione tutti i simboli del crittogramma che intendevamo svelare.
La spiegazione di al-Kindī è ancora più chiara se applicata all’alfabeto italiano. In primo luogo è necessario esaminare un brano, o meglio alcuni brani, in questa lingua
per stabilire la frequenza delle lettere. Si constaterà che in italiano la più comune è la e, seguita dalla a, poi dalla i, come mostrato nella tavola 1. Si esamina poi il testo in cifra e si determina la frequenza di ogni lettera. Se la più frequente è L, è probabile che essa sia il sostituto di e. Se la seconda in frequenza è P, è probabile che essa funga da sostituto di a, e così via. La tecnica di al-Kindī, nota come analisi delle frequenze, dimostra che la crittoanalisi non implica il controllo di svariati miliardi di possibili chiavi. Il contenuto di un messaggio crittato si può scoprire semplicemente calcolando la frequenza dei singoli elementi del testo in cifra.
Figura 6 La prima pagina del manoscritto sulla decifrazione dei messaggi crittati di al-Kindī, con la più antica descrizione conosciuta della decifrazione tramite analisi delle frequenze. (fonte)
Il metodo di al-Kindī, comunque, non può essere applicato meccanicamente. Frequenze come quelle della tavola 1 rappresentano valori medi, che corrispondono solo in modo approssimativo a quelli riscontrabili in un brano specifico. Un crittogramma tratto da un testo sull’inquinamento e i quadrupedi africani con mantello a strisce potrebbe non prestarsi a un’analisi delle frequenze eseguita in modo pedissequo: «Da Zanzibar allo Zambia allo Zaire la scarsezza di ozono spinge le zebre a zigzagare bizzarramente». In genere, i brani brevi si discostano in modo sensibile dalle frequenze medie, e sotto le cento lettere la crittoanalisi può essere molto difficile. D’altra parte i testi lunghi di solito rispecchiano le frequenze tipiche, anche se questo non sempre si verifica. Nel 1969 lo scrittore francese Georges Perec portò a termine La disparition, un romanzo di 200 pagine in cui non comparivano parole contenenti la lettera e. Doppiamente notevole è il fatto che Gilbert Adair riuscì a tradurre in inglese La disparition rispettando il desiderio di Perec di omettere la e. La traduzione di Adair, intitolata A Void (Una mancanza), è sorprendentemente scorrevole. Se l’intero libro fosse stato cifrato col metodo della sostituzione monoalfabetica, un tentativo ingenuo di crittoanalisi sarebbe stato sviato dalla completa assenza del carattere più comune dell’alfabeto anglosassone. Dal momento che abbiamo incontrato il primo strumento della crittoanalisi, proseguirò fornendo un esempio di come si usi l’analisi delle frequenze per decifrare un crittogramma. In generale, ho evitato di disseminare il libro di esempi di crittoanalisi, ma nel caso dell’analisi delle frequenze vorrei fare un’eccezione. Questo, in parte perché l’analisi delle frequenze non è così ardua come il nome può far pensare, in parte perché è uno strumento fondamentale per la decifrazione delle scritture segrete. Inoltre, l’esempio seguente permette di farsi un’idea della mentalità dei crittoanalisti. Anche se questo metodo richiede la capacità di ragionare in modo rigoroso, il lettore constaterà che un certo grado di intuito, duttilità e capacità di trovare soluzioni originali sono altrettanto importanti. Tavola 1 Frequenza delle diverse lettere in italiano.
Lettera
Percentuale
a b c d e
11,74 0,92 4,50 3,73 11,79
f
0,95
g h i
1,64 1,54 11,28
l
6,51
m n
2,51 6,88
o p q
9,83 3,05 0,51
r s
6,37 4,98
t
5,62
u v
3,01 2,10
z
0,49
Crittoanalisi di un testo cifrato Immaginate di dover interpretare il seguente messaggio cifrato. Sapete che il testo chiaro è in italiano, e che la cifratura si è basata sulla sostituzione monoalfabetica, mentre, ovviamente, ignorate la chiave. Poiché la via di tentare tutte le chiavi possibili è impraticabile, non resta che applicare l’analisi delle frequenze. Spiegherò passo per passo come decifrare questo brano, ma se vi sentite abbastanza sicuri, potete saltare la spiegazione e tentare di compiere la vostra crittoanalisi indipendente. GND ASBLLNIOE PCBCSBVBU BTNTB OBSLESZLE LSN AZM DZ B SN PCBCSZBS. DB IZDDNQGNPZIB GELLN, AZGZLE ZD SBHHEGLE UZ IB’BSQA, PZ BDVE, FBHZE ZD PQEDE UBTBGLZ B BDVE UZPPN: «M SBG SN, ONS IZDDN N QGB GELLN TZ CE GBSSBLE DN ABTEDN UNZ LNIOZ OBPPBLZ N DN DNM M NGUN UNM DZ BGLZHCZ SN. OEPPE NPPNSN HEPZ BSUZLB UB HCZNUNSN QG ABTESN B TEPLSB IBNPLB?». Z SBHHEGLZ UNDDN IZDDN N QGB GELLN, NOZDEM E
Supponiamo innanzitutto che N = e, B = a, Z = i ed E = o, cioè che le quattro lettere cifrate più frequenti corrispondano, nell’ordine esatto, alle quattro lettere più comuni dell’alfabeto italiano. È una supposizione un po’ ottimistica, ma anche l’ipotesi di partenza più naturale; se si dimostrerà infruttuosa, niente ci impedirà di tentare altre strade, per esempio permutando le lettere con frequenze molto simili (in italiano, a, e e i, le tre lettere più comuni, hanno frequenze quasi uguali, comprese tra l’11,2 e l’11,8 per cento). Tavola 2 Analisi delle frequenze del testo cifrato.
Occorrenze
Percentuale
Doppie
A B C D E F G
6 38 7 22 24 1 16
0.9 7.4 8.0 4.1 1.5 0.6 0.3
+ -
H I
8 8
0.0 3.3
+ -
L M N
22 6 40
7.4 3.3 0.9
+ + -
O P Q
7 16 7
11.2 9.2 0.6
+ -
R S T U V
0 22 7 11 2
1.8 2.1 0.0 1.8 5.3
+ -
Z
31
1.5
-
Sarebbe meglio avere qualche ipotesi di partenza anche sulle consonanti. Poiché le lettere più comuni sono, in italiano, quattro vocali (a, e, i e o), rivolgiamo l’attenzione ai caratteri meno comuni. Nel nostro alfabeto, i due più rari sono q (0,51 per cento) e z (0,49 per cento). Nel crittogramma, la lettera più rara è V (0,6 per cento). Essa è quindi un buon candidato per q o z. Cerchiamo una stringa [In linguistica, stringa designa una sequenza lineare di elementi linguistici; in informatica, una sequenza di dati che possono essere gestiti in modo omogeneo, in particolare una sequenza di caratteri. N.d.T.] che la contenga: alla fine della terza riga, troviamo BDVE. Poiché in italiano q è seguita da u, e la frequenza di u è del 3,1 per cento mentre quella di E è dell’8 per cento, V = q è molto improbabile. Sia dunque V = z. Ne consegue BDVE = aDzo, con D = consonante perché compare nel crittogramma in forma raddoppiata (quarta parola della seconda riga). Escluse stringhe senza senso come abzo e amzo, si deve sospettare che D = l o D = n o D = r (le stringhe alzo, anzo e arzo sono relativamente comuni in italiano). Come decidere tra queste tre? Le frequenze, da sole, non sono di aiuto perché la frequenza d i D è compatibile con tutte e tre le possibilità. Accantoniamo per il momento il problema n. Un buon modo di individuare r può basarsi sul la ricerca di una stringa di tre consonanti. In italiano, simili stringhe per lo più terminano con una liquida (l o r), come in bbr, ccr, ggr, ttr, ppl… Anche in stringhe di tre consonanti diverse la liquida in terza posizione è comune, come in ltr, mbr, mpl, ntr, sbr, scr, sgr, spr, str… È quasi certo che D, H, L, M, P e S siano consonanti, perché compaiono in forma raddoppiata. PLS, una stringa contenuta nella penultima parola della settima riga, è quindi una stringa di tre consonanti diverse. Ipotesi accettabili sono: ltr, mbr,
ntr, str, sbr, scr, sgr, spr, mpl, o stringhe consonante + c + h, come in qualche. Le alternative sembrano numerose, ma molte devono essere escluse. Nella stringa cifrata PLS le frequenze sono del 5,3, 7,3 e 7,3 per cento, perciò si possono scartare le stringhe in chiaro contenenti b (freq. 0,92 per cento), g (1,64), h (1,64), m (2,51), mentre quelle contenenti c (4,50) e p (3,05) si possono considerare di seconda scelta. Per esclusione, le stringhe migliori sono quindi: ltr, ntr, str, che terminano tutte e tre in tr. Sia quindi S = r e L = t. È bene cercare conferme in altri punti del crittogramma. GBSSBLE, alla fine della quarta riga, si decifrerebbe Garrato; la sostituzione sistematica di G suggerisce barrato e narrato come possibili stringhe in chiaro. Poiché freq. b = 0,92, freq. n = 6,88 e freq. G = 5,3, è probabile che G = n. L’ipotesi L = t e S = r appare corroborata. Facciamo il punto. Finora, in base alle frequenze, alle lettere doppie e alle proprietà delle stringhe di tre consonanti, abbiamo ipotizzato che: N = e, B = a, Z = i, E = o, V = z, D = (l, oppure n oppure r), S = r, L = t, G = n. Inoltre, se è vero che r = S e n = G, come suggerisce la decifrazione di GBSSBLE in narrato, allora D = I. Poiché ormai sospettiamo il valore di molti elementi del crittogramma, può essere utile concentrarsi sulle stringhe parzialmente decifrate con qualche lettera ancora in cifra. Per esempio, Co (penultima parola della quarta riga del crittogramma) davanti a narrato suggerisce subito ho narrato, ossia C = h. Poiché freq. C = 2,7, e freq. h = 1,5, l’interpretazione è accettabile. Pi alzo (verso l’inizio della terza riga) potrebbe significare mi alzo, si alzò, ti alzo, vi alzo. Ma m e v sono troppo rare rispetto a L, mentre t per il momento è assegnata a L. Sia quindi P = s, che è in accordo col senso, con le decifrazioni precedenti e con l’analisi delle frequenze (freq. P = 5,3, freq. s = 4,98%). È giunto il momento di tentare la decifrazione sistematica del crittogramma. nel AratteIOo shahrazaU… L’inizio è promettente. L’ultima lettera, U, ha una frequenza del 3,6 per cento. Lettere dell’alfabeto italiano con frequenze analoghe sono: d (3,73), p (3,05), u (3,01). La prima, che ha la frequenza più convincente, dà shahrazad; pare proprio che siamo sulla buona strada. E abbiamo scoperto un’altra lettera: U = d. Proseguiamo la decifrazione. nel AratteIOo shahrazad aTeTa Oartorito…
È chiaro che la quinta parola è partorito, per cui O = p. Infatti freq. O = 2,3, freq. p = 3,05. È anche chiaro che riconosciute le prime tre o quattro vocali e tre o quattro consonanti, la strada, come si suol dire, è in discesa. Così, la decifrazione aTeTa = aveva vien quasi da sé, e ne consegue T = v; infatti freq. T = 2,3 e freq. v = 2,10 … tre AiMli… Ovviamente, Shahrazad aveva partorito tre figli, per cui: A = f e M = g. Si tratta di lettere rare, con frequenze dell’1-2 per cento. Torniamo un attimo alla seconda parola: ormai è palese che nel fratteIpo è nel frattempo, per cui I = m. Infatti freq. I = 2,6, freq. m = 2,51 … a re shahriar… Se il lettore vuole, può dedurre da solo le lettere mancanti. Egli può proseguire l’analisi del crittogramma, ma le lettere il cui significato è stato chiarito sono così numerose che può valere la pena di tentare la ricostruzione dell’alfabeto cifrante. Se esso fosse stato costruito tramite una parola o una frase chiave, si potrebbe riconoscerla, scoprire l’intero alfabeto cifrante e decifrare il messaggio per mezzo della chiave, come normalmente fa il destinatario legittimo.
Attira subito l’attenzione la sequenza UNA, a partire dalla quarta lettera, che suggerisce l’esistenza di una parola o frase chiave. Il lettore che ricorda quanto si è detto circa il romanzo di Georges Perec non tarderà a sospettare che l’alfabeto cifrante derivi dalla frase chiave UNAMCZDIGEORSP, ottenuta eliminando spazi e ripetizioni da UNA MANCANZA DI GEORGES PEREC; la frase chiave è stata inserita in corrispondenza della quarta lettera dell’alfabeto chiaro, e le lettere non comprese in essa sono state aggiunte da sinistra a destra in ordine alfabetico, saltando la parte occupata dalla parola chiave. Il testo che ha generato il crittogramma è il seguente: Nel frattempo Sahrazad aveva partorito tre figli a re Sahriar. La milleunesima notte, finito il racconto
di M a’aruf, si alzò, baciò il suolo davanti a lui, e disse: «Gran re, per mille e una notte ti ho narrato le favole dei tempi passati e le leggende degli antichi re. Posso essere così ardita da chiedere un favore a Vostra M aestà?». I racconti delle mille e una notte, Epilogo
Alla fine di questo primo esempio di crittoanalisi, il concetto da sottolineare è che ogni lettera ha una sorta di identità, che consiste sia nella frequenza media, sia nella tendenza a evitare o prediligere la vicinanza di altre lettere (si pensi, per quanto riguarda l’italiano, a q che precede sempre u, a n, che non precede mai p, alle vocali, che non sono mai doppie, ecc.). La debolezza della tipica sostituzione monoalfabetica è che cambia l’«abito» della lettera (rimpiazzandola con un’altra lettera o un altro simbolo) senza mutare la sua «identità», un po’ come un uomo che adottasse un travestimento continuando a fare la stessa vita e a frequentare le stesse persone.
Il Rinascimento in Occidente Tra il IX e il XIII secolo, mentre la cultura araba viveva una fase di vigorosa creatività intellettuale l’Europa fu immersa nelle brume del Medioevo. E mentre al-Kindī descriveva il primo procedimento crittoanalitico, gli europei applicavano appena i rudimenti della crittografia. La sola istituzione occidentale che incoraggiava l’approfondimento delle scritture segrete erano i monasteri, dove i monaci studiavano la Bibbia alla ricerca di significati nascosti - un tema che ancor oggi conserva il suo fascino (cfr. Appendice B). La curiosità dei monaci medievali era risvegliata dal fatto che l’Antico Testamento contiene deliberati ed evidenti casi di crittografia. Vi si trovano, per esempio, brani crittati per mezzo dell’atbash, una tradizionale forma ebraica di cifratura per sostituzione. Essa si basa sul principio seguente: presa una lettera, si determina la sua distanza dall’inizio dell’alfabeto e la si sostituisce con la lettera posta alla stessa distanza dalla fine. In italiano, ciò comporterebbe la sostituzione di a con Z, di b con V, e cosi via. La stessa parola atbash è in parte un esempio del procedimento che designa, essendo formata dalla prima lettera dell’alfabeto ebraico, alef, seguita dall’ultima, tav, poi dalla seconda, bet, e dalla penultima, sin. Un esempio di atbash compare in Geremia, 25, 26 e 51, 41, in cui «Babel» è sostituito da «Sesach». Le prime due lettere di «Babel» sono due bet, seconda lettera dell’alfabeto ebraico, il cui posto è preso da sin, che è la penultima. E l’ultima lettera di «Babel» è lamed, la dodicesima dell’alfabeto ebraico, il cui posto è preso da kaf, dodicesima dalla fine di quell’alfabeto. L’atbash e analoghe cifrature bibliche probabilmente servivano a creare un alone di mistero più che a nascondere significati, ma bastarono ad accendere l’interesse per la crittografia vera e propria. I monaci europei riscoprirono vecchie cifrature per sostituzione, ne inventarono di nuove, e a poco a poco reintrodussero la crittografia nella civiltà occidentale. Sembra che la prima descrizione della crittografia in un libro europeo risalga al XIII secolo e si debba a Ruggero Bacone, il frate francescano inglese dalla cultura enciclopedica. L’ Epistola sulle arti segrete e la nullità della magia includeva sette metodi per tener celati i messaggi, e avvertiva: «È pazzo l’uomo che scrive un segreto in un modo, qualunque esso sia, diverso da quello atto a celarlo al volgo». Nel XIV secolo il ricorso alla crittografia diventò sempre più comune, e scienziati e alchimisti l’impiegarono ampiamente per tener segrete le loro scoperte. Benché più noto come scrittore, Geoffrey Chaucer fu anche astronomo e crittografo ed è all’origine di uno dei primi esempi della nascente crittografia europea. Nel Treatise on the Astrolabe egli incluse alcune note aggiuntive intitolate «The Equatorie of the Planetis», alcuni paragrafi delle quali erano in cifra. Nella cifratura di Chaucer i
caratteri dell’alfabeto inglese erano sostituiti da simboli di provenienza diversa; per esempio, b era rimpiazzata da α. Un crittogramma formato da strani simboli anziché dai caratteri alfabetici di primo acchito può sembrare più complicato, ma nella sostanza non differisce da quelli in cui una lettera sostituisce un’altra lettera; il procedimento di cifratura e il grado di segretezza sono identici. Nel XV secolo, la crittografia europea cominciò a progredire rapidamente. Il risveglio di arti, scienze e studi umanistici durante il Rinascimento non poteva che esser di stimolo per questa disciplina, mentre le macchinazioni politiche di quel periodo rappresentarono un forte incentivo all’impiego di scritture segrete. In Italia, in particolare, la situazione politica e sociale creò un terreno ideale per il diffondersi della crittografia. Oltre a essere la culla del Rinascimento, la penisola era divisa in entità politiche simili alle città-stato dell’Antichità, ognuna delle quali cercava di prevalere sulle altre. La diplomazia prosperava e tutte le corti si scambiavano ambasciatori. Ciascun ambasciatore riceveva messaggi dal proprio sovrano, con particolari sulla politica estera da attuare, mentre a sua volta comunicava le notizie rilevanti di cui era entrato in possesso. È chiaro che forte era l’interesse a crittare i messaggi in entrambe le direzioni, e ogni Stato si munì di segreterie alle cifre, così come ogni ambasciatore era accompagnato da un segretario-cifrista. Nello stesso periodo in cui la crittografia diventava uno strumento diplomatico di routine, la scienza della crittoanalisi cominciava a diffondersi in Occidente. Gli ambasciatori si erano appena abituati ai metodi che permettevano di comunicare in modo sicuro, e già si tentava di minare quella sicurezza. È senz’altro ammissibile che la crittoanalisi sia stata scoperta in Europa in modo autonomo, ma la possibilità che sia stata introdotta dall’Arabia non può essere scartata. I progressi dell’Islam nelle scienze e nella matematica ebbero una forte influenza sulla rinascita del sapere in Europa, e la crittoanalisi potrebbe essere una tecnica «di importazione». Si può affermare che il primo grande decrittatore europeo sia stato Giovanni Soro, nominato segretario alle cifre a Venezia nel 1506. La fama di Soro si era diffusa in tutta l’Italia, e Stati amici spedivano a Venezia i messaggi intercettati perché fossero sottoposti a crittoanalisi. Perfino il Vaticano, probabilmente il secondo più attivo centro di crittoanalisi nella Penisola, inviava a Soro i dispacci più ostici di cui veniva in possesso. Nel 1526 papa Clemente VII gli mandò due crittogrammi particolarmente difficili, ed entrambi gli furono restituiti come testo chiaro. In un’altra occasione, poiché un crittogramma pontificio era stato intercettato dai fiorentini, il papa ne mandò una copia a Venezia per essere rassicurato circa la sua resistenza. Soro dichiarò di non essere in grado di decifrarlo, e a Roma si concluse che i fiorentini non potevano aver fatto di meglio. È possibile, tuttavia, che la risposta del cifrista veneziano mirasse a infondere nei colleghi vaticani un falso senso di sicurezza. Una risposta diversa avrebbe potuto spingerli ad adottare
cifrature più tenaci, che forse neanche Soro sarebbe riuscito a violare. Anche altrove in Europa le corti cominciarono a impiegare capaci crittoanalisti, come Philibert Babou, cifrista del re di Francia Francesco I. Babou si guadagnò una fama di incredibile tenacia: risulta che per far breccia in una scrittura segreta non esitasse a lavorare giorno e notte per settimane. Per sua sfortuna, ciò diede al suo regale padrone ampie opportunità di avere una lunga relazione con sua moglie. Verso la fine del XVI secolo i francesi consolidarono la loro posizione in questo campo con l’arrivo di Francois Viète, che ricavava un particolare piacere dalla decrittazione dei messaggi in codice degli spagnoli. I crittografi iberici, che faticavano a tenere il passo degli altri colleghi europei, caddero dalle nuvole quando si accorsero che le loro scritture segrete erano tradotte senza difficoltà dai francesi. Filippo II, il sovrano spagnolo, giunse ad appellarsi alla Santa Sede, avendo una propria singolare teoria sui successi del Viète: a suo avviso egli era «un arcidiavolo in combutta col Maligno», e doveva esser chiamato da un tribunale di cardinali a rispondere dell’accusa di stregoneria. Per fortuna il papa, i cui cifristi leggevano da anni i crittogrammi degli spagnoli senza bisogno di interventi soprannaturali, respinse la richiesta. Ciò non impedì alla notizia di spargersi tra gli addetti ai lavori, e i crittografi di Filippo diventarono la barzelletta d’Europa. Le difficoltà della Spagna erano un sintomo del rapporto di forze esistente a quel tempo tra crittografi e crittoanalisti. Si trattava di una fase di transizione, in cui i primi ricorrevano ancora alla sostituzione monoalfabetica, mentre i secondi impiegavano con crescente successo l’analisi delle frequenze. Coloro che non conoscevano la potenza di quest’ultima, consideravano ancora sicure le vecchie tecniche di scrittura segreta, ignari della facilità con cui uomini come Soro, Babou e Viète leggevano i loro messaggi. D’altra parte, i governi consapevoli della debolezza della sostituzione monoalfabetica tradizionale erano ansiosi di disporre di cifrature più resistenti, per proteggere le loro comunicazioni dai crittoanalisti degli altri Paesi. Uno dei più semplici espedienti che accrebbe in modo significativo la sicurezza di questa sostituzione furono le nulle - lettere o altri simboli che non corrispondendo a nessun carattere dell’alfabeto chiaro sono privi di significato. Se, per esempio, ogni lettera dell’alfabeto italiano ordinario fosse sostituita da un numero tra 1 e 99 rimarrebbero inutilizzati 78 numeri, che potrebbero essere inseriti a caso e in quantità arbitrarie all’interno del crittogramma. Le nulle non sono di ostacolo al destinatario, che si limita a ignorarle, ma complicano l’interpretazione di un messaggio intercettato rendendo arduo un attacco basato sul calcolo delle frequenze. Un altro semplice stratagemma adottato dai crittografi consistette nel violare di proposito le norme ortografiche, prima di crittare il messaggio. Cioo a l’efetoo da diztoorcer i rapoorti da fricuensa. Anche in questo caso il decrittatore è messo in difficoltà più
del destinatario che, una volta chiarito il testo per mezzo della chiave, deve interpretare una prosa sgrammaticata ma non incomprensibile. Un altro tentativo di rinforzare la cifratura per sostituzione monoalfabetica si basò sull’introduzione di parole in codice. Il sostantivo «codice» ha uno spettro di accezioni molto ampio nel linguaggio di ogni giorno, ed è spesso considerato sinonimo di scrittura segreta tout court. Tuttavia, come si è accennato nell’Introduzione, di esso esiste anche un uso specialistico relativo a un particolare tipo di sostituzione. Fin qui ci siamo concentrati sull’idea della cifratura per sostituzione, in cui il posto di una lettera è preso da un’altra lettera, o da un numero, o da un simbolo qualsiasi. Niente impedisce, però, che la sostituzione operi a un livello più alto, come quando il posto di una parola è preso da un’altra parola o da un simbolo qualsiasi. Questo sarebbe appunto un «codice» come è inteso in crittografia. Per esempio, sia
Dunque, tecnicamente codice si riferisce alla sostituzione al livello delle parole o delle frasi, mentre cifra si riferisce alla sostituzione al livello delle lettere. Cosi, cifrare significa rendere incomprensibile un messaggio mettendolo in cifra, codificare significa ottenere lo stesso risultato mettendolo in codice. La medesima distinzione dovrebbe valere per decifrare e decodificare. I verbi crittare e decrittare sono più generali, potendo indicare l’operazione di rendere oscuro e, rispettivamente, chiaro un messaggio sia per mezzo di un codice, sia per mezzo di una cifratura. L a Figura 7 contiene un breve riassunto di queste definizioni. In generale mi atterrò ad esse, ma qualora il contesto non si presti a equivoci potrò parlare di «violazione di un codice» anziché di «violazione di una cifratura», la prima espressione essendo tecnicamente meno accurata, ma di uso molto più comune.
Figura 7 La scienza delle scritture segrete e le sue branche principali.
A prima vista, i codici sembrano più sicuri delle cifrature, perché le parole si prestano all’analisi delle frequenze molto meno dei caratteri alfabetici. Per interpretare una cifratura monoalfabetica è sufficiente identificare i veri valori di 21 simboli (nel caso dell’alfabeto italiano), mentre in un codice potrebbe essere necessario identificare il vero valore di centinaia e perfino migliaia di segni convenzionali. Ma a un esame attento, i codici rivelano rispetto alle cifrature due gravi difetti pratici. In primo luogo, una volta che mittente e destinatario siano d’accordo sulle due o tre decine di lettere dell’alfabeto cifrante (la chiave), essi possono cifrare e decifrare qualunque messaggio, mentre per raggiungere la stessa flessibilità con un codice essi dovrebbero scegliere un sostituto convenzionale per ciascuna delle migliaia di parole che possono comparire nel testo chiaro. Così il repertorio del codice sarebbe un volume con centinaia di pagine, più o meno delle dimensioni di un dizionario. In breve, la compilazione del repertorio diverrebbe un’ardua impresa, e il suo trasporto sarebbe scomodo e rischioso. In secondo luogo, la caduta del repertorio in mani ostili avrebbe conseguenze molto gravi. Tutti i messaggi diventerebbero accessibili, rendendo necessaria la compilazione di un altro repertorio e la sua distribuzione a tutte le persone coinvolte nel flusso di comunicazioni crittate; per esempio, potrebbe accadere di dover recapitare, garantendone la sicurezza, un volume in ogni Paese in cui si disponga di un’ambasciata. Si faccia il confronto con le conseguenze della cattura, da parte del nemico, della chiave di una cifratura: in questo caso è sufficiente approntare un nuovo alfabeto cifrante di una ventina di lettere, facile da memorizzare e da inviare agli interessati. Già nel XVI secolo i crittografi erano coscienti dell’intrinseca debolezza dei codici, e facevano largo uso di cifrature o, in certi casi, di nomenclatori. Un nomenclatore è un modo di crittare che si vale di un alfabeto cifrante, usato per la
maggior parte del messaggio, e di un piccolo numero di parole in codice. Per esempio, il cifrario di un nomenclatore potrebbe consistere di una pagina con l’alfabeto cifrante, seguita da una pagina con l’elenco delle parole in codice. Nonostante l’aggiunta di queste ultime, un nomenclatore non è molto più sicuro di una normale cifratura: il grosso del messaggio può infatti essere chiarito con l’analisi delle frequenze, e il rimanente si può indovinare dal contesto. Oltre a superare le difficoltà del nomenclatore, i migliori crittoanalisti erano anche in grado di decifrare messaggi con alterazioni ortografiche e impiego di nulle. In poche parole, riuscivano a violare la maggior parte dei messaggi crittati. La loro abilità forniva un flusso costante di informazioni riservate, che influenzarono le decisioni dei loro governanti e, in tal modo, la storia europea in alcuni momenti critici. Nessun esempio dimostra le potenziali conseguenze della crittoanalisi in modo più drammatico del processo a Maria di Scozia, il cui esito dipese completamente dallo scontro tra i suoi cifristi e i decrittatori di Elisabetta I. Maria fu una delle principali personalità del Cinquecento: regina di Scozia, regina di Francia, e pretendente al trono inglese; eppure il suo fato fu deciso da un foglio di carta, dal messaggio che recava e dall’esito del tentativo di decifrarlo.
La congiura di Babington Il 24 novembre 1542 l’esercito inglese di Enrico VIII sbaragliò le truppe scozzesi nella battaglia di Solway Moss. Re Enrico sembrò a un passo dall’occupare il Paese e impadronirsi del regno del padre di Maria, il re Giacomo V. Dopo la battaglia, quest’ultimo cadde in uno stato di profonda prostrazione fisica e mentale, e si ritirò nel palazzo di Falkland. Nemmeno la nascita della figlia migliorò la sua condizione. Il sovrano sembrava ormai stanco di vivere, e soltanto in attesa di un erede che gli permettesse di esalare l’ultimo respiro in pace, certo di aver adempiuto tutti i suoi doveri. E infatti morì, a soli trent’anni, una settimana dopo la nascita di colei che fu da allora Maria, regina degli scozzesi. La bambina nacque prematura, e si temette seriamente che non sopravvivesse. In Inghilterra si sparse la voce che fosse deceduta, ma era un desiderio scambiato per realtà dalla corte Tudor, ben disposta verso ogni evento capace di destabilizzare ulteriormente la Scozia. In realtà Maria era sana e robusta, e il 9 settembre 1543, all’età di nove mesi, fu incoronata nella cappella del castello di Stirling, circondata da tre conti che portarono in sua vece la corona regale, lo scettro e la spada. La giovanissima età della Stuarda fruttò alla sua patria una pausa dalle incursioni inglesi. Sarebbe apparso indegno di un gentiluomo, che Enrico VIII tentasse di invadere le terre di una regina neonata, figlia di un monarca appena deceduto. Mutando radicalmente tattica, Enrico chiese la mano di Maria per il proprio figlio Edoardo; ciò avrebbe portato all’unione delle due nazioni sotto la potestà di un sovrano Tudor. È da interpretare come un altro passo in questa direzione l’ordine del re d’Inghilterra di liberare tutti i nobili scozzesi catturati a Solway Moss. Evidentemente, egli contava ch’essi avrebbero dato il loro assenso al matrimonio. Ma anche se per qualche tempo la proposta di Enrico fu presa in considerazione, la corte scozzese optò per il fidanzamento di Maria con Francesco, Delfino di Francia. In altre parole, la Scozia aveva scelto l’alleanza con un’altra nazione cattolica romana; una decisione che andava incontro ai desideri della madre della regina, Maria di Guisa, lei stessa unita in matrimonio a Giacomo V per cementare l’amicizia tra Scozia e Francia. Maria Stuarda e Francesco erano ancora bambini, ma il progetto per il futuro era che a tempo debito Francesco salisse sul trono di Francia con Maria per regina, unendo definitivamente Francia e Scozia. Nel frattempo, la prima nazione sarebbe intervenuta in difesa della seconda in caso di aggressione da parte dell’Inghilterra. La promessa di intervento militare giunse gradita, visto che Enrico VIII, ancora intenzionato a convincere gli scozzesi che suo figlio era per Maria il miglior partito, era passato dalle buone alle cattive maniere. Le sue forze di terra e di mare compivano atti di pirateria, devastavano campi coltivati, bruciavano villaggi,
assalivano paesi e città. Il «rude corteggiamento», com’è stato soprannominato, continuò anche dopo la morte di Enrico nel 1547. Sotto suo figlio Edoardo VI (il presunto corteggiatore) le provocazioni culminarono nella battaglia di Pinkie Cleugh, in cui le forze scozzesi subirono una disastrosa sconfitta. Dopo il massacro fu deciso, per il bene di Maria stessa, ch’ella si rifugiasse al di là della Manica, dove al sicuro dalle truppe inglesi avrebbe potuto prepararsi alle nozze con Francesco. Così, il 7 agosto 1548, all’età di sei anni, la regina salì su un veliero diretto al porto di Roscoff. Il periodo trascorso da Maria alla corte francese in attesa delle nozze fu tra i più sereni della sua vita. Trattata con ogni riguardo e irraggiungibile per i nemici, ella si affezionò al promesso sposo, il Delfino. Compiuti i sedici anni, i due giovani furono uniti in matrimonio, e l’anno seguente diventarono il re e la regina di Francia. Tutto sembrava pronto per il suo trionfale ritorno in Scozia, quando Francesco, da sempre cagionevole, si ammalò gravemente. Un’infezione all’orecchio contratta da giovane e mai completamente guarita peggiorò all’improvviso, raggiunse il cervello, formò un ascesso. Nel 1560, a meno di un anno dall’incoronazione, Francesco era morto e Maria era vedova. Da quel momento l’esistenza della Stuarda fu sotto il segno dell’intrigo e della sventura. Nel 1561 ritornò nel Paese natale, e lo trovò profondamente cambiato. Durante la lunga assenza la regina era rimasta cattolica, ma molti suoi sudditi si erano convertiti al protestantesimo. Dapprima Maria rispettò i sentimenti della maggioranza, e regnò con relativo successo; ma nel 1565 l’unione con Enrico Stewart, conte di Darnley, diede inizio a un periodo nefasto da cui non sarebbe più uscita. Violento e immorale, Darnley era roso da una sete di potere che alienò alla consorte le simpatie dell’aristocrazia. L’anno seguente Maria fece piena esperienza della barbarie del conte, che davanti a lei uccise il suo segretario Davide Riccio. Questa e altre intemperanze dimostrarono che per il bene della Scozia ci si doveva disfare del Darnley. Non è chiaro se dietro la congiura ci fu Maria o la nobiltà scozzese; comunque, il 9 febbraio 1567 la residenza del conte prese fuoco, ed egli fu strangolato mentre tentava di mettersi in salvo. Il solo frutto di quel matrimonio fu un figlio e un erede, che venne battezzato col nome di Giacomo. Il terzo matrimonio, che unì Maria a Giacomo Hepburn, IV conte di Bothwell, non fu più fortunato. Nell’estate del 1567 gli aristocratici scozzesi di fede protestante si convinsero che una pacifica convivenza con la loro regina cattolica non era più possibile. Esiliarono Bothwell e imprigionarono Maria, costringendola ad abdicare in favore del figlio. Poiché Giacomo VI aveva quattordici mesi si dovette nominare un reggente, e la scelta cadde sul conte di Moray, fratellastro della Stuarda. L’anno seguente Maria fuggì, raccolse un esercito di seimila uomini e compì un ultimo tentativo di tornare sul trono. Le sue truppe affrontarono l’esercito del reggente vicino al villaggio di Langside, presso Glasgow, mentre da una collina nei pressi ella
osservava l’andamento della battaglia. Benché più numerosi, i suoi soldati mancavano di disciplina, e il nemico aprì una breccia nel loro schieramento. Quando comprese che la battaglia era persa, Maria decise di lasciare la Scozia. In teoria, avrebbe dovuto dirigersi a est, raggiungere la costa e tentare di salpare per la Francia; ma ciò l’avrebbe costretta ad attraversare un vasto territorio fedele al reggente. Decise quindi di prendere la via del sud, varcare il confine inglese e chiedere ospitalità a Elisabetta, che era sua cugina. In realtà, non ottenne che di passare da una prigionia all’altra. La ragione ufficiale fu il suo presunto coinvolgimento nell’assassinio di Darnley; ma il motivo reale era politico e dinastico. Ella rappresentava un pericolo per Elisabetta, perché i cattolici inglesi la consideravano la vera regina. Poiché Margherita Tudor, sorella maggiore di Enrico VIII, era sua nonna, Maria vantava diritti sul trono inglese. Quelli di Elisabetta, ultima discendente diretta di Enrico, in teoria erano prevalenti; ma per i cattolici Elisabetta era figlia illegittima di Enrico, perché nata da quell’Anna Bolena che il re, ancora unito a Caterina d’Aragona, aveva sposato sfidando il pontefice. Non riconoscendo il divorzio di Enrico VIII da Caterina, essi non potevano che considerare nulle le sue nozze con la Bolena, e illegale l’incoronazione di sua figlia. Maria fu confinata in una serie di castelli e tenute. Sebbene Elisabetta la considerasse una delle più temibili rivali, molti inglesi non nascondevano di ammirare l’eleganza dei suoi modi, la sua evidente intelligenza e la sua grande bellezza. William Cecil, che di Elisabetta fu uno dei più stretti collaboratori, parlò dell’«arguzia e dolcezza con cui sa intrattenere tutti gli uomini», e Nicholas White, emissario di Cecil, si espresse in modo non dissimile: «Ella è inoltre contraddistinta da una grazia seducente, da un piacevole accento scozzese e da un’intelligenza indagatrice, ammantata di dolcezza». Ma col passare degli anni la bellezza di Maria si appannava, la sua salute peggiorava ed ella cominciava a perdersi d’animo. Il suo carceriere, il puritano Sir Amyas Paulet, era immune al suo fascino, e la trattava con crescente durezza. Nel 1586, dopo diciotto anni di prigionia, i riguardi che un tempo le avevano usato erano solo un ricordo. Chiusa a Chartley Hall, nello Staffordshire, la Stuarda non poteva neppure recarsi alle terme di Buxton, le cui acque l’avevano aiutata a curare i molti acciacchi. Durante l’ultima visita a quella località, incise con un diamante un messaggio di commiato su una lastra di vetro: «Buxton, che le tiepide acque hanno reso famosa, può darsi che non ti riveda mai più - Addio». Sembra che Maria intuisse che presto avrebbe perso la poca libertà rimastale. La crescente tristezza della regina era mitigata da occasionali notizie del figlio, il diciannovenne Giacomo VI di Scozia. Finché ebbe vita, Maria coltivò la speranza che un giorno sarebbe fuggita, avrebbe rivisto la patria e assistito nell’attività di governo quel figlio che non vedeva più da quando aveva un anno. Ma il suo affetto non era ricambiato.
Giacomo era stato allevato dai suoi nemici, e da essi era stato convinto che la madre avesse ucciso suo padre e sposato il proprio amante. Perciò la disprezzava e temeva che, se fosse tornata, avrebbe cercato di spodestarlo. L’odio per Maria è dimostrato anche dal fatto che Giacomo non esitò ad avanzare una proposta di matrimonio alla donna che la teneva prigioniera: Elisabetta I, la quale però - forse anche perché più vecchia di trentanni - respinse la proposta. Nel tentativo di riconquistare la fiducia del figlio, Maria gli scrisse alcune lettere che non raggiunsero mai il suolo scozzese. A quel punto, ella era più isolata che mai. Tutta la posta in partenza era sequestrata, mentre quella in arrivo era presa in custodia dal suo carceriere. La regina era sempre più demoralizzata. Fino a quel momento, la fede l’aveva aiutata, ma ormai ogni speranza sembrava sul punto di spegnersi. Fu in questa situazione opprimente che, il 6 gennaio 1586, con grande sorpresa ricevette un pacco di lettere. Le missive provenivano da suoi sostenitori sul continente, e le erano state recapitate di nascosto da Gilbert Gifford, un cattolico che aveva lasciato l’Inghilterra nel 1577 e si era preparato al sacerdozio frequentando a Roma il Collegio inglese. Tornato in Inghilterra nel 1585, egli sembrava ansioso di porsi al servizio della Stuarda, e subito si mise in contatto con l’ambasciata francese a Londra, dove si era accumulata una copiosa corrispondenza. All’ambasciata si era consapevoli che, se questa fosse stata inoltrata per le vie normali, Maria non l’avrebbe mai ricevuta. La proposta di Gifford di contrabbandare le missive a Chartley Hall fu quindi accolta con entusiasmo. Il recapito che seguì fu il primo di una serie, e Gifford diventò un corriere a tempo pieno, non limitandosi a consegnare alla Stuarda le lettere a lei indirizzate, ma prendendo in consegna le risposte. Il sistema da lui escogitato per eludere i controlli era astuto. Portava le lettere a un birraio locale, che le infilava in un involucro di pelle e inseriva quest’ultimo in uno zipolo cavo; lo zipolo era quindi usato per chiudere una botte di birra. Poi, il birraio portava la botte a Chartley Hall, dove un fidato servitore di Maria controllava i tappi e consegnava alla padrona l’eventuale contenuto. Il trucco funzionava altrettanto bene per far uscire dal castello le lettere della Stuarda. Nel frattempo, senza che Maria ne fosse al corrente, un piano per liberarla prendeva forma nelle taverne di Londra. Al centro della trama c’era Anthony Babington, un gentiluomo appena ventiquattrenne ma già ben noto in città come bon vivant affascinante e arguto. Quel che molti suoi conoscenti non immaginavano era la profondità del suo risentimento verso un potere - quello protestante - che aveva perseguitato lui, la sua famiglia e la sua fede. La politica anticattolica dell’Inghilterra aveva assunto tratti francamente raccapriccianti: preti accusati di tradimento, laici torturati, mutilati e sbudellati per aver tentato di proteggerli. Molti cattolici erano messi al bando, e le famiglie papiste erano vessate dal fisco. L’odio di Babington era
legato in modo particolare alla morte del bisnonno, Lord Darcy, decapitato perché sospetto di complicità col «pellegrinaggio di Grazia», una sommossa cattolica contro Enrico VIII scoppiata nel 1536. La cospirazione ebbe inizio una sera di marzo, quando Babington e sei accoliti si riunirono a The Plough, una locanda fuori Temple Bar. Come ha osservato lo storico Philip Caraman, «con la forza del suo fascino e della sua energica personalità egli attirò dalla sua parte molti giovani cattolici del suo ceto, valorosi e disposti a correre grandi rischi per soccorrere la loro religione nel momento del bisogno. Essi erano pronti a tutto per difendere il Cattolicesimo, loro causa comune». In pochi mesi prese consistenza un piano ambizioso, che prevedeva la liberazione della Stuarda, l’uccisione di Elisabetta I e una ribellione alla quale si sarebbe aggiunta un’invasione straniera. I cospiratori giudicarono che il loro piano, che sarebbe passato alla storia come la «congiura di Babington», fosse irrealizzabile senza l’approvazione della regina di Scozia; ma non si sapeva come informarla. Ed ecco che il 6 luglio 1586 Gifford si presentò alla residenza di Babington. Portava un messaggio di Maria, che spiegava di aver sentito parlare del giovane aristocratico da suoi sostenitori a Parigi, e di attendere con ansia sue notizie. Egli rispose in modo dettagliato, descrivendo il suo piano e menzionando la scomunica di Elisabetta decretata nel 1570 da papa Pio V, che a suo avviso legittimava il regicidio. Io stesso con dieci gentiluomini e un centinaio di sostenitori mi incaricherò di sottrarre la vostra regale persona alle mani dei nemici. Per disfarci dell’usurpatrice, verso la quale in virtù della scomunica siamo esonerati dal dovere dell’obbedienza, ci sono sei gentiluomini, tutti miei amici fidati, che per devozione alla causa Cattolica e al servizio di Vostra M aestà compiranno la tragica esecuzione.
Come in precedenza, Gifford ricorse all’espediente di nascondere il messaggio nello zipolo di una botte di birra. Questa può essere considerata una forma di steganografia, alla quale, per maggior sicurezza, era stata aggiunta la cifratura del messaggio. Così, anche se i carcerieri avessero trovato il biglietto il suo contenuto, e la stessa congiura, sarebbero rimasti celati. Il metodo crittografico impiegato in questo caso non era una classica sostituzione monoalfabetica, ma un nomenclatore, come illustrato nella Figura 8. Esso faceva uso di 23 simboli da sostituire alle lettere dell’alfabeto chiaro (con l’esclusione di j, v e w) e di 35 simboli che rappresentavano parole o frasi. C’erano inoltre quattro nulli ( ) e un simbolo, , che indicava che il simbolo seguente stava per una lettera doppia. Gifford era giovane, più ancora di Babington, ma effettuò le consegne con abilità e sicurezza. Grazie ai suoi pseudonimi, come Mr Colerdin, Pietro e Cornelys,
percorse il Paese senza destare sospetti, mentre i rapporti con la comunità cattolica gli permisero di utilizzare una serie di rifugi tra Londra e Chartley Hall. Quasi nessuno sapeva, però, che in occasione di ogni viaggio egli effettuava una deviazione. Gifford, mentre si comportava da agente di Maria, faceva in realtà il doppio gioco. Nel 1585, prima ancora di tornare in Inghilterra, aveva scritto a Sir Francis Walsingham, segretario di Stato e uno dei più stretti collaboratori della regina, mettendosi a sua disposizione. Sapeva bene che un retroterra cattolico era il miglior lasciapassare per chi volesse infiltrarsi in ambienti ostili a Elisabetta. In una lettera a Walsingham, scrisse chiaro e tondo: «Ho sentito parlare del vostro lavoro e voglio mettermi al vostro servizio. Non ho scrupoli né timore dei pericoli. Quello che mi ordinerete di fare, lo porterò a termine».
Figura 8 Il nomenclatore di M aria di Scozia, composto da un alfabeto cifrante e da un codice.
Tra i ministri di Elisabetta, Walsingham era il più spregiudicato. Personalità machiavellica, era preposto alla raccolta delle informazioni relative alla sicurezza dello Stato e all’incolumità del sovrano. Ereditata dai predecessori una piccola rete spionistica, si era affrettato ad ampliarla soprattutto sul Continente, dov’erano le basi operative di molte trame riguardanti l’Inghilterra. Inoltre, come si scoprì dopo la sua morte, egli riceveva rapporti regolari da dodici località in Francia, nove in Germania,
quattro in Italia, quattro in Spagna e tre nei Paesi Bassi, e disponeva di agenti a Costantinopoli, Algeri e Tripoli. La proposta di collaborazione del giovane venne accettata. Fu per ordine di Walsingham che Clifford si recò all’ambasciata francese, e si offerse come corriere. Così, ogni volta che egli recapitava un messaggio da o per Maria di Scozia, il primo a vederlo era il suo superiore. Walsingham lo passava ai falsari, che rompevano il sigillo, riproducevano il messaggio, chiudevano l’originale con un sigillo identico e lo restituivano a Gifford. La lettera, apparentemente intatta, era poi consegnata senza destare sospetti a Maria o al suo corrispondente. Appena entrò in possesso del messaggio di Babington per la Stuarda, Walsingham si chiese come risalire al testo chiaro. Il suo primo incontro coi codici segreti risaliva alla lettura di un’opera dello scienziato e filosofo italiano Gerolamo Cardano - il quale, tra l’altro, prefigurando il braille, aveva immaginato una scrittura per ciechi basata sul tatto. Cardano incuriosì Walsingham, ma fu una crittoanalisi del fiammingo Philip van Marnix a fargli comprendere fino a che punto l’arte della decifrazione poteva dimostrarsi preziosa. Nel 1577 Filippo di Spagna era in corrispondenza col fratellastro, e come lui cattolico, don Giovanni d’Austria, che controllava gran parte dei Paesi Bassi. Essi progettavano di invadere L’Inghilterra, ma la loro corrispondenza fu intercettata da Guglielmo d’Orange. Questi la passò al Marnix, suo segretario alle cifre, che la decrittò e ne comunicò il contenuto a Daniel Rogers, uno degli agenti di Walsingham sul Continente. Messi sul chi vive, gli inglesi rinforzarono le loro difese e il progetto d’invasione abortì. Ormai conscio dell’importanza delle scritture segrete, Walsingham fondò a Londra una scuola di crittografia e nominò segretario alle cifre Thomas Phelippes, un uomo «di bassa statura, di corporatura minuta, con capelli biondo scuri e barba biondo chiara, il volto butterato dal vaiolo, miope e apparentemente sulla trentina». Oltre che poliglotta - conosceva alla perfezione il francese, l’italiano, lo spagnolo, il latino e il tedesco - Phelippes era uno dei più abili crittoanalisti europei. Inoltre, tanto amava il suo lavoro da gettarsi sui messaggi cifrati della Stuarda come un affamato sul cibo. Era un maestro dell’analisi delle frequenze, e risolvere un crittogramma era per lui solo questione di tempo. Contava i simboli e attribuiva un significato provvisorio ai più comuni. Se l’approccio scelto dava risultati assurdi, tornava sui suoi passi e tentava soluzioni alternative. Così a poco a poco individuava le nulle - la cortina fumogena delle sostituzioni monoalfabetiche - e le accantonava. Gli altri simboli non resistevano a lungo, e alla fine restava una manciata di parole in codice, il cui significato si arguiva dal contesto. Decifrata la lettera di Babington alla Stuarda contenente la proposta di eliminare la regina d’Inghilterra, Phelippes la inviò immediatamente al suo superiore. Già a quel punto Walsingham avrebbe potuto ordinare l’arresto di Babington, ma egli mirava
ben più in alto. Temporeggiò nella speranza che Maria approvasse per iscritto la congiura, gettando le basi della propria rovina. Da tempo voleva la morte della Stuarda, ma era conscio della riluttanza di Elisabetta. D’altra parte, se quest’ultima avesse constatato che la sua rivale cattolica era pronta a farla uccidere, avrebbe senz’altro permesso che fosse giustiziata. Le speranze del segretario di Stato si avverarono di lì a poco. Il 17 luglio Maria rispose a Babington, firmando senza saperlo la propria condanna a morte. Accennò al loro «disegno», mostrandosi particolarmente preoccupata che la propria liberazione avvenisse prima, o nel momento stesso, dell’assassinio di Elisabetta; temeva che la notizia del colpo di Stato giungesse al suo carceriere, e questi tentasse di ucciderla. Prima di venir consegnata a Babington, la risposta come di consueto passò per le mani di Phelippes. Avendo decrittato il messaggio precedente, egli ricostruì il testo chiaro in un batter d’occhi, ne comprese le implicazioni e siglò la sua copia con un ‘ ’ - il simbolo della forca. Il segretario di Stato aveva ormai quanto bastava per far condannare Maria e Babington, ma ancora non era appagato. Per stroncare la cospirazione gli occorrevano i nomi di tutti quelli che vi erano coinvolti; chiese perciò a Phelippes di preparare un falso poscritto alla lettera di Maria, che spingesse Babington a fornire le informazioni desiderate. La falsificazione di testi era un’altra risorsa del versatile Phelippes; si diceva che fosse in grado, «vista la scrittura di una persona, di imitarla come se quest’ultima avesse stilato personalmente ogni parola». La Figura 9 mostra il poscritto che fu aggiunto alla lettera di Maria a Babington. Può essere decifrato usando il nomenclatore dei congiurati, mostrato nella Figura 8, rivelando il testo seguente: Gradirei sapere i nomi e i meriti dei sei gentiluomini che devono attuare il disegno; potrei infatti, conoscendo le parti interessate, dare al riguardo ulteriori consigli cui sarà necessario attenersi, e indicazioni su come procedere in taluni frangenti: e appena potete, per la stessa ragione [fatemi sapere] chi sia già stato, e in che misura, messo a parte di ciò.
La corrispondenza cifrata di Maria di Scozia dimostra che crittare in modo debole può esser peggio che non crittare. Infatti la regina e Babington si espressero senza perifrasi perché contavano sulla cifratura; se i biglietti fossero stati in inglese ordinario, è da credere ch’essi avrebbero alluso ai loro piani con estrema discrezione. Il senso di sicurezza generato dalla cifratura spiega anche l’ingenuità con cui Babington obbedì al falso poscritto di Phelippes. In generale, mittente e destinatario sono troppo sicuri della bontà delle loro scritture segrete per sospettare che il nemico non solo le legga, ma vi inserisca crittogrammi apocrifi. In breve, se l’uso oculato di una cifratura forte è senz’altro una risorsa preziosa, l’uso
dilettantesco di una cifratura debole può fare abbassare,la guardia in modo ingiustificato.
Figura 9 Il poscritto apocrifo aggiunto da Thomas Phelippes al messaggio di M aria. Per decifrarlo si può utilizzare il nomenclatore della Stuarda (Figura 8). (fonte)
Poco dopo aver ricevuto il messaggio col falso poscritto, Babington si rivolse al ministero retto da Walsingham per ottenere un passaporto; infatti, doveva recarsi sul Continente per soprintendere ai preparativi di invasione. Era l’occasione ideale per arrestarlo, ma il responsabile dell’ufficio competente, tale John Scudamore, non si aspettava che il più pericoloso cospiratore d’Inghilterra avrebbe fatto visita proprio a lui. Non disponendo di guardie armate invitò Babington in una taverna nei pressi; nel frattempo, un suo assistente avrebbe chiamato i rinforzi. Poco dopo, Scudamore ricevette un biglietto con la notizia che tutto era pronto per l’arresto. Babington, però, ne intravide il contenuto, e al momento opportuno disse che desiderava pagare per entrambi. Si alzò senza prendere la spada e il mantello, raggiunse un’uscita secondaria e fuggì, prima a St John’s Wood quindi a Harrow. Tentò anche di rendersi irriconoscibile: si accorciò i capelli è si scurì la pelle col succo di noci, per assumere un aspetto da popolano. Per dieci giorni riuscì a evitare la cattura, ma il 15 agosto lui e i sei gentiluomini suoi complici furono catturati e portati a Londra. In tutta la città le campane delle chiese suonarono a festa ma le esecuzioni, descritte dallo storico elisabettiano William Camden, furono di una crudeltà efferata: «[I congiurati] furono tagliuzzati, castrati, sbudellati mentre erano ancora vivi e in grado di vedere, e infine squartati».
Nel frattempo, l’11 agosto, alla Stuarda e al suo seguito fu concesso l’insolito privilegio di cavalcare nei dintorni di Chartley Hall. Raggiunta una radura, la regina scorse alcuni cavalieri che le venivano incontro. Il suo primo pensiero fu che si trattasse degli emissari di Babington venuti a liberarla, ma l’illusione durò poco. Maria fu circondata e dichiarata in arresto; accusata di aver partecipato a un complotto contro la Corona inglese, venne rinviata a giudizio in base all’Act of Association, una legge varata dal Parlamento nel 1584 proprio per agevolare la repressione delle trame contro Elisabetta. Il processo si svolse al castello di Fotheringhay, un luogo tetro circondato dalla piatta, acquitrinosa campagna dell’East Anglia. La prima sessione ebbe luogo mercoledì 15 ottobre di fronte a due giudici presidenti e quattro giudici a latere, e alla presenza del Lord Cancelliere, del Lord Tesoriere, di Walsingham e di numerosi conti, baroni e cavalieri. In fondo all’aula era rimasto un po’ di spazio per la gente comune - per lo più abitanti dei dintorni e servitori al seguito di nobili e alti funzionari, tutti ansiosi di vedere la regina di Scozia chiedere umilmente perdono e implorare di aver salva la vita; ma Maria fu dignitosa e padrona di sé durante l’intero processo. La sua difesa consistette soprattutto nel negare ogni forma di coinvolgimento nella congiura di Babington. «Posso forse essere responsabile», obiettò, «dei criminali progetti che un pugno di disperati ha concepito senza conoscenza né partecipazione da parte mia?» Ma le sue parole ebbero poco peso, vista la gravità delle prove a suo carico. Lei e Babington avevano confidato nella crittografia per tener segreti i loro piani, ma vivevano in un’epoca in cui la crittoanalisi aveva ampiamente ridotto la sua efficacia. Le loro scritture segrete avrebbero resistito agli assalti di un dilettante, non all’esperienza di un decrittatore di professione. Seduto nella zona riservata al pubblico, Phelippes assistette in silenzio all’esibizione delle prove che aveva ricavato dalla corrispondenza cifrata. Il processo entrò nella seconda giornata, e Maria continuò a dichiararsi estranea al complotto. Alla fine, si rimise alla clemenza dei giudici, perdonandoli in anticipo dell’inevitabile decisione. Dieci giorni dopo, la Star Chamber si riunì a Westminster e giudicò l’imputata colpevole di aver «concepito e prefigurato dal 1° giugno piani miranti all’assassinio e alla rovina della Regina d’Inghilterra». I magistrati chiesero la condanna a morte, ed Elisabetta firmò il relativo decreto. L’8 febbraio 1587, nella Sala Grande del castello di Fotheringhay, trecento persone si radunarono per assistere alla decapitazione. Fare della Stuarda una martire era l’ultima cosa che Walsingham desiderasse; ordinò quindi che il ceppo, l’abito della condannata e ogni altro oggetto legato ai suoi ultimi istanti fossero bruciati appena possibile, perché non si trasformassero in reliquie. Decise anche di dare particolare solennità ai funerali del proprio genero, Sir Philip Sidney, un uomo che da vivo era stato molto popolare, ed era morto combattendo i cattolici in
Olanda. Le esequie di Sidney dovevano svolgersi la settimana seguente, e Walsingham sperava che contribuissero a raffreddare le simpatie per Maria. Questa, d’altra parte, era altrettanto decisa a fare della sua ultima comparsa in pubblico un estremo gesto di sfida, un’occasione per ribadire la sua fede cattolica e ispirare i propri seguaci. Mentre l’arciprete di Peterborough intonava le preghiere, Maria recitò con voce alta e ferma le proprie: per la salvezza della Chiesa cattolica inglese, per suo figlio, per Elisabetta. Memore del motto del suo casato («Nella mia fine è il mio principio»), si accostò al ceppo con calma e dignità. I carnefici le chiesero perdono, ed ella rispose: «Vi perdono con tutto il cuore, perché spero che ora porrete fine a tutte le mie disavventure». In Narration of the Last Days of the Queen of Scots (Racconto degli ultimi giorni della Regina degli scozzesi), Richard Wingfield ha descritto i momenti conclusivi della sua vita. Poi si stese sul ceppo con la più grande tranquillità, e dopo aver disteso le braccia e le gambe disse ad alta voce: «In manus tuas Domine» tre o quattro volte, e l’ultima volta mentre uno dei carnefici, con delicatezza, la teneva ferma con una mano, l’altro calò due volte la mannaia prima che la testa si staccasse, lasciando indietro un frammento di cartilagine, e in quel momento ella emise un suono assai flebile mentre il resto del corpo restò immobile nel posto in cui si trovava… Le sue labbra si piegarono in su e in giù quasi un quarto d’ora dopo che la testa era stata tagliata.
Quindi uno dei carnefici nel togliere le giarrettiere notò il cagnolino che si era infilato sotto i suoi vestiti e non poté essere scacciato che con la forza, e in seguito non poté essere allontanato dal suo cadavere, ma andò a stendersi tra la sua testa e le sue spalle, un particolare scrupolosamente riferito.
2 «Le Chiffre Indéchiffrable»
P
er secoli, la semplice cifratura per sostituzione monoalfabetica aveva garantito la segretezza; ma lo sviluppo dell’analisi delle frequenze, prima in Arabia poi in Europa, cancellò quella garanzia. La tragica fine di Maria Stuarda fu anche una prova della debolezza della sostituzione monoalfabetica, e la battaglia tra crittografi e crittoanalisti volgeva in favore dei secondi. Chiunque inviava un messaggio in codice doveva rassegnarsi: se il messaggio fosse caduto in mani ostili, un abile decrittatore avrebbe potuto impadronirsi dei suoi segreti più preziosi. L’onere di escogitare una cifratura nuova e più resistente cadde sui crittografi. Anche se essa non prese forma prima della fine del XVI secolo, le sue origini si possono far risalire all’ingegno multiforme di un fiorentino del XV secolo: Leon Battista Alberti. Nato nel 1404, l’Alberti è tra i principali esponenti del Rinascimento. Fu pittore, musicista, poeta e filosofo, oltre che autore di uno dei più antichi studi scientifici sulla prospettiva, di una monografia sulla mosca comune e di un’orazione funebre in morte del suo cane. Probabilmente egli è noto soprattutto come architetto, avendo progettato la prima fontana di Trevi, a Roma, e scritto il De re aedificatoria, primo trattato di architettura dato alle stampe, che molto contribuì all’affermarsi in Europa della sensibilità estetica rinascimentale in luogo di quella gotica. In un momento che non ci è dato conoscere con esattezza, ma compreso tra il 1460 e il 1470, Alberti passeggiava nei giardini vaticani quando s’imbatté nell’amico Leonardo Dato, segretario pontificio, che cominciò a disquisire con lui di alcuni problemi di argomento crittografico. La conversazione spinse Alberti a scrivere un saggio sull’argomento, delineando quella ch’egli considerava una scrittura segreta di nuovo tipo. Fino a quel momento, una cifratura per sostituzione comportava la scelta di un solo alfabeto cifrante per ogni messaggio. Alberti propose invece di usare due o più alfabeti cifranti, e di sostituirli durante la cifratura, per confondere l’eventuale decrittatore.
Per esempio, abbiamo qui due possibili alfabeti cifranti, e potremmo crittare un
messaggio passando da uno all’altro. Nel caso di leone, critteremmo la prima lettera in base al primo alfabeto cifrante, cosicché l diventerebbe H, e la seconda in base al secondo, cosicché e diventerebbe B. Crittando la terza lettera torneremmo al primo alfabeto, e crittando la quarta passeremmo di nuovo al secondo. La quinta e ultima lettera, e, verrebbe cifrata in base al primo alfabeto, e si trasformerebbe in V. Il crittogramma completo è HBTTV. Come si vede, le due e del testo chiaro hanno generato nel crittogramma due lettere diverse: B e V. In modo analogo, le due T del crittogramma corrispondono a due lettere diverse del testo chiaro: o e n. È questo il vantaggio decisivo del sistema concepito dall’Alberti. Tuttavia, pur essendosi imbattuto nella più importante scoperta dell’ultimo millennio nel campo delle scritture segrete, egli non riuscì a trasformare la sua idea appena abbozzata in una tecnica ben definita. A completare l’opera provvide un gruppo di intellettuali di varia provenienza, che misero a frutto la sua originaria intuizione. Il primo fu l’abate tedesco Johannes Trithemius, nato nel 1462, seguito dallo scienziato italiano Giambattista Della Porta, nato nel 1535, e dal diplomatico francese Blaise de Vigenère, nato nel 1523, che portò l’impresa a compimento. Vigenère prese confidenza con gli scritti di Alberti, Trithemius e Porta a 26 anni, quando fu inviato a Roma per due anni in missione diplomatica. All’inizio il suo interesse per la crittografia fu esclusivamente pratico e legato all’attività diplomatica. Ma a 39 anni egli giudicò di aver messo da parte abbastanza denaro per voltar le spalle alla diplomazia e dedicarsi esclusivamente agli studi. Solo allora riprese in esame, con maggiore attenzione, le idee di Alberti, Trithemius e Porta, ricavandone una tecnica crittografica nuova, coerente e di grande potenza.
Figura 10 Blaise de Vigenère. (fonte)
Sebbene Alberti, Trithemius e Porta abbiano tutti dato dei contributi di importanza vitale, la cifratura di cui stiamo per occuparci è chiamata di Vigenère in onore di
colui che le diede la forma definitiva. La forza della cifratura di Vigenère sta nell’utilizzare non uno ma 26 alfabeti cifranti per crittare un solo messaggio. Il primo passo consiste infatti nella stesura della tavola di Vigenère, riprodotta nella tavola 3. Si tratta di un normale alfabeto chiaro di 26 lettere seguito da 26 alfabeti cifranti, ciascuno spostato a sinistra di una lettera rispetto al precedente. Perciò, la riga numero 1 rappresenta un alfabeto cifrante con uno spostamento di Cesare pari a 1, che potrebbe essere usato per realizzare una cifratura di Cesare in cui ogni lettera del testo chiaro è sostituita dalla lettera che, nell’alfabeto ordinario, viene subito dopo. In modo analogo, la riga 2 rappresenta un alfabeto cifrante con uno spostamento di Cesare pari a 2, e così via. La fila in cima al quadrato, in caratteri minuscoli, è un alfabeto ordinario di 26 lettere, che permette di cifrare qualunque lettera del testo chiaro tramite uno dei 26 alfabeti sottostanti. Per esempio, usando l’alfabeto cifrante numero 2, a è cifrata come C, mentre usando l’alfabeto numero 12, è cifrata come M. Tavola 3 Tavola di Vigenère.
Se per crittare l’intero messaggio il mittente adoperasse un solo alfabeto cifrante, saremmo di fronte a una normale cifratura di Cesare, cioè a una scrittura segreta debole, che un intercettatore nemico interpreterebbe con facilità. Ma la cifratura di Vigenère comporta che per ciascuna lettera del messaggio si usi una diversa riga della tavola (cioè un diverso alfabeto cifrante). Per esempio, il mittente potrebbe crittare la prima lettera in base alla riga 5, la seconda in base alla riga 14, e così via. Perché il messaggio possa esser decifrato, è indispensabile che il destinatario sappia quale riga della tavola di Vigenère è stata usata per ciascuna lettera; in altri
termini, la continua sostituzione degli alfabeti cifranti dev’essere effettuata non a casaccio, ma in base a una regola precisa. Quest’ultima è riassunta da una parola o frase chiave. Per illustrare in che modo la chiave e la tavola possono essere usate per crittare un breve messaggio, cifriamo spostare truppe su cima est adoperando MONTE come chiave. In primo luogo, la chiave va scritta sopra il messaggio più volte di seguito senza spazi liberi, in modo che a ogni lettera del messaggio corrisponda una lettera della chiave. Il testo in cifra è poi generato in questo modo. Per crittare la prima lettera del messaggio, s, controlliamo quale lettera della parolachiave le corrisponde nella riga superiore. Si tratta di M, che definisce una specifica riga della tavola di Vigenère: quella che comincia con M, cioè la dodicesima. L’alfabeto cifrante che forma questa riga sarà quindi quello che useremo per sostituire la prima lettera del testo chiaro. La sostituzione si effettua individuando la colonna s, cioè quella la cui prima lettera è s; e cercando la sua intersezione con la riga M. L’intersezione corrisponde a una casella, che contiene il carattere E. Crittare s col sistema di Vigenère usando la riga M, significa quindi rimpiazzare s con E.
Per crittare la seconda lettera del testo chiaro, si procede allo stesso modo. La lettera sopra p è O, quindi la cifratura si basa sulla riga O (la quattordicesima della tavola). Per crittare p, cerchiamo sulla prima riga la colonna p, quindi la casella corrispondente all’intersezione di questa colonna con la riga O. La casella contiene la lettera D; questo sarà quindi il secondo carattere del crittogramma. Ogni lettera della parola-chiave definisce un alfabeto cifrante della tavola di Vigenère; poiché la chiave è formata da cinque lettere diverse, il mittente cifra il messaggio usando cinque righe della tavola, passando da una riga all’altra nello stesso ordine in cui le lettere si succedono nella chiave. Dopo la quinta riga, quella della E, si torna alla riga della M e il ciclo si ripete. Una parola-chiave più lunga, o una frase-chiave, potrebbero coinvolgere un maggior numero di righe, aumentando la complessità della cifratura. La tavola 4 mostra una tavola di Vigenère, in cui sono evidenziate le cinque righe (i cinque alfabeti cifranti) definiti dalla chiave MONTE. Tavola 4 Tavola di Vigenère con in evidenza le righe definite dalla parola-chiave MONTE. La cifratura si effettua passando da uno all’altro dei cinque alfabeti definiti da M, O, N, T, E.
Il grande vantaggio della cifratura di Vigenère è la sua resistenza all’analisi delle frequenze descritta nel Capitolo 1. Per esempio, un crittoanalista che si accinge ad applicare la classica analisi delle frequenze a un crittogramma comincia di solito con l’individuare il carattere più comune, che nel nostro esempio è G; e ipotizza ch’esso corrisponda a una delle lettere più comuni dell’alfabeto chiaro. Nel caso dell’alfabeto italiano, le lettere in questione sono: e, a e i. In realtà, G corrisponde in due casi a u, in un caso a s e in un caso a t. È chiaro che questo crea enormi problemi al nostro crittoanalista. Il fatto che una lettera che compare più volte nel
crittogramma possa rappresentare di volta in volta lettere diverse del testo chiaro introduce una terribile ambiguità. Altrettanta confusione è causata dal fatto che lettere uguali del testo chiaro possono essere rappresentate da simboli diversi del crittogramma. Così, nel nostro esempio, la doppia p di truppe è cifrata come DC. Oltre a resistere all’analisi delle frequenze, la cifratura di Vigenère ammette un enorme numero di chiavi. Mittente e destinatario possono scegliere qualunque parola del dizionario, qualunque combinazione di parole, possono perfino ricorrere a neologismi. La via di controllare tutte le chiavi possibili è dunque impercorribile, come lo era nel caso della sostituzione monoalfabetica. Il lavoro del crittografo francese culminò nella pubblicazione, nel 1586, del Traicté des Chiffres (Trattato sulle scritture segrete) . Per ironia della sorte, si tratta del medesimo anno in cui Thomas Phelippes ricostruì il testo chiaro della corrispondenza tra la Stuarda e Anthony Babington. Se il segretario di Maria di Scozia avesse letto quell’opera, e la regina avesse impiegato il sistema di Vigenère, con ogni probabilità le sue lettere avrebbero resistito anche a Phelippes, ed ella sarebbe forse sfuggita alla morte. Viste la sua forza e le difficoltà in cui si dibattevano le scritture segrete tradizionali, viene spontaneo pensare che il metodo dello studioso francese fosse accolto a braccia aperte dai cifristi delle principali nazioni europee. Non sarebbe stato un enorme sollievo disporre di un sistema crittografico nuovo e altamente affidabile? Invece, la cifratura di Vigenère non suscitò alcun entusiasmo, e pur apparendo priva di punti deboli, fu pressoché ignorata per ben due secoli.
Dall’emarginazione di Vigenère alla Maschera di ferro Le forme tradizionali di cifratura per sostituzione, precedenti il sistema di Vigenère, sono dette monoalfabetiche perché utilizzano un solo alfabeto cifrante per messaggio. La cifratura di Vigenère appartiene invece alla classe dei metodi polialfabetici, poiché impiega più alfabeti cifranti per messaggio. La natura polialfabetica della cifratura di Vigenère è la causa della sua resistenza, ma anche della sua scarsa facilità d’uso. Proprio questa caratteristica dissuase molti dall’impiegarla. Inoltre, per molte necessità del XVII secolo la sostituzione monoalfabetica era più che sufficiente. Per impedire ai sottoposti di curiosare nella corrispondenza, o proteggere il diario dallo sguardo indagatore del coniuge, le vecchie e collaudate cifrature erano l’ideale. La sostituzione monoalfabetica era rapida, comoda e, almeno finché si aveva a che fare con persone digiune di crittoanalisi, anche sicura. È un fatto che vari tipi di sostituzione monoalfabetica continuarono a essere impiegati anche dopo l’introduzione di tecniche crittografiche più sofisticate (cfr. l’appendice C). D’altronde, nei settori in cui un’elevata sicurezza era indispensabile, come la diplomazia e i dispacci militari in tempo di guerra, la tradizionale sostituzione monoalfabetica appariva ormai inadeguata. I crittografi professionisti in lotta con crittoanalisti di pari esperienza avevano bisogno di codici più resistenti, eppure esitavano a usare la sostituzione polialfabetica per via della sua complessità. Le comunicazioni militari, in particolare, richiedevano rapidità e semplicità, mentre una sede diplomatica poteva ricevere e inviare centinaia di dispacci al giorno; in simili frangenti, il fattore tempo era cruciale. Per queste ragioni si cercò un sistema intermedio, più difficile da violare della classica sostituzione monoalfabetica ma di gestione più semplice della cifratura polialfabetica. Uno dei candidati più promettenti era la cifratura per sostituzione omofonica. Questo sistema comporta la sostituzione di ogni singola lettera da parte di più elementi cifranti, il numero di questi ultimi essendo proporzionale alla frequenza della lettera. Per esempio, in italiano a rappresenta circa l’ 11 per cento delle lettere dei testi chiari, perciò nella cifratura omofonica di un testo italiano essa si vedrebbe assegnare undici simboli. Ogni volta che a compare nel testo chiaro, sarebbe rimpiazzata nel crittogramma da un simbolo scelto a caso tra quegli undici, cosicché a cifratura eseguita ciascun simbolo avrebbe nel crittogramma una frequenza intorno all’1 per cento. D’altra parte v rappresenta poco più del 2 per cento dei caratteri di un testo italiano medio, ragion per cui le verrebbero assegnati due soli simboli. A cifratura ultimata, ciascuno dei due avrebbe nel crittogramma una frequenza intorno all’1 per cento. L’attribuzione di un gruppo più o meno nutrito di numeri o di altri simboli a ogni lettera, in vista della sostituzione vera e propria, proseguirebbe fino a
z, che avendo in italiano una frequenza circa uguale allo 0,5 per cento si vedrebbe attribuire un solo simbolo. Nell’esempio della tavola 5, gli elementi dell’alfabeto cifrante sono numeri compresi tra 0 e 99, e ogni lettera dell’alfabeto chiaro ha da uno a undici sostituti, più numerosi se è comune, meno numerosi se è rara. Poiché tutti i numeri di due cifre che corrispondono ad a rappresenterebbero, se il testo chiaro fosse letto ad alta voce, il suono della vocale a, essi sono detti omofoni (dal greco homós, che significa «uguale», e foné, che significa «suono»), e il metodo di sostituzione che li impiega è chiamato sostituzione omofonica. Il motivo per cui vengono offerte diverse possibilità per la cifratura delle lettere più comuni, è che in tal modo le differenze di frequenza tra i simboli del crittogramma risultano appiattite. Tavola 5 Esempio di cifratura per sostituzione omofonica.
Crittando un messaggio italiano tramite un alfabeto cifrante come quello dell’esempio, ogni numero comparirebbe con una frequenza pari circa all’1 per cento del totale. Si potrebbe pensare che se nessun simbolo è più frequente degli altri, l’analisi delle frequenze sia inutilizzabile. È così? Solo in parte. Il testo cifrato contiene ancora molti sottili indizi dei quali un abile crittoanalista può approfittare. Come si è visto, ogni lettera della lingua italiana (e di ogni altra lingua) ha una sua «identità» che comprende, oltre alla frequenza, le relazioni con le
altre lettere. Tracce di questa identità permangono anche dopo la cifratura per sostituzione omofonica. In italiano (e in altre lingue, tra le quali l’inglese) l’esempio più ovvio di una lettera con una personalità spiccata per quanto riguarda i rapporti con le altre lettere è q, che è sempre seguita da u. Tentando di chiarire un crittogramma, potremmo prendere spunto dal fatto che q è rara, quindi probabilmente rappresentata da un solo simbolo; sappiamo inoltre che u, pari a circa il 3 per cento delle lettere in un testo italiano, è probabilmente rappresentata da tre simboli. Perciò, se scoprissimo nel crittogramma un simbolo che è seguito esclusivamente da uno o un altro di tre simboli, sarebbe sensato ipotizzare che esso corrisponda a q, e che gli altri tre corrispondano a u. Altre lettere possono essere più difficili da riconoscere ma, come q, sono tradite dalle relazioni reciproche. D’altra parte, pur non essendo a prova di crittoanalista, la sostituzione omofonica è di gran lunga più sicura della sostituzione monoalfabetica tradizionale. La cifratura omofonica può sembrare analoga a una cifratura polialfabetica, in quanto ogni lettera del testo chiaro può esser crittata in modi diversi. Tuttavia, tra la cifratura omofonica e quella polialfabetica c’è una differenza cruciale, a causa della quale la prima è da classificare tra le cifrature monoalfabetiche. La tabella degli omofoni riprodotta qui sopra mostra che a può esser rappresentata da undici numeri. Ancora più importante, però, è il fatto che ciascuno di questi numeri può rappresentare solo a. In altre parole una lettera del testo chiaro può esser rappresentata da più simboli, ma in nessun caso un simbolo può rappresentare più di una lettera. Anche nelle cifrature polialfabetiche una lettera del testo chiaro può esser rappresentata da più simboli; però - e questo frappone ostacoli anche maggiori all’interpretazione - ogni simbolo è chiamato a rappresentare lettere diverse in momenti diversi della cifratura. Forse, la principale ragione per cui la cifratura omofonica è considerata monoalfabetica è che, una volta stabilito, l’alfabeto cifrante resta il medesimo dall’inizio alla fine della produzione del crittogramma. Il fatto che in certi casi esso offra un ventaglio di possibilità per codificare una lettera, non incide su questo aspetto della questione. Al contrario, il crittografo che impiega una cifratura polialfabetica usa una serie di alfabeti cifranti completamente diversi, passando continuamente da uno all’altro durante la produzione del crittogramma. I miglioramenti della tipica cifratura monoalfabetica, dei quali l’introduzione degli omofoni è un esempio, permisero di realizzare scritture segrete abbastanza sicure ma di più facile gestione, sia per il mittente sia per il destinatario, rispetto alla cifratura polialfabetica. Una delle più resistenti cifrature monoalfabetiche della nuova generazione fu la Gran Cifra di Luigi XIV. La Gran Cifra era usata per crittare la corrispondenza riservata del sovrano e rendere inaccessibili ai potenziali avversari i suoi piani, i suoi intrighi e le sue mosse politiche. Un messaggio crittato con questo
sistema riguardava una delle personalità più misteriose della storia francese, la Maschera di ferro, ma la forza della Gran Cifra rese incomprensibile e inutilizzabile il suo contenuto per circa duecento anni. La Gran Cifra fu inventata da una équipe di due crittografi, padre e figlio: Antoine e Bonaventure Rossignol. La fama di Antoine risaliva al 1626, quando gli era stato consegnato un crittogramma preso a un corriere proveniente da Réalmont, una cittadina che le truppe del re di Francia stavano assediando. Prima del calar della sera egli decifrò il messaggio, svelando che il presidio ugonotto della piazzaforte era allo stremo. I francesi, fino a quel momento all’oscuro della disperata condizione dei difensori, restituirono a questi ultimi il messaggio cifrato con l’aggiunta della traduzione. Avendo compreso che a quel punto il nemico non avrebbe più tolto l’assedio, gli ugonotti rinunciarono a ogni ulteriore resistenza. Così, una decrittazione ben fatta permise ai francesi di vincere senza spargere altro sangue. Quale prova più convincente dell’utilità della crittografia? I Rossignol furono ammessi a corte con incarichi di rilievo, prima al servizio di Luigi XIII poi del suo successore. Il Re Sole fu così colpito dalla abilità dei Rossignol père et fils che fece spostare i loro uffici accanto ai suoi appartamenti, in modo che potessero svolgere un ruolo di primo piano nell’elaborazione della politica diplomatica francese. Ancora oggi rossignol designa in Francia il grimaldello - un’evidente allusione all’abilità dei due crittografi nel «forzare» le altrui cifrature. Il maggior merito dei Rossignol fu intuire la possibilità di un sistema crittografico molto più resistente di quelli utilizzati in precedenza; possibilità che si concretizzò nella Gran Cifra. In effetti, tale sistema fu così resistente da sventare tutti i tentativi dei crittoanalisti stranieri di impadronirsi dei segreti francesi. Purtroppo, dopo la morte dei Rossignol esso non fu più usato, e i particolari del suo funzionamento furono dimenticati. Ciò rese illeggibili numerosi documenti conservati negli archivi francesi. Gli storici sapevano bene che i crittogrammi generati dalla Gran Cifra contenevano informazioni preziose su molti intrighi della Francia del Seicento, ma alla fine del XIX secolo nessuno era ancora riuscito a venirne a capo. Infine nel 1890 lo storico militare Victor Gendron, effettuando alcune ricerche sulle campagne di Luigi XIV, scoprì una nuova serie di lettere crittate con la Gran Cifra. Non essendo in grado di interpretarle, Gendron le mostrò al comandante Étienne Bazeries, uno stimato ufficiale del dipartimento crittografico dell’esercito. Bazeries considerò quei fogli la più stimolante sfida professionale in cui si fosse imbattuto, e dedicò i tre anni seguenti allo sforzo di volgerli in chiaro. Le pagine crittate contenevano migliaia di numeri, ma quelli che differivano tra loro erano 587. Evidentemente la Gran Cifra era più complicata di una semplice sostituzione monoalfabetica. Questa, infatti, avrebbe richiesto poco più di una
ventina di simboli - uno per ogni lettera dell’alfabeto chiaro. All’inizio, Bazeries pensò che i numeri in eccesso fossero omofoni, cioè che molti numeri della Gran Cifra rappresentassero le stesse lettere. Il controllo di quest’ipotesi richiese mesi di duro lavoro, ed ebbe un esito negativo; la Gran Cifra non era una sostituzione omofonica. Bazeries pensò allora che ogni numero potesse rappresentare una coppia di lettere, o digramma. Un alfabeto ordinario completo, che include j, k, w, x e y, consiste di 26 lettere ma può generare 676 digrammi - una quantità abbastanza vicina a quella dei numeri diversi riscontrati nei crittogrammi di Gendron. Bazeries tentò quindi una decifrazione basata sui numeri più comuni (22, 42, 124, 125 e 341), ipotizzando che rappresentassero i più comuni digrammi francesi (es, en, ou, de, nt). In sostanza, egli effettuò un’analisi delle frequenze applicata ai digrammi invece che alle singole lettere. Purtroppo, dopo mesi di tentativi anche quest’approccio dovette essere abbandonato, non avendo prodotto nessuna interpretazione sensata. È probabile che Bazeries fosse sul punto di abbandonare il suo progetto, che rischiava di tramutarsi in ossessione, quando ebbe un’idea. Dopo tutto, l’ipotesi dei digrammi poteva non essere lontana dalla verità. Forse i numeri cifravano non gruppi arbitrari di due lettere, ma sillabe. Se era così, i numeri più frequenti dovevano corrispondere alle sillabe più comuni della lingua francese. Bazeries tentò varie sostituzioni, ricavando soltanto cacofonie; alla fine, però, riuscì a decrittare una parola intera. La sequenza 124-22-125-46-345 appariva più volte in ogni pagina, ed egli intuì che significava LES-EN-NE-M I-S, «il nemico». L’intuizione si rivelò decisiva. Bazeries si concentrò poi sulle parti dei crittogrammi in cui quei numeri apparivano in altri contesti. Inseriva i valori sillabici ricavati da les ennemis, e a poco a poco scopriva il senso di altre sequenze. Come ben sa chi ha l’hobby dei cruciverba, spesso quando una parola è parzialmente ricostruita le lettere mancanti si possono indovinare. Completare altre parole significava scoprire altre sillabe, che a loro volta permettevano di completare altre parole, e così via. Non mancarono le battute d’arresto, sia perché l’individuazione dei valori sillabici di per sé non era semplice, sia perché alcuni numeri rappresentavano lettere singole anziché sillabe, sia infine perché i Rossignol avevano rinforzato la cifratura con qualche trabocchetto. Per esempio c’era un numero che non rappresentava né una sillaba né una lettera, ma significava che non si doveva tener conto del numero precedente. Completata la decifrazione, Bazeries fu il primo dopo duecento anni a poter curiosare nella corrispondenza crittata di Luigi XIV. Il materiale inedito ch’egli aveva reso accessibile affascinò gli storici. In particolare, il loro interesse fu destato da una lettera che sembrava risolvere uno dei grandi enigmi della Francia del Seicento: l’identità della Maschera di ferro. Questo misterioso personaggio offrì lo spunto a innumerevoli dicerie fin da
quando fu rinchiuso per la prima volta nella fortezza di Pinerolo, a quel tempo in possesso della Francia. Quando, nel 1698, il singolare prigioniero fu trasferito alla Bastiglia molti tentarono di vederlo almeno di sfuggita, ed egli fu descritto ora basso ora alto, ora biondo ora bruno, ora giovane ora anziano. Alcuni dissero addirittura che l’uomo dalla maschera di ferro era, in realtà, una donna. A partire da queste scarne informazioni gl’ingegni più diversi, da Voltaire a Benjamin Franklin, architettarono la loro teoria sull’inquietante personaggio. La più popolare ipotesi cospiratoria sosteneva ch’egli fosse il gemello di Luigi XIV, di otto ore più giovane, condannato alla perpetua prigionia perché non fosse messa in discussione la legittimità del Re Sole. In una versione di quest’ipotesi la Maschera di ferro avrebbe avuto figli e nipoti, dando origine a un ramo segreto dei Borbone. Un pamphlet del 1801 sostenne che Napoleone Bonaparte stesso discendesse dalla Maschera; e l’interessato, le cui origini venivano così alquanto nobilitate, si guardò bene dallo smentire. La Maschera di ferro ha ispirato poeti, romanzieri, drammaturghi. Nel 1848 Victor Hugo aveva iniziato un lavoro teatrale intitolato Gemelli, ma quando scoprì che Alexandre Dumas aveva già imbastito una trama su quel soggetto lasciò senza seguito i due atti già ultimati. Da allora, la vicenda è associata al nome di Dumas. Il successo del suo romanzo rafforzò l’opinione che la Maschera fosse un parente del re, opinione che sopravvisse alle scoperte rese possibili da Bazeries. Bazeries aveva decifrato una lettera scritta da François de Louvois, ministro della Guerra di Luigi XIV, che iniziava con un elenco delle malefatte di Vivien de Bulonde, il generale incaricato della conquista di Cuneo, allora al confine tra Francia e Italia. Alla notizia dell’arrivo di truppe nemiche dall’Austria, il Bulonde, nonostante avesse avuto ordine di tenere le posizioni, fu preso dal panico e fuggì abbandonando tutti i feriti e gran parte delle munizioni. Secondo il ministro della Guerra francese, col suo comportamento egli aveva pregiudicato l’intera campagna militare in Piemonte. Quanto al re, il Louvois si fa interprete dello sdegno del sovrano, e non lascia dubbi sul fatto che questi considerasse imperdonabilmente vile il comportamento del generale: Sua M aestà conosce meglio di chiunque altro le conseguenze di quest’atto, e sa quanto gravi siano i danni arrecati alla nostra causa dalla mancata conquista di quel luogo [Cuneo], un insuccesso cui si dovrà rimediare durante l’inverno. Sua M aestà desidera che arrestiate subito il generale Bulonde e lo facciate condurre alla fortezza di Pinerolo, dove di notte resterà chiuso in una cella sorvegliata, mentre di giorno potrà passeggiare sugli spalti portando una maschera.
Qui si fa esplicita menzione di Pinerolo, di un prigioniero costretto a celare il volto e di una colpa infamante, mentre le date sembrano coincidere con quelle della
Maschera di ferro. Il mistero è risolto? Com’era da attendersi, quanti propendevano per complesse ipotesi cospiratorie hanno cercato di fare apparire Bulonde poco adatto a un ruolo così importante. Alcuni hanno aggiunto che se davvero Luigi XIV nascose l’esistenza di un gemello, non poté sfuggirgli la necessità di creare false piste circa l’identità del misterioso prigioniero. Forse, la lettera era stata cifrata perché qualcuno finisse col decifrarla. Forse Bazeries, un crittografo del XIX secolo, fu complice involontario di una montatura ideata duecento anni prima.
Le camere nere Rinforzare la cifratura monoalfabetica applicandola alle sillabe o utilizzando gli omofoni poteva essere sufficiente nel Seicento. Nel secolo successivo, tuttavia, la crittoanalisi raggiunse un’efficienza degna dell’incipiente rivoluzione industriale, con équipe di specialisti stipendiati dallo Stato ai cui sforzi congiunti quasi nessuna cifratura monoalfabetica poteva resistere. Ogni grande potenza europea aveva la sua «camera nera», centro nevralgico di decifrazione dei messaggi in codice e di raccolta di informazioni riservate. La più organizzata, disciplinata e temuta fu la viennese Geheime Kabinetts-Kanzlei. Essa funzionava in base a una ferrea tabella di marcia, perché le sue attività rigorosamente extra-ufficiali non dovevano pregiudicare l’efficienza del servizio postale. La corrispondenza per le ambasciate di Vienna era dirottata alla camera nera, trattenuta il tempo necessario e consegnata con asburgica puntualità entro le sette antimeridiane. I segretari scioglievano i sigilli, e una squadra di stenografi lavorava «in parallelo» copiando i contenuti delle buste; se necessario, un esperto linguista soprintendeva alla trascrizione dei messaggi più inconsueti. Entro tre ore i fogli tornavano nelle buste e le buste risigillate erano inviate alla Posta centrale. Da quel momento il recapito continuava come se niente fosse. La corrispondenza solo in transito per l’Austria giungeva alla camera nera alle dieci antimeridiane, mentre quella proveniente dalle ambasciate viennesi e diretta all’estero arrivava alle quattro del pomeriggio. Anche questa corrispondenza era copiata prima di proseguire il viaggio. Ogni giorno, oltre cento lettere attraversavano il filtro della Geheime KabinettsKanzlei. Le copie venivano consegnate per la decifrazione ai crittoanalisti, che seduti nelle loro cabine calcolavano frequenze e consultavano tabelle e vocabolari. Oltre a rappresentare per gli Asburgo austriaci un servizio informazioni di prima qualità, la camera nera viennese trasformava in moneta sonante parte dell’intelligence carpita alle altre potenze. Nel 1774 essa stipulò un accordo con l’abate Georgel, segretario dell’ambasciata francese, che prevedeva la fornitura di notizie riservate due volte alla settimana in cambio di 1000 ducati. Le copie delle lettere, che avrebbero dovuto contenere accenni alle recondite intenzioni di varie monarchie, erano inviate da Georgel a Versailles, direttamente a re Luigi XV. L’efficienza delle camere nere rese obsoleti tutti i tipi di cifratura monoalfabetica. Vista la professionalità ormai raggiunta dei loro avversari, i crittografi furono infine costretti ad adottare la cifratura di Vigenère, più macchinosa, ma ritenuta insolubile. A poco a poco le segreterie alle cifre si convertirono ai sistemi polialfabetici. Oltre all’efficacia della crittoanalisi, un altro evento spinse all’adozione di procedimenti crittografici più sicuri: l’invenzione del telegrafo, e la conseguente necessità di
proteggere i telegrammi dall’intercettazione e dalla decrittazione. Anche se il telegrafo, come la rivoluzione delle telecomunicazioni che seguì, appartiene al XIX secolo, le sue origini più lontane risalgono alla metà del secolo precedente. Nel 1753 una lettera anonima a un periodico scozzese ipotizzava che si potessero trasmettere informazioni a grande distanza collegando due località con un gruppo di 26 cavi, uno per ciascuna lettera dell’alfabeto. Il messaggio poteva poi essere inviato una lettera per volta, tramite impulsi elettrici trasmessi dal cavo corrispondente. Per esempio, per comunicare salve, si sarebbe immesso un impulso nel cavo della s, poi un impulso nel cavo della a, e così via; il ricevente avrebbe dovuto solo osservare il succedersi degli impulsi, scrivere le lettere una per una e leggere il messaggio. Ma questo «metodo rapido per il trasferimento delle informazioni» (expeditious method of conveying intelligence), come fu chiamato dall’autore dell’articolo, non fu subito realizzato. Prima, si dovevano superare alcuni problemi tecnici. Innanzitutto, gl’ingegneri avevano bisogno di un sistema abbastanza sensibile per rilevare i segnali elettrici. In Inghilterra, Sir Charles Wheatstone e William Fothergill Cooke costruirono ricevitori con aghi magnetizzati, che cambiavano posizione al passaggio di un impulso. Solo nel 1839 il sistema Wheatstone-Cooke cominciò a essere usato per inviare messaggi tra le stazioni ferroviarie di West Drayton e Paddington, poste a una distanza di una trentina di chilometri. La fama del telegrafo, e dell’incredibile rapidità di comunicazione che consentiva, si diffuse immediatamente. Ma nulla contribuì alla sua popolarità più della nascita del secondogenito della regina Vittoria, il principe Alfredo, avvenuta a Windsor il 6 agosto 1844. La notizia giunse a Londra via telegrafo, ed entro un’ora gli strilloni cominciarono a diffondere l’edizione straordinaria del Times con la notizia dell’evento. Fu il quotidiano stesso a sottolineare l’importanza della nuova tecnologia, dichiarandosi «in debito verso la straordinaria potenza del telegrafo elettromagnetico». L’anno seguente la fama del telegrafo crebbe ancora, per via del contributo dato alla cattura di John Tawell. Subito dopo aver ucciso la propria amante a Slough, il Tawell tentò di far perdere le sue tracce salendo sul primo treno per Londra. Ma grazie al telegrafo la polizia di Slough trasmise i suoi connotati ai colleghi della capitale, e appena giunse alla stazione di Paddington l’assassino si ritrovò in manette. Frattanto in America Samuel Morse aveva costruito la prima linea telegrafica. Lunga sessanta chilometri, essa collegava le città di Washington e Baltimora. Morse aveva collocato nel ricevitore un elettromagnete, che rafforzava l’impulso indebolitosi durante il tragitto e gli permetteva di tracciare dei segni brevi o lunghi (chiamati da allora «punti» e «linee») su una striscia di carta in movimento. L’inventore americano escogitò anche il codice che porta il suo nome, e traduce le lettere dell’alfabeto in
una serie di punti e linee come mostrato nella tavola 6. A completamento del sistema, Morse progettò una sorta di altoparlante, che permetteva al destinatario di percepire le lettere come sequenze di suoni brevi o lunghi. Anche nel Vecchio Continente l’apparecchiatura di Morse a poco a poco soppiantò il dispositivo Wheatstone-Cooke, e nel 1851 una variante europea del codice a punti e linee, adatta anche alle lettere accentate, fu adottata da molti Paesi. Anno dopo anno il telegrafo e il codice Morse aumentavano la loro influenza a livello mondiale, aiutando la polizia ad arrestare i criminali, i giornali a pubblicare notizie sempre più fresche, il mondo degli affari a prendere decisioni sempre più documentate, le società a effettuare transazioni quasi istantanee superando distanze di centinaia di chilometri. La protezione di questo nuovo tipo di comunicazioni, indispensabili ma vulnerabili, diventò un problema pressante. Il codice Morse non è una crittografia, perché la codifica del messaggio non mira a renderlo accessibile solo ai legittimi destinatari; punti e linee sono solo un sistema di rappresentazione dei caratteri alfabetici particolarmente adatto alle caratteristiche tecniche del telegrafo. In altre parole il codice Morse non è un alfabeto cifrante, ma un alfabeto alternativo. Il problema della sicurezza nasceva dal fatto che per inviare un messaggio bisognava consegnarlo a un telegrafista, e che per convertirlo in punti e linee egli doveva leggerlo. Perciò, il telegrafista aveva accesso a qualunque messaggio, e per una società che l’avesse corrotto la corrispondenza dei concorrenti non avrebbe avuto più segreti. Il problema fu ben sintetizzato in un articolo della Quarterly Review, pubblicato in Inghilterra nel 1853. Si dovrebbero prendere misure per ovviare a un importante motivo di disagio, che attualmente è insito nella trasmissione di messaggi via telegrafo: la violazione di qualsiasi segretezza, dovuta al fatto che ogni volta una mezza dozzina di addetti viene a conoscenza di ogni parola indirizzata da una persona all’altra. Gl’impiegati dell’English Telegraph Company hanno prestato un giuramento di segretezza, ma a volte scriviamo cose che troviamo intollerabile veder lette da estranei sotto i nostri occhi. Questo è un grave limite del telegrafo, e bisogna porvi rimedio in qualche modo.
In effetti, un rimedio fu proposto: crittare il messaggio prima di porgerlo al telegrafista. A sua volta, per effettuare la trasmissione egli avrebbe convertito il crittogramma in codice Morse. Oltre a impedire al telegrafista di apprendere informazioni delicate, la cifratura avrebbe frustrato gli sforzi di una spia che si fosse collegata abusivamente alla linea telegrafica. Tra i vari sistemi disponibili, la cifratura polialfabetica di Vigenère fu considerata la più adatta alla trasmissione di dati di grande importanza economica. Era considerata così affidabile che fu soprannominata le chiffre indéchiffrable. Per il momento, la battaglia tra crittografi e crittoanalisti vedeva i primi chiaramente in vantaggio.
Tavola 6 Simboli del Codice M orse internazionale.
Mister Babbage contro la cifratura di Vigenère La personalità più interessante della crittoanalisi del XIX secolo è Charles Babbage, l’eccentrico e geniale gentleman più noto per aver progettato il precursore degli elaboratori elettronici. Nato nel 1791, Charles era figlio di Benjamin Babbage, un facoltoso banchiere londinese. Sposatosi senza il permesso del genitore, il giovane dovette rinunciare alle fortune paterne; ma i suoi beni personali erano più che sufficienti per una vita agiata e indipendente, ed egli diventò uno scienziato brillante, pronto ad approfondire qualunque argomento che stimolasse il suo ingegno. Tra le sue invenzioni, il tachimetro e il «cacciabuoi» (cow-catcher), un dispositivo da fissare davanti alle locomotive per allontanare il bestiame dai binari. Charles Babbage fu anche il primo a capire che l’ampiezza degli anelli dei tronchi degli alberi dipende dal clima dell’anno corrispondente. Ciò permette di effettuare studi climatici retrospettivi. Egli si interessò anche di statistica, e en passant compilò le prime tabelle di mortalità, uno dei principali strumenti delle moderne società di assicurazioni. I problemi scientifici e ingegneristici non furono i soli che attirarono l’attenzione di Babbage. Prima di lui, per spedire una lettera si usava pagare un prezzo legato alla distanza tra le località di partenza e di arrivo, ma egli dimostrò che determinare la tariffa di ogni lettera costava più della spedizione in se stessa. Propose quindi il sistema in uso ancor oggi: una tariffa unica, indipendente dalla distanza che la lettera deve percorrere. Babbage non fu indifferente neanche alle questioni politiche e sociali, e negli ultimi anni di vita prese posizione contro i suonatori d’organetto e i musicisti girovaghi di cui le vie di Londra erano piene. Secondo lui, la musica «non di rado è causa di balli da parte di mocciosi coperti di stracci, e a volte di adulti mezzo ubriachi, che in modo discontinuo accompagnano la cacofonia con le loro voci stonate… Un’altra categoria di grandi estimatori della musica da strada è quella delle signore e signorine di elastica moralità e tendenze cosmopolite, che ne approfittano per mostrare le loro grazie dalle finestre aperte». Per sfortuna di Babbage i musicisti da strada contrattaccarono riunendosi in folti gruppi intorno alla sua abitazione, e suonando più forte che potevano. Il punto di svolta nella carriera scientifica di Babbage risale al 1821, quando in compagnia dell’astronomo John Herschel esaminò una serie di tavole numeriche largamente usate per i calcoli astronomici, ingegneristici e nautici. Essi rimasero disgustati dal gran numero di errori ivi contenuti, che a loro volta falsavano risultati anche di grande importanza. Un gruppo di tavole, le Nautical Ephemeris for Finding Latitude and Longitude at Sea (Effemeride nautica per la determinazione di latitudine e longitudine in mare)), conteneva oltre mille errori. È un fatto che numerosi naufragi e disastri civili erano attribuiti all’imprecisione di
quelle pubblicazioni. Le tavole si basavano su calcoli eseguiti manualmente, e i valori errati erano semplicemente la conseguenza di quello che oggi si chiama «errore umano». Ciò fece esclamare a Babbage: «Volesse Iddio che questi calcoli fossero eseguiti a vapore!». Fu l’inizio di un’impresa intellettuale ardita e lungimirante: il tentativo di costruire un congegno capace di compilare simili tavole in modo automatico, senza errori e con grande precisione. Nel 1823 Babbage progettò la «Macchina delle differenze n. 1», un magnifico calcolatore con 25.000 ingranaggi di precisione, da realizzare tramite un finanziamento dello Stato. Tuttavia, pur essendo un brillante innovatore, Babbage non eccelleva quanto a senso pratico. Dopo dieci anni di sforzi egli abbandonò la «Macchina delle differenze n. 1», s’invaghì di un progetto del tutto diverso e cominciò a lavorare alla «Macchina delle differenze n. 2». Informato del drastico cambiamento di rotta, il governo britannico perse la fiducia nell’inventore, e per limitare i danni economici si dissociò dal progetto. Londra aveva stanziato fino a quel momento qualcosa come 17.470 sterline - il costo, a quel tempo, di due navi da guerra. Fu forse la perdita del sostegno governativo a spingere l’inventore, in seguito, a commentare con amarezza: «Proponete a un inglese qualunque principio teorico, qualunque strumento, per quanto mirabile, e constaterete che tutti gli sforzi del suo inglese raziocinio s’indirizzeranno a trovarvi un ostacolo, un difetto, un’impossibilità. Se gli parlate di una macchina per pelare le patate, sosterrà che è irrealizzabile. Se la costruite, e le fate pelare una patata davanti ai suoi occhi, dichiarerà che è inutile, perché non è in grado di affettare un ananasso». La mancanza del sostegno economico pubblico significò che Babbage non poté portare mai a termine la «Macchina delle differenze n. 2». Dal punto di vista scientifico, fu una grave perdita. Il congegno da lui ideato, infatti, sarebbe stato in grado di risolvere un ampio ventaglio di problemi matematici, in base alle istruzioni fornite di volta in volta. In altre parole, la seconda macchina delle differenze era l’antesignano dei moderni computer. Il progetto comprendeva un «magazzino» (store), e un «mulino» [mill] ; il mulino era in effetti un’unità centrale di calcolo, in grado di vagliare alternative ed eseguire gruppi di operazioni in modo ripetitivo, due capacità equivalenti alle istruzioni tipo if… then (se… allora) e loop (ciclo) degli attuali linguaggi di programmazione. Un secolo più tardi, durante il secondo conflitto mondiale, le prime reincarnazioni elettroniche del congegno meccanico di Babbage avrebbero avuto un grande impatto sulla crittoanalisi; tuttavia l’inventore inglese diede un contributo di prim’ordine a questa disciplina mentre era ancora in vita, scoprendo il punto debole della cifratura di Vigenère. In tal modo, egli fece compiere alla decrittazione il maggior passo avanti da quando, mille anni prima, gli arabi avevano scoperto
l’analisi delle frequenze e dato inizio al declino della cifratura monoalfabetica. Il metodo di Babbage non richiedeva strani macchinari o calcoli sofisticati. Al contrario, la forza del puro ragionamento era l’unica arma da esso impiegata. L’interesse di Babbage per le scritture segrete era di vecchia data. In seguito, egli raccontò che quella passione giovanile aveva avuto qualche sgradevole effetto collaterale. «I ragazzi più grandi scrivevano messaggi cifrati, ma di solito mi bastava vedere qualche parola per scoprire la chiave. Ogni tanto, le conseguenze della mia ingegnosità erano spiacevoli: invece di prendersela con la loro stupidità, gli autori dei biglietti che avevo decifrato mi pigliavano a botte.» Comunque, Babbage non si lasciò scoraggiare da simili episodi e continuò a coltivare la crittoanalisi. «Sono convinto», scrisse infatti nella sua autobiografia, «che tra le arti praticate dall’uomo la decifrazione sia una delle più affascinanti». Nella società londinese Babbage si guadagnò presto la fama di crittoanalista in grado di sciogliere qualunque enigma, e persone ch’egli nemmeno conosceva lo avvicinavano per sottoporgli scritture segrete di ogni genere. Tra gli altri, egli aiutò un biografo disperato, che da tempo cercava di decifrare gli appunti di John Flamsteed, primo Astronomo Reale d’Inghilterra; uno storico alle prese coi crittogrammi di Enrichetta Maria, moglie di Carlo I Stuart; e un avvocato, al quale nel 1854 fornì una prova che contribuì a decidere l’esito di un processo. Nel corso degli anni, Babbage collezionò un gran numero di messaggi in codice. Intendeva inserirli in una dotta monografia intitolata Filosofia della decrittazione: l’opera avrebbe contenuto due esempi di tutti i tipi importanti di cifratura, uno risolto dall’autore a scopo dimostrativo, l’altro come esercizio per il lettore. Purtroppo il libro - come la maggior parte dei suoi grandi progetti - non fu mai realizzato. Mentre quasi tutti i crittoanalisti si erano rassegnati all’idea che la cifratura di Vigenère fosse inviolabile, Babbage decise di tentare l’avventura in seguito a uno scambio epistolare con John Hall Brock Thwaites, un dentista di Bristol appassionato di decifrazione ma non troppo informato sulla storia di questa disciplina. Nel 1854 Thwaites si illuse di aver inventato un nuovo sistema crittografico, che in realtà non era altro che la cifratura di Vigenère. Ignaro che la sua scoperta giungeva con qualche secolo di ritardo, egli scrisse al Journal of the Society of Arts col proposito di brevettarla. Babbage scrisse a sua volta alla Società, obiettando che «la cifratura… è tra le più antiche, e inclusa in quasi tutti i trattati». Thwaites non si perse d’animo, e sfidò Babbage a violare la sua cifratura. Per la verità, ch’essa fosse nuova o no, e che fosse inviolabile o no, erano questioni affatto diverse; ma la curiosità di Babbage era stata solleticata, ed egli s’imbarcò nell’impresa di trovare il punto debole della cifratura di Vigenère. Risolvere un crittogramma ben fatto è un po’ come scalare una parete di roccia ripida e senza appigli: il crittoanalista deve sfruttare ogni minima crepa o asperità.
Nella cifratura monoalfabetica si aggrappa alla frequenza delle lettere, perché è una caratteristica che questo sistema non è in grado di appiattire. In altre parole, lettere come a, e o i risaltano a dispetto delle apparenze sotto cui si celano. In una cifratura polialfabetica alla Vigènere le differenze di frequenza sono drasticamente ridotte, perché la chiave è usata per mettere in gioco più alfabeti cifranti. Perciò, a prima vista la parete sembra liscia. Come ricorderete, la grande forza della cifratura di Vigenère consiste nel fatto che la stessa lettera è cifrata in modi diversi nell’ambito di un solo messaggio. Per esempio se la chiave è la parola SOLE, ogni lettera del testo chiaro può essere cifrata in quattro modi diversi. Ciascuna lettera della chiave definisce un diverso alfabeto cifrante della tavola di Vigenère, come illustrato nella tavola 7. Ho evidenziato la colonna n della tavola per mostrare come n sia cifrata diversamente a seconda della lettera della chiave che definisce l’alfabeto cifrante: Se l’alfabeto è definito da S , n è cifrata come F; se l’alfabeto è definito da O, n è cifrata come B; se l’alfabeto è definito da L, n è cifrata come Y; se l’alfabeto è definito da E, n è cifrata come R.
Tavola 7 Tavola di Vigenère usata per la parola-chiave S OLE. La parola-chiave definisce quattro diversi alfabeti cifranti, cosicché la lettera n può essere crittata come F, B, Y e R.
In modo analogo, parole intere saranno cifrate in più modi. Per esempio, la parola non potrebbe essere cifrata come FCY, BZR, YSF , RGB a seconda della posizione rispetto alla parola chiave. Ciò rende la crittoanalisi difficile, ma non impossibile. Il punto da sottolineare è che, essendoci solo quattro modi di cifrare la parola non, se nel messaggio originale essa compare alcune volte è molto probabile che una delle versioni di non compaia più di una volta. Se poi nel messaggio originale ci sono più di quattro non, almeno una ripetizione è inevitabile. Si osservi questo esempio, in cui Non vedo, non sento, non parlo è cifrato col
sistema di Vigenère:
La parola non è cifrata come FCY nel primo caso, come RGB nel secondo e ancora come RGB nel terzo. Il motivo della ripetizione è che tra n iniziale del secondo non e n iniziale del terzo non la distanza è di otto lettere, multiplo esatto della lunghezza della chiave (quattro lettere). Dunque, il secondo non è stato cifrato in una particolare posizione rispetto alla chiave (la prima n sotto l’ultima lettera della parola-chiave); quando si giunge al terzo non, la cifratura ha completato due cicli esatti di uso della parola-chiave, cosicché la prima n di non è di nuovo sotto la E. Babbage capì che questa ripetizione, che nel sistema di Vigenère è inevitabile, gli forniva l’appiglio di cui aveva bisogno. Egli poté infatti descrivere una serie di passi relativamente semplici, che permettono a qualunque crittoanalista di far breccia nello chiffre indéchiffrable. Per dimostrare la sua brillante tecnica, immaginiamo di aver intercettato il crittogramma della figura 11. Sappiamo che è stato generato con la cifratura di Vigenère, ma ignoriamo sia il testo chiaro sia la chiave.
Figura 11 Il crittogramma.
Il primo passo della crittoanalisi di Babbage consiste nel cercare nel crittogramma stringhe che si ripetono. Le ripetizioni possono essersi prodotte in due modi. Il più probabile è che la stessa sequenza di lettere sia stata crittata con la chiave nella stessa posizione, come il secondo e terzo non dell’esempio precedente. Oppure, c’è la lontana possibilità che sequenze diverse di lettere, crittate con la chiave in posizione diversa, abbiano generato per caso la stessa stringa. Se si tiene conto solo di stringhe di una certa lunghezza, la seconda eventualità diventa trascurabile, e noi terremo conto solo delle ripetizioni in cui la stringa ripetuta è lunga almeno quattro caratteri. Esaminando il testo cifrato, notiamo una ripetizione di sei lettere tra la terza e la quarta riga; una ripetizione di quattro lettere alla sestultima riga; e un’altra ripetizione di sei lettere tra la quintultima e la quartultima riga. Il quadro delle ripetizioni è riassunto nella tavola 8. Come in molte scrittura segrete, nel sistema di Vigenère la chiave permette di
passare sia dal testo chiaro al crittogramma, sia dal crittogramma al testo chiaro. Perciò, se scoprissimo la chiave il nostro problema sarebbe in gran parte risolto. In questa fase non abbiamo elementi per congetturare quali lettere formino la chiave, ma la tavola 8 fornisce alcuni indizi preziosi sulla sua lunghezza. Dopo la colonna delle stringhe e quella delle distanze tra le ripetizioni, lo spazio della tavola è occupato dalla scomposizione in fattori delle distanze, cioè dall’elenco dei numeri per i quali le distanze sono divisibili senza resto. Per esempio, la stringa HUWRLM si ripete dopo 10 lettere (cioè, la distanza tra H della prima occorrenza e H della seconda occorrenza, è di 10 lettere). Questo numero è divisibile senza resto per 2, per 5 e, ovviamente, per 10 e per 1. A proposito di questa stringa, l’esame dei fattori suggerisce quattro possibilità: 1: chiave di 1 lettera, che compie 10 cicli tra le ripetizioni; oppure 2: chiave di 2 lettere, che compie 5 cicli tra le ripetizioni; oppure 3: chiave di 5 lettere, che compie 2 cicli tra le ripetizioni; oppure 4: chiave di 10 lettere, che compie 1 solo ciclo tra le ripetizioni.
La prima eventualità può essere scartata; la chiave di 1 lettera equivale a una cifratura monoalfabetica, cioè a una cifratura debole, ed è molto improbabile che chi ha crittato il messaggio sia ricorso a un sistema complesso come quello di Vigenère per ottenere, in termini di segretezza, un risultato così modesto. Per indicare le altre possibilità, alcune sono state collocate nelle colonne della tabella corrispondenti ai fattori della distanza tra le ripetizioni. Ogni corrisponde a una possibile lunghezza della chiave. Per capire se la chiave sia di 2, 3, 5 o 10 lettere, dobbiamo tener conto della scomposizione in fattori delle altre distanze. Poiché la chiave non sembra più lunga di 15 lettere, la tabella elenca solo i fattori compresi tra 1 e 15. C’è una chiara propensione per le distanze divisibili per 5. Di più: 5 è il solo fattore per cui tutte le distanze tra le ripetizioni sono divisibili senza resto. La prima ripetizione si può spiegare con una chiave di 5 lettere che ha compiuto 2 cicli tra la prima e la seconda occorrenza di HUWRLM. La seconda ripetizione si può spiegare con una chiave di 5 lettere che ha compiuto 3 cicli tra la prima e la seconda occorrenza di AGTQ. La terza ripetizione è compatibile con una chiave di 5 lettere che ha compiuto 3 cicli tra la prima e la seconda occorrenza di MNMPYI. In breve, l’ipotesi di una chiave di 5 lettere è in grado di dar conto di tutte le distanze tra le ripetizioni. tavola 8 Ripetizioni e loro distanza nel crittogramma.
Ammesso che la chiave sia di 5 lettere, il passo successivo consisterà nello stabilire di quali lettere si tratti. Per il momento, indichiamo la chiave con la formula L1, L2, L3, L4, L5,dove L1 sta per «lettera numero 1», dove L2 sta per «lettera numero 2», ecc. L’inizio della cifratura dev’essere consistito nella sostituzione della prima lettera del testo chiaro tramite L1, prima lettera della chiave. Per la sostituzione della prima lettera del testo chiaro, L1 impone l’uso di una riga della tavola di Vigenère, cioè di un alfabeto cifrante che, in se stesso, non differisce dagli alfabeti cifranti della sostituzione monoalfabetica. Tuttavia, giunto alla seconda lettera del testo chiaro il mittente ricorre a L2 per passare a un’altra riga della tavola di Vigenère, cioè a un altro alfabeto cifrante da sostituzione monoalfabetica. Lo stesso vale per L3, L4 e L5. Attenzione, però: la sesta lettera del testo chiaro è di nuovo crittata tramite L1 e il corrispondente alfabeto cifrante, la settima tramite L2 e il corrispondente alfabeto cifrante, e così via. In altre parole, la nostra cifratura polialfabetica consiste in cinque cifrature monoalfabetiche, ogni cifratura monoalfabetica ha generato un quinto del crittogramma, e, soprattutto, sappiamo già come effettuare la crittoanalisi di una cifratura monoalfabetica. Procediamo quindi nel modo seguente. Sappiamo che la riga della tavola di Vigenère che inizia con L1 corrisponde all’alfabeto cifrante usato per generare una parte precisa del crittogramma: la parte formata dalla prima, sesta, undicesima, sedicesima… lettera. Perciò, l’analisi delle frequenze di questa parte dovrebbe permetterci di individuare l’alfabeto cifrante in questione. La figura 12 mostra la distribuzione di frequenza delle lettere del crittogramma in prima, sesta, undicesima, sedicesima, ventunesima… posizione, cioè W, I, M, S, I… A questo punto, è importante tener presente che ogni alfabeto cifrante della tavola di Vigenère è un semplice alfabeto ordinario, spostato di un numero di posti compreso tra 1 e 26. Perciò, la distribuzione di frequenza del grafico precedente dovrebbe assomigliare a quella di un alfabeto ordinario spostato di alcuni posti. Se è così, il confronto delle due distribuzioni dovrebbe permetterci di stabilire di quanti posti. La figura 13 mostra la frequenza media delle lettere della lingua italiana.
La distribuzione di frequenza della lingua italiana è caratterizzata da picchi e avvallamenti; per ottenere la coincidenza col grafico relativo a L1 è bene concentrarsi sulle caratteristiche salienti. Per esempio, i tre picchi in corrispondenza di a, e e i, equidistanti tra loro (tra a ed e, come tra e e i, la distanza è di 3 lettere), e il lungo avvallamento di quattro lettere tra w e z, sono due aspetti particolarmente evidenti [Si potrebbe pensare che nella nostra lingua il procedimento che stiamo illustrando sia facilitato dall’estrema rarità di lettere come w, x e y; ma l’avvallamento è ben riconoscibile, per esempio, anche nella lingua inglese, in cui questo gruppo di lettere ha freqenze molto basse, comprese tra l’1,5 e lo 0,5 per cento. N.d.T.] Qualcosa di simile si osserva nella distribuzione di frequenza della parte di crittogramma generata dall’alfabeto cifrante L1: l’avvallamento ABCD potrebbe corrispondere all’avvallamento wxyz della distribuzione di frequenza della lingua italiana, e i tre picchi equidistanti E, I e M ai tre picchi a, e e i della distribuzione di frequenza della lingua italiana. Ci suggerisce che le lettere crittate tramite l’alfabeto cifrante L1 siano spostate a destra di quattro posti, ovvero che l’alfabeto cifrante L1cominci con E. L’ipotesi può essere controllata spostando a sinistra di quattro posti la distribuzione L1, e confrontandola con quella della lingua italiana. La figura 14 permette il confronto delle due distribuzioni. Quella della lingua italiana è data non su 100 ma su 73 lettere per facilitare il confronto con la distribuzione L1 che riguarda un quinto delle lettere del crittogramma, cioè 73 lettere. La coincidenza dei picchi e degli avvallamenti principali è assai forte; quindi non è arrischiato ipotizzare che la parola-chiave cominci con E.
Figura 12 Distribuzione di frequenza delle lettere crittate tramite l’alfabeto cifrante L1 (numero di occorrenze).
Figura 13 Distribuzione di frequenza della lingua italiana (occorrenze ogni 100).
Figura 14 Distribuzione L1 spostata a sinistra di quattro lettere (sopra) confrontata con la distribuzione della lingua italiana (sotto).
Riepilogando, l’individuazione nel crittogramma di stringhe ripetute lunghe quattro o più lettere ci ha permesso di scoprire che la chiave ha una lunghezza di cinque lettere. Abbiamo quindi suddiviso il crittogramma in cinque parti, ciascuna generata da uno degli alfabeti cifranti corrispondenti alle lettere della chiave. Poiché ogni parte è stata crittata da un solo alfabeto cifrante, può essere studiata con la classica analisi delle frequenze. Confrontando la distribuzione di frequenza della parte di crittogramma generata da L1, prima lettera della chiave, con quella della lingua italiana, è apparso evidente che L1 = E. Mutatis mutandis, questo procedimento può essere usato per scoprire la seconda lettera della chiave. Occorrerà calcolare la distribuzione di frequenza della parte di crittogramma formata dalle lettere in
seconda, settima, dodicesima, diciassettesima… posizione. Il grafico così ottenuto, riprodotto nella figura 15, dovrà esser confrontato con quello della distribuzione di frequenza della lingua italiana. Il confronto dovrebbe rivelare lo spostamento dell’alfabeto cifrante L2. L’analisi di questa distribuzione ha forti analogie con la precedente. Sono evidenti sia l’avvallamento in corrispondenza di IJKL, sia i tre picchi equidistanti in corrispondenza di M, Q e U. Inoltre essi sono in posizione reciproca corretta, con l’avvallamento che precede immediatamente il primo dei picchi equidistanti. Dunque, tutto fa pensare che questo picco corrisponda alla lettera a, e che le lettere crittate tramite L2 abbiano subito uno spostamento a destra di dodici posti, ossia che l’alfabeto cifrante L2 cominci con M. Come in precedenza, converrà spostare a sinistra di dodici posti la distribuzione L2, e confrontarla con la distribuzione di frequenza della lingua italiana. La figura 16 mostra entrambe le distribuzioni, e la coincidenza appare evidente. Quindi, non è arrischiato ipotizzare che la seconda lettera della parola chiave sia M.
Figura 15 Distribuzione di frequenza delle lettere crittate tramite l’alfabeto cifrante L2 (numero di occorrenze).
Figura 16 Distribuzione L2 spostata a sinistra di dodici lettere (sopra), confrontata con la distribuzione della lingua italiana (sotto).
Non entrerò nei dettagli delle restanti distribuzioni di frequenza. Basti dire che il computo di quelle relative alla terza, ottava, tredicesima… lettera suggerisce che la terza lettera della chiave sia I; il computo di quelle relative alla quarta, nona, quattordicesima… lettera suggerisce che la quarta lettera della chiave sia L; e il computo di quelle relative alla quinta, decima, quindicesima… lettera suggerisce che la quinta e ultima lettera della parola chiave sia Y. La chiave risultante è EMILY. È quindi possibile invertire il procedimento della cifratura di Vigenère, e completare la
crittoanalisi. La prima lettera del crittogramma è W; poiché la chiave comincia con E, essa dev’essere stata generata dall’alfabeto cifrante la cui prima lettera è E. Consultiamo quindi la tavola di Vigenère, cerchiamo W sulla riga che inizia con E, e in cima alla colonna corrispondente troviamo s, prima lettera del testo chiaro. Ripetendo il procedimento, constatiamo che il testo chiaro inizia così: siedienontivergognareguanciaaguanciafiancoafianco… Completando la decrittazione e inserendo nei punti opportuni spazi e punteggiatura, otteniamo: siedi e non ti vergognare guancia a guancia, fianco a fianco che m’importa di ogni nome di ogni grado e ordinamento? lascia che sia un po’ indiscreto che ti offra un po’ di vino gamba questa chiameresti? scarna è più la tua o la mia? l’opre non ti salveranno troppi sono i tuoi peccati tronchi scabri e rami secchi vuoti spauracchi, io e te! colma la ciotola e colma la tazza sveglia, prima che sia giorno ogni istante un uomo muore ogni istante un uomo nasce
(Sit thee down, and have no shame, Cheek by jowl, and knee by knee: What care I for any name? What for order or degree? Let me screw thee up a peg: Let me loose thy tongue with wine: Callest thou that thing a leg? Which is thinnest? thine or mine? Thou shalt not be saved by works: Thou hast been a sinner too:
Ruined trunks on withered forks, Empty scarecrows, I and you! Fill the cup, and fill the can: Have a rouse before the morn: Every moment dies a man, Every moment one is born.)
Le strofe appartengono a una poesia di Alfred Tennyson intitolata The Vision of Sin (La visione del peccato), e la chiave corrisponde al nome della moglie del poeta, Emily Sellwood. Ho scelto questo brano come esempio di crittoanalisi, perché esso fu all’origine di un curioso scambio epistolare tra Babbage e Tennyson. Essendo appassionato di statistica e il primo ad aver compilato tabelle di mortalità, Babbage giudicò discutibili i versi «Ogni istante un uomo muore / ogni istante un uomo nasce», e propose una correzione della «peraltro bella» poesia: È senz’altro evidente che se ciò fosse vero, la popolazione mondiale rimarrebbe costante… Suggerirei che nella prossima edizione della vostra lirica, provvediate che si legga «Ogni istante un uomo muore, Ogni istante 1
nasce». Il dato esatto è troppo lungo perché possa inserirlo in un
verso, ma ritengo che il valore di 1
sia abbastanza accurato per la Poesia.
Sono, signore, il vostro ecc. ecc. Charles Babbage.
La crittoanalisi della cifratura di Vigenère fu probabilmente effettuata da Babbage nel 1854, subito dopo la scaramuccia teorica col Thwaites, ma passò del tutto inosservata perché egli non la pubblicò mai. La sua descrizione fu ritrovata solo in questo secolo, quando gli studiosi esaminarono la gran quantità di appunti lasciati dall’inventore. Nel frattempo il suo metodo era stato riscoperto in modo indipendente da Friedrich Wilhelm Kasiski, un ufficiale in pensione dell’esercito prussiano. A partire dal 1863, quando egli descrisse il suo procedimento in Die Geheimschriften und die Dechiffrir-kunst (Le scritture segrete e l’arte della decifrazione), il metodo crittoanalitico spiegato nei paragrafi precedenti prese il nome di test di Kasiski, e il contributo di Babbage fu totalmente negletto. Ma perché Babbage rinunciò ad annunciare la sua vittoria su un sistema così famoso come quello di Vigenère? Si è già osservato che quel geniale vittoriano aveva l’abitudine di non realizzare i suoi progetti e non pubblicare le sue scoperte, e si potrebbe concludere che questo sia solo un altro esempio della sua scarsa perseveranza, ma c’è un’altra possibile spiegazione. La scoperta di Babbage avvenne subito dopo lo scoppio della guerra di Crimea, ed essa dava all’esercito inglese un potenziale, significativo vantaggio sui russi. È senz’altro possibile che il
controspionaggio britannico abbia pregato Babbage di non divulgare il suo lavoro; ciò gli avrebbe dato un vantaggio di anni sui servizi segreti delle altre potenze. Se la spiegazione è esatta, si tratterebbe di uno dei tanti casi di silenzio imposto, nel nome della sicurezza nazionale, agli autori di fondamentali scoperte crittografiche; una tradizione proseguita fino al XX secolo compreso.
Dalle colonne dei sospiri al mistero del tesoro sepolto Grazie alle scoperte di Charles Babbage e Friedrich Wilhelm Kasiski, la cifratura di Vigenère non era più inviolabile; perciò i crittografi non potevano più garantire la sicurezza. La crittoanalisi aveva contrattaccato, ed era di nuovo in vantaggio nella battaglia delle comunicazioni. Ci furono tentativi di escogitare nuove cifrature, ma niente d’importante emerse nella seconda metà del XIX secolo. I crittografi professionisti erano scoraggiati e disorientati, ma tra la gente comune il secondo Ottocento vide un grande aumento della curiosità per le scritture segrete. La nascita del telegrafo, che aveva destato l’interesse commerciale per la crittografia, in una certa misura ebbe lo stesso effetto tra i non specialisti. Molti privati cittadini presero coscienza della necessità di proteggere i loro messaggi, quando riguardavano questioni delicate e strettamente personali. Per farlo erano disposti a crittarli, anche a costo di pagare una tariffa più elevata. Nel caso di un testo chiaro, gli operatori Morse arrivavano a trasmettere 35 parole al minuto, perché il senso permetteva loro di memorizzare intere frasi e di inviarle senza consultare nuovamente il modulo. Ciò era impossibile nel caso dei crittogrammi, in cui le sequenze di caratteri alfabetici sembravano prive di significato. Perciò l’operatore era molto più lento, e il prezzo cresceva in proporzione. Per quanto riguarda le cifrature, quelle usate dalle persone comuni non avrebbero retto l’attacco di un crittoanalista, ma rappresentavano una protezione adeguata contro i semplici ficcanaso. A poco a poco, la gente prese confidenza con le scritture segrete e cominciò a esprimere in vari modi la propria creatività in questo campo. Per esempio, nell’Inghilterra vittoriana i giovani innamorati spesso non erano liberi di manifestare i loro sentimenti; a volte, essi rinunciavano a farlo perfino per lettera, perché temevano che la loro corrispondenza fosse intercettata e letta. Così finirono per ricorrere agli spazi a pagamento dei quotidiani, ai quali inviavano romantici messaggi cifrati dopo aver concordato la chiave con l’anima gemella. Queste «colonne dei sospiri» [agony columns], come vennero soprannominate, diventarono una ghiotta riserva di caccia per i crittoanalisti, che le sottoponevano ad analisi statistica e cercavano di ricostruirne lo scabroso contenuto. È noto che Charles Babbage indulse a quest’attività insieme agli amici Sir Charles Wheatstone e il barone Lyon Playfair. Ai tre va accreditata l’invenzione dell’astuta cifratura Playfair (descritta nell’appendice D). Una volta, Wheatstone decifrò sul Times l’inserzione di uno studente di Oxford, che suggeriva alla propria innamorata di fuggire con lui. Wheatstone fece pubblicare un proprio annuncio, crittato con lo stesso sistema, in cui sconsigliava vivamente ai due giovani di attuare il loro piano sconsiderato e ribelle. Poco dopo comparve un terzo messaggio, questa volta in chiaro e della
ragazza in questione: «Caro Charlie, non scrivere più. Il nostro codice è stato scoperto». Dopo qualche tempo, i quotidiani cominciarono a ospitare un altro genere di inserzioni cifrate. Alcuni crittografi facevano pubblicare le loro scritture segrete solo per sfidare i colleghi. In altri casi, inserzioni cifrate furono usate per criticare personalità pubbliche o associazioni. Il Times ospitò inconsapevolmente il seguente crittogramma: «Il Times è il Jefferies della carta stampata». L’allusione era a un certo giudice Jefferies del XVII secolo, e implicava che il celebre quotidiano fosse rozzo e prepotente, nonché un servile portavoce delle posizioni del governo. Un altro esempio della confidenza del pubblico con le scritture segrete era la diffusa utilizzazione della crittografia «a puntura di spillo». L’antico greċo Enea Tattico, autọre di uno ḍei primi trattati di arte militare, aveva consiglịato un modo analogo di trasmettere un messaggio segreto. Egli suggeriva di praticare dei fori quasi invisibili sotto alċune lettere di un testo banale, così come un puntino è stato segnato sotto alcune lettere dị questo paragrafo. Le lettere contrassegnate formerebbero frasi che il dẹṣtinatario, al corrẹnte dello strataġemma, potṛebbẹ ricosṭruịre facilmente. D’altra parte i fori, a causa della loro piccolezza, difficilmente verrebbero notati da un estraneo, che non sospetterebbe l’esistenza del messaggio. Duemila anni dopo, in Inghilterra si ricorse a questo sistema non per tutelare il segreto ma per risparmiare. Prima della riforma postale della metà del XIX secolo, spedire una lettera costava uno scellino ogni cento miglia, una somma che per molte persone non era trascurabile. D’altro canto i giornali erano recapitati gratis - un’occasione da non perdere, per i parsimoniosi vittoriani. Invece di scrivere comuni missive, essi riempivano di forellini la prima pagina di un quotidiano e lo spedivano senza spendere un penny. Il crescente interesse della gente comune per la crittografia fece sì che codici e cifre trovassero posto nella letteratura del secondo Ottocento. Nel Viaggio al centro della Terra , di Jules Verne, la decifrazione di una pergamena coperta di caratteri runici è il primo passo verso un’epica esplorazione. I caratteri rientrano in una cifratura per sostituzione, la cui crittoanalisi genera un testo latino, che a sua volta acquista senso solo invertendo una precedente trasposizione: «Discendi il cratere del vulcano Sneffels quando l’ombra di Scartaris lo sfiora prima delle calende di luglio, audace viaggiatore, e raggiungerai il centro della Terra». Nel 1885, Verne usò una cifratura come cruciale espediente narrativo anche in Mathias Sandoff. In Gran Bretagna uno dei più fini inventori di storie crittografiche fu Sir Arthur Conan Doyle. Naturalmente, Sherlock Holmes era esperto di crittografia nonché, come spiegò al dottor Watson, «autore di una modesta monografia sull’argomento, in cui analizzo centosessanta differenti cifrature». La più celebre decifrazione di Holmes è descritta in L’avventura dei danzatori (The Adventure
of the Dancing Men), in cui la cifratura si basava su una serie di omini in pose differenti; ogni posa rappresentava una lettera. Sull’altra sponda dell’Atlantico, Edgar Allan Poe si occupò anch’egli di crittoanalisi. Scrivendo per l’ Alexander Weekly Messenger di Philadelphia, il celebre autore di racconti gotici sfidò i lettori a sottoporgli qualunque tipo di cifratura monoalfabetica. I crittogrammi inviati alla rivista furono centinaia, ed egli li tradusse tutti senza alcun errore. In effetti, la sua impresa non richiedeva altro che un abile impiego dell’analisi delle frequenze, ma i lettori della rivista rimasero sbigottiti. Uno di loro giunse a definire Poe «il più profondo e dotato crittografo mai vissuto». Nel 1843, volendo sfruttare l’interesse che aveva contribuito a far sorgere, Poe scrisse un racconto sui codici segreti che per parere unanime dei crittografi professionisti è la miglior opera letteraria sull’argomento. Lo scarabeo d’oro narra l’immaginaria avventura di William Legrande, che s’imbatte in uno strano coleottero - uno scarabeo di colore dorato - e lo raccoglie con un foglio di carta trovato nei pressi. La sera stessa Legrande usa il foglio per tracciare uno schizzo dell’insetto; ma quando lo avvicina al focolare per controllare la bontà del lavoro, il calore fa comparire una serie di segni, invisibili fino a quel momento perché tracciati con l’inchiostro simpatico. Studiando i segni Legrande si convince di essere di fronte a un crittogramma, che custodisce l’ubicazione del tesoro del capitano Kidd. Il resto del racconto è un classico esempio di analisi delle frequenze, i cui esiti sono la ricostruzione delle istruzioni del capitano Kidd, e il ritrovamento del tesoro.
Figura 17 Una parte del crittogramma da L’avventura dei danzatori, un’avventura di Sherlock Holmes di Sir Arthur Conan Doyle.
Il racconto di Poe è pura invenzione, ma c’è una storia vera del XIX secolo che lo ricorda da vicino. Il caso dei crittogrammi Beale ha per protagonisti avventurieri del selvaggio West, un cowboy che aveva accumulato un’ingente fortuna, un tesoro sepolto del valore di 20 milioni di dollari, e una serie di fogli coperti di simboli crittografici. Molto di quanto sappiamo della vicenda, crittogrammi compresi, è esposto in un pamphlet edito nel 1885 nella cittadina di Lynchburg, in Virginia.
Benché lungo solo 23 pagine, il pamphlet ha frustrato generazioni di crittoanalisti e sedotto centinaia di cacciatori di tesori. La vicenda inizia nel 1820, sessantacinque anni prima della pubblicazione del pamphlet, all’Hotel Washington di Lynchburg. Secondo il libriccino l’hotel e il suo proprietario, tale Robert Morriss, godevano di grande considerazione. «Il carattere affabile, l’assoluta onestà, l’eccellente professionalità e la pulizia delle camere lo resero ben presto uno degli albergatori più famosi, e la sua fama varcò i confini dello Stato. In città, il suo era l’Hotel per antonomasia, e le persone di buon gusto non concepivano di riunirsi altrove.» Nel gennaio del 1820, un forestiero di nome Thomas J. Beale arrivò a Lynchburg e varcò il portone dell’Hotel Washington. «Fisicamente, era sul metro e ottanta», raccontò Morriss in seguito, «con occhi neri e capelli corvini, più lunghi di quanto si usasse a quel tempo. Era di corporatura proporzionata, e sembrava robusto e in eccellente forma fisica. Tuttavia, la sua caratteristica più spiccata era la carnagione scura e riarsa, come se avesse passato molto tempo esposto al sole e a ogni genere d’intemperie. Non che questo nuocesse al suo aspetto; personalmente, lo giudicai il più bell’uomo che mi fosse capitato d’incontrare.» Beale passò il resto dell’inverno da Morriss, e sebbene la sua compagnia fosse «gradita a tutti, e in special modo alle signore», egli non parlò mai del suo passato, della sua famiglia o della ragione che l’aveva condotto lì. Poi, alla fine di marzo, se ne andò. La sua partenza fu improvvisa e inspiegata come il suo arrivo. Due anni dopo, nel gennaio 1822, Beale tornò all’Hotel Washington «più corvino e abbronzato che mai». Di nuovo passò l’inverno a Lynchburg e scomparve in primavera; non prima, però, di aver affidato a Morriss una scatola metallica chiusa a chiave, che a suo dire conteneva «documenti importanti e di valore». L’albergatore mise la scatola in cassaforte e non pensò più né ad essa né al suo contenuto, finché ricevette una lettera dal misterioso cliente. Proveniva da St. Louis, ed era datata 9 maggio 1822. Dopo le usuali formule di cortesia e alcune righe su una futura escursione nelle praterie «a caccia di bufali e per ammirare i selvatici grizzly», Beale svelò la vera funzione della scatola metallica. Contiene carte di importanza vitale per le mie fortune e per quelle di diverse persone con cui sono in affari, e nell’eventualità della mia morte la sua perdita sarebbe irreparabile. Comprenderete, quindi, la necessità di fare ogni sforzo perché un simile disastro non si verifichi… Se nessuno di noi dovesse tornare, vi prego di custodire con cura la scatola per un periodo di dieci anni dalla data di questa mia, e se trascorso quel tempo né io né alcuno da me autorizzato l’avrà reclamata, apritela, cosa che si può fare rimuovendo la serratura. Troverete, oltre a fogli indirizzati a voi, documenti che vi saranno incomprensibili senza l’aiuto di una chiave. Ho posto la chiave nelle mani di un amico di qui, sigillata e indirizzata a voi, con l’ordine di non recapitarvela fino al giugno 1832. Col suo aiuto,
comprenderete perfettamente quello che sarete pregato di fare.
Morriss custodì la scatola con zelo, aspettando che il proprietario venisse a recuperarla, ma Beale non tornò mai a Lynchburg. Nessuno lo rivide, o ricevette sue notizie. Trascorsi dieci anni, Morriss avrebbe potuto ubbidire alle istruzioni della lettera e aprire il contenitore metallico, ma sembrava riluttante a togliere la serratura. La lettera di Beale menzionava una chiave crittografica che l’albergatore avrebbe dovuto ricevere nel giugno del 1832; essa era necessaria alla decifrazione dei documenti a lui affidati. Tuttavia, niente di simile gli era mai stato recapitato, e l’inerzia di Morriss dipese probabilmente dal fatto ch’egli non vedeva l’utilità di forzare la scatola, se poi non avrebbe saputo che fare del contenuto. Alla fine, nel 1845, la curiosità ebbe la meglio e la serratura fu forzata. Nella scatola c’erano tre fogli coperti di numeri, e un biglietto scritto a mano da Beale, in inglese ordinario. Il biglietto, dal contenuto assai istruttivo, dissolse gran parte del mistero che circondava l’uomo abbronzato, la scatola metallica e i crittogrammi. Nell’aprile 1817, quasi tre anni prima di incontrare Morriss, Beale aveva iniziato un viaggio attraverso l’America con ventinove altre persone. Dopo aver percorso le grandi pianure occidentali, ideali per la caccia, la comitiva era giunta a Santa Fe e aveva passato l’inverno in quella «piccola città messicana». In marzo la brigata si era diretta a nord, inseguendo «un’enorme mandria di bufali» e abbattendone un gran numero lungo il cammino. A quel punto, secondo Beale, essa era stata baciata dalla fortuna: Un giorno, durante l’inseguimento della mandria, ci accampammo in un burrone, quattro o cinquecento chilometri a nord di Santa Fe. Dopo aver impastoiato i cavalli iniziammo a preparare la cena, quando uno degli uomini scoprì in una fenditura della roccia qualcosa che a un primo sguardo sembrava oro. Lo mostrò agli altri, che furono dello stesso parere, e fummo presi da una grande eccitazione, com’era naturale che accadesse.
Il biglietto proseguiva spiegando che nei successivi diciotto mesi Beale e i suoi uomini, con l’aiuto di alcuni indiani del posto, avevano sfruttato il giacimento e accumulato un’ingente quantità di oro, oltre a un po’ di argento scoperto poco lontano. A un certo punto si erano resi conto che la loro recente ricchezza andava messa al sicuro. Avevano quindi deciso di trasferirla nella natia Virginia, e di nasconderla in un luogo segreto. Nel 1820 Beale raggiunse Lynchburg con l’oro e l’argento, e trovato un punto che gli sembrò adatto li seppellì. Fu in quell’occasione che prese alloggio all’Hotel Washington e conobbe Morriss. Quando, alla fine dell’inverno, aveva lasciato l’albergo, Beale aveva raggiunto i suoi amici, che durante la sua assenza avevano continuato a sfruttare la miniera. Dopo un anno e mezzo Beale tornò a Lynchburg, con un ulteriore e ancor più ingente carico da aggiungere al tesoro. Questa volta, però, la sua permanenza in città
aveva anche un altro scopo: Prima che mi congedassi dai miei compagni nella prateria qualcuno fece notare che se ci fosse accaduto un incidente, i nostri parenti non avrebbero potuto beneficiare del tesoro. Infatti, non avevamo preso alcuna decisione in proposito. Fui quindi incaricato di scegliere una persona pienamente affidabile, se ne avessi trovata una, cui delegare, col consenso anche degli altri, l’esecuzione delle nostre ultime volontà circa le rispettive quote.
Avendo a che fare con Morriss, Beale si era convinto che fosse un uomo di assoluta onestà; decise perciò di affidare a lui la scatola di metallo coi tre documenti cifrati, i cosiddetti crittogrammi Beale. Ogni crittogramma consisteva in una serie di numeri (riprodotti nelle figure 18, 19 and 20), la cui sostituzione per mezzo di una chiave avrebbe rivelato tutte le informazioni importanti sulle ultime volontà di Beale e dei suoi amici. Il primo foglio chiariva l’ubicazione del tesoro; il secondo descriveva il tesoro stesso - da cosa era composto, e quanto valeva; il terzo indicava gli eredi degli uomini che l’avevano accumulato, ai quali il tesoro sarebbe andato in base a quote prestabilite. Quando Morriss lesse il biglietto, erano ormai trascorsi ventitré anni dall’ultima volta in cui aveva visto Beale. Poiché tutto faceva pensare che lui e i suoi amici fossero morti, l’albergatore ritenne suo compito trovare il tesoro e farlo avere agli eredi. Ma poiché non aveva mai ricevuto la chiave dei crittogrammi, per far questo doveva ricostruire il testo chiaro con la sola forza della logica un’impresa che turbò i suoi sonni durante i vent’anni seguenti, e si risolse in un fallimento. Nel 1862, all’età di ottantaquattro anni, Morriss giudicò che la sua vita volgeva al termine e che doveva raccontare a qualcuno la storia dei crittogrammi; altrimenti, la speranza di adempiere le ultime volontà di Beale e dei suoi soci sarebbe morta con lui. Si confidò quindi con un amico la cui identità, purtroppo, è tuttora un mistero. Sappiamo solo che fu questo amico a pubblicare, nel 1885, il famoso pamphlet, ragion per cui d’ora innanzi lo chiamerò semplicemente «l’autore». I motivi per i quali questi volle mantenere l’anonimato sono spiegati nel libriccino: Immagino che queste pagine avranno un’ampia diffusione; per evitare le innumerevoli lettere che mi assalirebbero da ogni angolo dell’Unione, ponendo ogni sorta di domande ed esigendo risposte che, se cercassi di fornirle, consumerebbero tutto il mio tempo e muterebbero radicalmente la natura del mio lavoro, ho deciso di non render pubblico il mio nome, limitandomi ad assicurare di aver esposto riguardo a questa vicenda tutto quello che so, tanto che non potrei aggiungere una sola parola a quanto è spiegato in questa sede.
Per tener celata la sua identità, l’autore chiese a James B. Ward di fargli da agente e editore.
Tutto quello che conosciamo di questa storia singolare deriva dal pamphlet; esso è l’unica fonte sia dei crittogrammi sia degli antefatti che Morriss avrebbe narrato. Inoltre, è da attribuire all’autore la decifrazione del secondo crittogramma. Come il primo e il terzo, esso consiste in una pagina fitta di numeri, e l’autore ipotizzò che ogni numero sostituisse una lettera. D’altronde la quantità di numeri diversi presente nel crittogramma è molto maggiore di quella dei caratteri alfabetici; di conseguenza, l’autore pensò di esser di fronte a una cifratura in cui più numeri sostituiscono la stessa lettera. Un gruppo di cifrature con questa caratteristica è quello che impiega un testo - di solito un libro - come chiave, ragion per cui esso è chiamato nei Paesi anglosassoni book cipher, «cifratura-libro».
Figura 18 Il primo crittogramma Beale.
Figura 19 Il secondo crittogramma Beale.
Figura 20 Il terzo crittogramma Beale.
Ne esistono vari tipi, ma uno dei più comuni è il seguente. Innanzitutto, il mittente
assegna un numero crescente alle parole del testo-chiave. Ciò fatto, ciascun numero funge da sostituto della lettera iniziale della parola corrispondente. 1Per 2esempio, 3s e 4mittente 5e 6destinatario 7convengono 8che 9questa 10frase 11sia 12il 13testo 14chiave, 15o g n i 16parola, 17vie ne 18contrassegnata 19numericamente 20come 21mostrato. Dopo di che si compila un elenco, che associa il numero alla lettera iniziale della parola corrispondente. 1=p 2=e 3=s 4=m 5=e 6=d 7=c 8=c 9=q 10 = f 11 = s 12 = i 13 = t 14 = c 15 = o 16 = p 17 = v 18 = c 19 = n 20 = c 21 = m
A questo punto, si potrebbe cifrare un messaggio sostituendo alle lettere del testo chiaro i numeri corrispondenti dell’elenco. P corrisponderebbe ai numeri 1 e 16, e ai numeri 2 e 5, mentre f potrebbe essere sostituita solo dal numero 10. Poiché il testo chiave è breve, molte lettere dell’alfabeto non vi compaiono, e sono prive di numeri corrispondenti. Il nostro esempio è perciò insufficiente alla cifratura di parole quali lume o zero, ma non alla cifratura di come, che potrebbe essere espresso da varie sequenze: 14-15-21-2, 20-15-4-5 e altre ancora. Per cifrare l’intero alfabeto,
basterebbe ricorrere a una chiave più lunga. Il destinatario, che dovrebbe aver accesso a una copia del testo-chiave, decifrerà il crittogramma con facilità. Ma una terza parte che avesse intercettato il messaggio, per decrittarlo dovrebbe scoprire quale testo abbia funto da chiave. Scrive l’autore del pamphlet: «Con quest’idea in mente furono messi alla prova tutti i libri che riuscii a trovare, numerando le lettere e confrontando i numeri con quelli del manoscritto; per qualche tempo ogni sforzo fu vano, finché la Dichiarazione di Indipendenza permise di decifrare uno dei fogli, risuscitando tutte le mie speranze». La Dichiarazione di Indipendenza si rivelò la chiave giusta per il secondo crittogramma Beale. Infatti, è possibile ricostruire il testo chiaro numerando le parole di quel celebre testo. La figura 21 riproduce l’inizio della Dichiarazione di Indipendenza, con una parola ogni dieci numerata per aiutare il lettore ad afferrare il meccanismo della decifrazione. La figura 19 mostra il crittogramma. Poiché il primo numero è 115, e la centoquindicesima parola della Dichiarazione è «instituted» [«istituiti»], la prima lettera del testo chiaro dev’essere stata i. Il secondo numero del crittogramma è 73. Poiché la settantatreesima parola della Dichiarazione comincia con h, questa dev’essere stata la seconda lettera del testo chiaro. Continuando così, è possibile ricostruire il testo chiaro soggiacente al secondo crittogramma Beale. Eccolo, come è riprodotto nel pamphlet: I have deposited in the county of Bedford, about four miles from Buford’s, in an excavation or vault, six feet below the surface of the ground, the following articles, belonging jointly to the parties whose names are given in number “3,” herewith: The first deposit consisted of one thousand and fourteen pounds of gold, and three thousand eight hundred and twelve pounds of silver, deposited November, 1819. The second was made December, 1821, and consisted of nineteen hundred and seven pounds of gold, and twelve hundred and eightyeight pounds of silver; also jewels, obtained in St. Louis in exchange for silver to save transportation, and valued at $13,000. The above is securely packed in iron pots, with iron covers. The vault is roughly lined with stone, and the vessels rest on solid stone, and are covered with others. Paper number “1” describes the exact locality of the vault, so that no difficulty will be had in finding it.
Traduzione in italiano: Ho depositato nella contea di Bedford, a circa quattro miglia da Buford’s, in una fossa, o cripta, sei piedi sotto la superficie del suolo, i seguenti articoli, appartenenti nel loro insieme alle parti i cui nomi sono forniti nell’allegato «3»: Il primo deposito è consistito in mille e quattordici libbre d’oro, e in tremilaottocentododici libbre d’argento, depositate nel novembre 1819. Il secondo è stato effettuato nel dicembre 1821, ed è
consistito in millenovecentosette libbre d’oro, e milleduecentottantotto libbre d’argento; nonché in gioielli acquistati a St. Louis in cambio dell’argento per economia di trasporto, valutati 13.000 dollari. Quanto sopra è conservato in modo sicuro in recipienti di ferro, con coperchi di ferro. La cripta è rozzamente rivestita di pietre, mentre i recipienti poggiano su solide pietre, e sono coperti da altre. Il foglio numero «1» descrive l’ubicazione esatta della cripta, cosicché trovarla non comporterà nessuna difficoltà.
Vale la pena di sottolineare che nel crittogramma sembrano esserci alcuni errori. Per esempio, il testo chiaro contiene le parole «four miles» [«quattro miglia»], che chiamano in causa la novantacinquesima parola della Dichiarazione, la cui iniziale dovrebbe essere u. Tuttavia, la novantacinquesima parola è «inalienable» [«inalienabili»]. Ciò può dipendere da un errore di cifratura da parte di Beale, oppure dal fatto che nella sua copia della Dichiarazione la novantacinquesima parola era «unalienable», un’anomalia abbastanza frequente in alcune edizioni dell’inizio del XIX secolo. In ogni caso, la decifrazione del secondo crittogramma permette di farsi un’idea precisa del valore del tesoro. Ai prezzi attuali, in lingotti, esso dovrebbe aggirarsi intorno ai 36 miliardi di lire. When, in the course of human events, it becomes 10necessary for one people to dissolve the political bands which 20have connected them with another, and to assume among the 30powers of the earth, the separate and equal station to 40which the laws of nature and of nature’s God entitle 50them, a decent respect to the opinions of mankind requires 60that they should declare the causes which impel them to 70the separation. We hold these truths to be self-evident, 80that all men are created equal, that they are endowed 90by their Creator with certain inalienable rights, that among these 100are life, liberty and the pursuit of happiness; That to 110secure these rights, governments are instituted among men, deriving their 120just powers from the consent of the governed; That whenever 130any form of government becomes destructive of these ends, it 140is the right of the people to alter or to 150abolish it, and to institute a new government, laying its 160foundation on such principles and organizing its powers in such 170form, as to them shall seem most likely to effect 180their safety and happiness. Prudence, indeed, will dictate that governments 190long established should not be changed for light and transient
200causes;
and accordingly all experience hath shewn, that mankind are 210more disposed to suffer, while evils are sufferable, than to 220right themselves by abolishing the forms to which they are 230accustomed.
But when a long train of abuses and usurpations, 240pursuing invariably the same object evinces a design to reduce them 250under absolute despotism, it is their right, it is their 260duty, to throw off such government, and to provide new 270Guards for their future security. Such has been the patient 280sufferance of these Colonies; and such is now the necessity 290which constrains them to alter their former systems of government. 300The history of the present King of Great Britain is 310a history of repeated injuries and usurpations, all having in 320direct object the establishment of an absolute tyranny over these 330States. To prove this, let facts be submitted to a 340 candid world.
Figura 21 I primi tre paragrafi della Dichiarazione di Indipendenza, con una parola ogni dieci numerata. Questa è la chiave che ha permesso di decifrare il secondo crittogramma Beale.
Come stupirsi se l’autore, scoperta la posta in gioco, dedicò sempre più tempo all’analisi degli altri due crittogrammi e in special modo del primo, che descrive l’ubicazione della cripta? Ma tutti i suoi sforzi furono vani, e invece di apportare prosperità il crittogramma fu causa di miseria: Per via della perdita di tempo legata a quest’indagine mi ridussi dalla relativa agiatezza all’assoluta indigenza, facendo soffrire coloro che avrei dovuto proteggere e restando insensibile alle loro rimostranze. Alla fine, la loro condizione mi aprì gli occhi; decisi di troncare all’istante, e per sempre, ogni legame con questa faccenda, e di rimediare, se possibile, ai miei errori. A questo scopo, giudicandolo il modo migliore di mettere la tentazione al di là dalla mia portata, ho deciso di render pubblica l’intera questione, sgravandomi di ogni responsabilità nei confronti del signor M orriss.
Così i crittogrammi, con ogni altra informazione nota all’autore, furono pubblicati nel 1885. E anche se l’incendio di un magazzino distrusse gran parte dei pamphlet, quelli che si salvarono produssero a Lynchburg parecchia agitazione. Due dei più entusiastici cacciatori di tesori attratti dai crittogrammi Beale furono due fratelli, George e Clayton Hart. Per anni tormentarono i due fogli non decifrati, tentando vari
approcci crittoanalitici e illudendosi di tanto in tanto di aver trovato la soluzione. Talvolta una strategia interpretativa errata produce per caso poche sequenze sensate, e il crittoanalista, ossessionato da quei falsi indizi, tenta di far tornare i conti anche altrove affastellando ipotesi su ipotesi. Per un osservatore distaccato simili interpretazioni sono nient’altro che illusioni alimentate dalla speranza, ma all’appassionato cacciatore di tesori esse sembrano il buon senso in persona. Una delle loro decrittazioni parziali spinse i fratelli Hart a scavare in un certo luogo con la dinamite; fecero un bel buco, ma di oro non ne trovarono. Clayton Hart si arrese nel 1912, mentre George continuò a spremersi le meningi fino al 1952. Un segugio ancor più tenace fu Hiram Herbert Jr., il cui interesse per il tesoro Beale nacque nel 1923. Herbert continuò le ricerche per tutti gli anni Settanta, ma dopo tanto lavoro anch’egli si ritrovò senza niente di concreto da mostrare. Tra coloro che si imbarcarono nella ricerca del tesoro Beale figurano alcuni crittografi professionisti. Herbert O. Yardley, fondatore dell’U.S. Cipher Bureau (l’Ufficio Cifre degli Stati Uniti, noto anche come la camera nera americana) alla fine della prima guerra mondiale si interessò ai crittogrammi Beale, così come il celebre colonnello William Friedman, che dominò la scena della crittoanalisi statunitense nella prima metà del XX secolo. Nel periodo in cui diresse il Signal Intelligence Service (Servizio informativo segnalazioni), Friedman incluse i crittogrammi Beale nel programma di addestramento, probabilmente perché, come raccontò una volta sua moglie, li considerava «diabolicamente ingegnosi, fatti apposta per traviare l’ingenuo lettore». L’archivio Friedman, inaugurato nel 1969 presso il George C. Marshall Research Centre dopo la morte del crittografo, è consultato spesso dagli storici militari, ma i visitatori di gran lunga più numerosi sono gli inguaribili bealomani, attratti dalla possibilità che il celebre defunto abbia lasciato qualche indizio da seguire. Più di recente, ha fatto il suo ingresso nella saga con un ruolo di primo piano Carl Hammer, ex responsabile del dipartimento di scienze informatiche alla Sperry Univac, e uno dei pionieri della crittoanalisi computerizzata. Secondo Hammer, i crittogrammi Beale hanno tenuto impegnati «almeno il 10 per cento dei migliori intelletti crittoanalitici del Paese. E neanche una briciola dei loro sforzi è da rimpiangere. Quel lavoro - anche i filoni che hanno condotto in vicoli ciechi - è stato più che ripagato dai progressi e dai miglioramenti nel campo della scienza informatica». Hammer è stato socio eminente della Beale Cypher and Treasure Association, fondata negli anni Sessanta per promuovere gli studi sulla misteriosa vicenda. All’inizio, lo statuto prevedeva che se un socio avesse scoperto il tesoro, l’avrebbe diviso con gli altri, ma si ebbe l’impressione che quest’obbligo scoraggiasse molti soci potenziali, e la clausola fu abolita. Nonostante gli sforzi combinati dell’Associazione, dei cacciatori di tesori dilettanti e dei crittografi professionisti, il primo e il terzo crittogramma Beale sono inviolati da
più di un secolo, e nessuno ha trovato l’oro, l’argento e i gioielli. Molti tentativi di decifrazione hanno preso le mosse dalla Dichiarazione d’indipendenza, che è la chiave del secondo crittogramma. Poiché la numerazione progressiva delle parole non è stata di alcuna utilità rispetto al primo e al terzo foglio cifrato, si sono tentati altri schemi, come la numerazione al contrario e quella a parole alternate; ma nessuno di essi ha funzionato. Tra l’altro, il primo crittogramma contiene numeri che arrivano a 2906 mentre la Dichiarazione conta solo 1322 parole. Perciò sono stati presi in considerazione altri testi e altri libri, e diversi crittoanalisti hanno supposto che per cifrare i tre fogli siano state usate non solo chiavi diverse, ma anche sistemi di cifratura diversi. Sarete forse stupiti della resistenza dei crittogrammi Beale, tanto più che la battaglia tra inventori e solutori di codici vedeva i secondi in vantaggio. Babbage e Kasiski erano riusciti a violare la cifratura di Vigenère, e i crittografi erano alla disperata ricerca di un sistema che potesse rimpiazzarla. Come aveva potuto il signor Beale escogitare una cifratura così formidabile? La risposta, a mio avviso, è che i crittogrammi Beale sono stati concepiti in circostanze estremamente vantaggiose per il crittografo. I messaggi costituivano una corrispondenza una tantum, e poiché riguardavano un tesoro di tal valore, Beale può esser stato così prudente da redigere un testo-chiave originale per il primo e il terzo crittogramma. Se Beale scrisse un brano inedito si capisce perché gli appassionati della vicenda, pur avendo passato al setaccio ogni sorta di pubblicazioni, non abbiano trovato niente di utilizzabile. Beale potrebbe aver stilato un articolo di 2000 parole sulla caccia al bufalo, realizzato in un’unica copia. Se è così, solo il ritrovamento dell’articolo, posto che sia sopravvissuto, permetterebbe la decifrazione del primo e terzo crittogramma. Beale scrisse di aver lasciato la chiave «nelle mani di un amico» di St. Louis, ma se essa fu smarrita o andò distrutta, i suoi crittogrammi potrebbero restare insoluti per l’eternità. Creare un testo chiave ex novo per la cifratura di un messaggio garantisce la segretezza molto più che servirsi di un brano pubblicato, ma è un espediente utile solo se il mittente ha il tempo necessario per scriverlo, ed è in grado di farlo avere al destinatario. Entrambe le circostanze sono rare nell’ambito delle comunicazioni riservate quotidiane. Beale invece poté predisporre la chiave in tutta calma, consegnarla all’amico di St. Louis quando passò da quella città, e prendere accordi perché fosse spedita o restituita a lui stesso in un futuro da stabilire, quando il tesoro fosse stato reclamato da qualcuno. Una spiegazione alternativa dell’inviolabilità dei crittogrammi Beale è che l’autore li abbia volontariamente alterati prima di pubblicare il pamphlet. Forse egli mirava a fare uscire allo scoperto l’«amico di St. Louis», cioè il presunto possessore della chiave. Se avesse pubblicato le cifrature originali, questi si sarebbe forse limitato a
decrittarle, avrebbe recuperato il tesoro e l’autore non avrebbe ricevuto nessuna ricompensa per i suoi sforzi. D’altra parte, se i crittogrammi erano stati alterati, presto o tardi l’amico di Beale avrebbe compreso che gli occorreva l’aiuto dell’autore, e si sarebbe messo in contatto con Ward, l’editore. Infine l’autore, informato da Ward, avrebbe potuto barattare i crittogrammi originali con una quota del tesoro. È anche possibile che il tesoro sia stato trovato da molti anni, e che lo scopritore sia riuscito a disseppellirlo un po’ per volta senza farsi notare dalla gente dei dintorni. Bealomani inclini alle ipotesi cospiratorie hanno suggerito che la National Security Agency abbia già recuperato il tesoro. L’agenzia crittografica federale dispone di computer e crittoanalisti che hanno pochi rivali al mondo, e se c’è qualcuno che potrebbe aver approfittato di un indizio sfuggito a tutti gli altri, questo qualcuno è senz’altro la NSA. La mancanza di qualsiasi annuncio è in linea con la reputazione di assoluto riserbo dell’agenzia, testimoniato dalle numerose versioni non ufficiali del suo acronimo, da «Never Say Anything» («Non aprir bocca») a «No Such Agency» («Agenzia che non c’è»). Infine, non si può escludere che i crittogrammi Beale siano un’elaborata montatura, e che lo stesso Beale non sia mai esistito. Gli scettici hanno suggerito che un ignoto, ispirato dallo Scarabeo d’oro di Poe, abbia inventato l’intera storia e pubblicato il pamphlet per burlarsi della credulità della gente. I seguaci della teoria della montatura hanno vagliato la storia alla ricerca di aspetti incongrui e particolari privi di riscontri. Per esempio, secondo il pamphlet la lettera di Beale, che dovrebbe esser stata scritta nel 1822 e poi chiusa nella scatola metallica, contiene la parola stampede («fuga improvvisa e disordinata», specie di buoi, cavalli ecc.). Questa parola non compare in testi a stampa prima del 1844. Tuttavia, è possibile che il suo uso tra cow-boy e avventurieri risalisse a molto prima, e che Beale l’avesse appresa durante le battute di caccia e la permanenza nelle praterie. Uno degli scettici più eminenti è il crittografo Louis Kruh. Egli sostiene di avere scoperto indizi che suggeriscono che il pamphlet e le lettere «di Beale», sia quella spedita da St. Louis sia quella trovata nella scatola metallica, siano state scritte dalla stessa persona. Kruh ha effettuato l’analisi testuale sia dei brani attribuiti all’autore, sia di quelli attribuiti a Beale, per controllare se ci fossero delle somiglianze. Tra gli aspetti da lui valutati, la percentuale di frasi che iniziano con the, of e and, il numero medio di virgole e punti e virgola per frase, nonché aspetti stilistici come l’uso delle negazioni, delle forme verbali passive, degl’infiniti, delle proposizioni relative. Oltre ai brani attribuiti all’autore e a Beale, egli ha analizzato gli scritti di tre virginiani del XIX secolo. Tra i cinque scritti, quelli di Beale e dell’autore del pamphlet hanno rivelato la maggiore somiglianza; quindi, l’ipotesi che siano stati scritti dalla stessa persona appare corroborata.
D’altra parte, anche gl’indizi dell’autenticità dei crittogrammi sono numerosi. Per esempio, se i fogli non decifrati fossero dei falsi, il falsificatore dovrebbe aver scelto i numeri a casaccio. Invece, essi danno origine a singolari, complesse configurazioni. Una di queste si ottiene usando la Dichiarazione di Indipendenza come chiave del primo crittogramma. Tale procedimento non genera un testo sensato, ma stringhe come abfdefghiijklmmnohpp. Non è una stringa in perfetto ordine alfabetico, ma ancor meno può esser considerata casuale. James Gillogly, presidente dell’American Cryptogram Association (Associazione americana del crittogramma) ha calcolato che le probabilità che una sequenza simile compaia per caso sono meno di una su cento milioni di milioni; ciò suggerisce l’esistenza di un principio crittografico soggiacente alle serie numeriche del primo foglio. Un’ipotesi è che la Dichiarazione di Indipendenza sia davvero la chiave, ma che il testo risultante richieda una seconda decifrazione, ossia che il primo crittogramma Beale sia il frutto di una cifratura in due fasi, o ipercifratura. In tal caso, la sequenza alfabetica potrebbe esser stata inserita come incoraggiamento, o meglio come indicazione del fatto che il primo stadio della decrittazione è stato eseguito correttamente. Altre prove a sostegno dell’autenticità dei crittogrammi vengono da ricerche di carattere storico, condotte per valutare la plausibilità dell’intera vicenda. Peter Viemeister, uno storiografo locale, ha raccolto gran parte dei suoi studi sull’argomento nel libro The Beale Treasure–History of a Mystery . Il primo passo di Viemeister fu chiedersi se ci fosse qualche prova della reale esistenza di Thomas Beale. Servendosi dell’anagrafe del 1790 e di altri documenti, egli ha individuato diversi Thomas Beale nati in Virginia la cui identità corrisponde ai pochi dati disponibili. Viemeister ha cercato conferme anche per altri particolari forniti dal pamphlet, come il viaggio a Santa Fe che portò alla scoperta del giacimento. Per esempio, una leggenda cheyenne che risale all’incirca al 1820 parla di oro e argento provenienti dall’Ovest e sepolti nelle Montagne Orientali. Inoltre, il registro del direttore dell’ufficio postale di St. Louis include un «Thomas Beali», un particolare che accredita la tesi del pamphlet che Beale sia stato nella città nel 1820, dopo aver lasciato Lynchburg diretto a Ovest. St. Louis è anche la località dalla quale, secondo il pamphlet, Beale avrebbe spedito una lettera nel 1822. La saga dei crittogrammi Beale sembra quindi avere un fondamento. Perciò continua ad affascinare crittoanalisti e cacciatori di tesori come Joseph Jancik, Marilyn Parsons e il loro cane Muffin. Nel febbraio 1983 essi furono accusati di «violazione di cimitero» quando in piena notte vennero sorpresi a scavare nel camposanto della Chiesa di Mountain View. Non avendo scoperto altro che una bara, trascorsero il resto del finesettimana nella prigione della contea, e furono rilasciati previo pagamento di una multa di 500 dollari. Questi tombaroli della domenica avrebbero potuto consolarsi pensando di non aver fatto peggio di Mel
Fisher, il cacciatore di tesori professionista che ha al proprio attivo il recupero di 40 milioni di dollari in oro dal relitto del galeone Nuestra Senora de Atocha, da lui individuato nel 1985 al largo di Key West. Nel novembre 1989 Fisher ebbe un suggerimento da un bealeologo della Florida, giunto alla conclusione che il tesoro di Beale fosse sepolto a Graham’s Mill, nella contea di Bedford. Col sostegno finanziario di un gruppo di facoltosi uomini d’affari Fisher, che per evitare una non gradita pubblicità si presentò come il «signor Voda», comprò il luogo che gli era stato indicato e vi scavò in lungo e in largo, senza trovare nemmeno una pepita. Alcuni cacciatori di tesori hanno abbandonato la speranza di decifrare i due crittogrammi inviolati, e si sono invece concentrati sugli indizi ricavabili dal secondo crittogramma. Per esempio, oltre a descrivere la composizione del tesoro sepolto il testo del secondo foglio afferma che esso sarebbe stato sotterrato «a circa quattro miglia da Buford», un probabile riferimento all’abitato di Buford o, più precisamente, alla locanda di Buford. Vi è anche un accenno al fatto che «la cripta è rozzamente rivestita di pietra», ragion per cui molti cacciatori di tesori si sono precipitati al Goose Creek, un torrente dove abbondano le pietre di grosse dimensioni. Ogni estate la zona attira gente speranzosa; c’è chi si porta appresso un metal detector, e chi preferisce un mago o un sensitivo. Come stupirsi se a Bedford abbondano negozi di attrezzature minerarie dove si può comprare o affittare di tutto, dagli scarponi alle scavatrici? I contadini, d’altra parte, hanno molta meno simpatia per quei forestieri che si credono in diritto di invadere proprietà, danneggiare recinzioni e seminare crateri a destra e a manca. Avendo udito la storia dei crittogrammi Beale, qualche lettore potrebbe sentirsi incoraggiato a raccogliere la sfida. Il fascino combinato di un crittogramma del XIX secolo ancora irrisolto, e di un tesoro che vale decine di miliardi, potrebbe dimostrarsi irresistibile. Ma prima di trasformarsi in cacciatore di tesori, il lettore farebbe bene ad ascoltare questi consigli dell’autore del pamphlet: Prima di rendere pubblici i documenti, vorrei dire qualche parola a quanti forse ne saranno incuriositi, ed elargire qualche consiglio basato sulla mia amara esperienza. Il primo è quello di dedicare allo scopo solo il tempo libero dall’occupazione principale; chi non ne ha, stia alla larga dall’intera faccenda… Inoltre, raccomando di non sacrificare giammai, come ho fatto io, gl’interessi propri e dei congiunti a quella che può rivelarsi un’illusione; ma, come ho già detto, a chi ha sbrigato tutte le sue incombenze, e sia seduto con calma accanto al fuoco, un po’ di tempo dedicato alla questione non può fare alcun male, e potrebbe dare dei frutti.
3 L’automazione della sicurezza
A
lla fine del XIX secolo, la crittografia era in grave difficoltà. Da quando Babbage e Kasiski avevano minato la fiducia nella cifratura di Vigenère, i crittografi erano alla ricerca di una nuovo sistema che ripristinasse la sicurezza delle comunicazioni, e permettesse a uomini d’affari e comuni utenti di servirsi del telegrafo senza rinunciare alla riservatezza. Inoltre, alla fine del secolo il fisico italiano Guglielmo Marconi inventò una forma di telecomunicazione ancor più potente, e questo rese più urgente la necessità di un procedimento crittografico sicuro. Nel 1894, Marconi cominciò a effettuare esperimenti su una singolare proprietà dei circuiti elettrici. In condizioni adatte, un circuito percorso dalla corrente poteva far sì che un altro circuito, isolato e posto a una certa distanza, fosse percorso a sua volta dall’elettricità. A poco a poco, modificando i circuiti, aumentando la loro potenza e dotandoli di antenne, Marconi riuscì a trasmettere informazioni sotto forma di impulsi elettromagnetici fino a una distanza di due chilometri e mezzo; in poche parole, inventò la radio. Il telegrafo esisteva già da mezzo secolo, ma per inviare un messaggio da un luogo a un altro aveva bisogno di fili. Il pregio del congegno di Marconi consisteva appunto nel farne a meno - i segnali viaggiavano attraverso l’aria, come per magia. Nel 1896 lo scienziato italiano, che aveva bisogno di capitali per continuare gli esperimenti, si trasferì in Gran Bretagna dove chiese il primo brevetto. Proseguendo le ricerche aumentò la portata delle comunicazioni radio e trasmise messaggi fino a una distanza prima di 16 chilometri, attraverso il Canale di Bristol, poi di oltre 50, superando la Manica e raggiungendo il territorio francese. Nello stesso periodo, Marconi cominciò a occuparsi dei possibili impieghi commerciali della sua invenzione. Ai potenziali finanziatori, sottolineava che essa faceva a meno delle costose linee telegrafiche, e permetteva di inviare messaggi in luoghi altrimenti irraggiungibili. Un’iniziativa pubblicitaria assai efficace fu da lui promossa nel 1899: equipaggiò due navi con trasmettitori radio, in modo che i giornalisti che seguivano l’America’s Cup, la più celebre regata del mondo, potessero inviare i loro reportage direttamente a New York. L’interesse crebbe ulteriormente quando Marconi sfatò il mito che le comunicazioni via etere non potessero superare l’orizzonte. Secondo gli scettici le onde elettromagnetiche non potevano piegarsi e seguire la curvatura della Terra, ragion per cui gli apparecchi che le utilizzavano potevano avere una portata di un
centinaio di chilometri o poco più. Marconi decise di smentirli inviando un messaggio attraverso i 3500 chilometri che separavano Poldhu, in Cornovaglia, da San Giovanni di Terranova. Nel dicembre 1901 l’emittente di Poldhu trasmise per tre ore al giorno interminabili serie di s (punto - punto - punto), mentre sulle ventose scogliere di Terranova l’inventore tentava di captare il segnale. In coincidenza con ogni trasmissione, egli alzava in volo un grande aquilone, che a sua volta trascinava un’antenna verso il cielo corrucciato. Finalmente il 12 dicembre, poco dopo mezzogiorno, Marconi registrò tre deboli impulsi; fu la prima trasmissione radio transoceanica della storia. La riuscita dell’impresa restò scientificamente inspiegata finché, nel 1924, i fisici scoprirono la ionosfera - uno strato ionizzato di atmosfera terrestre che comincia a 60 chilometri dal livello del mare. La ionosfera riflette le onde radio come uno specchio, permettendo loro di rimbalzare verso il suolo. Poiché quest’ultimo si comporta all’incirca allo stesso modo, le onde radio possono raggiungere qualsiasi punto del pianeta grazie a una serie di rimbalzi contro la ionosfera e la superficie terrestre. Ben presto l’invenzione di Marconi cominciò a ossessionare i militari, che la osservavano con un misto di timore e avidità. Dal loro punto di vista, i vantaggi potenziali erano ovvi, e tutti legati alla possibilità di mettere in comunicazione due punti del globo senza doverli collegare con cavi elettrici. In molti casi, la posa dei cavi era difficile o impossibile. Per esempio, fino a quel momento un ammiraglio con base in un porto non aveva modo di comunicare con le sue navi, che a volte erano irraggiungibili per mesi. Con la radio, egli avrebbe potuto coordinare gli spostamenti della flotta, indipendentemente dalla sua ubicazione. In modo analogo, la radio avrebbe permesso ai generali l’attuazione di complessi piani strategici, permettendo il continuo contatto coi reparti durante i loro spostamenti. Tutto questo era la logica conseguenza della natura delle onde elettromagnetiche, che si propagano in tutte le direzioni e raggiungono quasi all’istante il destinatario, dovunque sia. Ma la natura ubiquitaria dei segnali radio è anche, in un contesto bellico, il loro più grave difetto, perché è impossibile impedire che raggiungano il nemico oltre a coloro con cui ci si vuol tenere in contatto. Ancora una volta, il progresso delle comunicazioni acuiva il bisogno di un sistema crittografico affidabile. Se non si poteva impedire al nemico di ascoltare qualunque trasmissione via etere, si doveva almeno evitare che decifrasse quelle crittate; in che modo, era ciò che i crittografi dovevano scoprire. L’ambiguo fascino della radio - grande facilità di comunicazione, e grande facilità d’intercettazione - fu avvertito molto più chiaramente allo scoppio della prima guerra mondiale. Tutti i Paesi belligeranti erano ansiosi di approfittare del nuovo mezzo, ma incerti su come proteggere le proprie comunicazioni. L’effetto combinato del
telegrafo senza fili e della Grande guerra fu di accrescere enormemente il bisogno di cifrature efficienti. Tutti erano in attesa di novità importanti, di una tecnica crittografica capace di difendere i segreti dei generali. Ma per la scienza delle scritture segrete, gli anni compresi tra il 1914 e il 1918 non furono un periodo di brillanti scoperte, bensì di ripetuti insuccessi. Gl’inventori di codici escogitarono alcune nuove cifrature, ma l’individuazione dei loro punti deboli era solo una questione di tempo. Una delle cifrature più famose di quegli anni fu la germanica ADFGVX, inaugurata il 5 marzo 1918 in vista della grande offensiva tedesca del 21 marzo. Come qualunque operazione bellica, l’offensiva in questione avrebbe guadagnato molto dall’effetto sorpresa. Perciò, una équipe di crittografi aveva scelto l’ADFGVX in una rosa di candidati, reputando che desse le migliori garanzie di segretezza. In effetti, quei crittografi la consideravano inviolabile. La sua forza stava nella natura contorta, consistente in un mélange di procedimenti di sostituzione e trasposizione (cfr. l’Appendice E). All’inizio del giugno 1918 l’artiglieria tedesca era a cento chilometri da Parigi, e l’armata del Kaiser si preparava all’assalto decisivo. Per gli Alleati l’unica speranza era far breccia nell’ADFGVX, e scoprire quale punto del fronte i tedeschi avrebbero cercato di sfondare. Per fortuna, essi avevano un’arma segreta: un crittoanalista di nome George Painvin. Bruno, allampanato e straordinariamente perspicace, il francese Painvin aveva scoperto le proprie doti di crittoanalista grazie a un incontro fortuito con un membro del Bureau du Chiffre, poco dopo lo scoppio della guerra. Da quel momento, il suo eccezionale talento fu impiegato esclusivamente per scoprire le debolezze delle comunicazioni cifrate nemiche. Comunque, l’ADFGVX fu un osso duro anche per lui: vi lavorò giorno e notte, tanto da perdere oltre quindici chili. Finalmente, la sera del 2 giugno Painvin tradusse un messaggio ADFGVX. Quel primo successo spianò la strada a una raffica di altre decifrazioni, compreso un messaggio con l’ordine seguente: «Mandare subito le munizioni. Anche di giorno se non visti». Il preambolo del messaggio indicava che proveniva da qualche luogo tra Montdidier e Compiègne, un’ottantina di chilometri a nord di Parigi. L’urgente richiesta di munizioni significava che in quel settore era imminente un tentativo di sfondamento da parte dei tedeschi. Ricognizioni aeree confermarono l’imminente offensiva. Gli Alleati ebbero appena il tempo di spedire rinforzi alla prima linea; di lì a una settimana, i tedeschi attaccarono. Ma l’effetto sorpresa era venuto a mancare, e le truppe del Kaiser furono respinte dopo cinque giorni di furiosi combattimenti. La violazione della cifratura ADFGVX è indicativa dello stato della crittografia durante la prima guerra mondiale. Le nuove cifrature non mancavano, ma si trattava
senza eccezione di varianti o combinazioni di quelle del secolo precedente. Scritture segrete di questo tipo potevano garantire la sicurezza all’inizio; ma poiché i princìpi su cui si basavano erano noti, prima o poi i crittoanalisti più abili e preparati ne venivano a capo. In realtà, i problemi maggiori erano creati alla crittoanalisi dal puro e semplice aumento quantitativo delle comunicazioni. Prima della radio i dispacci carpiti al nemico erano rari, e i decrittatori se li contendevano come ambiti trofei di caccia. Ma durante la Grande guerra il traffico delle comunicazioni raggiunse livelli mai visti, nello stesso momento in cui diventava possibile intercettare ogni singolo messaggio. I crittoanalisti dovettero quindi fronteggiare un fiume in piena di informazioni cifrate. Si stima che i messaggi radio tedeschi captati nel corso del conflitto abbiano contenuto cento milioni di parole. I più abili crittoanalisti del 1914-18 furono i francesi. Quando decretò la mobilitazione generale, Parigi disponeva già della più agguerrita squadra di decrittatori di tutta l’Europa. Era una conseguenza della guerra francoprussiana, conclusasi nel 1871 con la disfatta dell’esercito francese. Sperando di puntellare la propria traballante popolarità, Napoleone III aveva invaso la Prussia nel 1870, senza prevedere l’alleanza tra l’Impero prussiano e gli Stati tedeschi meridionali. Sotto la guida politica di Otto von Bismarck, la Prussia aveva sbaragliato le truppe di Napoleone, e imposto una pace che comportò per la Francia la perdita di Alsazia e Lorena, nonché dell’egemonia sulla parte occidentale dell’Europa continentale. In seguito, il cronico timore della Germania unificata sembra esser stato un ottimo ricostituente per la crittoanalisi francese. Infatti, quale miglior strumento poteva esistere, per prevedere le mosse del temibile vicino? Fu in questo clima che Auguste Kerckhoffs scrisse il trattato La Cryptographie militaire. Pur essendo olandese, egli visse per lo più in Francia, e i suoi scritti rappresentarono per la sua patria d’adozione un’eccellente guida ai fondamenti della crittoanalisi. Tre decenni più tardi, allo scoppio della prima guerra mondiale, l’esercito francese aveva messo in pratica, e su larga scala, molte delle idee di Kerckhoffs. Mentre geni solitari come Painvin cercavano di penetrare le nuove cifrature, équipe di esperti, ciascuno con le sue particolari simpatie crittografiche, sbrigavano il lavoro interpretativo di routine. La rapidità era essenziale, e questa crittoanalisi «a catena di montaggio» produceva intelligence di qualità a un ritmo più che soddisfacente. Lo sapessero o no, i francesi seguivano alla lettera il consiglio di Sun-Tzu, autore dell’Arte della guerra, un classico di teoria militare del IV secolo a.C.: «Niente dovrebbe essere considerato con più favore delle informazioni; niente andrebbe ricompensato più generosamente; niente dovrebbe essere così discreto come il lavoro inteso a procurarle». Oltre a valorizzare i loro ingegni crittoanalitici, i francesi svilupparono sottili tecniche non strettamente crittografiche per la raccolta di
intelligence via radio. Per esempio, le loro stazioni di ascolto impararono a riconoscere il «pugno» dei marconisti nemici. Una volta crittografato, un messaggio era trasmesso in codice Morse, e gli operatori erano riconoscibili dalle pause, dalla velocità di trasmissione, dalla lunghezza relativa dei punti e delle linee. Il «pugno» era per così dire la calligrafia del marconista. Oltre a gestire stazioni d’ascolto, i francesi crearono sei stazioni direzionali, capaci di stabilire la provenienza delle trasmissioni nemiche. Ogni stazione era dotata di un’antenna rotante. Questa veniva orientata in modo che il segnale raggiungesse la massima intensità, individuando cosi la direzione da cui proveniva. La direzione di provenienza è una linea retta, e poiché due rette non parallele individuano un punto, connettendo i dati di due o più stazioni si aveva un’idea precisa della posizione dell’emittente tedesca. Combinando i dati sul «pugno» e sul sito dell’emittente si poteva stabilire, per esempio, la posizione di un reparto militare. A sua volta, il controllo dei suoi spostamenti nell’arco di alcuni giorni consentiva di stabilire se era fermo e, in caso contrario, dov’era diretto. Dai dati sulla posizione e movimenti di molti reparti, si potevano intuire le intenzioni dello stato maggiore germanico. Questo tipo di raccolta di informazioni, detto analisi del traffico, si dimostrava particolarmente utile subito dopo l’introduzione di nuove cifrature. L’impiego da parte del nemico di sistemi con cui i crittoanalisti alleati non avevano ancora familiarità causava temporanei blackout crittografici, ai quali l’analisi del traffico ovviava almeno in parte. La morale è che anche un messaggio indecifrabile può essere utile all’intelligence, se è sfruttato con abilità. L’efficienza e i successi dei francesi sono in netto contrasto con la situazione dei tedeschi, che entrarono in guerra senza un servizio crittoanalitico militare. Solo nel 1916, messa da parte l’eccessiva fiducia in loro stessi, i generali del Kaiser istituirono l’Abhorchdienst, un ufficio preposto in modo specifico all’ascolto e alla decifrazione delle comunicazioni alleate. Una delle ragioni del loro ritardo era che all’inizio del conflitto le divisioni germaniche erano avanzate in profondità in territorio nemico. Prima di ritirarsi i francesi avevano distrutto le linee telegrafiche, costringendo i tedeschi in avanzata a comunicare quasi esclusivamente via radio. Ma non valeva l’inverso, perché nella parte di territorio sotto il suo controllo Parigi poteva ricorrere alle trasmissioni via cavo, privando il nemico di gran parte delle occasioni di intercettazione. Dunque, all’inizio della guerra i messaggi captati dai tedeschi erano troppo pochi per giustificare la creazione di un servizio permanente di decifrazione. Anche britannici e americani fornirono contributi importanti alla crittoanalisi alleata. La supremazia di francesi e anglosassoni in questo campo, e le sue conseguenze sul corso della guerra, sono illustrate in modo eloquente dalla decifrazione di un telegramma tedesco, intercettato dai britannici il 17 gennaio 1917.
L’episodio dimostra che la crittoanalisi può influenzare la conduzione delle operazioni belliche al più alto livello, e che l’uso di sistemi crittografici inadeguati può avere conseguenze catastrofiche. Nell’arco di qualche settimana, il telegramma a cui mi riferisco spinse gli Stati Uniti a riconsiderare la loro politica di neutralità, influenzando profondamente i rapporti di forza strategici. Nonostante forti pressioni esercitate da ambienti sia britannici che statunitensi, nei primi due anni di guerra il presidente Woodrow Wilson si era sempre rifiutato di inviare truppe in Europa per far pendere la bilancia a favore degli Alleati. Oltre a non voler mandare giovani americani a morire sugl’insanguinati campi di battaglia di un altro continente, egli era convinto che l’unico modo di metter fine alla carneficina fosse l’apertura di negoziati, e che a tal fine conveniva che l’America restasse neutrale. Solo così essa avrebbe potuto proporsi come mediatrice quando se ne fosse presentata l’occasione. Nel novembre 1916 la possibilità di un accordo parve a Wilson più vicina, perché Berlino aveva nominato ministro degli Esteri Arthur Zimmermann. Questi era un gigante dall’aspetto bonario, che faceva presagire una fase nuova della politica estera tedesca, più flessibile e illuminata. Sui quotidiani di oltre Atlantico campeggiavano titoli come «Il nostro amico Zimmermann» e «Svolta liberale in Germania», mentre una testata definiva il passaggio di consegne «uno dei segnali di miglior auspicio per il futuro delle relazioni tedesco-americane». Tuttavia, all’insaputa degli ignari statunitensi il neoministro si preparava non a spianare la via della pace, ma a favorire l’aumento dell’impegno bellico del suo Paese. Nel 1915, un U-boot tedesco in immersione si era reso responsabile dell’affondamento del transatlantico Lusitania, causando la morte di 1198 passeggeri tra i quali 128 civili americani. L’incidente avrebbe causato l’entrata in guerra degli Stati Uniti, se la Germania non avesse assicurato che da allora in poi gli U-boot sarebbero emersi prima di attaccare - una limitazione volta a evitare il siluramento per errore di navi civili. Tuttavia, il 9 gennaio 1917 Zimmermann partecipò a una fatale riunione al castello di Pless, in cui il Comando supremo delle forze armate germaniche tentò di persuadere il Kaiser ch’era tempo di recedere dall’impegno e scatenare una guerra sottomarina senza restrizioni. I generali e gli ammiragli tedeschi sapevano che se gli U-boot fossero rimasti sott’acqua anche durante il lancio dei siluri, sarebbero stati quasi invulnerabili. A loro avviso questa circostanza poteva rivelarsi decisiva per l’esito della guerra. La Germania era in possesso di una formidabile flotta sottomarina, forte di duecento unità; secondo il Comando supremo, il suo impiego senza restrizioni avrebbe drasticamente ridotto i rifornimenti alla Gran Bretagna. Con la popolazione alla fame, in non più di sei mesi Londra avrebbe dovuto firmare la pace. Date le premesse, una vittoria rapida era essenziale. La guerra sottomarina senza restrizioni, e l’affondamento di navi americane anche civili ch’essa avrebbe
comportato, significavano la quasi certa entrata in guerra dell’America. Perciò i tedeschi dovevano costringere gli Alleati alla resa senza dare agli Stati Uniti il tempo di mobilitare, schierare le truppe sul suolo europeo e cambiare il corso del conflitto. Alla fine della riunione, il Kaiser era convinto che la vittoria si potesse conseguire in tempi brevi, e firmò l’ordine di iniziare la guerra sottomarina senza restrizioni. La disposizione sarebbe diventata operativa l’1 febbraio. Nelle tre settimane che restavano, Zimmermann cercò di predisporre una sorta di uscita d’emergenza. Poiché l’offensiva senza quartiere degli U-boot aumentava la probabilità che l’America entrasse in guerra, occorreva un piano che ritardasse e limitasse l’impegno militare degli Stati Uniti, e magari lo evitasse del tutto. Il piano del ministro degli Esteri era imperniato su una proposta di alleanza militare al presidente messicano, che sarebbe stato incoraggiato da Berlino a invadere gli Stati Uniti e a esigere la restituzione di territori quali il Nuovo Messico, il Texas e l’Arizona. La Germania avrebbe garantito il proprio sostegno economico e militare durante lo scontro col nemico comune. Zimmermann voleva inoltre che il presidente messicano fungesse da intermediario, e persuadesse il Giappone ad attaccare a sua volta l’America. In tal modo gli Stati Uniti avrebbero dovuto guardarsi dai tedeschi lungo la costa atlantica, dai giapponesi lungo quella pacifica, e a sud avrebbero dovuto fronteggiare l’invasione da parte del Messico. Il progetto di Zimmermann tendeva a creare a Washington tali problemi a casa propria, da indurla a non impegnarsi in Europa. Così, la Germania avrebbe potuto vincere la guerra sottomarina, piegare la Gran Bretagna, e infine districarsi dal conflitto oltre Atlantico. Il 16 gennaio Zimmermann riassunse la sua proposta in un telegramma all’ambasciatore tedesco a Washington; questi doveva trasmetterlo all’ambasciatore tedesco in Messico, che l’avrebbe consegnato al presidente messicano. Intendiamo iniziare una guerra sottomarina senza restrizioni a partire dal primo febbraio. Tenteremo, nonostante ciò, di far restare neutrali gli Stati Uniti. Qualora risultasse impossibile, intendiamo rivolgere al M essico una proposta di alleanza sulle basi seguenti: muovere guerra insieme, ottenere la pace insieme, generoso sostegno finanziario e nostro assenso alla riconquista da parte del M essico dei territori perduti in Texas, Nuovo M essico e Arizona. A lei la definizione dei particolari. Informerete il Presidente [della Repubblica M essicana] di quanto sopra, nella massima segretezza, non appena lo scoppio della guerra con gli Stati Uniti sia certo, aggiungendo il suggerimento che egli, di sua iniziativa, inviti il Giappone ad aderire immediatamente, e nel contempo funga da intermediario tra noi e il Giappone. Vi prego di richiamare l’attenzione del Presidente sul fatto che l’impiego senza restrizioni dei nostri sottomarini schiude la possibilità di costringere l’Inghilterra alla pace entro pochi mesi. Accusare
ricevuta. Zimmermann
La cifratura del telegramma era imperativa, perché Berlino sapeva che tutte le sue comunicazioni transatlantiche erano intercettate dagli Alleati. Era una delle conseguenze della prima iniziativa bellica della Gran Bretagna. La notte successiva all’inizio del conflitto, protetta dall’oscurità, la nave britannica Telconia si era avvicinata alla costa tedesca. Gettata l’ancora, aveva pescato un gruppo di cavi sottomarini; si trattava dei cavi transatlantici della Germania, principale sistema di telecomunicazioni con gli altri Paesi. Prima dell’alba, i cavi erano stati tranciati. L’azione di sabotaggio mirava a privare Berlino del modo più sicuro di inviare e ricevere messaggi, costringendola a impiegare la radio o i cavi sottomarini di altre nazioni. Così, Zimmermann dovette trasmettere il telegramma tramite la Svezia e, in duplicato, per la via più diretta rappresentata dai cavi transatlantici degli Stati Uniti. Entrambe le strade passavano per la Gran Bretagna cosicché il testo cifrato, come di lì a poco sarebbe stato drammaticamente evidente, cadde nelle mani dei crittoanalisti di Sua Maestà.
Figura 22 Il telegramma di Zimmermann che von Bernstorff spedì da Washington a von Eckhardt a Città del M essico. (fonte)
Le migliori decifrazioni britanniche erano opera della Stanza 40, l’ufficio cifre dell’Ammiragliato, così chiamato dal locale che per primo lo aveva ospitato. La Stanza era popolata da un curioso cocktail di classici eruditi e stravaganti cultori di enigmistica. Il gruppo era poco ortodosso, ma capace di imprese di tutto rispetto. Così il reverendo Montgomery, apprezzato traduttore dal tedesco di opere di teologia, aveva decifrato un messaggio segreto dissimulato da cartolina per Sir Henry Jones, 184 King’s Road, Tighnabruaich, Scozia. La cartolina veniva dalla Turchia, per cui Sir Henry pensò fosse di suo figlio, prigioniero di quella nazione. Rimase però stupito sia del fatto che recasse solo l’indirizzo, sia dalla bizzarria di
quest’ultimo: il villaggio di Tighnabruaich era così piccolo che nessuna casa aveva numero civico; e nell’abitato non c’era nessuna «King’s Road». Dopo un po’, il reverendo Montgomery ebbe un’intuizione: l’indirizzo alludeva alla Bibbia, precisamente al Libro primo dei Re, capitolo 18, quarto versetto: «Abdia prese cento profeti e li nascose in gruppi di cinquanta nella grotta e li provvedeva di pane e acqua». Forse, il figlio di Sir Henry voleva semplicemente far sapere ai genitori che era trattato umanamente da coloro che l’avevano catturato. Quando il telegramma di Zimmermann in cifra arrivò nella Stanza 40, la decrittazione toccò a Montgomery e a Nigel de Grey, un editore sostenuto dalla società di William Heinemann. Essi capirono di esser di fronte a un tipo di cifratura riservata alle comunicazioni diplomatiche ad alto livello, e si misero all’opera cercando di far presto. La decifrazione fu tutt’altro che semplice, ma essi poterono approfittare dei risultati di analisi effettuate in precedenza su telegrammi dello stesso tipo. Dopo qualche ora, il duo crittoanalitico era riuscito a ricostruire alcuni frammenti del testo originale; abbastanza per intuire che il messaggio era di enorme importanza. Montgomery e de Grey proseguirono gli sforzi con rinnovato impegno, e alla fine della giornata intravedevano le grandi linee del diabolico progetto del ministro tedesco. Avevano ben chiare le terribili implicazioni della guerra sottomarina che stava per iniziare; inoltre, era evidente che Zimmermann incoraggiava altri Stati ad aggredire militarmente l’America. Poiché ciò poteva indurre Woodrow Wilson ad abbandonare la politica di neutralità, il telegramma evocava sia i più foschi scenari, sia la possibilità che l’America scendesse in campo a fianco degli Alleati. Montgomery e de Grey portarono il telegramma, solo parzialmente decifrato, all’ammiraglio Sir William Hall, direttore del controspionaggio della Marina. Pensavano che l’alto ufficiale avrebbe passato l’informazione agli americani, per indurli a rinunciare alla neutralità, ma egli si limitò a chiuderlo in cassaforte ed esortò i due crittoanalisti a completare la decifrazione. Hall era riluttante a mostrare ai cugini d’oltreoceano un crittogramma chiarito solo in parte; infatti, la traduzione delle parti mancanti avrebbe potuto cambiare il senso dell’insieme. Inoltre, in un angolo della sua mente c’era un altro timore. Se avessero saputo del telegramma, gli Stati Uniti avrebbero condannato pubblicamente i propositi aggressivi dei tedeschi, i quali avrebbero compreso che i loro messaggi diplomatici erano intercettati e decifrati. Questo li avrebbe spinti a ricorrere a un sistema diverso, magari nuovo e migliore, prosciugando una preziosa fonte di intelligence. Ma se i due crittoanalisti avevano visto giusto, l’offensiva degli U-boot sarebbe cominciata entro un paio di settimane, spingendo Woodrow Wilson a riesaminare la politica di neutralità. Perché mettere a repentaglio una preziosa sorgente di informazioni, per ottenere un effetto che si sarebbe prodotto comunque? In effetti, l’1febbraio la Germania comunicò ufficialmente al presidente americano
la propria decisione sull’illimitato impiego dei sottomarini. Ma il 2 febbraio Wilson convocò una riunione del governo per decidere la risposta degli Stati Uniti, e il 3 febbraio parlò al Congresso, annunciando che il Paese sarebbe rimasto neutrale e si sarebbe sforzato non di favorire l’uno o l’altro schieramento, ma di far prevalere la pace. La riluttanza americana a dar manforte agli Alleati non lasciò scelta all’ammiraglio Hall: la decifrazione del telegramma di Zimmermann andava sfruttata fino in fondo. Nelle due settimane trascorse da quando avevano conferito col loro superiore, Montgomery e de Grey avevano completato la decifrazione. Inoltre Hall riteneva di aver trovato il modo di nascondere ai tedeschi la violazione del loro codice. Tutto faceva pensare che von Bernstorff, l’ambasciatore del Kaiser a Washington, avrebbe trasmesso il messaggio, in forma quasi immutata, a von Eckhardt, l’ambasciatore tedesco in Messico. Probabilmente von Bernstorff avrebbe eliminato le istruzioni destinate a lui solo, e cambiato l’indirizzo; e l’ambasciatore in Messico avrebbe consegnato questa versione del telegramma, in chiaro, al presidente messicano. Se Hall fosse riuscito a procurarsi la versione messicana del telegramma di Zimmermann, quest’ultima avrebbe potuto essere pubblicata dai quotidiani, e i tedeschi avrebbero supposto che il dispaccio fosse stato trafugato in Messico, anziché intercettato durante la trasmissione negli Stati Uniti e decrittato dai servizi segreti nemici. Hall si mise in contatto con un agente britannico in Messico, noto solo come Mr. H, che a sua volta attivò un proprio contatto all’Ufficio telegrafico messicano. In effetti, il contatto riuscì a fornire all’ammiraglio quello che gli occorreva: la versione messicana del fatale telegramma. Fu questa che egli porse a Arthur Balfour, segretario di Stato britannico agli Affari Esteri. Il 23 febbraio Balfour invitò l’ambasciatore americano, Walter Page, per un colloquio, e gli mostrò il documento in quello che Page definì in seguito «il momento più drammatico della mia vita». Quattro giorni dopo il presidente Wilson vide da sé la «prova eloquente», come la definì, del fatto che la Germania aveva incoraggiato l’aggressione militare diretta degli Stati Uniti d’America. Il telegramma fu passato alla stampa, e l’opinione pubblica fu messa di fronte alle reali intenzioni dei tedeschi. Anche se nel Paese la maggioranza era favorevole ad atti di ritorsione, all’inizio il governo fu prudente. Alcuni esponenti dell’Amministrazione temevano che l’incidente fosse una montatura dei servizi segreti britannici, mirante a trascinare Washington nel conflitto. Ma i dubbi sull’autenticità del telegramma svanirono presto, perché Zimmermann in persona ne rivendicò la paternità. Durante una conferenza stampa a Berlino, senza bisogno di domande pressanti, egli dichiarò semplicemente: «Non posso negarlo: è vero». In Germania il ministero degli Esteri aprì un’inchiesta per ricostruire la dinamica della fuga di notizie, ma i tedeschi caddero nel tranello teso dall’ammiraglio Hall e
conclusero che «in base a vari indizi, il trafugamento delle informazioni dev’essere avvenuto in Messico». Nel frattempo, Hall perfezionò la copertura del ruolo dei crittoanalisti britannici. Fece spargere la voce, prontamente raccolta da alcuni quotidiani, che egli avesse molto criticato l’organizzazione da lui diretta per non esser riuscita a intercettare il telegramma. Seguì una serie di articoli che attaccavano i servizi segreti britannici, e coprivano di lodi quelli statunitensi. All’inizio dell’anno Wilson aveva dichiarato che sarebbe stato «un crimine contro la civiltà» trascinare il Paese in un conflitto armato, ma il 2 aprile 1917 la sua opinione era radicalmente cambiata: «Consiglio al Congresso di dichiarare che la recente svolta del Governo imperiale [germanico] in realtà non è niente di meno che una guerra contro il governo e il popolo degli Stati Uniti, e che esso accetta formalmente lo status di belligerante che in tal modo gli è stato imposto». Una sola decifrazione della Stanza 40 era riuscita là dove avevano fallito tre anni di intensi sforzi diplomatici. Barbara Tuchman, storico americano e autrice di The Zimmermann Telegram, così si esprime in proposito: Anche se il telegramma non fosse mai stato intercettato e pubblicato, era inevitabile che prima o poi i tedeschi prendessero un’iniziativa che ci avrebbe coinvolti [nel conflitto]. M a era già tardi, e se avessimo atteso ancora a lungo gli Alleati avrebbero potuto esser costretti a trattare. Da questo punto di vista, il telegramma di Zimmermann ha mutato il corso della storia… In sé, il telegramma di Zimmermann fu solo un ciottolo sulla lunga strada della storia. M a come un ciottolo uccise Golia, così esso uccise l’illusione americana che si potesse badare tranquillamente ai propri affari senza curarsi delle altre nazioni. Per la politica mondiale fu la trama tessuta da un ministro tedesco; per la vita degli americani, la fine dell’innocenza.
Il Santo Graal della crittografia La prima guerra mondiale fu per i crittoanalisti un catalogo di vittorie, culminate nella decifrazione del telegramma di Zimmermann. Dalla scoperta di un metodo di decifrazione del sistema di Vigenère, nel XIX secolo, i solutori di codici erano in vantaggio sugl’inventori di codici. Poi, verso la fine della Grande guerra, quando la crittografia era in uno stato di completa disperazione, in America alcuni scienziati fecero una scoperta stupefacente: la cifratura di Vigenère poteva fungere da base per un nuovo, formidabile sistema crittografico. La nuova cifratura da essi proposta era assolutamente sicura. La fondamentale debolezza della cifratura di Vigenère è la sua natura ciclica. Come si è visto, se la chiave è di cinque lettere, ogni quinta lettera del testo chiaro è crittata tramite lo stesso alfabeto cifrante. Una volta identificata la lunghezza della chiave, il crittoanalista può trattare il testo in codice come la somma di cinque cifrature monoalfabetiche, ognuna delle quali può essere risolta con l’analisi delle frequenze. Vediamo però cos’accade man mano che si ricorre a una chiave più lunga. Immaginate di stare analizzando un crittogramma generato col sistema di Vigenère, a partire da un testo chiaro di 1000 lettere. Se la chiave fosse di 5 lettere, la fase finale della decifrazione consisterebbe nell’applicare l’analisi delle frequenze a 5 gruppi di 200 lettere - un compito abbastanza agevole. Tuttavia, se la chiave fosse di 20 lettere, la stessa fase consisterebbe nell’applicare l’analisi delle frequenze a 20 gruppi di 50 lettere, il che è considerevolmente più difficile. Se poi la chiave fosse di 1000 lettere, la fase finale richiederebbe che l’analisi delle frequenze fosse condotta su 1000 gruppi di 1 sola lettera - e questo non è difficile, ma impossibile. In altre parole, se la parola (o frase) chiave è lunga come il messaggio, il procedimento di crittoanalisi sviluppato da Babbage e Kasiski è inutilizzabile. Usare una chiave lunga come il messaggio è una magnifica idea, in sede teorica; sul piano pratico, il crittografo può esser costretto a inventare chiavi assai lunghe. Se il messaggio è formato da centinaia di lettere, la chiave dovrà contenerne altrettante. Si può essere tentati, per risparmiare tempo, di non creare la chiave dal nulla ed estrarla da un testo preesistente - per esempio, il testo di una canzone. Oppure, il crittografo potrebbe prendere un manuale di birdwatching, e utilizzare i nomi di una serie di volatili scelti a caso. In realtà, queste scorciatoie hanno un difetto di fondo. Nell’esempio seguente, ho cifrato un testo col sistema di Vigenère; la chiave è lunga come il testo, perciò non si può ricorrere al procedimento descritto nel capitolo 2. Nondimeno, il crittogramma può essere decifrato.
Questa tecnica di crittoanalisi, della quale non ho parlato in precedenza, si basa sul presupposto che il crittogramma contenga alcune parole molto comuni in italiano, come non e che. Il passo successivo consiste nel collocare non a caso in vari punti del testo chiaro, e stabilire quali lettere della chiave trasformerebbero non nella corrispondente sequenza di tre elementi del crittogramma. Per esempio, se ipotizziamo che non sia la prima parola del testo chiaro, la prima lettera della chiave dev’esser tale da cifrare n come U in base alla tavola di Vigenère. Seguendo dall’alto in basso la colonna n fino alla casella U, constatiamo che l’alfabeto cifrante che converte n in U comincia con H. Quindi, se il testo chiaro inizia con non, la prima lettera della chiave è H. Il procedimento è ripetuto con o e con la seconda n, e permette di stabilire che queste due lettere sarebbero state cifrate dagli alfabeti che cominciano con O e Z. Ferma restando l’ipotesi di partenza, la chiave dovrebbe quindi iniziare con HOZ. Proviamo a collocare non in altre posizioni, e deduciamo le corrispondenti lettere della chiave.
Tavola 9 Una tavola di Vigenère.
Abbiamo collocato non in tre punti arbitrari. Come stabilire se alcuni punti sono corretti? Se sospettiamo che la chiave sia formata da parole sensate, possiamo approfittarne: un non in posizione sbagliata darà probabilmente origine, nella chiave, a una sequenza di caratteri alfabetici assurda per la lingua presa in esame. Al contrario, un non in posizione corretta dovrebbe dare origine a una sequenza accettabile. Nel nostro esempio, il primo non ha prodotto la stringa HOZ, improbabile in italiano. Perciò, è difficile che questa posizione di non sia giusta. Il secondo non ha prodotto la stringa ZIA, che in italiano è senz’altro accettabile.
Perciò, non potrebbe effettivamente trovarsi tra la quarta e la sesta lettera del testo chiaro. Il terzo non ha prodotto ARG, un’altra stringa accettabile. Il procedimento può essere ripetuto con altra parole molto comuni di tre lettere. Proviamo, per esempio, con la parola che. Collocato prima del secondo non, che genera la stringa MDK, chiaramente inaccettabile. Collocato prima del primo non, che dà la stringa SVI, che insieme alla stringa successiva dà SVIZIA. Il sospetto che si tratti della parola SVEZIA sorge immediatamente. In tal caso, all’inizio del testo chiaro al posto della e di che dovrebbe esserci un’altra lettera. Naturalmente, se la lettera in questione desse origine nel testo chiaro a una parola inaccettabile, per esempio chq, l’ipotesi SVEZIA dovrebbe essere abbandonata. La lettera che cerchiamo è quella che cifrata tramite la E di SVEZIA dà M, terza lettera del crittogramma. Seguendo la riga E della tavola di Vigenère fino alla casella M, veniamo a trovarci sulla colonna i. La parola iniziale del testo chiaro dovrebbe quindi essere non che, ma chi - una parola della lingua italiana perfettamente accettabile. Quanto finora scoperto può essere riassunto così:
Avendo scoperto che la chiave inizia con SVEZIA, possiamo sospettare che essa consista in un elenco di nazioni. Come si è accennato, un elenco è uno dei modi più ovvi di creare lunghe chiavi facili da escogitare e da ricordare. Se è così, ARG dovrebbe far parte del nome di un Paese straniero. Come non pensare all’Argentina? L’ipotesi può essere verificata ricostruendo le ultime sei lettere del testo chiaro. Per trovare la sestultima lettera, seguiamo la riga dell’alfabeto cifrante che comincia con E fino alla casella V; questa casella è sulla colonna r, che quindi è la lettera cercata. Lo stesso si dovrà fare con N, T, I, N e A.
A questo punto, il testo chiaro può essere completato a senso, e il resto della chiave può essere ricostruito con la tavola di Vigenère.
In conclusione, una chiave lunga come il messaggio non basta a garantire la sicurezza. Nell’esempio precedente, la mancanza di sicurezza dipende dal fatto che la chiave è composta da parole dotate di senso. La nostra prima mossa è consistita nell’inserire non nel testo chiaro in modo casuale, e nel dedurre le lettere corrispondenti della chiave; quando le lettere della chiave sembravano far parte di una parola sensata abbiamo giudicato, a titolo di semplice ipotesi di lavoro, di aver inserito non al posto giusto. L’individuazione di alcuni frammenti di chiave ha permesso di individuare frammenti più ampi, che hanno permesso di ricostruire parti importanti del messaggio, che a loro volta hanno permesso di ricostruire l’intera chiave. L’andirivieni dal testo chiaro alla chiave e dalla chiave al testo chiaro è stato possibile perché la chiave era intrinsecamente strutturata; e la struttura consisteva in parole riconoscibili. Ma nel 1918 i crittografi cominciarono a compiere esperimenti con chiavi prive di qualunque struttura. Il risultato fu una cifratura assolutamente inviolabile. Mentre la Grande guerra volgeva al termine il maggiore Joseph Mauborgne, capo delle ricerche crittografiche dell’Esercito degli Stati Uniti, introdusse il concetto di chiave casuale, cioè di una chiave formata non da una o più parole riconoscibili, ma da una serie di lettere che si succedono senza alcun ordine. La sua intenzione era utilizzare questo tipo di chiave nell’ambito del sistema di Vigenère, per raggiungere un livello di sicurezza senza precedenti. Il primo passo del sistema di Mauborgne consisteva nel preparare un’alta pila di centinaia di fogli di carta. Ciascun foglio conteneva una chiave diversa, sotto forma di righe dopo righe di lettere in successione casuale. La pila andava realizzata in due esemplari identici, uno per il mittente l’altro per il destinatario. Per crittare il messaggio il mittente avrebbe effettuato una cifratura di Vigenère usando il primo foglio come chiave. In figura 23 sono imitati tre fogli di una simile pila usa-e-getta (si tratta di una versione semplificata. In realtà, ogni foglio dovrebbe contenere centinaia di lettere), e un messaggio crittato con la chiave casuale del primo foglio. Il destinatario può ripristinare facilmente il testo originale usando la stessa chiave e invertendo la cifratura di Vigenère. Una volta che il messaggio sia stato inviato, ricevuto e decifrato, mittente e destinatario distruggono il foglio dal quale hanno tratto la chiave, in modo che non sia riutilizzato. Per generare e tradurre il crittogramma seguente, essi usano il foglio successivo, che a sua volta è distrutto dopo l’uso, e così via. Poiché i fogli delle chiavi formano un blocco, e vengono usati solo una volta, questo sistema crittografico è chiamato cifratura a blocco monouso (one-time pad cipher). Questo sistema elimina tutti i punti deboli fin qui riscontrati. Immaginiamo che attaccare la valle all’alba sia stato crittato come nell’esempio, trasmesso via radio e intercettato dal nemico. Il messaggio è subito consegnato a un crittoanalista, che tenta di interpretarlo. Il primo problema è che, per definizione, una chiave
casuale non ha ripetizioni, ragion per cui il metodo di Babbage e Kasiski è inapplicabile. Il crittoanalista potrebbe allora cercare di scoprire frammenti della chiave inserendo parole comuni in vari punti del testo chiaro, come si è fatto nel penultimo esempio. Ma anche se il contesto (la situazione militare, la conformazione del territorio e simili) gli facessero sospettare che le parole valle e attaccare possano essere presenti, ed egli ne inserisse una al posto giusto, ne ricaverebbe una stringa indistinguibile da quelle prodotte dall’inserimento di una parola sbagliata, o di una parola giusta al posto sbagliato: valle in dodicesima posizione (parola e posizione corrette) genera la stringa RTEAV, monte in dodicesima posizione (parola errata, posizione errata) la stringa AFCSV. È evidente che le due stringhe sono equivalenti, a meno di conoscere la chiave.
Figura 23 Una cifratura a blocco monouso con tre chiavi.
Ridotto alla disperazione, il crittoanalista potrebbe esser tentato di procedere per prova ed errore. Nell’ipotesi che la cifratura si basi su una sequenza casuale di lettere lunga come il messaggio, la chiave dovrebbe essere formata da 23 lettere casuali, scelta da un insieme di 26 lettere. Come il primo capitolo ci ha mostrato, sebbene questi numeri non siano astronomici la quantità di combinazioni cui possono
dar luogo è molto al di là di ogni possibile verifica. Ma c’è di più: ammesso, in via del tutto teorica, che la verifica si potesse fare, ci si imbatterebbe in un altro, più grave ostacolo. Infatti, controllando tutte le chiavi possibili il nostro crittoanalista scoprirebbe il messaggio giusto, ma anche tutti i possibili messaggi sbagliati. Si osservi, per esempio, cosa accade applicando al crittogramma la chiave errata PDEOTYCONTHRTEAVCRCBYNN:
Utilizzando chiavi ad hoc è possibile generare qualsiasi messaggio di 23 lettere immaginabile; nel mare di decifrazioni, come potrebbe il crittoanalista riconoscere il messaggio giusto? Questo problema non sarebbe sorto se la chiave fosse una parola o una frase, perché i messaggi sbagliati quasi certamente sarebbero associati a una chiave senza senso, quello giusto a una chiave sensata. La sicurezza della cifratura a blocco monouso dipende completamente dalla natura non strutturata della chiave. La casualità della chiave conferisce casualità al crittogramma; e se il crittogramma non presenta ripetizioni, né schemi di alcun genere, il crittoanalista non ha nulla a cui aggrapparsi. In realtà, si può dimostrare matematicamente che è impossibile decifrare un messaggio crittato col sistema del blocco monouso. In altre parole, questo sistema crittografico non è solo reputato indecifrabile, come quello di Vigenère per buona parte del XIX secolo; esso è davvero assolutamente sicuro. Da questo punto di vista, può essere considerato il Santo Graal della crittografia: la garanzia dell’assoluta segretezza. Alla fine, i crittografi avevano trovato un sistema impossibile da violare. La perfezione del blocco monouso potrebbe far pensare che esso rappresenti la fine del processo evolutivo delle scritture segrete. In realtà, quali che siano i suoi pregi, questo sistema non è stato impiegato quasi mai. La sua perfezione teorica si accompagna a gravi limiti pratici. I più seri sono due. In primo luogo, c’è il problema di produrre un numero molto elevato di chiavi casuali. Nell’arco delle ventiquattr’ore, i centri di comando e le unità combattenti di un esercito possono scambiarsi migliaia di messaggi, ciascuno formato da centinaia o migliaia di caratteri; quindi gli addetti alle comunicazioni avrebbero bisogno ogni giorno di un approvvigionamento di chiavi equivalente a milioni di lettere in successione casuale. La produzione di questa «materia prima» crittografica sarebbe un compito immane. All’inizio, alcuni crittografi pensarono di poter generare sequenze casuali di caratteri alfabetici a volontà, semplicemente picchiando a casaccio i tasti di una
macchina da scrivere. Tuttavia, chi tentasse questa strada scoprirebbe ben presto che un dattilografo tende a battere una lettera con la mano sinistra, la successiva con la destra, e così via, alternando le mani. Ciò significa che la sequenza risultante non è casuale, ma strutturata. Supponiamo che sia stata battuta la lettera D, il cui tasto è sul lato sinistro della tastiera; la lettera successiva è in una certa misura prevedibile, nel senso che ha probabilità sensibilmente maggiori di corrispondere a un tasto del lato destro della tastiera. In una successione veramente casuale, una lettera del lato sinistro della tastiera dovrebbe essere seguita da una lettera dello stesso lato all’incirca nel cinquanta per cento dei casi, purché la successione sia abbastanza lunga. Negli ultimi tempi i crittografi hanno compreso che produrre una chiave rigorosamente casuale è molto costoso in termini di tempo, fatica e denaro. Le migliori chiavi non strutturate sono generate approfittando di fenomeni naturali autenticamente casuali, come il decadimento radioattivo. Un crittografo potrebbe posare su uno scaffale un frammento di uranio, e misurare le sue emissioni con un contatore Geiger. A volte le emissioni sono frequenti, altre volte rare; l’intervallo di tempo tra due emissioni è del tutto imprevedibile. Il crittografo potrebbe collegare al contatore uno schermo sul quale si succedano rapidamente le lettere dell’alfabeto, e che si blocchi per qualche secondo in coincidenza con una emissione. La lettera che occupa lo schermo al momento dell’emissione verrebbe aggiunta alla chiave, fino a quando quest’ultima abbia raggiunto la lunghezza voluta. Un simile procedimento darebbe le migliori garanzie di casualità, ma per la crittografia di routine è da considerare poco pratico. Anche ammesso di poter produrre abbastanza chiavi casuali, il sistema del blocco monouso comporta un’altra difficoltà: quella di distribuirle. Si immagini un teatro di guerra in cui centinaia di operatori radio fanno parte di un’unica rete di comunicazioni. In primo luogo, ogni operatore dovrebbe disporre di un blocco monouso identico a quello di tutti gli altri. In secondo luogo, nel passare da un blocco al successivo, tutti gli esemplari del secondo andrebbero distribuiti simultaneamente. Infine, nell’ambito di ogni blocco tutti gli operatori dovrebbero conservare una perfetta sincronia, in modo da usare sempre lo stesso foglio adoperato dai colleghi. Se questo sistema diventasse di uso comune, i campi di battaglia sarebbero pieni di corrieri e addetti ai registri. Inoltre, la cattura di un solo blocco da parte del nemico renderebbe inutilizzabili tutti quelli in uso, con le conseguenze logistiche che è facile immaginare. Si potrebbe essere tentati di ridurre i problemi legati alla produzione e distribuzione delle chiavi riciclando i blocchi monouso, ma dal punto di vista crittografico, questo sarebbe un peccato mortale. La riutilizzazione dei blocchi permetterebbe ai crittoanalisti nemici di decifrare i messaggi con relativa facilità. La
tecnica che permette di tradurre due crittogrammi cifrati con la stessa chiave, se questa proviene da un blocco monouso, è spiegata nell’Appendice G. Per ora il punto importante è che non ci sono scorciatoie: mittente e destinatario devono usare una nuova chiave per ogni messaggio. Il sistema del blocco monouso è consigliabile solo per chi ha bisogno di comunicazioni assolutamente sicure, e può affrontare i forti costi legati alla produzione e distribuzione delle chiavi casuali. Per esempio, la linea di comunicazione diretta tra i presidenti russo e americano è protetta da questo tipo di sistema. I limiti pratici della crittografia a blocco monouso, teoricamente perfetta, ha fatto sì che l’invenzione di Mauborgne non abbia mai trovato impiego sul campo di battaglia. Così, dopo il primo conflitto mondiale e la sua serie di insuccessi crittografici, la ricerca di nuovi sistemi per la protezione delle comunicazioni è continuata. Per fortuna dei crittografi, non si dovette attendere a lungo: una nuova, importante invenzione permise di ristabilire la sicurezza delle comunicazioni militari. Ma per sfruttarla, gli specialisti in scritture segrete dovettero rinunciare all’approccio tradizionale, basato su carta e penna, e prendere confidenza con gli ultimi ritrovati della tecnologia.
Lo sviluppo delle macchine per cifrare - dai dischi cifranti a Enigma La prima macchina per cifrare è il disco cifrante, inventato nel XV secolo dall’architetto italiano Leon Battista Alberti - uno dei padri della cifratura polialfabetica. Egli partì da due dischi di rame, uno di diametro leggermente maggiore rispetto all’altro. Lungo la circonferenza di ciascun disco, era riportato un alfabeto. Collocando il disco più grande sul più piccolo, e infilando entrambi su un perno, egli realizzò un congegno simile al disco per cifrare mostrato nella figura 24. I dischi erano liberi di ruotare l’uno rispetto all’altro, cosicché i due alfabeti venivano ad assumere differenti posizioni relative. Quindi, il disco cifrante poteva essere usato per crittare un messaggio col sistema di Cesare, descritto nel capitolo 1. Per esempio, per effettuare una cifratura di Cesare con spostamento pari a uno bastava collocare l’A interna in corrispondenza della B esterna; il disco interno rappresentava l’alfabeto normale, quello esterno l’alfabeto cifrante. Poi, senza spostare i dischi si cercavano le lettere del testo chiaro sul disco interno, una per volta; in ciascun caso, la lettera corrispondente situata sul disco esterno era quella da inserire nel crittogramma. Per mandare un messaggio cifrato con uno spostamento di Cesare pari a cinque bastava far coincidere la A interna con la F esterna, e così via. Pur essendo un dispositivo molto semplice, il disco cifrante facilita in modo significativo la produzione di scritture segrete, ed è rimasto in uso per cinque secoli. La versione della figure 24 fu adoperata nella Guerra di secessione, mentre la figura 25 mostra il Code-o-Graph, una sorta di disco cifrante dell’eroe eponimo di Capitan Mezzanotte [Captain Midnight], uno dei primi radiodrammi americani. Gli ascoltatori potevano ottenere il Code-o-Graph spedendo un tagliando ricavato da una scatola di prodotto alla Ovaltine, la società che sponsorizzava il programma. Di tanto in tanto, la trasmissione finiva con un messaggio in codice di Capitan Mezzanotte, che i fan più diligenti potevano decrittare col Code-o-Graph. Il disco per cifrare può esser considerato uno «scambiatore», in cui una lettera del testo chiaro è immessa e rimpiazzata da un simbolo differente. Il funzionamento descritto fin qui è immediato e il crittogramma che ne deriva può essere decifrato con facilità, ma il disco può essere usato in modo più sofisticato. L’Alberti, che lo inventò, suggeriva di cambiare l’assetto del disco durante la codifica del messaggio, realizzando in sostanza una cifratura polialfabetica anziché monoalfabetica. Per esempio, Alberti potrebbe aver usato il disco per crittare buongiorno con la chiave LEON. Dapprima avrebbe preparato il disco facendo coincidere la A interna con la L esterna; avrebbe poi crittato la prima lettera del messaggio, b, cercandola sul disco interno e trovando la lettera corrispondente su quello esterno, cioè M. In modo analogo, per crittare la seconda lettera avrebbe fatto coincidere la A interna con la E esterna, cercato u sul disco interno e scritto la corrispondente lettera del
disco esterno, cioè B se i dischi avevano 21 lettere, Y se recavano un alfabeto completo di 26 lettere; e così via. In effetti, l’Alberti ha davvero crittato un messaggio col sistema di Vigenère e il suo primo nome come chiave, e l’uso del disco deve aver reso più rapido il procedimento.
Figura 24 Disco cifrante dell’esercito confederato, usato nella Guerra civile americana. (fonte)
Figura 25 Il Code-o-Graph di Capitan M ezzanotte.(fonte)
L’aspetto importante di questo modo di procedere è che lo strumento che sostituisce gli elementi chiari con quelli in cifra cambia modo di funzionare durante la sostituzione. Se si prescinde dall’uso di un congegno particolare, il procedimento ora descritto equivale a una cifratura di Vigènere; perciò, pur essendo molto più sicuro di una cifratura di Cesare esso non è in grado di resistere al metodo di Babbage e Kasiski. Tuttavia, cinquecento anni dopo Alberti una sofisticata reincarnazione del disco cifrante avrebbe prodotto una nuova generazione di crittogrammi, più difficili da risolvere di almeno un ordine di grandezza rispetto a tutto ciò che si era visto in precedenza. Nel 1918 l’inventore tedesco Arthur Scherbius e il fidato amico Richard Ritter fondarono la Scherbius & Ritter, una società innovativa che non disdegnava di occuparsi dei prodotti più diversi, dalle turbine ai guanciali riscaldati. Scherbius si era riservato la ricerca e lo sviluppo, ed era sempre a caccia di nuove opportunità. Uno dei suoi progetti era rivoluzionare l’antiquato modus operandi della crittografia mandando in pensione carta e penna, e sostituendole con quanto di meglio la tecnica del ventesimo secolo poteva offrire. Avendo studiato ingegneria elettrica ad Hannover e Monaco, egli mise a punto un dispositivo crittografico che in sostanza era una versione elettromeccanica del disco cifrante dell’Alberti. La sua invenzione,
che fu chiamata Enigma, sarebbe passata alla storia come uno dei più temibili sistemi crittografici mai realizzati. La macchina Enigma di Scherbius consisteva di diversi ingegnosi elementi, da lui combinati in un potente e sofisticato dispositivo per la produzione di scritture segrete. Tuttavia, se smontiamo concettualmente la macchina e la ricostruiamo un elemento per volta, i principi del suo funzionamento appariranno evidenti. La versione base del congegno di Scherbius consisteva in tre componenti collegati da fili elettrici: una tastiera per immettere le lettere del testo chiaro; un’unità scambiatrice che cifra la lettera trasformandola nel corrispondente elemento del crittogramma; e un visore con varie lampadine, che accendendosi indicano la lettera da inserire nel crittogramma. La figura 26 mostra uno schema semplificato del congegno, basato per semplicità su un alfabeto di sole sei lettere. Per generare il crittogramma, l’operatore preme il tasto corrispondente alla lettera da crittare; l’impulso elettrico raggiunge l’unità scambiatrice, e dopo esser stato elaborato va a illuminare il visore in modo corrispondente alla lettera crittata. Lo scambiatore, uno spesso disco di gomma attraversato da una complessa rete di fili, è la parte più importante della macchina. I fili elettrici provenienti dalla tastiera entrano nello scambiatore in sei punti, seguono un percorso caratterizzato da vari gomiti, e infine emergono dalla parte opposta in altri sei punti. I circuiti interni dello scambiatore determinano il modo in cui un elemento del testo chiaro è crittato. Per esempio, nella figura 26 i circuiti fanno sì che: premendo il tasto a le lampadine del visore indicheranno la lettera B, ossia che a sia crittata come B, premendo il tasto b le lampadine del visore indicheranno la lettera A, ossia che b sia crittata come A, premendo il tasto c le lampadine del visore indicheranno la lettera D, ossia che c sia crittata come D, premendo il tasto d le lampadine del visore indicheranno la lettera F, ossia che d sia crittata come F, premendo il tasto e le lampadine del visore indicheranno la lettera E, ossia che e sia crittata come E, premendo il tasto f le lampadine del visore indicheranno la lettera C, ossia che f sia crittata come C.
Con questo schema di base, lo scambiatore in sostanza definisce un alfabeto cifrante, e la macchina può essere usata per realizzare una semplice cifratura per sostituzione monoalfabetica. Il passo successivo dell’idea di Scherbius consiste nel far ruotare automaticamente il disco scambiatore di un sesto di giro (o di un ventiseiesimo di giro nel caso di un alfabeto completo di 26 lettere) dopo la cifratura di ogni lettera. Nella figura 27(a) abbiamo la stessa disposizione della figura 26. Ancora una volta, digitando, poniamo, la lettera b, si illumina la lettera A. Tuttavia in questo caso, subito dopo la pressione del tasto e l’accensione della lampadina, lo scambiatore compie un sesto di giro fino alla posizione della figura figura 27(b). Perciò digitando
di nuovo la lettera b si illuminerà una lettera diversa, per esempio C. Subito dopo, lo scambiatore ruota ancora fino alla posizione della figura 27(c). Questa volta, premendo la b sul visore comparirà la lettera E. Premendo sei volte di seguito il tasto corripondente a b, verrebbe generata la seguente stringa crittata: ACEBDC. In altre parole, l’alfabeto cifrante cambia dopo la cifratura di ogni lettera, cosicché la cifratura di b muta continuamente. Con questa disposizione rotante, lo scambiatore in sostanza definisce sei alfabeti cifranti, ed Enigma può essere usata per effettuare una cifratura polialfabetica. Lo scambiatore rotante è la caratteristica più importante del progetto di Scherbius. Tuttavia, così com’è il congegno ha un punto debole evidente: dopo sei pressioni consecutive del tasto b, il disco torna alla posizione iniziale, e se si continuasse a premere lo stesso tasto, lo schema di cifratura si ripeterebbe tale e quale. In generale, i crittografi temono ogni forma di ripetizione, perché ripetizione significa regolarità e struttura del crittogramma, sinonimo di cifratura debole. Il problema può essere corretto in misura notevole introducendo un altro scambiatore.
Figura 26 Versione semplificata della macchina Enigma con un alfabeto di sei lettere. L’elemento più importante di Enigma è lo scambiatore. digitando b sulla tastiera a sinistra, la corrente entra nello scambiatore, segue il percorso dei fili elettrici ed emerge in modo da illuminare la lettera A. In breve, b è crittata come A. Il riquadro a destra riassume il modo in cui ogni elemento dell’alfabeto di sei lettere è crittato.
Figura 27 Ogni volta che una lettera è digitata tramite la tastiera, e crittata, lo scambiatore ruota di un posto, cambiando il modo in cui la lettera seguente sarà sostituita. In (a) lo scambiatore critta b come A, ma in (b) il nuovo orientamento dello scambiatore fa sì che b sia crittata come C. In (c), essendo ruotato di un altro posto, lo scambiatore critta b come E. Dopo la sostituzione di altre quattro lettere, e dopo essere ruotato di altri quattro posti, lo scambiatore riprende l’orientamento iniziale.
La figura 28 mostra lo schema di una unità cifratrice a due dischi rotanti. A causa della difficoltà di raffigurare questi ultimi in prospettiva, con i circuiti interni anch’essi in prospettiva, si è preferita una riproduzione bidimensionale. Ogni volta che una lettera è cifrata, il primo disco ruota di un carattere, ovvero, nel nostro diagramma bidimensionale, ogni collegamento si sposta in basso di un posto. L’altro disco, invece, resta immobile per gran parte del tempo. Esso compie una parziale rotazione solo quando il primo scambiatore ha completato un giro; questo è infatti dotato di un dente, che raggiunta una certa posizione fa avanzare di un posto il secondo scambiatore. Nella figura 28(a) il primo disco è sul punto di far avanzare il secondo. Dopo aver battuto sulla testiera e crittato una lettera, passiamo alla figura 28(b), in cui il primo disco è avanzato di un posto e il secondo, spinto dal dente, è anch’esso avanzato di un posto. Battuta e crittata un’altra lettera, passiamo alla figura 28(c), in cui di nuovo il primo disco è avanzato di un posto; questa volta, però, il secondo è rimasto fermo; tornerà ad avanzare solo quando il primo avrà completato un giro, dopo aver crittato altre cinque lettere. Il meccanismo illustrato è simile a quello del comune contachilometri: il primo ingranaggio avanza con continuità, indicando i chilometri percorsi; al termine di un giro, nel passare da 9 a 0, fa avanzare di una unità l’ingranaggio che indica le decine di chilometri. L’aggiunta del secondo scambiatore comporta il vantaggio che lo schema della cifratura non si ripete finché il secondo scambiatore non è tornato al punto di partenza, il che richiede sei giri completi del primo scambiatore, ovvero la cifratura di 6 × 6 lettere. In altre parole, due dischi con sei posizioni ciascuno equivalgono a una sostituzione polialfabetica con 36 alfabeti cifranti. Se invece del nostro alfabeto semplificato fosse adoperato un alfabeto completo di 26 lettere, l’unità cifratrice commuterebbe in tutto 26 × 26, cioè 676, alfabeti cifranti. A questo punto dovrebbe essere chiaro che combinando i dischi scambiatori, detti anche rotori, è possibile costruire una macchina per cifrare molto sofisticata, capace di utilizzare un enorme numero di alfabeti cifranti passando continuamente da uno a un altro di essi. L’operatore batte una lettera particolare e, in conformità con l’assetto dei rotori, la lettera è crittata in base a uno delle centinaia di alfabeti cifranti disponibili. Subito dopo l’assetto dei rotori cambia, cosicché la lettera successiva sarà crittata in base a un altro alfabeto cifrante. Oltretutto, ogni passo è eseguito con estrema precisione e rapidità, grazie ai movimenti automatici dei rotori e alla velocità della corrente elettrica.
Figura 28 Aggiungendo un altro scambiatore, lo schema di cifratura non si ripete prima che siano state sostituite 36 lettere; allora, e solo allora, entrambi gli scambiatori saranno tornati alla posizione iniziale. Per semplificare la figura, gli scambiatori sono rappresentati in forma bidimensionale; invece di ruotare di un posto, i collegamenti si spostano in basso di un posto. Quando un filo elettrico sembra scomparire in fondo allo scambiatore, lo si potrà ritrovare subito sotto l’estremità superiore della figura. In (a), b è
crittato come D. Dopo la cifratura, il primo scambiatore ruota di un posto, facendo ruotare di un posto anche il secondo scambiatore - ciò si verifica una volta sola durante la rivoluzione del primo rotore. Il nuovo assetto è mostrato in (b), dove b è crittata come F. Dopo la cifratura, il primo scambiatore ruota di un posto, ma in questo caso il secondo scambiatore mantiene il suo orientamento. Il nuovo assetto è mostrato in (c), dove b è crittata come B.
Prima di esporre nei particolari in che modo Scherbius pensava che la sua macchina sarebbe stata usata, descriverò altri due elementi che egli considerava importanti, e che sono riprodotti nella figura 29. Innanzitutto, per una sicurezza ancor maggiore, il modello base della sua macchina per cifrare impiegava un terzo rotore. Poiché Enigma utilizzava alfabeti completi di 26 caratteri, essa disponeva di 26 × 26 × 26 = 17.576 procedure di sostituzione diverse. Inoltre, l’inventore aggiunse un riflessore. Il riflessore era simile allo scambiatore, consistendo in un disco di gomma con circuiti interni, ma era anche diverso sia perché non ruotava, sia perché i fili che entravano da un lato riemergevano dallo stesso lato. Col riflessore istallato, quando l’operatore digitava una lettera il segnale elettrico attraversava i tre scambiatori, raggiungeva il riflessore ed era rimandato indietro. Perciò, esso passava di nuovo dagli scambiatori, ma lungo un percorso differente. Per esempio, in base all’assetto mostrato nella figura 29 la pressione del tasto b avrebbe inviato un impulso elettrico attraverso i rotori fino al riflessore. Da qui, l’impulso sarebbe tornato indietro lungo i collegamenti e avrebbe raggiunto la lettera D. Naturalmente il segnale non sarebbe emerso dalla tastiera, come potrebbe sembrare dalla figura 29, ma avrebbe raggiunto le lampadine del visore. A prima vista il riflessore sembra un’aggiunta inutile alla macchina poiché, essendo statico, non fa aumentare il numero di alfabeti cifranti. Ma se osserviamo come la macchina veniva realmente usata per cifrare e decrittare i messaggi, i suoi vantaggi diventano evidenti.
Figura 29 Il progetto di Scherbius del modello base di Enigma includeva un terzo scambiatore e un riflessore, che costringeva l’impulso elettrico ad attraversare di nuovo gli scambiatori. Con questo assetto particolare, la pressione del tasto b determina l’illuminazione di D sul visore, qui raffigurato accanto alla tastiera.
Supponiamo che un operatore volesse inviare una comunicazione cifrata. Prima di cominciare egli doveva regolare gli scambiatori, in modo che assumessero la posizione iniziale voluta. Le posizioni possibili erano, come si è spiegato, 17.576; quella prescelta determinava il modo in cui un particolare messaggio sarebbe stato crittato. La macchina Enigma era paragonabile a un procedimento crittografico generale, cioè a un algoritmo crittografico. In tal caso, l’assetto iniziale di Enigma forniva le ulteriori precisazioni necessarie alla cifratura, ossia equivaleva alla chiave. Di solito, la posizione iniziale era contenuta in un cifrario, che elencava le chiavi da usare di giorno in giorno ed era a disposizione di tutti gli operatori della rete. La distribuzione del cifrario richiedeva tempo e fatica, ma dato che era necessaria solo una chiave al giorno, era sufficiente l’invio di un cifrario contenente 28 chiavi ogni quattro settimane. Al confronto, un esercito che doveva far ricorso a una cifratura a blocco monouso aveva bisogno di una nuova chiave per ogni messaggio, e la distribuzione delle chiavi rappresentava un compito molto più impegnativo. Una volta regolati i rotori come richiesto dal cifrario, l’operatore poteva iniziare la codifica del
messaggio: premeva il tasto corrispondente alla prima lettera, osservava la prima lampadina che si illuminava sullo schermo, e ne prendeva nota. Poi, dopo che il primo rotore era automaticamente avanzato di una posizione, l’operatore batteva la seconda lettera in chiaro, prendeva nota della seconda lettera in cifra e così via. Completato il crittogramma lo porgeva al marconista, che lo inviava al destinatario. Per decifrare il crittogramma, il destinatario doveva possedere un’altra macchina Enigma, e un cifrario con l’assetto dei rotori da utilizzare giorno per giorno. Egli regolava la macchina come spiegato nel cifrario, batteva il crittogramma lettera dopo lettera, e annotava i caratteri del testo chiaro, indicati dall’accensione delle lampadine sul visore. In altre parole, mentre il mittente digitava il testo chiaro per generare il crittogramma, il destinatario digitava il crittogramma per ripristinare il testo chiaro; cifratura e decifrazione comportavano le stesse operazioni. La comodità della decifrazione era merito del riflessore. Nella figura 29 si vede che premendo il tasto b e seguendo il percorso dell’elettricità, torniamo a D. In modo analogo premendo il tasto d e seguendo il percorso torniamo a B. La macchina trasforma un carattere in chiaro in un carattere cifrato, e, purché sia nel medesimo assetto, è anche in grado di trasformare il carattere cifrato nell’originario carattere chiaro. Poiché abbiamo accennato al cifrario di Enigma, aggiungerò che la lista degli assetti giornalieri in esso contenuta doveva essere custodita con la massima cura. Non si poteva escludere che uno o più esemplari di Enigma cadessero in mani ostili, ma in mancanza dei dati sull’assetto iniziale sarebbe stato estremamente difficile violare i crittogrammi generati dal congegno. Senza il cifrario, i crittoanalisti nemici avrebbero dovuto controllare ogni giorno tutte le 17.576 chiavi possibili. Se avessero posseduto uno o più esemplari di Enigma, il loro compito sarebbe stato un po’ più facile: avrebbero dovuto selezionare un assetto, provare a decifrare un frammento di crittogramma, e se il risultato fosse stato privo di senso, passare all’assetto successivo. Ammesso di poter controllare un assetto al minuto, e di continuare la prova giorno e notte senza interruzione, vagliarli tutti avrebbe richiesto due settimane. Era un discreto livello di sicurezza, ma se il nemico avesse deciso di impiegare dozzine di persone solo a questo scopo, si sarebbero potuti controllare tutti gli assetti in un solo giorno, e in casi fortunati la chiave avrebbe potuto essere scoperta in qualche ora. Perciò, Scherbius decise di accrescere l’affidabilità della sua invenzione aumentando il numero di assetti, cioè di possibili chiavi. Naturalmente avrebbe potuto aggiungere un altro rotore, aumentando le chiavi di 26 volte; preferì invece introdurre due nuove caratteristiche. Innanzitutto, rese i rotori removibili e sostituibili. Per esempio, il primo e il terzo rotore potevano scambiarsi i posti. Siccome i rotori erano diversi, e diversi erano i movimenti che compivano durante la cifratura, quest’ultima era influenzata dalla posizione reciproca dei rotori.
Dati tre elementi intercambiabili, essi possono essere combinati in sei modi differenti; perciò questo accorgimento aumentava il numero di chiavi di un fattore pari a 6. La seconda caratteristica era l’inserimento di un pannello a prese multiple tra la tastiera e il primo rotore. Il pannello permetteva al mittente di inserire alcuni cavi muniti di spinotti, che avevano l’effetto di scambiare due lettere prima della loro immissione nel rotore. Per esempio, un cavo poteva essere usato per collegare le prese b e a del pannello, cosicché quando il crittografo avesse deciso di crittare b, giunto ai rotori il segnale elettrico avrebbe seguito il percorso proprio della a, e viceversa. L’operatore di Enigma disponeva di sei cavi, che gli davano la possibilità di scambiare sei coppie di lettere. Le altre quattordici lettere restavano non collegate e non scambiate. La figura 30 mostra lo schema della macchina col pannello in funzione. Poiché il diagramma si riferisce a un alfabeto semplificato di sei lettere, ho scambiato soltanto la b e la a.
Figura 30 Il pannello a prese multiple era interposto tra la tastiera e gli scambiatori. Inserendo gli appositi cavetti era possibile scambiare due lettere . Così in questo caso, lo scambio riguarda b e a. Durante la cifratura di b, la corrente segue il percorso che normalmente caratterizza la cifratura di a. Nel caso di una macchina Enigma reale, a 26 lettere, l’operatore disponeva di almeno sei cavi e poteva scambiare almeno sei coppie di lettere simultaneamente.
C’è un’altra caratteristica del progetto di Scherbius, il cosiddetto anello, che ancora non ho menzionato. Anche se l’anello ha una certa influenza sulla cifratura, è l’aspetto meno significativo della cifratrice, e ho ritenuto di poterlo ignorare in questa discussione. Ai lettori curiosi di conoscere l’esatta funzione dell’anello suggerisco di
consultare uno dei libri dell’elenco di letture consigliate, come Seizing the Enigma di David Kahn. Ora che gli elementi principali del dispositivo di Scherbius sono stati descritti, è possibile calcolare il numero di chiavi che esso poteva impiegare. Tale numero dipendeva dalle caratteristiche del pannello, dei singoli rotori, e dell’unità cifratrice formata da tre rotori. La lista qui sotto elenca le variabili del dispositivo e il numero di possibilità create da ogni variabile. Scambiatori (detti anche rotori): ognuno dei tre dischi rotanti poteva orientarsi in 26 modi nel piano perpendicolare al suo asse di rotazione. Di conseguenza, erano ammesse 26 × 26 × 26 = 17.576 combinazioni di orientamenti. Unità cifratrice: i tre scambiatori (1,2 e 3) potevano essere inseriti nell’unità centrale in diverse posizioni reciproche, così riassumibili: 123, 132, 213, 231, 312, 321. Erano quindi ammesse 6 diverse posizioni reciproche dei rotori. Pannello a prese multiple: i possibili abbinamenti di 12 (6 × 2) lettere su 26 sono moltissimi (per l’esattezza, 100 miliardi 391 milioni 791 mila 500). Il numero totale di chiavi si ottiene moltiplicando le suddette possibilità: 17.576 × 6 × 100.391.791.500 = circa 10 milioni di miliardi. Una volta presi accordi sui collegamenti del pannello, sull’anello, sull’ordine dei rotori e sul loro orientamento (cioè sui fattori che specificano la chiave), mittente e destinatario potevano crittare e decrittare i messaggi con facilità. D’altra parte l’intercettatore nemico, se fosse ricorso a una strategia per prova ed errore, avrebbe dovuto controllare i dieci milioni di miliardi di combinazioni dei fattori della chiave. Un crittoanalista così rapido da controllare una combinazione al minuto, e così instancabile da lavorare notte e giorno senza interruzione, ancora una volta avrebbe impiegato un tempo superiore all’età dell’universo. (In effetti, questa valutazione eccede in ottimismo, perché nei calcoli precedenti non si è tenuto conto dell’anello. Se lo si fosse fatto, si sarebbe constatato che le combinazioni possibili erano più numerose.) Il contributo di gran lunga maggiore al numero di chiavi potenziali è dato dal pannello a prese multiple. Qualcuno potrebbe quindi chiedersi perché Scherbius si sia preso la briga di progettare i rotori. La risposta è che utilizzato da solo, il pannello equivale a un sistema crittografico banale, cioè a una sostituzione monoalfabetica, per di più limitata a 12 lettere. Il punto debole del pannello è che le
sostituzioni non cambiano durante la cifratura. Perciò, una macchina che lo impiegasse da solo genererebbe un crittogramma risolvibile con l’analisi delle frequenze. I rotori ammettono una gamma di chiavi più limitata, ma il loro assetto cambia continuamente e il crittogramma che ne deriva resiste all’analisi delle frequenze. Combinando il pannello e i rotori Scherbius creò un congegno in grado sia di generare crittogrammi di tipo polialfabetico, sia di ammettere un enorme numero di chiavi. L’inventore tedesco ottenne il primo brevetto nel 1918. La macchina per cifrare era contenuta in una scatola compatta di 34 × 28 × 15 cm., ma pesava ben 12 chilogrammi. La figura 31 mostra una macchina Enigma col coperchio sollevato e pronta per l’uso. Si vedono la tastiera per immettere i caratteri in chiaro, e appena sopra il visore a lampadine che indica la lettera cifrata. Sotto la tastiera c’è il pannello a prese multiple, in cui le lettere scambiate sembrano essere non sei, ma nove coppie. Ciò è dovuto al fatto che la macchina della figura è una versione successiva, anche se di poco, al modello base che fin qui ho descritto. La figura 32 mostra una macchina Enigma con l’involucro sollevato per rendere visibili i dispositivi interni, in particolare i tre rotori. Scherbius riteneva che Enigma generasse crittogrammi insolubili, e che la sua efficacia l’avrebbe resa un prodotto assai richiesto. Cercò di farla conoscere agli uomini d’affari, ai diplomatici e ai militari, offrendo a ciascuna categoria la versione che gli sembrava più adatta. Così, propose ai primi il modello base, e al ministero degli Esteri una lussuosa versione diplomatica, con una stampante al posto dello schermo a lampadine. Il costo di un’unità singola era pari a 20.000 sterline attuali (circa sessanta milioni di lire), ma nel caso di un ordine di 1.000 cifratrici il prezzo di una unità scendeva a 3.000 sterline. Per sua sfortuna, la cifra richiesta sembra aver scoraggiato molti potenziali acquirenti. Gli uomini d’affari dichiaravano di non potersi permettere una tale spesa per la sicurezza, sebbene Scherbius replicasse che, semmai, quella che non potevano permettersi era la mancanza di sicurezza. A suo giudizio, un messaggio importante intercettato da un concorrente poteva costare una fortuna, ma essi non si lasciarono convincere. I militari furono altrettanto scettici. Sembravano non rendersi conto degli enormi danni che la debolezza dei loro codici aveva causato al tempo del caso Zimmermann. D’altra parte, si era fatto loro credere che il telegramma fosse stato trafugato in Messico da spie americane, perciò quell’episodio disastroso era da essi addebitato all’inefficienza del controspionaggio messicano.
Figura 31 M acchina Enigma militare pronta per l’uso. (fonte)
Figura 32 M acchina Enigma militare col pannello interno sollevato; sono visibili i tre scambiatori. (fonte)
Nella sua crescente frustrazione, Scherbius non era solo. Tre altri inventori in tre Paesi diversi si erano imbattuti, in modo indipendente e quasi contemporaneamente, nell’idea di una cifratrice basata su scambiatori rotanti. In Olanda, nel 1919,
Alexander Koch ottenne il brevetto n. 10.700, ma non riuscì a trasformare il suo congegno in un successo commerciale e alla fine, nel 1927, cedette i diritti del suo sfruttamento. In Svezia Arvid Damm ottenne un brevetto analogo, ma morì nel 1927 senza aver trovato un mercato. In America l’inventore Edward Hebern confidava pienamente nella propria invenzione, la cosiddetta «Sfinge senza fili», ma il suo insuccesso fu il più completo. Hebern costruì uno stabilimento da 380.000 dollari, proprio quando in America il vento stava cambiando. Subito dopo la prima guerra mondiale, gli Stati Uniti avevano creato la loro prima camera nera, un ufficio cifre molto efficiente che poteva contare su una squadra di venti crittoanalisti, guidati dall’estroverso e brillante Herbert Yardley. Questi scrisse in seguito che «la camera nera, blindata, nascosta, protetta, vede tutto e tutto ode. Nonostante le imposte chiuse e le finestre schermate da pesanti tendaggi, i suoi occhi d’aquila penetrano le segrete sale di riunione di Washington, Tokyo, Londra, Parigi, Ginevra, Roma, e il suo udito sopraffino percepisce i minimi bisbigli provenienti dalle capitali di tutto il mondo». La camera nera americana decifrò 45.000 crittogrammi in un decennio, ma quando Hebern costruì la sua fabbrica Herbert Hoover era stato eletto presidente, e stava tentando di inaugurare una nuova epoca di fiducia e trasparenza in politica estera. Perciò sciolse la camera nera e il suo segretario di Stato, Henry Stimson, dichiarò che «un gentiluomo non dovrebbe leggere la corrispondenza altrui». Quando un Paese pensa che sia sbagliato leggere la corrispondenza altrui, finisce presto per convincersi che gli altri non leggeranno la sua; di conseguenza non vede la necessità di spendere soldi in sofisticate apparecchiature crittografiche. Hebern riuscì a vendere solo dodici cifratrici con un ricavo complessivo di circa 2.100 dollari, e nel 1926 fu denunciato dagli azionisti inviperiti e giudicato colpevole in base alle leggi dello Stato della California. Per fortuna di Scherbius, i militari tedeschi furono infine costretti a rivedere il loro giudizio su Enigma dalla clamorosa vicenda di due documenti britannici. Il primo fu Il mondo in crisi di Winston Churchill, pubblicato nel 1923, che includeva un drammatico resoconto del modo in cui i britannici avevano avuto accesso a materiale crittografico tedesco di grande importanza: All’inizio di settembre del 1914, l’incrociatore leggero tedesco Magdeburgh fu affondato nel Baltico. Il cadavere di un sottufficiale germanico morto annegato fu recuperato dai russi qualche ora più tardi; addosso, tra il petto e le braccia irrigidite dalla morte, gli furono trovati il cifrario e il manuale di segnalazioni della marina da guerra, nonché mappe nautiche particolareggiate del M are del Nord e della Baia di Heligoland. Il 6 settembre ricevetti la visita dell’attaché navale russo. Un dispaccio da Pietrogrado l’aveva informato dell’episodio, e del fatto che con l’aiuto del cifrario e del manuale di segnalazioni l’Ammiragliato russo era riuscito a decrittare almeno una parte delle comunicazioni
della marina tedesca. Era opinione di Pietrogrado che quale centro di comando della flotta più potente, l’Ammiragliato britannico dovesse avere i libri e le carte. Se avessimo mandato un vascello ad Alexandrov, l’ufficiale russo al quale erano stati affidati li avrebbe portati in Inghilterra.
Il materiale citato permise ai crittoanalisti della Stanza 40 di tradurre regolarmente le comunicazioni in codice della flotta del Kaiser; ora, quasi dieci anni dopo, lo sapevano anche i tedeschi. Sempre nel 1923 la Regia Marina britannica pubblicò la propria storia ufficiale della prima guerra mondiale, in cui si ribadiva che l’intercettazione e la crittoanalisi delle comunicazioni tedesche avevano assicurato agli Alleati un significativo vantaggio strategico. I brillanti risultati dei servizi segreti britannici erano nello stesso tempo una severa censura dell’operato di quanti, a Berlino, avrebbero dovuto vegliare sulla sicurezza delle comunicazioni. In un rapporto sull’argomento, il controspionaggio tedesco dovette ammettere che «il Comando della flotta germanica, i cui messaggi radio erano interpretati e decifrati dagl’inglesi, si trovò, per così dire, a giocare a carte scoperte contro il Comando britannico». I vertici militari tedeschi fecero compiere uno studio su come prevenire ì fiaschi crittografici della Grande guerra, e la conclusione fu che Enigma era la migliore soluzione. Nel 1925 Scherbius organizzò la produzione su larga scala della cifratrice, che fu in dotazione alle forze armate a partire dall’anno successivo, e in seguito trovò impiego in servizi civili di importanza strategica quali le ferrovie. Questa generazione di macchine Enigma era diversa dai pochi esemplari fin lì venduti agli uomini d’affari, perché i circuiti degli scambiatori erano diversi. Con ciò si voleva evitare che i possessori di una macchina Enigma destinata ai privati potessero ricostruire fin nei minimi particolari il funzionamento delle cifratrici militari. Nei due decenni seguenti le forze armate del Reich avrebbero acquistato più di 30.000 esemplari di Enigma. L’invenzione di Scherbius aveva messo a loro disposizione il più sicuro sistema crittografico del mondo, e allo scoppio della seconda guerra mondiale le comunicazioni militari germaniche avevano un livello di sicurezza senza uguali. Ci furono momenti in cui sembrò che Enigma dovesse avere un ruolo chiave nel trionfo delle armate di Hitler; invece, fu una delle cause della loro sconfitta. Scherbius, comunque, visse troppo poco per assistere tanto all’ascesa quanto alla caduta del suo dispositivo per crittare. Nel 1929, guidando un calesse, perse il controllo dei cavalli e finì contro un muro. Morì in ospedale il 13 maggio, per le gravi lesioni interne causate dall’incidente.
4 Far breccia in Enigma
N
ei primi anni dopo la Grande guerra, i crittoanalisti britannici continuarono a sorvegliare le comunicazioni tedesche, ma dal 1926 cominciarono a intercettare messaggi di cui non venivano a capo. Era arrivato Enigma, e col diffondersi del congegno l’efficienza della Stanza 40 nel raccogliere informazioni calò bruscamente. Anche americani e francesi si cimentarono coi crittogrammi Enigma, ma senza alcun risultato, e dopo qualche mese desistettero. Le comunicazioni cifrate tedesche erano diventate le più sicure del mondo. La rapidità con cui i crittoanalisti alleati si diedero per vinti è in netto contrasto con la perseveranza dimostrata fino a qualche anno prima. Di fronte al pericolo di una disfatta militare, essi erano pronti a lavorare giorno e notte per volgere in chiaro un solo messaggio. Si direbbe che il timore della catastrofe fosse la loro più importante fonte di energia, una delle basi dei loro successi. In modo analogo, era stata l’ansia a galvanizzare i crittoanalisti francesi alla fine dell’Ottocento, di fronte alla crescente potenza della Germania. Ma all’indomani della Grande guerra gli Alleati non temevano nessuno. Per il momento, la potenza tedesca era solo un ricordo e il predominio di America, Francia e Inghilterra era indiscusso. Così, lo zelo crittoanalitico si spense e i decrittatori alleati diminuirono in numero e peggiorarono in qualità. C’era però una nazione cui non era permesso rilassarsi. Dopo Versailles, la Polonia aveva riconquistato l’indipendenza ma temeva l’aggressività dei vicini. A est incombeva la Russia; l’immenso Paese era ora governato dai comunisti, che sembravano intenzionati a diffondere ovunque il sistema di vita instaurato nell’ex impero zarista. A ovest, la Germania desiderava con tutte le forze di recuperare i territori che aveva dovuto cedere a Varsavia. Stretti tra due potenziali avversari, i polacchi erano affamati di informazioni riservate e si affrettarono a munirsi di un ufficio cifre, il Biuro Szyfrów. Se la necessità è la madre delle invenzioni, il timore del nemico è probabilmente il padre della crittoanalisi. L’efficienza del Biuro Szyfrów è dimostrata dai suoi successi durante il conflitto russo-polacco del 1919-20. Nel solo agosto del 1920, quando i sovietici raggiunsero i sobborghi di Varsavia, esso decifrò quattrocento messaggi. Anche la sorveglianza delle comunicazioni tedesche fu assai efficace, finché, nel 1926, furono captati i primi crittogrammi Enigma. La sezione tedesca del Biuro Szyfrów era comandata dal capitano Maksymilian Ciezki, grande patriota cresciuto nella città di Szamotuty, una culla del nazionalismo
polacco. Egli aveva accesso a una versione commerciale di Enigma, che gli aveva svelato i principi costruttivi dell’invenzione di Scherbius. Purtroppo, la versione commerciale era molto diversa da quella militare per quanto riguardava i circuiti degli scambiatori. Non conoscendo questo particolare, Ciezki non aveva alcuna possibilità di decifrare i messaggi delle forze armate germaniche. Quella situazione di impotenza gli diventò così insopportabile, che egli chiese aiuto a un chiaroveggente. Com’era da attendersi, questi non fu in grado di fornire al Biuro Szifrów il tipo di illuminazione di cui aveva bisogno. Fu invece un tedesco deluso, Hans-Thilo Schmidt, a far comparire la prima crepa nel muro dei crittogrammi Enigma.
Figura 33 Hans-Thilo Schmidt, che passò informazioni su Enigma a un agente segreto francese il cui nome in codice era Rex. Rex fu infine catturato nel 1942, ma si salvò tradendo tutti i suoi contatti. Tra questi c’era Schmidt, che fu arrestato dalla Gestapo e giustiziato. (fonte)
Hans-Thilo Schmidt era nato a Berlino nel 1888, secondo figlio di una nobildonna e di uno stimato professore. Aveva intrapreso la carriera militare nell’esercito del Kaiser e combattuto nella prima guerra mondiale, ma dopo il 1918 non fu considerato abbastanza meritevole per conservare la divisa, visti i drastici ridimensionamenti imposti dal trattato di Versailles. Hans-Thilo cercò allora il successo come imprenditore, ma la sua fabbrica di sapone dovette chiudere per la crisi economica e l’iperinflazione del dopoguerra. Così, lui e la sua famiglia
precipitarono nell’indigenza. Sorte ben diversa era toccata intanto a suo fratello Rudolf. Rimasto nelle forze armate, egli aveva continuato a salire nella gerarchia e nel 1920 era stato nominato capo di stato maggiore del genio segnalazioni, col grado di tenente colonnello. In qualità di responsabile della sicurezza delle comunicazioni, era stato lui ad approvare ufficialmente l’impiego di Enigma da parte dell’esercito germanico. Dopo il fallimento della ditta, Hans-Thilo era stato costretto a chiedere aiuto al fratello, che gli aveva procurato un impiego alla Chiffrierstelle, l’ufficio amministrativo preposto alle comunicazioni crittate. Era la sala comandi della rete Enigma, una struttura supersegreta che gestiva informazioni estremamente delicate. Trasferendosi a Berlino, Hans-Thilo aveva lasciato la famiglia in Baviera, dove il costo della vita era sopportabile. Nella capitale egli conduceva un’esistenza solitaria; impoverito e spaesato, sentiva crescere in sé il risentimento per l’irreprensibile fratello e per la stessa patria, che sembrava respingerlo. Il risultato era prevedibile. Offrendo agli stranieri i segreti di Enigma egli avrebbe potuto tornare benestante e insieme vendicarsi, compromettendo la sicurezza del Paese e minando l’organizzazione diretta da Rudolf. L’8 novembre 1931 Schmidt varcò l’ingresso del Grand Hotel di Verviers, in Belgio, per incontrare un agente francese il cui nome in codice era Rex. Per 10.000 marchi (una sessantina di milioni di lire attuali) Schmidt permise a Rex di fotografare due documenti: il Gebrauchsanweisung für die Chiffriermaschine Enigma e lo Schlüsselanleitung für die Chiffriermaschine Enigma. Si trattava in sostanza di due manuali di istruzioni per l’uso della cifratrice, ma sebbene non fornissero alcun particolare sui circuiti degli scambiatori, la struttura di questi componenti poteva essere dedotta dalle altre informazioni. Grazie al tradimento di Schmidt, era possibile costruire una replica fedele della versione militare di Enigma. Tuttavia, ciò non bastava a decifrare i messaggi generati con essa. La forza della cifratura Enigma non dipendeva dal tener segreto il dispositivo, ma dal tener segreto il suo assetto all’inizio della cifratura (cioè la chiave). Se avesse voluto volgere in chiaro un crittogramma tedesco, un crittoanalista alleato oltre ad aver bisogno di una replica della cifratrice avrebbe dovuto scoprire quale chiave, tra i milioni di miliardi possibili, era stata impiegata. Un memorandum germanico così riassumeva la situazione: «Si è partiti dal presupposto, nel giudicare la sicurezza del crittosistema, che il nemico abbia a disposizione il congegno». È chiaro che il servizio segreto francese funzionava, avendo trovato un informatore come Schmidt e ottenuto il materiale che suggeriva le caratteristiche dei circuiti di Enigma militare. In confronto, i crittoanalisti francesi apparivano inadeguati, poco desiderosi e poco capaci di approfittare delle nuove informazioni. All’indomani del primo conflitto mondiale, soffrivano di eccessiva fiducia in loro stessi e di scarsa
motivazione. Il Bureau du Chiffre non si prese neanche il disturbo di costruire una replica di Enigma militare, perché i suoi tecnici e funzionari erano convinti che il passo successivo - scoprire le chiavi necessarie alla decifrazione dei messaggi fosse irrealizzabile. Tuttavia, dieci anni prima la Francia aveva firmato un accordo di cooperazione militare con la Polonia. I polacchi avevano manifestato interesse per tutto ciò che concerneva Enigma, e in conformità con quell’accordo i francesi si limitarono a consegnare agli alleati le riproduzioni fotografiche dei documenti di Schmidt, lasciando al Biuro Szyfrów l’impresa disperata di far breccia in Enigma. Al Biuro ci si rese subito conto del fatto che i documenti erano solo un punto di partenza, ma a differenza di quanto era accaduto in Francia si decise di procedere, soprattutto a causa del timore di un’invasione tedesca. I polacchi si convinsero che dovesse esserci una scorciatoia in grado di condurre alla chiave di un crittogramma Enigma; e giudicarono parimenti che impiegando sufficiente tenacia, ingegnosità e intuito avrebbero finito col trovarla. Oltre a permettere la ricostruzione dei collegamenti interni degli scambiatori, i documenti di Schmidt spiegavano anche nei dettagli la struttura dei cifrari tedeschi. Ogni mese gli operatori Enigma ricevevano un nuovo cifrario, con le chiavi da usare di giorno in giorno. Per esempio, per il primo del mese il cifrario poteva specificare la seguente chiave giornaliera: 1. Assetto del pannello a prese multiple:
A/L-P/R-T/D-B/W-K/F-O/Y.
2. Disposizione degli scambiatori: 3. Orientamento degli scambiatori:
2-3-1. Q-C-W.
Per applicare la chiave giornaliera, l’operatore Enigma avrebbe regolato la macchina nel modo seguente: 1. Assetto del pannello a prese multiple: scambio di A e L collegando le prese corrispondenti con un cavetto isolato; scambio di P e R, T e D, B e W, K e F, O e Y, realizzato allo stesso modo. 2. Disposizione degli scambiatori: collocazione dello scambiatore 2 nel primo alloggiamento all’interno della macchina; collocazione dello scambiatore 3 nel secondo alloggiamento; collocazione dello scambiatore 1 nel terzo alloggiamento. 3. Orientamento degli scambiatori: ogni scambiatore aveva un alfabeto inciso sull’anello più esterno, che permetteva di orientarlo in modo preciso rispetto all’asse di rotazione. In questo caso l’operatore avrebbe ruotato lo scambiatore del primo alloggiamento in modo che Q fosse rivolta in alto, quello del secondo alloggiamento in modo che C fosse rivolta in alto, quello del terzo alloggiamento in
modo che W fosse rivolta in alto. La codifica dei messaggi avrebbe potuto consistere nel crittare tutto il traffico quotidiano in base alla chiave giornaliera. Questo avrebbe significato che ogni mattina, prendendo servizio, gli operatori Enigma avrebbero regolato le macchine in base alla chiave giornaliera; poi, ogni volta che ci fosse stato un messaggio da proteggere, uno degli operatori l’avrebbe digitato, annotato in forma cifrata e portato al marconista per la trasmissione. All’estremità opposta della rete di comunicazioni, un altro marconista avrebbe captato il messaggio e lo avrebbe consegnato all’operatore Enigma. Questi, avendo in precedenza regolato la macchina in base alla chiave giornaliera, lo avrebbe digitato in forma cifrata, e l’informazione in uscita dalla macchina sarebbe stata il testo chiaro. È una procedura abbastanza sicura, ma viziata dal continuo uso della stessa chiave giornaliera per le centinaia di messaggi necessari al funzionamento di un esercito moderno. E vale la regola generale che più si usa una chiave, più alto è il rischio che essa sia ricostruita dai crittoanalisti nemici. Un materiale abbondante significa infatti una base ampia per la formulazione delle ipotesi e il loro controllo. Per esempio, per limitarci a cifrature relativamente semplici, è molto più facile volgere in forma chiara con l’analisi delle frequenze pagine e pagine di testo in codice che, poniamo, un solo crittogramma derivato da un paio di frasi. Così, per maggior sicurezza, i tedeschi adottarono un fine stratagemma. L’assetto di Enigma corrispondente alla chiave giornaliera era usato per trasmettere non messaggi interi, ma una seconda chiave, diversa per ciascun messaggio. Quest’ultima, detta chiave di messaggio, era usata per cifrare il testo vero e proprio. Le chiavi di messaggio utilizzavano gli stessi collegamenti del pannello a prese multiple, e lo stesso ordine degli scambiatori; la sola differenza consisteva in un diverso orientamento degli scambiatori. Poiché la chiave di messaggio non si trovava nel cifrario, che elencava solo le chiavi giornaliere, il mittente doveva comunicarla al destinatario. In sostanza, il procedimento era il seguente: innanzitutto il mittente regolava Enigma in base alla chiave giornaliera, compreso l’orientamento degli scambiatori; supponiamo che esso fosse QCW. Poi decideva l’orientamento degli scambiatori da usare per la codifica del messaggio vero e proprio - per esempio, PGH. A questo punto, cifrava PGH con gli scambiatori ancora regolati su QCW. È importante precisare che una regola, introdotta per garantire che la chiave di messaggio fosse captata correttamente, imponeva di trasmetterla due volte di seguito. Perciò, in effetti il mittente non cifrava PGH, ma PGHPGH. Tramite la chiave giornaliera, QCW, la stringa della chiave di messaggio, PGHPGH era trasformata, poniamo, in KIVBJE. Si noti che la seconda metà della stringa crittata non era uguale alla prima metà. Il motivo è che, come si è illustrato,
Enigma modificava automaticamente l’assetto degli scambiatori a ogni singola lettera cifrata; perciò la stessa lettera era sostituita in modo sempre diverso. Dopo aver cifrato la chiave di messaggio, il mittente regolava gli scambiatori su PGH e crittava il testo vero e proprio. All’altro capo della rete di trasmissioni, la cifratrice del destinatario all’inizio era regolata in base alla chiave giornaliera. La sequenza KIVBJE, al principio del messaggio, era quindi correttamente decifrata come PGHPGH. Il destinatario capiva che si trattava della chiave di messaggio, e prima di volgere in chiaro il testo cifrato regolava gli scambiatori nel modo indicato dal mittente. In sostanza, mittente e destinatario prendevano accordi in anticipo su una chiave che potremmo chiamare principale. Poi, invece di usare questa chiave per cifrare tutti i messaggi, la usavano solo per cifrare la chiave da impiegare per ciascun messaggio, e si servivano di quest’ultima per effettuare la sostituzione del testo vero e proprio. Se i tedeschi non fossero ricorsi alle chiavi di messaggio, tutto - anche migliaia di dispacci formati da milioni di lettere - avrebbe dovuto esser cifrato in base alla stessa chiave giornaliera. Invece, con la procedura da loro adottata la chiave giornaliera cifrava una quantità molto limitata di informazioni. Nel caso di un migliaio di messaggi al giorno, questa quantità si sarebbe aggirata intorno alle seimila lettere. Non solo: anche le chiavi di messaggio, essendo monouso, cifravano una quantità limitata di informazioni - a volte, solo qualche centinaio di caratteri. A prima vista, una procedura di questo genere sembra inespugnabile, ma i crittoanalisti polacchi non si persero d’animo. Erano pronti a esplorare qualunque via che potesse rivelare una pecca di Enigma o del sistema a doppia chiave, giornaliera e di messaggio. In questa battaglia, ebbe il battesimo del fuoco una nuova generazione di crittoanalisti. Per secoli si era partiti dal presupposto che le persone più adatte a volgere in chiaro una scrittura segreta fossero i conoscitori del linguaggio e delle sue leggi - i linguisti e gli umanisti; ma il nuovo sistema tedesco di protezione delle comunicazioni spinse i polacchi ad adottare un’altra strategia di reclutamento. La cifratrice di Scherbius era un congegno elettromeccanico, e i responsabili del Biuro Szyfrów pensarono che l’intelligenza tecnico-scientifica fosse più adatta a scoprirne i punti deboli. Perciò organizzarono un corso di crittografia, al quale invitarono venti matematici dell’Università di Poznan. Coloro che accettarono l’invito si impegnarono a mantenere il segreto. Pur non essendo l’istituzione accademica più prestigiosa del Paese, l’università aveva il pregio di sorgere in una zona ex prussiana, appartenuta alla Germania fino al 1918. Quindi, molti degli invitati avevano una buona padronanza del tedesco. Tre dei matematici dimostrarono una particolare attitudine alla decifrazione, e furono reclutati dal Biuro. Il più brillante era Marian Rejewski, un timido e occhialuto ventitreenne specializzatosi in statistica nella speranza di trovare lavoro nel campo delle assicurazioni. All’università era stato un
buon studente, ma fu al Biuro Szyfrów che scoprì la sua vera vocazione. Rejewski fece il suo apprendistato risolvendo una serie di cifrature tradizionali; solo quando si fu familiarizzato con la crittografia, i superiori gli permisero di affrontare Enigma. Lavorando da solo, il giovane si concentrò sugli aspetti più complicati del congegno di Scherbius. Cercò di tradurre in termini numerici ogni aspetto del funzionamento della macchina, controllando gli effetti degli scambiatori e dei collegamenti del pannello a prese multiple. D’altra parte, come sempre in matematica, il suo lavoro richiedeva ispirazione oltre che logica. Come disse un altro crittoanalista-matematico del periodo bellico, il decrittatore creativo deve «necessariamente far comunella ogni giorno con gli spiriti dell’oscurità per portare a termine i suoi esercizi di jujitsu mentale». La strategia di Rejewski si basava sul fatto che la ripetizione è nemica della sicurezza, perché crea degli schemi, e questi sono l’alimento della crittoanalisi. Il caso più ovvio di ripetizione nella cifratura Enigma è la chiave di messaggio, che è cifrata in forma ripetuta all’inizio di ogni crittogramma. Va ricordato che se l’operatore sceglie la chiave di messaggio ULJ, essa va cifrata due volte di seguito; la stringa ULJULJ verrà crittata, poniamo, come PEFNWZ, che formerà l’inizio del messaggio cifrato. I tedeschi avevano introdotto la ripetizione per evitare incomprensioni dovute a interferenze radio o errori dell’operatore, senza sospettare che ciò poteva pregiudicare la sicurezza del crittosistema. Ogni giorno Rejewski riceveva un nuovo pacco di messaggi intercettati; iniziavano tutti con le sei lettere della doppia chiave di messaggio, cifrata in base alla chiave giornaliera. Per esempio, poteva accadere che ricevesse quattro messaggi che cominciavano coi seguenti esagrammi crittati:
In ciascun caso, la prima e la quarta lettera erano cifrature della stessa lettera, la prima della chiave di messaggio, così come la terza e la sesta lettera erano cifrature della terza lettera della chiave di messaggio. Perciò, nel primo messaggio L e R erano cifrature della stessa lettera; se non coincidevano, era perché tra la prima e la quarta cifratura il primo scambiatore Enigma era avanzato di tre lettere, cambiando l’intera procedura di sostituzione. Il fatto che L e R fossero cifrature della stessa lettera permise a Rejewski di introdurre una limitazione circa le condizioni iniziali della macchina: l’assetto iniziale degli scambiatori, peraltro ignoto, doveva esser tale da crittare la prima lettera della
chiave di messaggio, anch’essa ignota, come L e da crittare la seconda lettera della chiave di messaggio, parimenti ignota, come R dopo tre avanzamenti del primo scambiatore. Questa limitazione può sembrare piuttosto vaga, ma dimostra che L e R sono strettamente legate all’assetto iniziale di Enigma, cioè alla chiave giornaliera. Via via che altri messaggi erano intercettati nelle ventiquattr’ore, era possibile riscontrare altre relazioni tra la prima e la quarta lettera della doppia chiave di messaggio, e tutte erano un riflesso dell’assetto iniziale di Enigma. Per esempio, il secondo messaggio indicava che un nesso analogo a quello tra L e R esisteva tra M e X, il terzo messaggio indicava che esisteva tra J e M, il quarto messaggio indicava che esisteva tra D e P. Rejewski cominciò a riassumere le relazioni in una tabella. Per i quattro messaggi visti fin qui, la tabella avrebbe rispecchiato le relazioni tra L e R, M e X, J e M, D e P:
Se nell’arco delle ventiquattr’ore Rejewski avesse avuto accesso a un numero sufficiente di messaggi, avrebbe potuto completare lo schema delle relazioni. Il risultato avrebbe avuto un aspetto simile a quello della tabella seguente:
Rejewski non aveva informazioni circa le chiavi giornaliere, né sapeva quale chiave di messaggio fosse impiegata di volta in volta; tutto quello che sapeva era che le relazioni riassunte nelle tabelle dipendevano da entrambe le chiavi. Chiavi giornaliere diverse avrebbero generato tabelle diverse. La domanda successiva era: si poteva utilizzare una tabella per ricostruire la chiave giornaliera? Rejewski cominciò a cercare qualche regolarità, qualche caratteristica ripetitiva, che potesse condurre a questo risultato. Alla fine, si concentrò su una particolare configurazione, consistente in alcune concatenazioni di lettere. Per esempio, nella tabella precedente A della riga superiore è abbinata a F della riga inferiore; di fronte a una tabella come questa, Rejewski avrebbe cercato la lettera della riga inferiore abbinata a F della riga superiore, e constatato che si tratta di W. La ricerca proseguiva, portando alla constatazione che W della riga superiore era abbinata ad A della riga inferiore. Il passo successivo sarebbe consistito nel cercare la lettera della riga inferiore abbinata a d A della riga superiore. In altre parole, egli sarebbe tornato a una A della riga superiore, chiudendo la concatenazione.
Figura 34 M arian Rejewski. (fonte)
Con le rimanenti lettere dell’alfabeto, Rejewski avrebbe individuato altre concatenazioni. Poi le avrebbe elencate, mettendo in evidenza il numero di collegamenti proprio di ciascuna.
Fin qui si è tenuto conto solo dei collegamenti tra la prima e la quarta lettera; tuttavia, la stringa generata dalla ripetizione della chiave è di sei lettere. Perciò, Rejewski applicava il procedimento ora descritto anche alla seconda e quinta lettera, e alla terza e sesta lettera. Rejewski notò che le concatenazioni cambiavano ogni giorno. A volte erano brevi e molto numerose, altre volte lunghe e poco numerose. E, naturalmente, cambiavano le lettere da cui erano formate. Le caratteristiche delle concatenazioni dipendevano palesemente dagli assetti della chiave giornaliera; cioè, erano determinate in modo complesso dai collegamenti del pannello a prese multiple, dalla collocazione degli
scambiatori e dal loro orientamento. Ma restava aperta la questione principale: si poteva risalire dalle concatenazioni alla chiave giornaliera? Come capire quale, tra i dieci milioni di miliardi di possibili chiavi giornaliere, aveva generato un particolare gruppo di concatenazioni? Il ventaglio di possibilità sembrava semplicemente troppo ampio. Fu a quel punto che Rejewski ebbe un’intuizione brillante. Sebbene sia il pannello sia gli scambiatori influenzino le caratteristiche delle concatenazioni, i loro effetti possono essere separati. In particolare, c’è un aspetto delle concatenazioni che dipende solo dagli scambiatori, e non ha niente a che fare col pannello a prese multiple: il numero di collegamenti delle concatenazioni. Consideriamo l’esempio precedente e ipotizziamo che S e G siano scambiate a causa dell’assetto del pannello. Se alteriamo questo elemento della chiave giornaliera, staccando il cavetto che scambia S e G e usandolo, per esempio, per scambiare T e K, le concatenazioni cambierebbero nel modo seguente:
Alcune lettere delle concatenazioni sono cambiate, ma, e questo è cruciale, il numero di collegamenti propri di ogni concatenazione è invariato. Rejewski aveva individuato un aspetto delle concatenazioni che dipendeva solo dall’assetto degli scambiatori. Il numero di possibili assetti degli scambiatori era il prodotto delle possibili collocazioni negli alloggiamenti (6) e dei possibili orientamenti (17.576); e 6 × 17.576 = 105.456. Si era quindi compiuto un enorme passo avanti. Rejewski doveva scoprire non quale chiave giornaliera tra dieci milioni di miliardi, ma quale assetto degli scambiatori tra 105.456 avesse generato le concatenazioni osservate. Era sempre un gran numero di possibilità, ma oltre cento miliardi di volte più piccolo del totale di possibili chiavi giornaliere. Perciò il suo compito era diventato oltre cento miliardi di volte più facile, e pur non essendo semplice rientrava nell’ambito delle possibilità umane. Rejewski procedette nel modo seguente. Grazie al tradimento di Hans-Thilo Schmidt, disponeva di alcune repliche delle versioni militari di Enigma. I membri della sua équipe si divisero l’impegnativo compito di controllare i 105.456 assetti; i risultati ottenuti furono inseriti in un repertorio delle lunghezze delle concatenazioni, e dei relativi assetti degli scambiatori. Per terminare l’opera ci volle un anno, ma
appena il Biuro ebbe tutti i dati si poté tentare di far breccia in Enigma. Ogni giorno Rejewski studiava le chiavi di messaggio (cioè le prime sei lettere di ogni intercettazione) e predisponeva la tabella degli abbinamenti. Questo gli permetteva di individuare le concatenazioni e le loro lunghezze. Per esempio, l’analisi della prima e quarta lettera poteva rivelare quattro concatenazioni da 3, 9, 7 e 7 collegamenti; l’analisi della seconda e della quinta lettera poteva rivelare quattro concatenazioni da 2, 3, 9 e 12 collegamenti; l’analisi della terza e della sesta lettera poteva rivelare cinque concatenazioni da 5, 5, 5, 3 e 8 collegamenti. Per il momento, Rejewski non sapeva quale fosse la chiave giornaliera. Sapeva però che in qualche modo essa aveva generato uno schema preciso, caratterizzato da 13 concatenazioni ciascuna di una certa lunghezza: 4 concatenazioni della prima e quarta lettera da
3, 9, 7 e 7
4 concatenazioni della seconda e quinta lettera da 2, 3, 9 e 12 5 concatenazioni della terza e sesta lettera da
collegamenti. collegamenti.
5, 5, 5, 3 e 8 collegamenti.
A questo punto, poteva consultare il repertorio, in cui tutti gli assetti degli scambiatori erano elencati in base alle concatenazioni da essi prodotte. Trovare la voce dell’elenco contraddistinta dal giusto numero di concatenazioni e dalla giusta lunghezza di ogni concatenazione, significava trovare anche l’assetto degli scambiatori della chiave giornaliera di Enigma. Le concatenazioni erano insomma come impronte digitali, caratteristiche uniche che tradivano la successione e l’orientamento iniziale dei rotori, e il modus operandi di Rejewski era simile a quello di un investigatore, che sul luogo del reato trova un’impronta, e la collega a un individuo sospetto per mezzo di una banca dati. Tuttavia, ricostruito l’assetto degli scambiatori Rejewski doveva ancora fare i conti con quello del pannello a prese multiple. In teoria, le possibilità erano in questo caso assai più numerose (circa 100 miliardi); ma non era difficile trovare una scorciatoia. Il crittoanalista polacco cominciava con l’escludere il pannello, rimuovendo tutti i cavetti. Quindi inseriva e ruotava gli scambiatori in modo da ottenere l’assetto indicato dal repertorio. Prendeva un frammento di crittogramma intercettato, e lo digitava sulla tastiera di Enigma. Il risultato era in gran parte incomprensibile, perché l’assetto del pannello era sbagliato. Tuttavia, di solito qualche porzione di frase era riconoscibile: è verosimile che allivaabelrino stia per arrivaaberlino. In questo caso L e R andrebbero scambiate tramite il pannello a prese multiple, mentre A, I, V, B, E, N e O non dovrebbero essere scambiate. L’analisi di altri frammenti potrebbe permettere, in modo analogo, di individuare le altre cinque coppie di lettere scambiate tramite il pannello. A quel punto, il messaggio sarebbe interamente comprensibile.
In sostanza, Rejewski aveva drasticamente semplificato l’identificazione della chiave giornaliera, separando il problema del pannello a prese multiple da quello dell’assetto degli scambiatori. Da solo, nessuno dei due era insolubile. All’inizio, avevamo stimato che occorresse all’incirca l’età dell’universo per controllare tutte le possibili chiavi di Enigma. Invece, la compilazione del repertorio delle concatenazioni aveva richiesto solo un anno; una volta portata a termine quest’impresa, l’identificazione della chiave giornaliera era realizzabile in poche ore. Ciò fatto, il Biuro Szyfrów aveva né più né meno che le informazioni del destinatario, e poteva decifrare il messaggio con la stessa sua facilità. Grazie alla scoperta di Rejewski, le comunicazioni tedesche diventarono trasparenti. La Polonia non era in guerra con la Germania; ciò nondimeno, essa aveva ottimi motivi per rallegrarsi di aver fatto breccia in Enigma. Sapere cosa avevano in mente i generali tedeschi significava per Varsavia avere qualche possibilità di difendersi. Il futuro della nazione polacca era stato, in una certa misura, nelle mani di Rejewski, ed egli si era mostrato all’altezza di tanta responsabilità; il suo trionfo su Enigma è una delle imprese memorabili della crittoanalisi. Ho cercato di riassumerla in poche pagine, perciò ho dovuto omettere molti particolari tecnici e tutti i tentativi infruttuosi. Enigma era un congegno molto sofisticato, e venire a capo di un simile crittosistema automatizzato richiese una sagacia affatto eccezionale. Spero che la mia sintesi non vi induca a sottovalutare la straordinaria impresa di Rejewski. Il successo dei polacchi dev’essere attribuito a tre fattori: i timori legati alla situazione politica di quel periodo, l’approccio matematico e il contributo dei servizi segreti. Se la paura di un’invasione non li avesse sostenuti, probabilmente i crittoanalisti del Biuro Szyfrów si sarebbero arresi all’apparente inviolabilità di Enigma; inoltre, l’analisi delle concatenazioni fu il frutto della matematica che Rejewski aveva studiato all’università; infine, senza le informazioni passate da «Asche» (il nome in codice di Schmidt) i circuiti degli scambiatori sarebbero rimasti un mistero, e la crittoanalisi dei messaggi Enigma non avrebbe neanche potuto incominciare. Rejewski non esitò a riconoscere il proprio debito nei confronti di Schmidt: «I documenti di Asche furono per noi come manna dal cielo, e tutte le porte si aprirono immediatamente». I polacchi utilizzarono con successo la tecnica di Rejewski per molti anni. Hermann Göring visitò Varsavia nel 1934 senza minimamente sospettare che le sue comunicazioni erano intercettate e decifrate. Quando lui e altre autorità tedesche deposero una corona di fiori sulla tomba del Milite Ignoto vicino agli uffici del Biuro Szyfrów, Rejewski poté osservarli dalla finestra, e rallegrarsi di poter leggere i loro dispacci top secret. Anche quando i tedeschi introdussero qualche modesto cambiamento nel loro modo di trasmettere i messaggi, Rejewski fu in grado di
contrattaccare. Il vecchio repertorio delle concatenazioni diventò inutilizzabile, ma invece di riscriverlo egli decise di automatizzare il procedimento che aveva consentito di redigerlo. In effetti, egli realizzò un congegno in grado di cercare automaticamente i giusti assetti degli scambiatori. La sua invenzione consisteva in un adattamento della macchina Enigma, in grado di controllare automaticamente e rapidamente le 17.576 posizioni dei rotori fino a trovare una corrispondenza coi dati forniti al dispositivo. Poiché gli scambiatori potevano essere collocati negli alloggiamenti in sei modi diversi, furono necessarie sei macchine di Rejewski che lavoravano in parallelo. Nell’insieme, esse rappresentavano tutti i possibili assetti dei rotori, e formavano un’apparecchiatura di quasi un metro d’altezza, capace di individuare la chiave giornaliera in un paio d’ore. Le singole unità erano chiamate bombe, un soprannome che forse si riferiva al ticchettio che emettevano passando da un assetto al successivo durante il controllo. Un’ipotesi alternativa è che l’idea del congegno fosse venuta a Rejewski mentre seduto a un caffè gustava una «bomba», cioè un gelato di forma emisferica. In sostanza, le bombe rappresentavano l’automazione del procedimento di crittoanalisi, proprio come Enigma aveva rappresentato l’automazione del procedimento di cifratura. Negli anni Trenta, Rejewski e i suoi colleghi lavorarono indefessamente per scoprire le chiavi di Enigma. Un mese dopo l’altro, l’équipe doveva affrontare lo stress e gli imprevisti della crittoanalisi, rimediando agl’inceppi elettromeccanici delle bombe e sforzandosi di tener dietro ai continui arrivi di messaggi crittati. Le loro vite finirono con l’essere dominate dalla ricerca della chiave giornaliera, le fatali tre lettere che permettevano di conoscere le intenzioni del potenziale aggressore. Quel che Rejewski e il suo manipolo di valenti collaboratori ignoravano, era che i loro sforzi erano in larga misura superflui: il direttore del Biuro, maggiore Gwido Langer, aveva già le chiavi giornaliere di Enigma; erano chiuse a chiave nella sua scrivania. Tramite i francesi, Langer aveva continuato a ricevere informazioni da Schmidt. L’attività della spia tedesca, disastrosa per la sicurezza del suo Paese, lungi dal concludersi nel 1931 con la consegna dei due documenti, proseguì durante i sette anni seguenti. Schmidt incontrò Rex altre venti volte, spesso in isolati chalet di montagna che davano ottime garanzie di segretezza. Durante ogni incontro Schmidt consegnava uno o più cifrari, ciascuno dei quali conteneva un mese di codici giornalieri. Si trattava dei cifrari distribuiti a tutti gli operatori Enigma, con le informazioni necessarie per generare e volgere in chiaro i crittogrammi. Complessivamente, Asche fornì chiavi giornaliere per un totale di 38 mesi, ma lo scaltro Langer decise di tenere all’oscuro Rejewski. Informarlo avrebbe significato risparmiare tempo e fatica, non dover costruire le costose e delicate bombe e disporre di risorse materiali e umane da investire in altre attività; eppure, Langer non dubitava di aver preso la decisione giusta. Non informando i sottoposti dell’esistenza
dei cifrari trafugati, egli li preparava nel modo migliore al momento, del cui arrivo non dubitava, in cui il rifornimento si sarebbe interrotto. Il capo del Biuro sapeva che se la guerra fosse scoppiata, sarebbe diventato impossibile organizzare gli incontri con Schmidt in condizioni di sicurezza, e Rejewski avrebbe dovuto contare solo sulle sue forze. Considerato quello che lo aspettava, era meglio che il crittoanalistamatematico si abituasse a essere autosufficiente già in tempo di pace. Alla fine, anche le risorse intellettuali di Rejewski ebbero un limite. Avvenne nel dicembre 1938, quando i crittografi tedeschi aumentarono la sicurezza di Enigma. Tutti gli operatori del crittosistema ricevettero due nuovi scambiatori, cosicché la loro disposizione nella macchina venne a rappresentare una sequenza di tre elementi su cinque. Ciò portava il numero di combinazioni da 6 a sessanta, come è mostrato nella tavola 10. Tavola 10 Le possibili combinazioni con cinque scambiatori.
Rejewski si trovò innanzitutto a dover dedurre la struttura dei circuiti interni dei due nuovi scambiatori. Ancor più preoccupante era la prospettiva di dover fare costruire altre cinquantaquattro bombe, ciascuna delle quali avrebbe rappresentato una possibile sequenza di scambiatori. Il costo della costruzione della nuova batteria di macchine avrebbe superato di quindici volte il bilancio annuale del Biuro per l’acquisto di attrezzature. Il mese successivo la situazione peggiorò, in quanto i cavetti del pannello a prese multiple in dotazione a ogni macchina Enigma passarono da sei a dieci. A questo punto, le lettere che potevano essere scambiate prima dell’immissione negli scambiatori non erano più dodici, ma venti su ventisei, e il numero di chiavi possibili era salito a 159 miliardi di miliardi. Nel 1938, le intercettazioni e decifrazioni da parte dei polacchi avevano raggiunto
un livello record; ma all’inizio del 1939, i nuovi scambiatori e i cavetti in più ridussero drasticamente la raccolta di intelligence. Rejewski, che negli anni precedenti aveva fatto compiere enormi progressi alla crittoanalisi, era disorientato. Aveva dimostrato che Enigma non era inviolabile, ma senza le risorse necessarie a controllare tutte le combinazioni degli scambiatori non poteva scoprire la chiave giornaliera. Per questo le decifrazioni avevano subito una battuta d’arresto. In circostanze così disperate, è probabile che Langer avrebbe finito col tirar fuori dal cassetto i cifrari ottenuti da Schmidt - se li avesse avuti. Poco prima della distribuzione dei nuovi scambiatori, Asche aveva interrotto i contatti con Rex. Per sette anni aveva fornito cifrari che le innovazioni di Rejewski rendevano superflui; ora che i polacchi ne avevano un disperato bisogno, egli cessava le forniture.
Figura 35 Il generale Heinz Guderian a bordo del suo comando mobile. Si distingue chiaramente una macchina Enigma in funzione. (fonte)
La ritrovata inviolabilità del sistema di cifratura tedesco fu un duro colpo per i polacchi, perché Enigma era ben più di un mezzo di comunicazione: era uno dei capisaldi della strategia hitleriana del Blitzkrieg, la «guerra lampo». L’essenza di tale strategia consisteva in una serie di attacchi massicci e perfettamente coordinati fra divisioni corazzate, reparti di fanteria e artiglieria. Inoltre, le forze di terra si valevano dell’appoggio dell’aviazione - i famigerati bombardieri Stukas. In tale contesto, il ruolo cruciale delle comunicazioni e della loro sicurezza si comprende facilmente. Lo spirito del Blitzkrieg era «rapidità nell’attaccare, rapidità nel comunicare».
Con ogni probabilità, non poter decifrare Enigma significava per Varsavia non poter reggere all’offensiva lampo dei tedeschi, la quale, come tutto faceva pensare, era ormai questione di mesi. Dopo aver invaso i Sudeti, il 27 aprile 1939 Hitler aveva annunciato di recedere dal trattato di non aggressione con la Polonia, e aumentato la violenza delle sue invettive anti-polacche. Su un punto le idee di Langer erano chiare: se il Paese fosse stato invaso, i successi crittoanalitici del suo ufficio, dei quali per il momento aveva tenuto all’oscuro gli Alleati, non dovevano andare perduti. A quanto pareva, le scoperte di Rejewski non sarebbero state di aiuto alla Polonia; ma l’Inghilterra e la Francia, con le loro superiori risorse, sarebbero forse riuscite a ricavare dalle sue «bombe» uno strumento crittografico capace di mutare il corso della guerra. Il 30 giugno, il maggiore Langer telegrafò ai colleghi francesi e britannici, invitandoli a Varsavia per discutere alcune questioni urgenti su Enigma. Il 24 luglio gli invitati raggiunsero il quartier generale del Biuro, non sapendo bene cosa aspettarsi. Langer li condusse in una stanza in cui si trovava un oggetto celato da un panno nero, che fu sollevato con gesto teatrale, rivelando una delle bombe di Rejewski. La spiegazione di come il crittoanalista-matematico fosse riuscito a far breccia in Enigma lasciò francesi e inglesi senza parole. I polacchi erano avanti di almeno un decennio rispetto a chiunque altro al mondo. La meraviglia dei francesi fu ancora più grande, perché i successi dei polacchi si basavano su quelli dello spionaggio francese. Parigi aveva ceduto loro le informazioni di Schmidt giudicandole senza valore, ma essi avevano dimostrato che Parigi si sbagliava. Come ultima sorpresa, Langer offrì ai colleghi due riproduzioni di Enigma e il progetto dettagliato delle bombe, da spedire a Parigi con la valigia diplomatica. Da lì, il 16 agosto, una delle macchine Enigma proseguì per Londra. Attraversò la Manica col bagaglio del commediografo Sacha Guitry e di sua moglie, l’attrice Yvonne Printemps, per non destare i sospetti delle spie tedesche che sorvegliavano i porti principali. Due settimane più tardi, l’1 settembre, Hitler invase la Polonia; la seconda guerra mondiale era cominciata.
Le oche che non starnazzano Per tredici anni francesi e inglesi avevano dato per scontato che Enigma fosse inviolabile. Ora i polacchi avevano rivelato le loro scoperte, dimostrando che il sistema crittografico tedesco aveva dei punti deboli e risollevando il morale dei crittoanalisti alleati. I successi del Biuro Szyfrów si erano interrotti a causa dei nuovi scambiatori e dei nuovi cavetti per il pannello a prese multiple; tuttavia, restava il fatto che Enigma non poteva più essere considerata inattaccabile. L’esempio dei polacchi fece inoltre capire agli Alleati l’importanza di reclutare crittoanalisti anche tra i matematici. In Gran Bretagna, la Stanza 40 era sempre stata appannaggio di linguisti e umanisti, ma da quel momento ci fu uno sforzo concertato per riequilibrare la sua composizione, accogliendo matematici e scienziati. Il reclutamento avvenne in larga misura tramite amicizie: erano i membri dello staff che si mettevano in contatto coi vecchi compagni di corso di Oxford e Cambridge, e ne sondavano l’interesse per la crittografia professionale. C’era anche una rete che reclutava donne con diplomi di college prestigiosi, come il Newnham College e il Girton College di Cambridge. Le nuove reclute non venivano chiamate nella Stanza 40 di Londra, ma a Bletchley Park, nel Buckinghamshire, sede della Government Code and Cypher School (GC&CS) [Scuola governativa di codici e cifre], una nuova organizzazione cui la vecchia Stanza 40 passava le consegne. Bletchley Park poteva ospitare un personale molto più numeroso, fatto importante perché ci si aspettava che il conflitto avrebbe prodotto una valanga di intercettazioni crittate. Durante la prima guerra mondiale la Germania aveva trasmesso due milioni di parole al mese, ma si prevedeva che i progressi tecnologici nel campo delle radiotrasmissioni avrebbero fatto raggiungere i due milioni di parole al giorno. Al centro di Bletchley Park sorgeva un grande edificio vittoriano in stile goticotudor, costruito nel secolo precedente dal finanziere Sir Herbert Leon. Con la sua biblioteca, la sala da pranzo e la sala da ballo dalle decorazioni opulente, la villa ospitava l’intera amministrazione centrale dell’Operazione Bletchley. Il comandante Alastair Denniston, direttore del GC&CS, aveva un ufficio a pianterreno con vista sul giardino - un panorama che presto sarebbe stato guastato da una serie di prefabbricati. Queste modeste costruzioni di legno, chiamate «capanne», ospitavano le attività connesse alla decrittazione. Per esempio, la Capanna 6 era specializzata nella decifrazione dei messaggi Enigma. I testi chiari erano passati alla Capanna 3, dove venivano tradotti in inglese, confrontati con le altre informazioni disponibili e, quando se ne presentava l’occasione, sfruttati sul piano operativo. La Capanna 8 era specializzata nelle trasmissioni Enigma della marina; i testi decrittati erano passati alla Capanna 4 per la traduzione e il confronto con le altre informazioni. All’inizio il
personale di Bletchley Park consisteva in duecento persone; cinque anni dopo, l’edificio principale e i prefabbricati davano alloggio a settemila operatori, tra uomini e donne.
Figura 36 Nell’agosto 1939, i più esperti crittoanalisti britannici visitarono Bletchley Park per valutare se fosse adatto a ospitare la Government Code and Cypher School. Per non insospettire gli abitanti dei dintorni sostennero di far parte della comitiva di cacciatori del capitano Ridley. (fonte)
Nell’autunno del 1939, scienziati e matematici presero confidenza col complesso funzionamento di Enigma, e in un tempo relativamente breve padroneggiarono il metodo di analisi elaborato dai polacchi. Le risorse e il personale dell’organizzazione inglese erano superiori a quelli del Biuro Szyfrów, perciò essa fu in grado di superare il problema del maggior numero di scambiatori, e in generale, della maggiore resistenza della nuova versione di Enigma. Ogni ventiquattr’ore gli operatori tedeschi passavano simultaneamente a una nuova chiave giornaliera, e i crittoanalisti britannici ingaggiavano una nuova lotta col tempo. Se riuscivano a scoprire l’assetto base di Enigma, potevano decifrare tutte le comunicazioni radio tedesche fino all’entrata in servizio della nuova chiave, raccogliendo dati di enorme importanza militare. La sorpresa è una delle armi migliori a disposizione di un generale; ma se a Bletchley Park fossero riusciti a far breccia in Enigma, i piani tedeschi sarebbero diventati trasparenti. Sarebbe stato come se gli strateghi britannici avessero potuto
leggere il pensiero dei membri dell’Alto comando germanico. Un simile risultato avrebbe permesso di sapere in anticipo dove i tedeschi intendevano attaccare, e di inviare rinforzi o compiere azioni di disturbo. Inoltre, sarebbe stato possibile conoscere i punti deboli del nemico, e colpirli in modo selettivo. Non si esagera sottolineando l’importanza delle decifrazioni effettuate a Bletchley. Darò solo qualche esempio. Nell’aprile 1940, quando la Germania invase Danimarca e Norvegia, la Scuola di codici e cifre fornì un quadro particolareggiato delle relative operazioni belliche. E durante la Battaglia d’Inghilterra, i crittoanalisti furono spesso in grado di comunicare alla difesa aerea il luogo e il momento delle imminenti incursioni tedesche. Inoltre, essi fornivano senza interruzione dati sullo stato della Luftwaffe, dal numero di velivoli persi al ritmo con cui erano sostituiti. I dati erano inviati al quartier generale dello MI6, che li trasmetteva al ministero della Guerra, al ministero dell’Aeronautica e all’Ammiragliato, dove venivano presi i provvedimenti più opportuni.
Figura 37 I crittoanalisti di Bletchley Park si rilassano giocando a rounders. (fonte)
Oltre a influenzare il corso della guerra, di tanto in tanto i decrittatori trovavano il tempo di rilassarsi. Secondo Malcolm Muggeridge, che militò nei servizi segreti e visitò Bletchley, giocare a rounders era uno dei loro passatempi preferiti: Ogni giorno dopo pranzo, quando il tempo lo permetteva, i crittoanalisti giocavano a rounders sul
prato dell’edificio principale, con l’aria semiufficiale tipica degli accademici dediti a svaghi che molti considererebbero non conformi alla serietà delle loro normali occupazioni. Così, accadeva che si disputassero un punto contestato con lo stesso fervore con cui avrebbero discusso di libero arbitrio e determinismo, o della nascita dell’universo dal big bang o dalla creazione.
Assimilata la strategia dei polacchi, i crittoanalisti di Bletchley cominciarono a trovare nuove scorciatoie per scoprire le chiavi di Enigma. Per esempio, approfittarono del fatto che gli operatori tedeschi a volte sceglievano chiavi ovvie. In teoria, essi avrebbero dovuto formare la chiave di messaggio con tre lettere rigorosamente casuali. Di fatto, anche per lo stress della situazione bellica, invece di spremere le meningi e creare una sequenza casuale molti operatori premevano tre lettere consecutive sulla tastiera (figura 38), generando stringhe come QWE o BNM. Queste banali, prevedibili chiavi di messaggio furono soprannominate cillies. Un altro tipo di cilly implicava l’uso ripetuto della stessa chiave di messaggio magari le iniziali della fidanzata dell’operatore; sembra che da una circostanza del genere, connessa con la chiave CIL, sia derivato il soprannome che designò l’intera categoria. Prima di lanciare contro Enigma un attacco in grande stile, diventò abitudine dei crittoanalisti inglesi provare i cillies, e a volte il trucco, con l’aggiunta di un po’ di intuito, pagava. I cillies non erano punti deboli di Enigma, ma del modo in cui veniva usata. Anche errori umani commessi a un livello gerarchico più elevato compromisero la sicurezza del sistema. I responsabili della compilazione dei cifrari dovevano decidere quali scambiatori, e in quale posizione, sarebbero stati impiegati di giorno in giorno. Essi tentarono di assicurare l’imprevedibilità delle posizioni stabilendo che nessuno scambiatore potesse occuparne una per due giorni consecutivi. Così, indicando gli scambiatori con numeri da 1 a 5, il primo giorno poteva esser prescritta la disposizione 1-3-4, il secondo la disposizione 2-1-5, ma non la 2-1-4, perché il terzo scambiatore sarebbe stato il medesimo e nella medesima posizione. A prima vista questa regola parrebbe sensata, perché genera disposizioni sempre diverse; ma introducendo un’importante limitazione a ogni disposizione tranne la prima, facilita molto il lavoro dei crittoanalisti. Dal punto di vista matematico, in questo modo i compilatori dei cifrari ridussero del cinquanta per cento il numero di possibili disposizioni degli scambiatori.
Figura 38 Schema della tastiera della macchina Enigma.
I crittoanalisti di Bletchley compresero quello che stava accadendo, e ne approfittarono. Una volta individuata la disposizione di un giorno, era possibile ridurre a circa la metà le possibili disposizioni del giorno successivo. Naturalmente, anche il carico di lavoro in questo modo risultava dimezzato. Una regola analoga a quella sugli scambiatori stabiliva che dall’assetto del pannello a prese multiple andassero esclusi i collegamenti tra lettere contigue. Così, S si poteva scambiare con qualsiasi lettera tranne R e T. L’idea era che scambi così ovvi andassero evitati, ma ancora una volta ciò riduceva gravemente il numero di chiavi possibili. La ricerca di nuove scorciatoie era necessaria perché la macchina Enigma continuò a evolvere per tutta la durata del conflitto. I crittoanalisti furono costretti a raffinare, modificare e perfino riprogettare le bombe, e a escogitare strategie originali. Una delle ragioni del loro successo fu lo strano miscuglio di matematici, scienziati, linguisti, cultori di studi classici, maestri di scacchi e appassionati di cruciverba che popolavano le «capanne». Un problema ostico passava da un decrittatore all’altro finché cadeva sotto gli occhi di una persona con la mentalità adatta a risolverlo, o almeno a semplificarlo prima di passarlo a un collega. Gordon Welchman, che diresse la Capanna 6, l’ha descritta come una «tana di segugi intenti a fiutare la pista giusta». Per Bletchley passarono molti grandi crittoanalisti, che fecero scoperte importanti; una descrizione particolareggiata dei loro contributi occuperebbe diversi volumi. Tuttavia, se c’è uno studioso che merita un posto a parte, questi è Alan Turing, che individuò il principale punto debole di Enigma e lo sfruttò sino in fondo. Grazie a Turing fu possibile continuare a tradurre i messaggi Enigma anche nelle circostanze più difficili. Alan Turing fu concepito nell’autunno del 1911 a Chatrapur, una cittadina presso Madras, nell’India meridionale. Suo padre, Julius Turing, era un funzionario della pubblica amministrazione indiana. Julius e sua moglie Ethel erano decisi a far nascere il figlio in Gran Bretagna; perciò poco prima del parto tornarono a Londra, dove Alan nacque il 23 giugno 1912. Julius Turing tornò in India poco dopo, e sua moglie lo seguì quindici mesi più tardi. Alan fu affidato alle cure di balie e amiche di famiglia, finché ebbe l’età per andare a scuola. Nel 1926 il quattordicenne Alan fu iscritto alla Sherborne School, nel Dorset. Il primo giorno di scuola coincise con uno sciopero generale, ma egli era deciso a non perdere la prima lezione, e percorse cento chilometri in bicicletta in completa
solitudine da Southampton a Sherborne - un’impresa che fu riferita da un giornale locale. A scuola era considerato un ragazzino timido e maldestro, con un buon rendimento solo nelle materie scientifiche. L’ideale di Sherborne era forgiare giovani con una solida preparazione in tutte le materie, e pronti a contribuire al governo dell’Impero; ma simili ambizioni lasciavano indifferente Alan, che fu un alunno piuttosto infelice. Il suo unico vero amico del periodo di Sherborne fu Christopher Morcom, anch’egli portato alle materie scientifiche. I due discutevano delle ultime scoperte, e a volte effettuavano esperimenti. L’amicizia con Morcom risvegliò la curiosità intellettuale di Turing, ma soprattutto ebbe un duraturo effetto psicologico. Andrew Hodges, biografo di Turing, scrisse a questo proposito: «Era il primo amore… C’era in esso il medesimo senso di ineluttabilità, e di più intensa consapevolezza, come se colori vivaci fossero esplosi all’improvviso in un mondo in bianco e nero». L’amicizia dei due adolescenti durò quattro anni, ma a quanto è dato sapere Morcom non immaginò mai l’intensità dei sentimenti di Turing. Poi, durante l’ultimo anno a Sherborne, la possibilità che Alan stesso gliene parlasse svanì per sempre. Morcom si ammalò di tubercolosi bovina, e morì improvvisamente il 13 febbraio 1930. La perdita della sola persona cui avesse voluto davvero bene fu una catastrofe per Turing. Il suo modo di superare la perdita dell’amico fu concentrarsi sugli studi scientifici, come per realizzare non solo le proprie capacità, ma anche quelle di Morcom. Questi, forse il più dotato dei due, aveva già vinto una borsa di studio all’Università di Cambridge; Turing desiderò quindi con tutte le forze di essere ammesso in quell’ateneo, e di ottenere risultati degni di ciò che l’amico avrebbe potuto fare, se non si fosse ammalato. Chiese così alla madre di Morcom una sua fotografia, e avendola ricevuta le scrisse una lettera di ringraziamento in cui si leggeva tra l’altro: «Ora lui è sul mio scrittoio, e mi sprona a impegnarmi al massimo». Nel 1931, Alan Turing fu ammesso al King’s College. Vi giunse in un periodo di vivace dibattito sulla natura della matematica e della logica, e si trovò circondato da molti suoi protagonisti, Bertrand Russell, Alfred Whitehead e Ludwig Wittgenstein. Uno degli argomenti più discussi era quello dell’«indecidibilità», una controversa nozione sviluppata dal logico Kurt Gödel. Matematici e filosofi avevano sempre pensato che, almeno in linea di principio, tutte le domande attinenti ai numeri dovessero avere una risposta. Invece, Gödel provò che esiste un piccolo numero di questioni, dette perciò indecidibili, che si collocano al di là della dimostrabilità logica. Per i matematici l’idea che la loro disciplina non fosse così chiara, completa e razionale come l’avevano creduta fino a quel momento fu un vero e proprio trauma. Poiché l’esistenza delle questioni indecidibili sembrava incontestabile, essi desiderarono di poter almeno conoscere, in definitiva, quali fossero quelle questioni. Una volta individuate avrebbero potuto chiuderle in una sorta di lazzaretto, preservando la
purezza di tutto il resto della matematica. Fu quell’obiettivo a spingere Turing a scrivere il più importante dei suoi contributi teorici. Esso fu pubblicato nel 1937, col titolo On Computable Numbers [Sui numeri calcolabili]. In Breaking the Code, l’opera teatrale di Hugh Whitemore sulla vita di Turing, questi è interrogato da un altro personaggio circa il modo in cui intendere quello scritto. La risposta del Turing di Whitemore è la seguente: «Riguarda le idee di giusto e sbagliato, in senso molto generale. Certo, è uno scritto di logica matematica, ma tratta anche della difficoltà di separare verità ed errore. Si pensa - molti pensano - che in campo matematico siamo sempre in grado di dire se un’affermazione è vera o falsa. Ebbene, non è così. Non più».
Figura 39 Alan Turing. (fonte)
Nel tentativo di individuare le questioni indecidibili, il saggio di Turing descriveva una macchina immaginaria destinata a svolgere una particolare operazione matematica, o algoritmo. In altre parole, si partiva dall’ipotesi che la macchina fosse capace di compiere una sequenza precisa di operazioni tali, poniamo, da calcolare il prodotto di due numeri. Turing immaginò che i numeri da moltiplicare fossero immessi nella macchina tramite un rotolo di carta perforata, simile a quelli utilizzati per far eseguire una melodia a una pianola. La macchina avrebbe restituito il risultato per mezzo di un altro rotolo perforato. Turing immaginò poi una serie di macchine di questo tipo, che da lui hanno preso il nome di macchine di Turing, ciascuna progettata - come la prima - per eseguire un compito specifico: dividere, moltiplicare, elevare al quadrato, scomporre in fattori e così via. Dopo di che, fece un passo più radicale. Egli immaginò una macchina della quale si potesse modificare il funzionamento in modo da imitare tutte le macchine di Turing concepibili. Le modifiche si sarebbero ottenute inserendo nel congegno differenti rotoli perforati, coi passi necessari a trasformarlo in una macchina per dividere, moltiplicare, o effettuare qualunque altra operazione. Il congegno fu chiamato da Turing macchina universale, perché sarebbe stato in grado di rispondere a qualsiasi domanda che ammettesse risposte logiche. Purtroppo, si dovette constatare che non è logicamente possibile rispondere sempre a una domanda sull’indecidibilità di un’altra domanda; perciò, perfino la macchina universale di Turing era incapace di individuare tutte le questioni indecidibili. I matematici che lessero il saggio rimasero delusi, perché se l’autore aveva visto giusto, la tigre scoperta da Gödel non si sarebbe lasciata ingabbiare; per consolarli, Turing regalò loro l’idea del calcolatore elettronico a scheda perforata. Egli era al corrente del lavoro di Babbage, e in qualche modo la sua macchina universale era una reincarnazione puramente teorica della Macchina delle differenze n. 2. Ma Turing si era spinto più avanti, dando al calcolo automatizzato una solida base concettuale e dotandolo, almeno idealmente, di una potenza quasi illimitata. Purtroppo negli anni Trenta, la tecnologia necessaria alla realizzazione di qualcosa di simile alla macchina universale non era ancora disponibile. Perciò il suo scritto non fu preso in considerazione da scienziati e ingegneri. Il fatto che il suo saggio non avesse ricadute tecnologiche non turbò il ventiseienne Turing. Egli aspirava a riconoscimenti solo nell’ambito della comunità matematica, che accolse il suo contributo come uno dei più importanti del nuovo secolo. Per Turing, quello fu un periodo particolarmente felice sul piano personale e
professionale. Negli anni Trenta diventò fellow del King’s College, uno dei punti di riferimento dell’élite intellettuale internazionale, e visse la tipica esistenza del professore di Cambridge, mischiando la matematica pura con attività sensibilmente più terrene. Nel 1938 si fece un punto d’onore di vedere Biancaneve e i sette nani, con la celebre scena della Strega Cattiva che prepara la mela avvelenata. Per qualche tempo, i colleghi lo udirono canticchiare «Tuffa la mela nel boccale/Che la impregni il sonno mortale». Turing ripensò sempre con nostalgia agli anni di Cambridge. Oltre ai successi accademici, c’era il fatto di trovarsi in un ambiente tollerante e vagamente complice. Tra le antiche mura dell’ateneo l’omosessualità era tollerata, circostanza che gli permise di avere un certo numero di relazioni senza il continuo timore di essere scoperto, e delle conseguenze che potevano derivarne. Nessuna delle relazioni fu di lunga durata, ma sembra che Turing non se ne dolesse. Poi, in modo abbastanza improvviso, la sua carriera universitaria ebbe termine. La Scuola governativa di codici e cifre lo invitò a Bletchley come crittoanalista, e il 4 settembre 1939 (il giorno prima, Chamberlain aveva dichiarato guerra alla Germania) egli passò dall’austera, plurisecolare eleganza di Cambridge al Crown Inn di Shenley Brook. Ogni giorno percorreva cinque chilometri in bicicletta da Shenley End a Bletchley Park, dove passava una parte del tempo nelle capanne contribuendo alle decrittazioni di routine, e un’altra nel «pensatoio» di Bletchley, una stanza adibita a suo tempo da Sir Herbert Leon a deposito per mele, pere e susine. Il pensatoio era il luogo in cui i crittoanalisti esperti cercavano ispirazione, quando dovevano risolvere problemi particolarmente ardui o prefigurarsi difficoltà che erano certi di dover affrontare prima o poi. Turing si concentrò su quelle legate al possibile cambiamento della procedura tedesca per la comunicazione delle chiavi di messaggio. I successi iniziali di Bletchley si basavano senza eccezioni sul lavoro di Rejewski, e come sappiamo, il decrittatore polacco aveva approfittato del fatto che gli operatori Enigma cifravano la chiave di messaggio due volte di seguito. Tale prassi mirava a ridurre il pericolo di errori dovuti a distrazioni e disturbi radio, ma il prezzo pagato era stato l’apertura di un varco nelle solide difese del sistema. Tuttavia, gli inglesi erano preoccupati; temevano che i tedeschi si rendessero conto del rischio, e abolissero la ripetizione. Ciò avrebbe reso inutilizzabile il tipo di crittoanalisi impiegato a Bletchley. Turing era quindi stato incaricato di escogitare un altro procedimento, che non dipendesse dalla ripetizione della chiave di messaggio. Col passare del tempo, Turing constatò che a Bletchley si stava accumulando un patrimonio di messaggi decifrati, e notò che molti di essi rivelavano una struttura piuttosto rigida. Pensò quindi che il contenuto dei crittogrammi nuovi si potesse spesso inferire, almeno in parte, in base ai crittogrammi risolti, prestando attenzione a dati come la provenienza del messaggio e l’ora di trasmissione. Per esempio,
l’esperienza insegnava che tutti i giorni, poco dopo le sei del mattino, i tedeschi trasmettevano brevi bollettini meteorologici cifrati. Perciò, un crittogramma captato alle 6.05 antimeridiane quasi certamente conteneva la parola Wetter («tempo atmosferico»). Il rigido modus operandi delle organizzazioni militari implicava che simili comunicazioni fossero stereotipate anche nello stile. Questo aumentava la probabilità che il crittogramma contenesse parole come wetter in posizioni fisse. L’esperienza poteva quindi fornire indicazioni ancora più precise, per esempio che le prime sei lettere della seconda riga di certi tipi di crittogrammi corrispondevano quasi sempre alla parola wetter. Quando un frammento di testo chiaro poteva essere interpretato in base a considerazioni non crittoanalitiche, si parlava di crib («culla», o «copiatura», nel senso della ben nota scorrettezza scolastica). Turing era sicuro di poter approfittare dei cribs per creare un procedimento di soluzione dei crittogrammi Enigma diverso da quello di Rejewski. Disponendo del crittogramma e sapendo che una sua parte, per esempio ETJWPX, corrispondeva a wetter, la sfida sarebbe consistita nell’individuare l’assetto di Enigma che trasformava la seconda sequenza di lettere nella prima. Il modo più diretto, ma poco pratico, in cui un crittoanalista poteva affrontare il problema era prendere una replica di Enigma, digitare wetter e vedere se il risultato era ETJWPX; se non lo era, cambiare a poco a poco, una per volta e con metodo, le regolazioni (cominciando dai cavetti, proseguendo con gli scambiatori, e così via) fino a ottenere la sequenza cercata. Il guaio era quello che in crittoanalisi rende spesso inutile il metodo per prova ed errore: gli assetti possibili erano 159 miliardi di miliardi, e la guerra sarebbe finita molto prima che il crittoanalista avesse effettuato un’insignificante porzione dei controlli necessari. Per semplificare il problema, Turing imitò la strategia di Rejewski di scomporre l’assetto di Enigma in parti che comportassero un numero più accettabile di possibilità. In particolare, voleva separare il problema della disposizione degli scambiatori (quali scambiatori usare, e in quali alloggiamenti) e del loro orientamento, dal problema dei collegamenti del pannello a prese multiple. Se per esempio avesse potuto ricavare da un crib un indizio che non avesse nulla a che fare col pannello, sarebbe forse riuscito a trovare il modo di controllare i 1.054.560 assetti (60 disposizioni × 17.576 orientamenti) degli scambiatori. Risolto questo problema, quello del pannello a prese multiple si sarebbe potuto affrontare per via deduttiva. Alla fine, la sua attenzione si concentrò su un particolare crib, contenente concatenazioni simili a quelle sfruttate da Rejewski. Le concatenazioni del crittoanalista polacco collegavano lettere della doppia chiave di messaggio, ma il
timore era appunto che i tedeschi smettessero di ripetere le chiavi di messaggio. Tuttavia, le concatenazioni di Turing non avevano niente a che fare con questo dato. Esse riguardavano le lettere del testo chiaro e del testo crittato nell’ambito di un crib. Per esempio, il crib mostrato nella figura 40 contiene una concatenazione:
Figura 40 Uno dei cribs di Turing, con la concatenazione messa in evidenza.
Non bisogna dimenticare che i cribs sono solo ipotesi. Tuttavia, se questa particolare ipotesi è corretta, possiamo collegare le lettere w → E, e → T, t → W in quanto appartenenti alla concatenazione. Anche se non sappiamo nulla degli assetti della macchina Enigma, possiamo chiamare «a» il primo assetto, qualunque sia. Di questo assetto sappiamo solo che porta a cifrare w come E. Dopo di che, il primo scambiatore avanza di una lettera, facendo assumere a Enigma l’assetto «a + 1», e la lettera e è cifrata come T. Il primo scambiatore avanza di un altro posto e cifra una lettera che non fa parte della concatenazione, ragion per cui ignoriamo questa cifratura. Avanza ancora di uno spazio, e di nuovo ci imbattiamo in una lettera inclusa nella concatenazione: sappiamo che nell’assetto «a + 3», t è cifrata come W. Riassumendo, siamo sicuri che: Nell’assetto a,
Enigma critta w come E.
Nell’assetto a+1, Enigma critta e come T. Nell’assetto a+3, Enigma critta t come W.
Per ora la concatenazione sembra solo una curiosità, ma Turing sviluppò tutte le implicazioni dei rapporti all’interno del ciclo, e capì che rappresentavano proprio il tipo di drastica scorciatoia che gli occorreva per far breccia in Enigma. Invece di lavorare con una sola macchina per verificare ogni assetto, egli cominciò a usarne
tre: una per la cifratura di w come E, un’altra per la cifratura di e come T, la terza per la cifratura di t come W. Le tre macchine avrebbero assetti identici, se si eccettua il fatto che la seconda avrebbe gli scambiatori orientati un posto avanti rispetto alla prima (a + 1), e la terza avrebbe gli scambiatori orientati tre posti avanti rispetto alla prima (a + 3). Stabilito ciò, Turing si immaginò un trafelato crittoanalista che senza posa inseriva e disinseriva cavetti, mutava posto agli scambiatori e ne modificava l’orientamento, finché ogni macchina avesse cifrato come suggerito dal crib. Fin qui, Turing non sembra aver concluso molto. Il povero crittoanalista ha ancora 159 miliardi di miliardi di assetti da controllare, e per di più deve farlo non su una, ma su tre macchine Enigma contemporaneamente. Ma il passo successivo del ragionamento di Turing trasforma la natura della sfida, e la semplifica radicalmente. Egli immaginò di collegare le tre cifratrici con cavi elettrici posti tra l’input di una macchina e l’output della successiva, come mostrato nella figura 41. In effetti, la concatenazione ciclica del crib è riprodotta dal circuito elettrico. Il circuito si chiuderebbe, permettendo alla corrente di percorrerlo, solo quando tutte e tre le macchine avessero raggiunto il giusto assetto. A questo punto, se una lampadina facesse parte del circuito essa si accenderebbe, segnalando che la ricerca ha avuto buon esito. Per ora, ogni macchina doveva ancora controllare 159 miliardi di miliardi di combinazioni - il procedimento era stato automatizzato, non semplificato. Ma i passi compiuti fin qui erano solo preparatori in vista del vero colpo da maestro, che d’un tratto avrebbe reso il controllo degli assetti cento milioni di milioni di volte più facile. Turing aveva costruito il circuito elettrico in modo da annullare l’effetto del pannello a prese multiple, e poter ignorare i miliardi di possibili assetti di questo elemento. Osservando la figura 41 si constata che nella prima macchina Enigma la corrente entra negli scambiatori ed emerge in corrispondenza di una lettera sconosciuta, che chiameremo L1. Poi la corrente attraversa il pannello e trasforma L1 in E. Questa E è collegata tramite un filo elettrico alla e della seconda macchina Enigma, e al passaggio della corrente attraverso il secondo pannello si trasforma di nuovo in L1. In altre parole, i due pannelli a prese multiple si annullano a vicenda. In modo analogo, la corrente in uscita dagli scambiatori della seconda Enigma entra negli scambiatori in corrispondenza di L2, prima di essere trasformata in T. Questa T è collegata tramite un filo elettrico alla t della terza Enigma, e col passaggio della corrente attraverso il terzo pannello si trasforma di nuovo in L2. In breve, i pannelli si annullano a vicenda in tutto il circuito; perciò, si poteva prescindere completamente dalla loro esistenza. Turing aveva solo bisogno di collegare l’output del primo gruppo di scambiatori,
in corrispondenza di L1, all’input del secondo gruppo di scambiatori, sempre in corrispondenza di L1, e così via. Purtroppo egli non conosceva il valore di L1, perciò era costretto a collegare le 26 uscite del primo gruppo di scambiatori ai 26 ingressi corrispondenti del secondo gruppo di scambiatori, e così via. In questo modo si formavano 26 circuiti, ciascuno dotato di una lampadina per segnalarne la chiusura. I tre gruppi di scambiatori potevano così limitarsi a controllare i 17.576 orientamenti loro concessi, col secondo gruppo di scambiatori sempre un passo più avanti del primo, e il terzo gruppo due passi più avanti del secondo. Alla fine, scoperto il giusto orientamento degli scambiatori, uno dei circuiti si chiudeva causando l’accensione di una lampadina. Se gli scambiatori avessero mutato orientamento ogni secondo, il controllo di tutti gli orientamenti avrebbe richiesto solo cinque ore.
Figura 41 La concatenazione del crib può essere riprodotta sotto forma di concatenazione elettrica. Tre macchine Enigma sono regolate in modo identico, se si eccettua il fatto che la seconda ha il primo scambiatore più avanti di un posto (assetto a + 1), e la terza ha lo scambiatore più avanti di altri due posti (assetto a + 3). L’output di ciascuna Enigma è poi collegato all’input della successiva. Durante il funzionamento, i tre gruppi di scambiatori avanzano all’unisono finché il circuito si chiude e la lampadina si accende. L’assetto raggiunto in quel momento è quello cercato. Nel diagramma qui sopra il circuito è
completo, cioè corrisponde al giusto assetto degli scambiatori.
Restavano due sole difficoltà. Innanzitutto era possibile che le tre macchine funzionassero con una disposizione errata degli scambiatori. Poiché le cifratrici contenevano tre scambiatori su cinque, diposti in qualunque ordine, le disposizioni possibili erano sessanta. Quindi, controllati i 17.576 orientamenti, se la lampada non si fosse illuminata sarebbe stato necessario cambiare disposizione, e ripetere il procedimento. Un’alternativa era munirsi di un gran numero di repliche di Enigma (sessanta gruppi di tre) e farle lavorare in parallelo. La seconda difficoltà riguardava la determinazione dell’assetto del pannello a prese multiple, una volta risolti i problemi degli scambiatori. In questo caso, la soluzione era relativamente semplice. Usando una macchina Enigma con la giusta disposizione e il giusto orientamento degli scambiatori, il crittoanalista avrebbe digitato il testo cifrato e osservato il testo chiaro risultante. Una stringa come tewwer avrebbe suggerito, per esempio, di collegare con un cavetto le prese di t e w del pannello. L’immissione di altri frammenti di crittogramma avrebbe chiarito la posizione degli altri cavetti. L’uso simultaneo di cribs, concatenazioni e cifratrici collegate elettricamente portò a un risultato crittoanalitico quasi miracoloso, che solo Turing, con la sua cultura matematica e la propensione a ragionare in termini di congegni immaginari, avrebbe potuto conseguire. La macchina di Turing era stata da lui concepita per far luce su sottili questioni teoriche circa l’indecidibilità matematica; ma interessi puramente accademici l’avevano abituato a uno stile di ragionamento assai propizio all’ideazione di un’altra macchina: un apparecchiatura per la decifrazione automatica capace di influenzare eventi tragicamente reali. A Bletchley si riuscirono a trovare le 100.000 sterline necessarie a trasformare l’intuizione di Turing in oggetti concreti, in grado di risolvere i crittogrammi Enigma. Essi furono soprannominati bombe perché dal punto di vista elettromeccanico erano i discendenti delle bombe di Rejewski. Ogni bomba di Turing consisteva in dodici gruppi di scambiatori Enigma collegati elettricamente, una caratteristica che le permetteva di elaborare concatenazioni sensibilmente più lunghe. L’unità completa era alta un paio di metri, altrettanto lunga e larga circa un metro. Turing terminò il progetto all’inizio del 1940; la sua realizzazione fu affidata alle officine della British Tabulating Machinery, a Letchworth. In attesa della consegna delle bombe, Turing proseguì l’attività quotidiana a Bletchley. Voci sulla sua scoperta si diffusero presto tra i crittoanalisti esperti, che riconobbero la sua bravura anche nel campo della decifrazione. Secondo Peter Hilton, anch’egli crittoanalista a Bletchley, «Alan Turing era palesemente un genio,
ma un genio alla mano, con cui si poteva chiacchierare. Era sempre pronto a spendere tempo e fatica per spiegare le sue idee; non era uno specialista coi paraocchi, al contrario, la sua mente versatile spaziava su un’ampia porzione delle scienze esatte». D’altra parte, alla Scuola governativa di codici e cifre tutto era top secret, e i brillanti risultati di Turing non oltrepassarono i confini di Bletchley Park. Basti dire che i genitori di Alan non sapevano che il figlio si occupasse di trasmissioni in codice, tanto meno che fosse in quel momento il crittoanalista di punta della Gran Bretagna. Una volta egli aveva accennato a sua madre di esser coinvolto in alcune ricerche di carattere militare, senza scendere in particolari. Quanto a lei, si era limitata a rammaricarsi che ciò non comportasse un buon taglio di capelli per il suo trasandato figliolo. In realtà, anche se Bletchley era diretto da militari questi ultimi si rendevano conto di dover chiudere un occhio sulle eccentricità di certi professori. Turing si rasava quando capitava, non si puliva le unghie e i suoi vestiti parevano ripescati tra i panni da portare in lavanderia. Resta da chiedersi se i suoi superiori in uniforme avrebbero tollerato, oltre a tutto questo, anche la sua omosessualità. «Meno male che gli alti papaveri non sapevano che era dell’altra sponda», ha osservato Jack Good, un veterano di Bletchley «o rischiavamo di perdere la guerra». Il primo prototipo di bomba, battezzata «Victory», arrivò a Bletchley il 14 marzo 1940. Fu subito messa in funzione, ma i risultati iniziali non furono precisamente entusiasmanti. Il congegno, molto più lento di quanto ci si aspettasse, impiegò una settimana per individuare una sola chiave. Fu fatto uno sforzo collettivo per migliorare la sua efficienza, e un progetto modificato venne consegnato poche settimane più tardi. Ma per disporre della nuova versione di bomba ci vollero quattro mesi. Nel frattempo, i crittoanalisti dovettero affrontare la calamità da essi temuta. Il 10 maggio 1940 i tedeschi cambiarono la procedura di comunicazione delle chiavi. La chiave di messaggio non venne più ripetuta e le decifrazioni di crittogrammi Enigma crollarono di colpo. Il blackout durò fino all’8 agosto, quando arrivò la nuova bomba. Chiamata «Agnus Dei», o «Agnes» per brevità, essa corrispondeva al dispositivo sognato da Turing. Di lì a otto mesi le bombe in funzione furono quindici: divoravano cribs, controllavano assetti, rivelavano chiavi, ticchettavano come un esercito di nonne intente a sferruzzare. Se tutto andava bene, una bomba era in grado di individuare una chiave Enigma in una sessantina di minuti al massimo. Una volta stabiliti i collegamenti sul pannello e la disposizione degli scambiatori (cioè la chiave del messaggio) per una intercettazione, dedurre la chiave giornaliera diventava un compito facile. Allora si potevano decifrare tutti i messaggi spediti quello stesso giorno. Anche se le bombe rappresentavano un progresso crittoanalitico di prima
grandezza, la decifrazione non era diventata mera routine. C’erano molti ostacoli da superare prima che uno di quei congegni potesse cercare una chiave. Per esempio, per funzionare la bomba aveva bisogno di un crib. I solutori di codici con più esperienza lo indicavano agli operatori, ma niente garantiva che il suggerimento fosse giusto. E anche se era giusto, poteva non riferirsi al punto giusto del crittogramma; in altre parole, la parola o la frase che secondo il crittoanalista si trovava nel messaggio in codice poteva davvero fame parte, ma in una posizione diversa da quella da lui ipotizzata. In questo caso, però, un semplice trucco permetteva di controllare se un crib era nella giusta posizione. Nel crib seguente, il crittoanalista è sicuro che il testo chiaro faccia parte del crittogramma, ma non è certo di averlo collegato alle lettere giuste.
Una delle caratteristiche di Enigma, dovuta alla presenza del riflessore, era l’impossibilità di cifrare una lettera come se stessa. Così, a può essere cifrata in qualunque modo fuorché come A. Ne consegue che il crib dell’esempio dev’essere male allineato: infatti la prima e di wetter coincide con una E del crittogramma. Per trovare l’allineamento giusto, conviene spostare il testo chiaro rispetto al crittogramma finché nessuna lettera è al di sopra di una lettera uguale. Muovendo il testo chiaro di un posto verso sinistra, l’allineamento è ancora insoddisfacente, questa volta perché la prima s di sechs è sopra un’altra S. Invece, muovendo il testo chiaro di un posto verso destra, non si osservano sovrapposizioni inammissibili. Questo crib andrebbe quindi utilizzato per effettuare la ricerca automatica della chiave giornaliera.
Le informazioni raccolte a Bletchley erano passate solo ai più alti gradi delle forze armate e a membri selezionati del Consiglio di guerra. Winston Churchill era perfettamente consapevole dell’importanza delle decifrazioni effettuate a Bletchley, e il 6 settembre 1941 fece visita ai crittoanalisti. Nell’incontrarli, si stupì della natura eterogenea di coloro che gli fornivano tante preziose informazioni. Oltre ai matematici e ai linguisti c’erano un noto collezionista di porcellane, un conservatore del museo di Praga, il campione britannico di scacchi e numerosi esperti di bridge. Churchill mormorò a Sir Stewart Menzies, capo dei servizi segreti: «Le avevo detto di rivoltare fino all’ultima pietra, ma non immaginavo
che mi avrebbe preso così alla lettera». Nonostante l’ironia di quel commento, egli aveva grande stima della variopinta brigata, che chiamava «le oche che fanno uova d’oro, e non starnazzano mai».
Figura 42 Una bomba di Bletchley Park in funzione. (fonte)
Lo scopo della visita era sostenere il morale dei crittoanalisti, mostrando che il loro lavoro era apprezzato ai più alti livelli. Fece anche sì che, Turing e i suoi colleghi trovassero il coraggio di rivolgersi direttamente a Churchill in caso di necessità. Per sfruttare al massimo le bombe Turing avrebbe avuto bisogno di più operatori, ma le sue richieste in tal senso erano bloccate dal comandante Edward Travis, che aveva assunto la direzione di Bletchley e riteneva di non poter giustificare il reclutamento di altro personale. Il 21 ottobre 1941 i crittoanalisti, con un gesto che era quasi un’insubordinazione, scavalcarono Travis e scrissero direttamente a Churchill: Signor Primo M inistro,
Qualche settimana fa lei ci ha onorato di una visita, e crediamo che consideri importante il nostro lavoro. Lei avrà notato che, grazie in larga misura all’energia e alla lungimiranza del comandante Travis, ci sono state fomite le «bombe» per la traduzione dei messaggi in codice tedeschi Enigma. Crediamo tuttavia che lei debba sapere che questo lavoro è svolto solo in parte, e in qualche caso non è svolto affatto, principalmente perché non possiamo disporre di tutto il personale necessario. La ragione per cui le scriviamo direttamente è che per mesi abbiamo cercato di servirci dei canali normali, non lasciando nulla d’intentato, e disperiamo di qualunque progresso in tempi brevi senza il suo intervento… I suoi obbedienti servitori A.M . Turing W.G. Welchman C.H.O’D. Alexander P.S. M ilner-Barry
Churchill non ebbe esitazioni, e inviò subito un memorandum al suo capo di stato maggiore: INIZIATIVA IN DATA ODIERNA Si assicuri che ottengano con assoluta priorità tutto quello che è loro necessario, e mi confermi che si è provveduto.
Da quel momento non ci furono più difficoltà nel reperimento di uomini e mezzi. Alla fine del 1942 c’erano 49 bombe, e un nuovo centro crittografico era entrato in funzione a Gayhurst Manor, appena a nord di Bletchley. Nell’ambito dell’iniziativa di reclutamento, la Scuola governativa di codici e cifre inserì una lettera nel Daily Telegraph.
Figura 43 Il cruciverba del Daily Telegraph usato come test per reclutare nuovi crittoanalisti (la soluzione è nell’Appendice G). (fonte)
Si trattava di una sfida anonima ai lettori, in cui si chiedeva di risolvere il cruciverba del quotidiano (figura 43) in meno di dodici minuti. I venticinque lettori che risposero furono invitati a Fleet Street (La strada di Londra sede dei quotidiani più prestigiosi.
[N.d.T.]) per una prova di abilità nei cruciverba. Cinque di loro risolsero l’indovinello nel tempo consentito, e al sesto, Stanley Sedgewick, mancava solo una parola allo scadere dei dodici minuti. Trascorsa qualche settimana ebbero un colloquio con rappresentanti dell’intelligence militare, e furono reclutati come crittoanalisti di Bletchley Park.
Il ratto dei cifrari Fin qui l’andirivieni di messaggi Enigma è stato descritto come un unico, gigantesco sistema di comunicazioni, ma in realtà c’erano diverse reti separate. Per esempio, l’armata tedesca in Nord Africa aveva il proprio sistema di comunicazioni, e i suoi operatori Enigma consultavano cifrari diversi da quelli usati in Europa. Perciò, quando Bletchley riusciva a identificare la sua chiave giornaliera era in grado di decifrare tutte le comunicazioni dell’Afrikakorps fino all’entrata in vigore della successiva, ma non quelle dei reparti europei della Wehrmacht. L’aviazione tedesca aveva anch’essa un sistema di comunicazioni indipendente; perciò, per decrittare le sue trasmissioni Bletchley doveva scoprire la sua chiave giornaliera. Alcune reti erano meno accessibili di altre, e quella della Kriegsmarine era in assoluto la meno accessibile, perché quell’Arma utilizzava una propria, più sofisticata versione di Enigma. Per esempio, i suoi operatori disponevano di un set non di cinque, ma di otto scambiatori, cosicché le disposizioni ammesse di queste componenti erano sei volte più numerose, e così le chiavi che Bletchley doveva controllare. L’altra differenza di Enigma navale riguardava il disco riflessore, che aveva il compito di rimandare il segnale verso gli scambiatori. Nelle normali macchine Enigma il riflessore era fisso in una posizione ben precisa, mentre nel modello in dotazione alla flotta poteva assumere uno tra 26 diversi orientamenti. Così, il numero di possibili chiavi aumentava di un altro fattore 26. La crittoanalisi dei messaggi Enigma della marina era resa ancor più ardua dagli operatori, che avevano cura di non trasmettere formule stereotipate, privando così Bletchley dei preziosi cribs. Infine, la Kriegsmarine aveva istituito anche una procedura più affidabile di selezione e trasmissione delle chiavi di messaggio. Gli scambiatori extra, il riflessore rotante, i messaggi non stereotipati e la diversa procedura per le chiavi di messaggio contribuirono nell’insieme a rendere impenetrabili le comunicazioni della flotta tedesca. L’impossibilità di far breccia in Enigma navale permise alla Kriegsmarine di prendere gradualmente il sopravvento nella Battaglia dell’Atlantico. Il suo comandante supremo, l’ammiraglio Karl Dönitz, aveva messo a punto una strategia in due fasi che si dimostrò particolarmente efficace. Nella prima fase, gli U-boot si sparpagliavano nell’Atlantico a caccia di convogli; nella seconda, gli U-boot che avevano individuato dei convogli chiamavano altri sottomarini per attaccare in forze. Affinché questa strategia di caccia solitaria e attacco en masse avesse successo, era indispensabile disporre di comunicazioni sicure. Poiché Enigma navale forniva quella sicurezza, gli attacchi degli U-boot si susseguivano con micidiale efficacia. Finché le comunicazioni degli U-boot erano indecifrabili, gli Alleati non avevano idea della posizione dei sottomarini e, di conseguenza, di quali rotte fossero sicure
per i convogli. Sembra che l’unica strategia dell’Ammiragliato per determinare la posizione delle unità nemiche fosse segnare sulle carte i punti in cui le navi britanniche erano state silurate. Tra il giugno 1940 e il giugno 1941 le unità navali alleate colate a picco furono, in media, cinquanta al mese, e c’era il pericolo che i cantieri non facessero in tempo a rimpiazzarle. Oltre a un’insopportabile perdita di mezzi, questo stato di cose comportava un insopportabile costo in vite umane: dall’inizio alla fine della seconda guerra mondiale, i morti tra i marinai alleati furono 50.000. Se le perdite non fossero calate sensibilmente, Londra rischiava di perdere la Battaglia dell’Atlantico; e ciò poteva significare perdere la guerra. In seguito, Winston Churchill avrebbe scritto: «Nel tumultuoso succedersi di fatti cruenti, un’angoscia regnava suprema. Le battaglie si potevano vincere o perdere, le operazioni potevano aver successo o fallire, i territori si potevano conquistare o cedere, ma a decidere della nostra possibilità di proseguire la guerra, e perfino di sopravvivere, era la nostra signoria sulle rotte oceaniche e sul libero accesso ai nostri porti». Dal punto di vista di Bletchley Park, l’esperienza polacca e il caso di Hans-Thilo Schmidt insegnavano che quando la sagacia dei crittoanalisti è insufficiente ad aver ragione di un codice, non resta che ricorrere ai metodi tradizionali dello spionaggio: l’infiltrazione, la corruzione, il furto. Di tanto in tanto, la Scuola governativa di codici e cifre riusciva a far breccia in Enigma navale con un’astuta manovra che coinvolgeva la RAF. Aerei della Regia Aviazione sganciavano mine in un tratto di mare, costringendo le navi tedesche a inviare messaggi di avvertimento al resto della flotta. Per forza di cose i messaggi contenevano dati geografici noti anche agl’inglesi, che potevano fungere da cribs. In altre parole, a Bletchley si sapeva che una parte dei testi cifrati rappresentava specifiche coordinate geografiche. Ma sganciare mine antinave per ottenere cribs - una tecnica soprannominata gardening [giardinaggio] - richiedeva l’invio di velivoli RAF in missione speciale, e non si poteva farvi assegnamento per la routine. Bletchley doveva quindi trovare un altro modo per aver ragione di Enigma navale. Come si è accennato, un’alternativa era trafugare le chiavi. A questo riguardo uno dei piani più arditi fu concepito da Ian Fleming, il creatore di James Bond, che durante il conflitto fece parte del servizio segreto della Royal Navy. Egli suggerì di organizzare il finto ammaraggio di emergenza nella Manica, vicino a una nave tedesca, di un bombardiere della Luftwaffe catturato a suo tempo dagl’inglesi. I marinai tedeschi si sarebbero avvicinati per prestare soccorso e avrebbero portato sulla nave, credendoli camerati, alcuni militari inglesi travestiti. Questi si sarebbero impadroniti dei cifrari, e poiché le unità della marina restavano lontane dalla base per lunghi periodi, le chiavi giornaliere sarebbero rimaste in vigore permettendo qualche settimana di decrittazione. Approvato il piano di Fleming col nome di Operazione Ruthless [Senza pietà], il
servizio segreto britannico cominciò a preparare un bombardiere Heinkel per il finto atterraggio di fortuna, e selezionò un gruppo di aviatori con una perfetta padronanza del tedesco. Il piano avrebbe dovuto scattare all’inizio del mese, per consentire la cattura di un cifrario «fresco». Fleming andò a Dover per sovrintendere all’operazione, ma purtroppo non c’erano navi nemiche nella zona, e tutto fu rinviato a tempo indeterminato. Quattro giorni dopo Frank Birch, capo della Sezione navale a Bletchley, prese nota della reazione di Turing e del collega Peter Twinn: «Turing e Twinn vennero da me con l’aria di due imprenditori di pompe funebri appena derubati del loro cadavere preferito, tutti agitati per il rinvio dell’Operazione Ruthless». Alla fine, il piano di Fleming fu abbandonato, ma i cifrari della marina tedesca furono catturati grazie a una serie di ardite incursioni contro navi meteorologiche e U-boot del Terzo Reich. Queste cosiddette «pizzicate» [pinches] fornirono a Bletchley i documenti necessari per interrompere il blackout di informazioni. Reso trasparente Enigma navale, Bletchley potè conoscere la posizione degli U-boot, e la Battaglia dell’Atlantico cominciò a volgere in favore degli Alleati. I convogli poterono seguire rotte più sicure, e le unità antisommergibile britanniche riuscirono perfino a passare all’offensiva, inseguendo gli U-boot e talvolta affondandoli. Quando un cifrario Enigma veniva «pizzicato», era vitale che l’Alto comando germanico non sospettasse l’accaduto. Se i tedeschi avessero compreso che la sicurezza delle loro comunicazioni era compromessa, avrebbero cambiato i cifrari e forse modificato le macchine Enigma, costringendo Bletchley a ripartire da zero. Come nell’episodio del telegramma di Zimmermann, i britannici presero varie precauzioni per non suscitare sospetti, per esempio affondando la nave dopo la cattura dei cifrari. L’ammiraglio Dönitz doveva pensare che le chiavi del suo sistema crittografico fossero in fondo all’oceano, non nel verde della campagna inglese. Una volta catturati i cifrari all’insaputa dei tedeschi, prima di metterli a frutto si dovevano prendere anche altre precauzioni. Per esempio, la decrittazione dei messaggi Enigma permetteva di localizzare molti U-boot, ma attaccarli in modo indiscriminato sarebbe stato poco saggio. Un aumento improvviso dei successi britannici avrebbe fatto sospettare al nemico che le sue comunicazioni erano insicure. Gli Alleati evitavano di attaccare alcuni U-boot e ne attaccavano altri solo dopo aver inviato in zona un aereo ricognitore, in modo da giustificare l’intervento di una nave da guerra qualche ora più tardi. Oppure trasmettevano per radio il falso avvistamento di un sottomarino, sempre per giustificare il successivo intervento della Royal Navy. Nonostante gli accorgimenti per nascondere la violazione di Enigma navale, le iniziative britanniche allarmarono gli esperti di sicurezza tedeschi. Una volta, Bletchley decifrò un messaggio Enigma con l’esatta posizione di un gruppo di navi
cisterna e da rifornimento del Terzo Reich, nove in tutto. L’Ammiragliato decise di non affondarle indiscriminatamente, temendo che un successo pieno potesse destare sospetti. La navi da guerra britanniche furono avvertite dell’esatta posizione solo di sette bersagli, cosa che avrebbe permesso alla Gedania e alla Gonzenheim di allontanarsi indisturbate. Le sette unità nemiche furono affondate come previsto, ma alcuni cacciatorpediniere britannici s’imbatterono nelle due superstiti, e le colarono a picco. I comandanti dei cacciatorpediniere, che nulla sapevano di Enigma e delle relative attività di copertura, pensarono di aver fatto solo il loro dovere, ma a Berlino l’ammiraglio Kurt Fricke nominò una commissione di inchiesta incaricata di scoprire se la Gran Bretagna avesse fatto breccia in Enigma. Fu stilato un rapporto, ma la tesi ivi sostenuta era che le notevoli perdite degli ultimi tempi dipendessero da circostanze sfavorevoli, o da una talpa nella Kriegsmarine. Evidentemente, gli alti comandi germanici consideravano ancora inconcepibile che Enigma fosse stato violato.
I crittoanalisti senza nome Oltre a venire a capo di Enigma, Bletchley Park riuscì a decifrare i codici italiani e giapponesi. All’intelligence ricavata da queste tre fonti fu assegnato il nome in codice Ultra. I dossier Ultra misero gli Alleati in netta posizione di vantaggio in tutti i principali teatri di operazioni. In Africa settentrionale Ultra contribuì alla distruzione delle linee di rifornimento germaniche, e tenne gli anglo-americani al corrente delle condizioni delle forze del feldmaresciallo Rommel. L’Ottava armata riuscì in tal modo a fermare l’avanzata tedesca e italiana e a contrattaccare. Ultra permise anche di prevedere l’invasione tedesca della Grecia; così, i britannici poterono ritirarsi senza gravi perdite. Nell’insieme, Ultra fornì un quadro preciso delle iniziative belliche nemiche nell’intero teatro di guerra del Mediterraneo. Il suo contributo fu particolarmente importante in occasione dello sbarco alleato nell’Italia peninsulare e in Sicilia, nel 1943. Poi, nel 1944, Ultra ebbe un ruolo rilevante nell’invasione alleata dell’Europa nord-occidentale. Per esempio, nei mesi precedenti il D-Day le decrittazioni di Bletchley fornirono un quadro dettagliato dei concentramenti di truppe tedesche lungo le coste atlantiche della Francia. Sir Harry Hinsley, storico ufficiale dei servizi segreti britannici durante il conflitto, racconta: L’accumularsi delle informazioni Ultra ci somministrò alcuni scossoni. In particolare, rivelò nella seconda metà di maggio - dopo precedenti, sgradevoli indizi del fatto che i tedeschi consideravano la zona tra Le Havre e Cherbourg una probabile, e perfino la principale, area di invasione - che Berlino stava inviando rinforzi in Normandia e nella penisola di Cherbourg. M a i dati arrivarono in tempo utile perché gli Alleati modificassero i piani di sbarco su Utah Beach e dietro di essa; ed è un fatto singolare che prima della partenza del corpo di spedizione, la stima alleata del numero, dell’identità e della posizione delle divisioni nemiche sul fronte occidentale, cinquantotto in totale, fossero accurati in tutto, tranne due particolari che avrebbero avuto un’importanza operativa.
Per tutta la durata della guerra, i crittoanalisti di Bletchley ebbero la certezza che la loro opera era di importanza vitale, e la visita di Churchill li rinsaldò in quest’opinione. D’altra parte, essi non furono mai tenuti al corrente della condotta delle operazioni, o dell’impiego che si faceva dei dati da essi forniti. Per esempio, i crittoanalisti non ebbero mai informazioni sui piani o sulla data del D-Day. Così essi organizzarono una serata danzante da tenere la sera precedente lo sbarco. Questo preoccupò il comandante Travis, direttore di Bletchley e unica persona ivi residente a conoscenza dei piani degli stati maggiori alleati. Egli non poteva chiedere al «comitato per le danze» della Capanna 6 di annullare la festicciola, perché ciò
avrebbe suggerito che qualcosa di grosso era nell’aria, e messo in pericolo la segretezza dell’operazione. Ha scritto Stuart Milner-Barry, uno dei crittoanalisti della Capanna 6: «Immagino che nessuna guerra dall’antichità in poi, forse in tutti i tempi, abbia mai visto un predominio così costante di una parte sull’altra per quanto riguarda la raccolta di informazioni sulle forze nemiche di terra e di mare». Un rapporto americano giunse alla stessa conclusione: «Ultra diffuse tra i vertici militari e politici una forma mentis che trasformò il processo decisionale. La sensazione di conoscere il nemico è molto confortante. Essa cresce impercettibilmente nel tempo quando si ha la possibilità di osservare in modo regolare e approfondito i suoi pensieri, metodi, abitudini e atti. Informazioni di questo tipo fanno sì che la stesura dei piani comporti meno incertezze e più sicurezza, meno interrogativi spinosi e più ottimismo». Si è sostenuto, sia pure non in modo unanime, che i risultati di Bletchley Park siano stati il fattore decisivo della vittoria alleata. Comunque è fuori discussione che i crittoanalisti di Bletchley abbiano abbreviato in modo significativo la durata della guerra. Per convincersene basta riesaminare la Battaglia dell’Atlantico, e immaginare cosa sarebbe potuto accadere senza l’aiuto di Ultra. In primo luogo, il predominio sottomarino degli U-boot avrebbe comportato la perdita di molte più navi e rifornimenti. Ne avrebbero risentito le vitali comunicazioni con l’America, e gli Alleati sarebbero stati costretti a dirottare uomini e mezzi sulla costruzione di navi. Secondo gli storici, a causa di tutto questo i piani degli angloamericani avrebbero dovuto essere rimandati di alcuni mesi, e di conseguenza il D-Day avrebbe avuto luogo l’anno seguente. Così Sir Harry Hinsley: «La mia personale convinzione è che se la Government Code and Cypher School non fosse riuscita a decifrare i crittogrammi Enigma e a fornire i dati Ultra, la guerra sarebbe finita nel 1948, invece che nel 1945». Tre anni di guerra in più avrebbero significato molti più morti, e un maggiore uso dei missili «V» da parte di Hitler, con notevoli danni in tutto il sud dell’Inghilterra. L’impatto della decifrazione di Enigma è così riassunto dallo storico David Kahn: «Ha ridotto la perdita di vite umane. Non solo vite di soldati alleati e russi, ma, grazie alla minor durata del conflitto, anche di tedeschi italiani e giapponesi. Alcuni di coloro che videro la fine del conflitto, avrebbero avuto una sorte diversa in mancanza di quelle decifrazioni. È questo il debito di noi tutti verso i solutori di codici; dal punto di vista dei valori umanitari, questo è il più importante dei loro trionfi». Dopo il conflitto, i successi di Bletchley rimasero un segreto inaccessibile. Avendo decifrato con successo le comunicazioni nemiche durante la guerra, la Gran Bretagna voleva proseguire le operazioni di intelligence, ed esitava a divulgare le capacità acquisite. Londra aveva catturato migliaia di macchine Enigma, e le distribuì alle ex
colonie, convinte che il sistema crittografico fosse sicuro com’era sembrato ai tedeschi. I britannici non fecero nulla per scuotere quella convinzione, e per molti anni decifrarono le loro comunicazioni riservate. Frattanto la Scuola governativa di codici e cifre di Bletchley Park era stata chiusa, e le migliaia di uomini e donne che avevano contribuito alla produzione di Ultra furono dispersi. Le bombe furono smantellate, e qualunque pezzo di carta connesso alle decrittazioni del tempo di guerra fu bruciato o chiuso in cassaforte. Le attività di decrittazione della Gran Bretagna furono ufficialmente trasferite al nuovo Quartier generale governativo delle comunicazioni (GCHQ), prima a Londra e poi, dal 1952, a Cheltenham. Anche se alcuni crittoanalisti si trasferirono al GCHQ molti di loro tornarono alla vita civile, vincolati al segreto da un giuramento, e impossibilitati a rivelare il loro grande contributo alla vittoria alleata. Mentre coloro che avevano combattuto battaglie convenzionali potevano parlare dei loro atti di bravura e coraggio, altri, il cui contributo alla vittoria non era stato meno significativo, di fronte a domande sulle loro attività durante la guerra dovevano essere sgradevolmente evasivi. Gordon Welchman riferì che uno dei giovani crittoanalisti suo collaboratore alla Capanna 6, ricevette una lettera di fuoco del suo ex preside, che lo accusava di essere la vergogna della scuola perché non era al fronte. Derek Taunt, anch’egli della Capanna 6, così riassunse il vero contributo dei suoi colleghi: «La nostra allegra brigata può non esser stata con re Enrico nel giorno di san Crispino, ma certo non abbiamo poltrito, e non siamo tenuti a sentirci in colpa per non esser stati dove avremmo dovuto». Dopo tre decenni di silenzio, il velo di segreto su Bletchley Park fu infine sollevato. All’inizio degli anni Settanta il capitano F.W. Winterbotham, già responsabile della distribuzione delle informazioni Ultra, cominciò a far pressione sul governo britannico. A suo avviso, poiché i Paesi del Commonwealth non si servivano più del sistema crittografico Enigma, non era necessario continuare a nascondere che la Gran Bretagna l’aveva violato. I servizi segreti, pur riluttanti, non si opposero, e gli permisero di scrivere un libro sul lavoro svolto a Bletchley Park. Pubblicato nell’estate del 1974, il saggio di Winterbotham, intitolato Ultra secret, fu il segnale che il personale di Bletchley poteva infine parlare liberamente dell’attività svolta durante la guerra. Gordon Welchman provò un enorme senso di sollievo. «Anche dopo il conflitto, evitavo di soffermarmi su quel periodo per paura di rivelare informazioni Ultra che la stampa non aveva mai pubblicato… Ritenni che la nuova situazione mi affrancava dal giuramento di segretezza prestato durante la guerra». Chi aveva tanto contribuito alla vittoria, poteva finalmente ottenere la considerazione che meritava. Forse, la conseguenza più importante delle rivelazioni di Winterbotham fu che Rejewski apprese l’enorme portata del suo lavoro prebellico su Enigma. Dopo l’invasione della Polonia, Rejewski si era rifugiato in Francia, e quando anche
la Francia era stata invasa, era fuggito in Inghilterra. Parrebbe naturale che egli fosse coinvolto negli sforzi britannici di far breccia in Enigma, invece fu relegato a Boxmoor, vicino a Hemel Hempstead, in un’unità secondaria di intelligence dove effettuava decrittazioni delle più banali. Non è ben chiaro perché una mente così brillante sia stata esclusa da Bletchley Park, ma una delle conseguenze fu che egli non seppe nulla del lavoro della Scuola governativa di codici e cifre. Fino alla pubblicazione del libro di Winterbotham, Rejewski non immaginò di aver posto le basi dell’«ordinaria decrittazione» di Enigma nel corso della seconda guerra mondiale. Per alcuni, la possibilità di parlare delle attività del tempo di guerra arrivò troppo tardi. Molti anni dopo la morte di Alastair Denniston, primo direttore di Bletchley, sua figlia ricevette una lettera da uno dei suoi colleghi: «Vostro padre è stato un grand’uomo, verso il quale il debito di tutti i popoli anglofoni durerà molto a lungo se non per sempre. Che così pochi abbiano potuto sapere quale sia stato esattamente il suo ruolo, è il lato triste della storia». Alan Turing fu un altro crittoanalista che non visse abbastanza per ottenere il riconoscimento che meritava. Invece di essere considerato un eroe, fu perseguitato per la sua omosessualità. Nel 1952, denunciando un furto con scasso, rivelò ingenuamente alla polizia di avere una relazione con una persona del suo sesso. I tutori dell’ordine ritennero di non poter far altro che arrestarlo, e accusarlo di «atti gravemente contrari alla pubblica decenza come dalla sezione 11 dell’Emendamento della Legge del 1885 del Codice penale». Il processo e la condanna che seguirono furono riferiti dai giornali, e Turing venne pubblicamente umiliato. Ora che l’omosessualità di Turing non solo era nota, ma era stata divulgata dai media, il governo britannico lo privò dell’accesso a tutte le informazioni riservate. Fu anche escluso dalle ricerche sui calcolatori elettronici. Costretto a consultare uno psichiatra, fu sottoposto a una terapia ormonale che lo rese impotente e obeso. Nei due anni seguenti egli cadde in una grave forma di depressione, e il 7 giugno 1954 entrò nella sua camera da letto con un recipiente pieno di soluzione al cianuro e una mela. Vent’anni prima aveva canticchiato la canzone della Strega Cattiva: «Tuffa la mela nel boccale/Che la impregni il sonno mortale». Adesso poteva abbandonarsi alla strana malìa di quelle strofe. Immerse nel veleno il frutto e lo morse. Finiva così, a quarantadue anni di età, l’esistenza di uno dei più grandi crittoanalisti.
5 La barriera del linguaggio
M
entre i crittoanalisti britannici facevano breccia in Enigma modificando il corso della guerra in Europa, i loro colleghi americani influenzavano in modo altrettanto profondo gli eventi bellici del Pacifico venendo a capo del funzionamento della cifratrice giapponese «Porpora». Per esempio, nel giugno 1942 essi decrittarono un messaggio circa un piano nipponico volto ad attirare, tramite un attacco simulato, la flotta nemica nei pressi delle Aleutine; ciò avrebbe permesso alla flotta imperiale di assalire il vero obiettivo, l’atollo di Midway, in condizioni di netta superiorità. Il risultato della decifrazione fu che le unità degli Stati Uniti salparono, come se fossero cadute nella trappola; ma non si allontanarono, e si tennero pronte a invertire la rotta alla prima richiesta di aiuto. Così, quando i crittoanalisti americani intercettarono e volsero in chiaro l’ordine di Tokyo di attaccare Midway, esse accorsero e contribuirono alla difesa dell’atollo in una delle più importanti battaglie navali del conflitto. Secondo l’ammiraglio Chester Nimitz, la vittoria americana a Midway «fu soprattutto una vittoria di intelligence. I giapponesi, che avevano contato sulla sorpresa, furono invece colti di sorpresa». Quasi un anno dopo, i crittoanalisti americani tradussero un messaggio che descriveva l’itinerario di un’ispezione alle isole Salomone settentrionali da parte di Isoruko Yamamoto, comandante supremo della flotta giapponese. Grazie a quell’informazione, Nimitz inviò una squadriglia di caccia a intercettare e tentare di abbattere l’aereo dell’ammiraglio. Yamamoto era famoso per la puntualità, e fu in vista della destinazione alle 08.00 precise come specificato nel messaggio. Ma la conclusione del viaggio non fu quella prevista: ad attendere l’alto ufficiale c’erano diciotto caccia americani P-38, che portarono a termine la missione eliminando uno dei più abili e ascoltati esponenti dell’Alto comando nipponico. Anche se Porpora ed Enigma, le cifratrici militari delle forze armate giapponesi e tedesche, furono violate, entrambe garantivano un’elevata sicurezza quando furono adottate, e rappresentarono sfide tra le più ardue per i crittoanalisti alleati. In effetti, se fossero state usate nel modo migliore - senza ripetizioni delle chiavi di messaggio, senza cillies, senza inutili limitazioni degli assetti del pannello a prese multiple e degli scambiatori, senza formule fisse nei testi, quindi senza cribs - è senz’altro possibile che tutti gli sforzi di farvi breccia sarebbero falliti. Le garanzie di segretezza e gli altri vantaggi delle macchine per cifrare furono dimostrati dalla Typex (o Type X), adottata dalle forze armate britanniche, e dalla
SIGABA (o M - 143 - C), impiegata da quelle americane. Entrambe le cifratrici erano più complesse di Enigma ed entrambe furono usate correttamente; perciò, rimasero inviolate per tutta la durata del conflitto. I crittografi alleati erano convinti che cifratrici elettromeccaniche di elevata complessità avrebbero garantito la sicurezza delle comunicazioni. Tuttavia, sarebbe un errore concludere che l’uso di congegni sofisticati fosse l’unico modo di garantire la segretezza. Al contrario, nella seconda guerra mondiale una delle più sicure forme di codifica fu anche una delle più semplici. Durante la campagna del Pacifico, i comandanti americani cominciarono ad accorgersi del fatto che le cifratrici come SIGABA avevano un difetto di fondo: la cifratura elettromeccanica era resistente ma molto lenta. I messaggi andavano battuti una lettera per volta, i caratteri in codice andavano annotati uno per volta, infine il crittogramma andava passato al marconista e trasmesso. Con ciò si era solo a metà strada: il marconista che riceveva il messaggio doveva consegnarlo al crittografo; questi doveva regolare la cifratrice in base alla chiave, immettere il crittogramma e annotare il testo chiaro, sempre una lettera per volta. Trovare lo spazio e il tempo per queste delicate operazioni in un quartier generale o su una nave da guerra era facile; molto più arduo in ambienti ostili, come le isole del Pacifico teatro di furiosi combattimenti. Un corrispondente di guerra descrisse così la difficoltà di comunicare durante una battaglia nella giungla: «Quando il combattimento era ristretto a un’area limitata, tutto doveva seguire una tabella di marcia estremamente precisa. Non c’era tempo di cifrare e decifrare… In simili circostanze, l’«inglese del re»* (Il King’s o Queen’s English, cioè l’«Inglese del re» o «della regina», è l’inglese «corretto» parlato in Gran Bretagna. [N.d.T.]) era di ultima scelta - peggio ci si esprimeva, meglio era». Purtroppo per gli americani, molti militari giapponesi avevano frequentato college statunitensi e parlavano inglese con scioltezza, bestemmie comprese. Così, informazioni su piani e tattiche degli Stati Uniti cadevano in mani nemiche. Uno dei primi a reagire a questa situazione fu Philip Johnston, un ingegnere di Los Angeles troppo anziano per combattere ma desideroso di aiutare il suo Paese. All’inizio del 1942 cominciò a progettare un sistema crittografico ispirandosi alle sue esperienze giovanili. Figlio di un missionario protestante, Johnston era cresciuto nelle riserve navajo dell’Arizona, immerso nella cultura indiana. Essendo uno dei pochi bianchi che parlavano e capivano il navajo, egli tu spesso chiamato a far da interprete nei colloqui tra pellirosse e agenti governativi. Il suo ruolo di intermediario culminò in una visita alla Casa Bianca; in tale occasione, il novenne Johnston fece da interprete a due navajo appellatisi al presidente Theodore Roosevelt per un più equo trattamento della loro tribù. Consapevole di quanto quella lingua fosse impenetrabile per gli estranei, Johnston fu colpito dall’idea che il navajo, o qualunque lingua
autoctona del Nord America, poteva rappresentare un codice perfetto. Se ogni battaglione dell’area del Pacifico avesse impiegato un paio di nativi del Nord America come marconisti, la sicurezza delle comunicazioni sarebbe stata garantita. Egli espose l’idea al tenente colonnello James E. Jones, ufficiale d’area addetto alle segnalazioni a Camp Elliott, appena fuori San Diego. Semplicemente indirizzando qualche parola in navajo all’esterrefatto ufficiale, Johnston riuscì a persuaderlo che la sua proposta meritava di esser presa sul serio. Di lì a quindici giorni tornò con due navajo per una dimostrazione pratica di fronte ad alcuni alti ufficiali della marina. I due indiani furono isolati l’uno dall’altro; al primo furono dati sei tipici messaggi in inglese, ch’egli tradusse in navajo e comunicò al collega via radio. Questi ritradusse il messaggio in inglese, lo scrisse su un foglietto e lo porse agli ufficiali, che lo confrontarono con l’originale. Le traduzioni dall’inglese al navajo e viceversa risultarono perfette; fu subito avviato un progetto-pilota, e iniziò il reclutamento di pellirosse bilingui. Comunque, prima di reclutare chicchessia il tenente colonnello Jones e Philip Johnston dovettero decidere se utilizzare per lo studio-pilota proprio i navajo. Johnston li aveva impiegati per la prima dimostrazione a causa dei suoi rapporti personali con loro; ma questo non significava che i navajo rappresentassero la scelta migliore. Il più importante criterio di selezione era semplicemente l’abbondanza; ai marines occorreva una tribù capace di fornire un gran numero di uomini con una cultura generale e una padronanza dell’inglese adeguate allo scopo. La scarsità di investimenti da parte del governo faceva sì che il livello di istruzione fosse molto basso nella maggior parte delle riserve; perciò l’attenzione si focalizzò sulle quattro tribù maggiori: Navajo, Sioux, Chippewa e Pima-Papago. I navajo erano i più numerosi ma i meno istruiti; al contrario, i pima-papago erano i più istruiti ma scarseggiavano. Nell’insieme, da questo punto di vista la scelta tra le quattro tribù era difficile, e un terzo fattore risultò decisivo. Secondo il rapporto ufficiale sulla proposta di Johnston, i navajo sono la sola tribù indiana che non sia stata ripetutamente visitata da universitari tedeschi negli ultimi vent’anni. Studiando gl’idiomi tribali in veste di laureandi in storia dell’arte, antropologia e simili, i tedeschi in questione avranno quasi certamente acquisito una buona conoscenza di tutti i dialetti indiani tranne il navajo. Per questa ragione, solo i navajo danno garanzie di assoluta sicurezza in ordine all’attività di cui si tratta. È da sottolineare che il dialetto navajo è del tutto incomprensibile alle altre tribù e, in generale, a chiunque non sia navajo, con l’eccezione di non più di 28 cittadini americani che hanno effettuato studi specifici in materia. Per il nemico, questo idioma equivale a un codice segreto, e si presta magnificamente a comunicazioni rapide e sicure.
Quando l’America entrò nella seconda guerra mondiale, i navajo vivevano in condizioni difficili ed erano considerati cittadini di seconda categoria; ciò nonostante il consiglio della tribù si dichiarò leale alla patria in guerra e pronto a contribuire alla sua vittoria: «In nessuno l’attaccamento all’America può essere più forte che tra i Primi Americani». I navajo erano così ansiosi di combattere che alcuni mentirono sulla loro età, altri ingurgitarono acqua e banane per raggiungere il peso minimo per il servizio militare, che era di 55 chili. Né fu difficile trovare candidati adatti al ruolo di code talkers, cioè di «parla-codice» come questi singolari marconisti furono soprannominati. Quattro mesi dopo Pearl Harbour, 29 navajo, alcuni appena quindicenni, frequentarono un corso di comunicazioni della durata di otto settimane organizzato dal Corpo dei marines. Prima che l’addestramento potesse iniziare, i marines dovettero superare uno scoglio già presentatosi nell’unica altra occasione in cui una lingua americana autoctona era stata adibita a codice segreto. Nella prima guerra mondiale, in Francia settentrionale, il capitano E. W. Horner, della Compagnia D del 141° reggimento di fanteria, aveva ordinato che otto uomini della tribù Choctaw fossero impiegati come marconisti. Naturalmente tra i militari nemici nessuno capiva la loro lingua, per cui la sicurezza delle comunicazioni era garantita. Ciò nonostante il sistema crittografico risultò molto insoddisfacente, perché i moderni vocaboli tecnici e militari non avevano equivalente nell’idioma choctaw. Per trasmetterli, si doveva ricorrere a goffe perifrasi, che rischiavano di essere fraintese dal destinatario. Lo stesso problema sarebbe sorto coi navajo, ma i marines decisero di costruire un lessico ad hoc che permettesse di eliminare in modo fantasioso, ma non ambiguo, le parole inglesi altrimenti intraducibili. Gli apprendisti aiutarono a compilare il lessico, e per eliminare i termini militari scelsero per lo più vocaboli navajo tratti dal mondo della natura: uccelli per gli aeroplani, pesci per le navi da guerra (tavola 11): Tavola 11 Parole in codice navajo per aeroplani e navi da guerra.
Gli ufficiali superiori erano «capi guerrieri», i plotoni erano «tribù minime», le trincee «ripari scavati», i mortai «armi tonanti accovacciate». Sebbene il vocabolario completo comprendesse 274 termini, restava il problema delle parole impreviste e dei nomi geografici e di persona. La soluzione adottata fu scandire i nomi difficili, una lettera per volta, usando un termine navajo il cui equivalente inglese cominciasse con la lettera voluta. Per esempio, «Pacific» [«Pacifico»] sarebbe stato scandito bi-sodih, wol-la-chee, moasi, tkin, ma-e, tkin, moasi, cioè «Pig, Ant, Cat, Ice, Fox, Ice, Cat» [maiale, formica, gatto, ghiaccio, volpe, ghiaccio, gatto]. L’alfabeto inglese completo era collegato alle parole navajo elencate nella tavola 12: Tavola 12 Il codice alfabetico navajo.
In otto settimane, le reclute e futuri «parla-codice» avevano imparato tutto il lessico e l’alfabeto. Non avrebbero quindi avuto bisogno di cifrari, che hanno sempre lo svantaggio di poter essere catturati. Per i navajo affidare tutto alla memoria era normale, perché la loro lingua non esisteva in forma scritta: miti e tradizioni familiari erano tramandati oralmente. William McCabe, una delle reclute, commentò: «In navajo, tutto è affidato alla memoria - canti, preghiere, tutto… È così che veniamo allevati». Alla fine dell’addestramento, i navajo furono messi alla prova. I mittenti tradussero una serie di messaggi dall’inglese al navajo, li trasmisero, e i destinatari volsero i messaggi di nuovo in inglese usando, se necessario, il lessico e l’alfabeto di cui si è detto. Il risultato fu del tutto aderente all’originale. Per controllare la forza del sistema crittografico, una registrazione del messaggio in navajo fu consegnato alla stessa unità del servizio segreto della marina che aveva violato Porpora, il più resistente dei codici giapponesi. Dopo tre settimane di intensa crittoanalisi, gli specialisti della U. S. Navy erano ancora… in alto mare. Il loro parere fu che il messaggio era «un’incredibile sequenza di suoni gutturali, nasali e di tipo indefinibile che non saremmo in grado di trascrivere, men che mai di decifrare». Il codice navajo fu giudicato un successo. Due soldati provenienti dalla tribù, John Benally e Johnny Manuelito, restarono al campo di addestramento per aiutare il nuovo scaglione di reclute; gli altri 27 «parlacodice» furono assegnati a quattro reggimenti e inviati al fronte. Le forze giapponesi avevano attaccato Pearl Harbour il 7 dicembre 1941, e in
breve tempo si erano impadronite di gran parte del Pacifico. Il 10 dicembre le truppe imperiali costrinsero alla resa la guarnigione americana a Guam, il 13 dicembre conquistarono Guadalcanal, isola di importanza strategica dell’arcipelago delle Salomone. Il 25 dicembre capitolò Hong Kong, e il 2 gennaio 1942 si arresero le truppe americane di stanza nelle Filippine. Nell’estate seguente i giapponesi progettarono di consolidare il controllo del Pacifico costruendo a Guadalcanal un aeroporto e una base per bombardieri in grado di colpire le linee di rifornimento alleate, rendendo quasi impossibile un contrattacco anglo-americano. L’ammiraglio Ernest King, comandante in capo delle operazioni navali statunitensi, richiese con urgenza un’offensiva contro l’isola prima che l’aeroporto fosse completato, e il 7 agosto la Prima divisione dei marines fu la punta di lancia dell’invasione di Guadalcanal. Tra i reparti più avanzati c’era il gruppo di «parla-codice» che per primi avevano avuto il battesimo del fuoco.
Figura 44 I primi «parla-codice» Navajo in posa per una tradizionale fotografia di fine corso. (fonte)
Sebbene i navajo non dubitassero che le loro capacità sarebbero state una benedizione per i marines, i tentativi iniziali produssero solo confusione. Molti normali addetti alle comunicazioni erano all’oscuro di tutto, e inviarono appelli terrorizzati in tutta l’isola sostenendo che i giapponesi trasmettevano sulle frequenze dell’esercito americano. Il colonnello cui spettava il comando in loco ordinò di interrompere le trasmissioni in navajo, e non lo revocò finché non si fu convinto dell’utilità del nuovo sistema. Uno dei code talkers ha descritto come il nuovo codice fu infine rimesso in vigore: Il colonnello ebbe un’idea. Disse che ci avrebbe tenuti a una condizione: che mi dimostrassi più veloce del suo «codice bianco» - un aggeggio ticchettante di forma cilindrica. Inviammo entrambi un messaggio, lui col cilindro io con la mia voce, ed entrambi ottenemmo una risposta. La gara consisteva nel vedere chi avrebbe decifrato la sua risposta per primo. M i chiese: «Quanto pensa di impiegare? Un paio d’ore?» «Direi piuttosto due minuti», risposi. Quando giunsi al «roger» [termine convenzionale delle radiocomunicazioni con significato di «ricevuto»] della mia risposta, dopo circa quattro minuti e mezzo, lui stava ancora decifrando. Dissi: «Signor colonnello, quand’è che ci sbarazziamo di quell’arnese cilindrico?» Lui non disse niente; accese con calma la pipa, e si allontanò.
Ben presto i «parla-codice» navajo dimostrarono la loro utilità sui campi di battaglia. Un episodio eloquente si verificò sull’isola di Saipan. Un battaglione di marines aveva occupato una posizione tenuta fino a poco prima dai giapponesi. Improvvisamente, una serie di proiettili d’artiglieria esplose nei pressi. Gli americani capirono di essere sotto «fuoco amico»: i commilitoni non si erano accorti della loro avanzata. Inviarono un messaggio in inglese coi dati della loro posizione, ma i proiettili continuarono a piovere perché gli artiglieri dell’U. S. Navy temevano un trucco dei giapponesi, che disponevano di uomini capaci di imitare alla perfezione la pronuncia yankee. Solo udendo il messaggio in navajo capirono di aver sbagliato bersaglio, e cessarono il cannoneggiamento. Un messaggio in navajo era ritenuto pienamente affidabile, non potendo essere proferito che da un Navajo. La fama dei code talkers si diffuse rapidamente, e alla fine del 1942 ne furono richiesti altri 83. I navajo dovevano prestare servizio in ognuna delle sei divisioni di marines, e a volte furono messi a disposizione di altri corpi delle forze armate. Ben presto, la loro guerra di parole li trasformò in eroi. Gli altri soldati si offrivano di portare loro le radio e i fucili. Inoltre essi furono dotati di guardie del corpo, che talvolta dovettero proteggerli dai loro commilitoni: in almeno tre occasioni, i «parlacodice» furono scambiati per soldati giapponesi, catturati da soldati americani, e rilasciati solo quando uomini del loro stesso reparto garantirono per loro. L’impenetrabilità della lingua navajo dipende dal fatto che appartiene alla famiglia
linguistica Na-Dene, priva di legami con qualunque idioma asiatico o europeo. Per esempio, i verbi navajo non sono coniugati solo in base al soggetto, ma anche all’oggetto; le desinenze verbali dipendono dalla categoria alla quale l’oggetto appartiene: lungo e rigido (una pipa, una matita), lungo e non rigido (un serpente, una striscia di cuoio), granuloso (lo zucchero, il sale), composto (un covone), viscoso (il fango, gli escrementi) e così via. Il verbo incorpora anche gli avverbi, e proprietà del soggetto come il fatto che parli di qualcosa che conosce direttamente o per sentito dire. Di conseguenza un verbo può, da solo, trasmettere il contenuto di un’intera frase, rendendo impossibile, per chi non abbia familiarità con questa lingua, districare tutti i suoi significati. A fronte dei molti pregi, il codice navajo aveva due difetti non trascurabili. In primo luogo, i vocaboli non compresi né nella lingua navajo né nello speciale lessico a 274 voci dovevano essere scanditi una lettera per volta, con l’alfabeto di cui si è detto. Poiché ciò comportava una grave perdita di tempo, si decise di inserire nel lessico altri 234 termini di uso comune. Per esempio, alle nazioni vennero dati soprannomi in navajo: «cappello arrotolato» all’Australia, «circondata dall’acqua» alla Gran Bretagna; «capelli a codino» alla Cina; «copricapo di ferro» alla Germania; «terra galleggiante» alle Filippine; «Sheep Pain» [«mal di pecora»; il gioco di parole è tra la prima lettera di Sheep, pecora, e l’intera parola Pain, dolore, che sommati danno SPain] alla Spagna. Il secondo problema riguardava i termini anche dopo l’ampliamento del lessico che andavano scanditi. Se i giapponesi avessero capito la funzione delle parole usate per scandire, dopo qualche tempo essi avrebbero potuto associare ogni parola alla lettera giusta tramite l’analisi delle frequenze. Sarebbe presto apparso evidente che la parola più usata era Dzeh, che significa elk e scandisce la lettera e, la più comune della lingua inglese. D’altra parte, scandire la parola «Guadalcanal» ripetendo quattro volte wol-la-chee (ant) avrebbe rappresentato un indizio evidente che la parola navajo stava per la lettera a. La soluzione fu aggiungere alcune parole che fungessero da sostituti alternativi (od omofoni) delle lettere più comuni. Le sei lettere più frequenti in inglese (E, T, A, O, I, N) ebbero due parole extra, le sei seguenti (S, H, R, D, L, U) una parola extra. Per esempio, A poteva essere scandita come bela-sana (apple, «mela») o come tse-nihl (axe, «ascia»). Così, «Guadalcanal» poteva essere scandito senza ripetizioni come klizzie, shi-da, wol-la-chee, lhacha-eh, be-la-sana, dibeh-yazzi, moasi, tse-nihl, ah-jad (goat, uncle, ant, dog, apple, lamb, cat, axe, nut, axe, leg) (it.: «capra», «zio», «formica», «cane», «mela», «agnello», «gatto», «ascia», «noce», «ascia», «gamba»; ovviamente nella traduzione va persa la corrispondenza tra lettera iniziale della parola usata per scandire, e lettera della parola scandita).
Figura 45 Il caporale Henry Bake Jr. (a sinistra) e il soldato di prima classe George H. Kirk usano il codice navajo in una densa macchia di palme, nel 1943. (fonte)
Con l’intensificarsi della guerra nel Pacifico, e via via che gli americani avanzavano dalle Salomone a Okinawa, crebbe anche l’importanza dei «parla-codice» navajo. Nei primi giorni dell’offensiva contro Iwo Jima, più di ottocento messaggi in navajo furono trasmessi senza errori. Secondo il generale di divisione Howard Conner, «Senza i navajo, i marines non avrebbero mai preso Iwo Jima». Il contributo dei «parla-codice» è ancor più notevole se si pensa che per compiere il loro dovere essi furono spesso costretti ad affrontare e vincere timori superstiziosi profondamente radicati. Per esempio, è ferma convinzione dei navajo che gli spiriti dei defunti, o chindi, cerchino vendetta sui vivi a meno che riti appropriati siano stati celebrati sul cadavere. La guerra del Pacifico fu particolarmente sanguinosa, e i corpi dei soldati morti spesso giacevano a lungo sul terreno; ciò nonostante i code talkers trovarono
la forza di concentrarsi sul loro compito, senza badare ai chindi dai quali, stando alle loro tradizioni, erano circondati. Nel libro di Doris Paul The Navajo Code Talkers uno degli indiani racconta un incidente emblematico del loro coraggio, senso del dovere e autocontrollo: Alzare il capo di qualche centimetro significava morire, tanto il fuoco era intenso. Poi, verso l’alba, senza alcun sollievo per noi o il nemico, scendeva una calma mortale. Si vede che a un certo punto un giapponese non ne poté più di quel silenzio, e diede fuori di matto. Si alzò, sguainò la lunga spada da samurai e corse verso la nostra trincea gridando come un forsennato. Credo che dovemmo sparargli trenta o quaranta volte per stenderlo. C’era un soldato americano accanto a me nella trincea. Il giapponese lo colpì alla gola, passandolo da parte a parte. Per un po’ il poveretto continuò a respirare attraverso la ferita, e il suono dell’aria nella sua trachea, mentre la pompava su e giù dai polmoni, era orribile. M orì, naturalmente. Quando il giapponese l’aveva infilzato, il suo sangue caldo era zampillato ovunque, compresa la mano con cui stringevo il microfono. Stavo trasmettendo una richiesta di aiuto in codice. In seguito, scoprii che nonostante tutto ogni sillaba del messaggio era stata captata e compresa.
Complessivamente, prestarono servizio 420 «parla-codice» navajo. Anche se il loro valore di uomini d’armi fu riconosciuto, il loro ruolo nel garantire la sicurezza delle comunicazioni rimase un segreto militare. Il governo degli Stati Uniti proibì ai pellirosse di parlare dei compiti svolti durante la guerra, e il loro singolarissimo contributo fu dimenticato. Come Turing e gli altri crittoanalisti di Bletchley Park, i navajo caddero nell’oblio per decenni. Finalmente, dal 1968 il codice navajo cessò di essere segreto, e l’anno seguente i «parla-codice» tennero il loro primo convegno. Inoltre, nel 1982 il governo degli Stati Uniti decise che in loro onore il 14 agosto era dichiarato «giornata nazionale dei parla-codice navajo». Ma forse il più alto tributo alla professionalità e abnegazione dei navajo è il semplice fatto che il loro codice è uno dei pochi, nella storia dell’umanità, che sia stato impossibile violare. Il generale di corpo d’armata Seizo Arisue, che comandò il servizio segreto militare nipponico, ammise che, pur essendo riusciti a decifrare i crittogrammi dell’U.S. Air Force, i suoi uomini non poterono neppure scalfire il dialetto navajo.
La decifrazione delle lingue morte L’efficacia del codice navajo è una conseguenza del fatto banale che la lingua madre di una persona è completamente priva di senso per chi non la parla. Da molti punti di vista, il compito cui si trovarono di fronte i crittoanalisti giapponesi è simile a quello di un archeologo che cerchi di decifrare una lingua in disuso da molto tempo - per esempio, le testimonianze scritte di una civiltà estinta da secoli. In un certo senso, la condizione dell’archeologo è ancora più sfavorevole. I crittoanalisti giapponesi, per esempio, captavano comunicazioni navajo sempre diverse, che potevano cercare di identificare; il materiale a disposizione dell’archeologo cresce molto più lentamente, e a volte non è niente di più di una piccola quantità di tavolette d’argilla. Inoltre, spesso l’archeologo sa poco o niente sia del contesto che dell’argomento di uno scritto antico - due informazioni che, come si è visto, possono essere di grande aiuto per la soluzione di un crittogramma. Decifrare un testo antico può sembrare un’impresa quasi disperata, eppure molti uomini e donne hanno perseguito questo arduo obiettivo. I loro sforzi erano sostenuti dal desiderio di capire gli scritti dei loro antenati, di ridare vita alle loro parole e comprendere, sia pur parzialmente, quale fosse la loro visione del mondo. Il fascino legato alla decifrazione delle antiche scritture è stato felicemente riassunto da Maurice Pope, autore di The Story of Decipherment: «La decifrazione è di gran lunga la meta più affascinante alla quale un erudito possa dedicarsi. C’è qualcosa di magico in una scrittura sconosciuta, specialmente se risale a un remoto passato, e una gloria proporzionata all’impresa attende colui che per primo scioglierà l’enigma». In senso stretto, la decifrazione di antiche scritture non fa parte della battaglia evolutiva tra inventori e solutori di codici, perché se l’archeologo può essere considerato un solutore, manca chi vesta i panni dell’inventore. Infatti, nella maggior parte dei casi gli autori dei testi antichi non miravano a essere incomprensibili. La parte restante del capitolo rappresenta quindi una breve digressione rispetto all’argomento del libro. D’altra parte, i principi della decifrazione archeologica sono in sostanza gli stessi della tipica crittoanalisi militare. Non per caso, molti crittoanalisti in divisa sono stati attratti dalle lingue morte e dai loro misteri. È probabile che la decifrazione archeologica abbia rappresentato ai loro occhi anche un ameno diversivo - una sfida puramente intellettuale adatta a far da contrappeso a un lavoro gravido di conseguenze. O, se si vuole, un impegno motivato dalla curiosità anziché dall’ostilità. La più famosa, e probabilmente la più romantica, decifrazione archeologica fu quella dei geroglifici egiziani. Per secoli la scrittura degli antichi Egizi era rimasta incomprensibile; sul suo significato, gli studiosi potevano solo avanzare congetture. Ma grazie a un classico procedimento di decrittazione, il significato dei geroglifici fu
riscoperto, e da allora gli archeologi hanno potuto attingere a resoconti di prima mano sulla storia, la cultura e le opinioni della civiltà fiorita millenni or sono presso il corso del Nilo. La decifrazione dei geroglifici ha gettato un ponte sull’abisso temporale che ci separa dall’epoca dei faraoni. I più antichi geroglifici risalgono al 3000 a.C., e questa elaborata forma di scrittura sopravvisse per altri tre millenni e mezzo. Le sue eleganti immagini, perfette per le pareti di maestosi templi (la parola «geroglifico» equivale a «incisione sacra», venendo dalle parole greche hierós, che significa sacro, e glyphein, che significa incidere), erano di esecuzione troppo laboriosa per argomenti di carattere quotidiano. Perciò accanto alla geroglifica nacque una scrittura detta ieratica, un mezzo di comunicazione e notazione di carattere pratico in cui le incisioni sacre erano sostituite da immagini stilizzate, più agevoli da tracciare. Intorno al 600 a. C. lo ieratico venne a sua volta affiancato da una grafia ancora più semplice e adatta a impieghi prosaici, perciò detta demotica, ossia «popolare». Le grafie chiamate geroglifica, ieratica e demotica erano sostanzialmente la stessa scrittura, e non si sarebbe lontani dal vero definendo meramente «tipografiche» le differenze che le separavano. Tutte e tre le grafie erano fonetiche. In altre parole, le unità da cui erano formate rappresentavano prevalentemente singoli suoni, come avviene per le lettere dell’alfabeto italiano. Per più di tre millenni, gli antichi Egizi le utilizzarono per gli scopi e nelle situazioni più vari, allo stesso modo in cui la lingua scritta è impiegata oggi. Poi, verso la fine del IV secolo d. C., nell’arco di una generazione la tradizionale scrittura egiziana scomparve. Gli ultimi suoi esempi databili si trovano nell’isola di Philae. Un’iscrizione geroglifica fu incisa in un tempio nel 394 d. C., e un frammento di graffito demotico è stato datato 450 d. C. Responsabile di questa sparizione fu il diffondersi del cristianesimo, che vietò l’uso dei geroglifici per rompere ogni legame della popolazione col suo passato pagano. Le antiche grafie furono sostituite dal copto, una scrittura basata sulle 24 lettere dell’alfabeto greco con l’aggiunta di sei caratteri demotici per suoni egiziani privi di equivalente in greco. Il sopravvento del copto fu così completo che la capacità di leggere i simboli geroglifici, ieratici e demotici si perse rapidamente. D’altra parte l’antica lingua egiziana continuò a essere parlata, e si trasformò nella cosiddetta lingua copta. Quest’ultima, comunque, ebbe una vita relativamente breve, perché a partire dall’XI secolo fu soppiantata dall’arabo. Fu così spezzato l’ultimo legame linguistico con l’Egitto degli antichi regni, e le nozioni necessarie a leggere le cronache dell’epoca dei faraoni furono cancellate. L’interesse per i geroglifici si risvegliò nel XVII secolo, quando papa Sisto V riorganizzò la città di Roma secondo una nuova rete di viali, alle cui intersezioni fece innalzare obelischi provenienti dall’Egitto. Gli studiosi tentarono di decifrare le
sequenze di simboli visibili sui monumenti, ma furono fuorviati da un presupposto sbagliato. Nessuno prese sul serio la possibilità che quei simboli fossero caratteri fonetici, o fonogrammi, perché si riteneva che un’idea simile fosse troppo sofisticata per una civiltà così antica. Secondo gli eruditi del Seicento, i geroglifici dovevano essere semagrammi, cioè elementi di una scrittura primitiva che tendeva a dipingere i pensieri, e corrispondevano a concetti, non a suoni linguistici. Già al tempo in cui i geroglifici erano impiegati, l’idea che essi rappresentassero una pittografia era molto diffusa tra gli stranieri che visitavano l’Egitto. Lo storiografo greco del I secolo a. C. Diodoro Siculo affermò: Accade dunque che la forma delle lettere egiziane assuma l’aspetto di ogni tipo di creatura vivente, e delle estremità del corpo umano, e degli arnesi da lavoro… perché il loro modo di scrivere non esprime l’idea che ha di mira con una combinazione di sillabe, collegando questa a quella, ma per mezzo dell’aspetto esteriore di ciò che viene imitato, e del significato metaforico impresso nella memoria dalla pratica… Così il falco rappresenta per loro [gli Egiziani] tutto ciò che accade rapidamente, perché è la più veloce delle creature alate. L’idea è poi trasferita, per mezzo di metafore adatte, alle cose veloci e a quelle a cui si addice l’idea della velocità.
Visti i precedenti, non c’è da meravigliarsi se i dotti del XVII secolo tentarono di tradurre i geroglifici interpretando ciascuno di essi come l’espressione di un’idea completa. Per esempio, nel 1652 il gesuita tedesco Athanasius Kircher pubblicò un dizionario di interpretazioni allegoriche intitolato Œdipus œgyptiacus, e su esso si basò per una serie di traduzioni tanto affascinanti quanto errate. La manciata di geroglifici che oggi sappiamo rappresentare semplicemente il nome del faraone Apries, furono tradotti da Kircher nel modo seguente: «I benefici del divino Osiride vanno procurati per mezzo di cerimonie sacre e della catena dei Geni, affinché i benefici del Nilo siano ottenuti». Oggi le traduzioni di Kircher appaiono risibili, ma nell’ambiente degli aspiranti traduttori dall’egiziano il loro impatto fu enorme. Il gesuita, infatti, era più di un semplice egittologo: aveva pubblicato un trattato di crittografia, costruito una fontana musicale, inventato la lanterna magica (preannuncio del cinematografo); e si era affacciato sul cratere del Vesuvio, guadagnandosi l’epiteto di padre della vulcanologia. Per molti, egli era il più grande studioso di quel tempo, e le sue idee influenzarono generazioni di egittologi. Un secolo e mezzo più tardi, nell’estate del 1798, l’antico Egitto tornò al centro dell’interesse europeo allorché Napoleone Bonaparte creò una squadra di storici, scienziati e disegnatori che doveva accompagnare l’armata di invasione diretta al Paese delle piramidi. Questi accademici, o «cani pechinesi», come sprezzantemente li chiamavano i soldati, eseguirono un lavoro di mappatura, copiatura e trascrizione assai notevole per quantità e qualità, e nel 1799 entrarono in possesso della pietra
più celebre della storia dell’archeologia. Il reperto non fu trovato da uno studioso, ma da un gruppo di militari di stanza al forte Julien, nella città di Rosetta vicino al delta del Nilo. Essi avevano avuto ordine di abbattere un vecchio muro in vista dell’allargamento del perimetro del forte, ma si accorsero che nella parete c’era una pietra con un’evidente serie di iscrizioni. Com’è noto, le iscrizioni consistevano in tre versioni differenti - greca, demotica e geroglifica - di un solo testo. La stele di Rosetta, come da allora fu chiamata, era quindi l’equivalente di un crib, come quelli che aiutarono i crittoanalisti di Bletchley Park a venire a capo di Enigma. L’iscrizione in greco si poté tradurre facilmente, e diventò il testo chiaro con cui confrontare la scritta demotica e quella geroglifica. La stele di Rosetta era un’occasione senza precedenti di scoprire il significato dei più antichi simboli egiziani. Gli studiosi compresero subito il valore della stele, e la inviarono all’Istituto Nazionale del Cairo per studi approfonditi. Tuttavia, prima che questi avessero inizio fu chiaro che il corpo di spedizione francese, che era stato attaccato dagl’inglesi, non sarebbe riuscito a fermare l’avanzata nemica. Fu deciso di trasferire il reperto dal Cairo alla relativa sicurezza della città di Alessandria; ma per ironia della sorte, quando infine i francesi si arresero l’articolo XVI del trattato di capitolazione assegnò alla Gran Bretagna tutte le antichità di Alessandria, mentre concesse ai francesi di trasferire nella madrepatria tutte quelle conservate al Cairo. Nel 1802 il prezioso blocco di basalto nero (alto 118 cm, largo 77, spesso 30 e del peso di ca. 750 chili) fu caricato sulla nave di Sua Maestà L’Egyptienne, diretta a Portsmouth, e giunto in Inghilterra fu collocato al British Museum, dove da allora risiede.
Figura 46 La stele di Rosetta, incisa nel 196 a.C. e scoperta nel 1799 d.C., reca lo stesso testo in tre versioni: geroglifica (in alto), demotica (in mezzo), greca (in basso). (fonte)
La traduzione dell’iscrizione greca rivelò che la stele conteneva un decreto del concilio generale dei sacerdoti egiziani, che risaliva al 196 a. C. Il testo elencava i benefici apportati dal regno del faraone Tolomeo al popolo d’Egitto, e precisava gli
onori che in cambio i sacerdoti avevano concesso, e concedevano, al sovrano. Per esempio, si dichiarava che «pubblici festeggiamenti si terranno per il Re Tolomeo, l’immortale, prediletto di Ptah, il dio Epifanes Eucharistos, una volta all’anno nei templi di tutto il Paese dal I di Troth per cinque giorni, in occasione dei quali si indosseranno ghirlande, si effettueranno sacrifici e libagioni e gli altri consueti atti di omaggio». Si potrebbe pensare che se il contenuto delle altre due iscrizioni era identico, la decifrazione della scrittura geroglifica e di quella demotica sia stata quasi banale. C’erano, invece, tre ostacoli non trascurabili. In primo luogo, il blocco di basalto era in condizioni tutt’altro che buone, come mostra la figura 46. Il testo greco consiste di 54 righe, delle quali appaiono danneggiate le ultime 26; quello demotico di 32 righe, delle quali le prime 14 sono lese nella parte iniziale (si tenga presente che i caratteri demotici e geroglifici si succedono non da sinistra a destra, ma nella direzione opposta); infine, il testo geroglifico è quello in condizioni peggiori: metà delle righe mancano completamente, mentre le ultime 14 (corrispondenti alle ultime 28 del testo greco) sono leggibili solo in parte. Il secondo ostacolo era che le iscrizioni demotica e geroglifica rimandavano alla lingua dell’antico Egitto, che nessuno parlava da almeno otto secoli. Sarebbe quindi stato possibile collegare alcuni simboli egiziani ad alcune parole greche, e comprenderne il significato; ma non sarebbe stato possibile ricostruire il termine corrispondente della lingua parlata. In altre parole, il possibile valore fonetico dei simboli sarebbe rimasto un mistero. Infine, la persistente influenza di Kircher spingeva ancora gli archeologi a ragionare in termini di semagrammi anziché di fonogrammi, cosa che scoraggiava ulteriormente dal tentare una decifrazione fonetica. Tra i primi a dubitare che i geroglifici fossero una forma di pittografia fu l’inglese Thomas Young, scienziato, poliglotta ed ex bambino prodigio. Nato nel 1773 a Milverton, nel Somerset, Young aveva imparato a leggere a soli due anni. A quattordici conosceva il greco, il latino, il francese, l’italiano, l’ebraico, il caldeo, il siriaco, il samaritano, l’arabo, il persiano, il turco e l’etiope. Iscrittosi all’Emmanuel College di Cambridge, la sua brillante intelligenza gli valse il soprannome di «Young il fenomeno». Il corso di studi da lui scelto non verteva sulle lingue ma sulla medicina; pare, tuttavia, che s’interessasse molto alle malattie, e ben poco ai disgraziati che n’erano affetti. Gradualmente si dedicò alla ricerca, lasciando ad altri la cura degl’infermi.
Figura 47 Thomas Young. (fonte)
Young compì una serie di straordinari esperimenti medici, in gran parte destinati a chiarire il funzionamento dell’occhio umano. Accertò che la percezione del colore dipende da tre diversi tipi di recettori, ciascuno sensibile a uno dei tre colori primari. Poi, costringendo un occhio vivo in una serie di anelli metallici, dimostrò che la messa a fuoco delle immagini non richiede un cambiamento di forma dell’intero organo di senso, e comprese che essa dipende esclusivamente dalla lente interna al bulbo oculare. L’interesse per l’ottica lo spinse verso la fisica, e verso un’altra serie di scoperte. Pubblicò The Undulatory Theory of Light (La teoria ondulatoria della
luce), un classico sull’argomento, propose una nuova e più soddisfacente spiegazione delle maree, diede una definizione formale del concetto di energia, e scrisse monografie pionieristiche sull’elasticità. Young apparteneva alla categoria di uomini geniali che sembrano in grado di arricchire qualunque disciplina, ma ciò non rappresentò per lui soltanto un vantaggio. La sua mente si lasciava affascinare dalle questioni teoriche con tale facilità ch’egli passava a un nuovo argomento prima di aver rifinito quanto aveva scoperto. Appena sentì parlare della stele di Rosetta, Young la considerò una sfida irresistibile. Nell’estate del 1814 andò in vacanza nella località balneare di Worthing, portando con sé una copia delle tre iscrizioni. Un’intuizione gli si presentò quando rivolse l’attenzione a un gruppetto di geroglifici circondati da una cornice dagli angoli arrotondati detta “cartiglio”. Egli pensò che l’artificio grafico servisse a sottolineare l’importanza, o la dignità, dei simboli in esso contenuti, e che questi potessero quindi corrispondere al nome del faraone Tolomeo, che compariva nel testo greco come Ptolemáios. Se così era, Young avrebbe avuto un indizio importante sulla fonetica dei geroglifici, visto che il nome del faraone aveva buone probabilità di essere pronunciato più o meno allo stesso modo in qualunque lingua. Il cartiglio di Tolomeo ricorre sei volte sulla stele di Rosetta, sia nella versione detta «tipica», sia in una forma più lunga ed elaborata. Young pensò che la versione più lunga includesse titoli onorifici, perciò si concentrò sui simboli della versione tipica e tentò di stabilire i loro valori fonetici (Tavola 13). Tavola 13 Decifrazione di Young del cartiglio di Ptolemáios stele di Rosetta.
(versione standard) dalla
Young dovette formulare varie ipotesi ausiliarie. Per esempio, la disposizione dei simboli sembrava guidata dall’estetica più che dalla fonetica. Gli scribi avrebbero cercato di evitare le lacune e di preservare l’armonia visiva dei geroglifici, cosa che spiega perché i simboli del quadrato piccolo e del semicerchio sono collocati uno sopra l’altro. A volte, gli scribi sovvertivano completamente l’ordine delle lettere in spregio di ogni logica fonetica, solo per aumentare il pregio estetico di un’iscrizione. Nonostante le incertezze che ne derivavano, si può vedere che Young riuscì ad attribuire i giusti valori fonetici alla maggior parte dei segni. Incoraggiato da quella prima decifrazione, lo studioso inglese scoprì un cartiglio in un’iscrizione copiata dal tempio di Kamak a Tebe, che egli sospettava corrispondere a Berenice, nome di una regina dell’Egitto tolemaico. Applicò di nuovo la sua strategia (Tavola 14). Tavola 14 Decifrazione di Young del cartiglio di Berenika
dal tempio di Karnak.
Complessivamente Young aveva identificato esattamente la metà dei geroglifici, e un altro quarto in modo almeno parzialmente corretto. Aveva individuato anche la desinenza femminile, posta al termine dei nomi delle regine e delle dee. In particolare, la presenza del geroglifico delle due piume in entrambi i cartigli avrebbe dovuto rassicurarlo quanto all’essere sulla buona strada, e spingerlo a compiere altre decifrazioni. Invece, all’improvviso il lavoro di Young si fermò. Si direbbe che la tesi di Kircher che i geroglifici fossero semagrammi si fosse impressa nella sua mente in modo indelebile, e che per lui fosse impensabile metterla radicalmente in discussione. Per giustificare la natura chiaramente fonetica delle sue scoperte, egli fece notare che
la dinastia tolemaica era detta dei Lagidi perché discendeva da Lago, un generale di Alessandro Magno; in altre parole, si trattava di macedoni, non di egiziani. Secondo Young, i loro nomi erano scritti in forma fonetica perché, essendo di origine straniera, non avevano corrispettivi soddisfacenti nell’ambito del normale sistema geroglifico. Riassunse le sue opinioni al riguardo paragonando i geroglifici ai caratteri cinesi, che gli europei proprio in quel periodo cominciavano a comprendere: È assai interessante ricostruire alcuni dei passi tramite i quali la scrittura alfabetica sembra esser derivata dalla geroglifica; un processo che in qualche misura è forse illustrato dal modo in cui il cinese moderno esprime una combinazione di suoni stranieri, i caratteri essendo resi semplicemente «fonetici» da un contrassegno appropriato, che li priva del significato naturale; questo contrassegno, in alcuni libri moderni realizzati col metodo della stampa, si avvicina molto all’anello che circonda i nomi geroglifici.
Young definì questi risultati «il passatempo di poche ore libere». Il suo interesse per i geroglifici svanì, ed egli diede forma compiuta al lavoro svolto fin lì riassumendolo in un articolo per il Supplemento del 1819 dell’Encyclopedia Britannica. Nel frattempo a sud della Manica un promettente giovane linguista, Jean-François Champollion, si preparava a trarre le logiche conseguenze dalle idee di Young. Benché Champollion non fosse ancora trentenne, il suo interesse per i geroglifici risaliva a quasi due decenni prima, e non era mai venuto meno. Tutto era cominciato nel 1800, quando il matematico francese Jean-Baptiste Fourier, uno dei «pechinesi» della spedizione egiziana di Napoleone, aveva mostrato a Champollion, allora un ragazzino di dieci anni, la sua collezione di reperti dell’antico Egitto, molti dei quali recavano strane iscrizioni. Fourier aveva spiegato che nessuno era in grado di interpretare quei bizzarri caratteri, e il ragazzino aveva promesso che un giorno egli avrebbe svelato il mistero. A diciassette anni, Champollion aveva presentato un lavoro dal titolo L’Egitto sotto i faraoni. Esso fu giudicato così innovativo che l’autore fu subito chiamato all’Accademia di Grenoble. Informato che da quel momento era un cattedratico di neanche vent’anni, il neo-professore era svenuto per l’emozione.
Figura 48 Jean-François Champollion. (fonte)
Champollion continuò a sbigottire i colleghi per la padronanza del latino, del greco, dell’ebraico, dell’etiope, del sanscrito, dello zendo, del pahlevi, dell’arabo, del siriaco, del caldeo, del persiano e del cinese, da lui considerati poco più che una preparazione alla battaglia decisiva, quella per la decifrazione dei geroglifici. Il grado della sua ossessione è illustrato da un episodio del 1808, quand’egli incontrò per
strada un vecchio amico. Questi accennò casualmente al fatto che Alexandre Lenoir, un noto egittologo, aveva pubblicato una decifrazione completa dei geroglifici. La notizia sconvolse tanto Champollion che egli cadde svenuto all’istante. A parte che egli sembra aver sofferto di una strana tendenza agli svenimenti, è chiaro che essere l’uomo che avrebbe decifrato la scrittura dei faraoni dava un senso all’intera sua esistenza. Per sua fortuna, la decifrazione del Lenoir non era meno fantasiosa di quella realizzata da Kircher nel XVII secolo, e la sfida restava aperta. Nel 1822 Champollion applicò l’approccio di Young ad altri cartigli. Il naturalista britannico W. J. Bankes aveva fatto trasportare un obelisco nel Dorset, e aveva pubblicato proprio in quel periodo una litografia delle sue iscrizioni bilingui, compresi i cartigli di Tolomeo e Cleopatra. Champollion ne ottenne una copia, e assegnò valori fonetici a ciascun segno (Tavola 15). Tavola 15 Decifrazione di Champollion dei cartigli di Tolomeo
e di Cleopatra
dall’obelisco di Bankes.
Le lettere p, t, o, l ed e sono comuni ai due cartigli; in quattro casi hanno lo stesso valore fonetico in «Tolomeo» e in «Cleopatra», mentre solo in un caso, quello di t, c’è discrepanza. Champollion presumette che il suono t potesse essere espresso da due simboli, così come il suono c duro può essere espresso da c in «casa» e da k in «killer». Spronato dal successo, provò ad affrontare cartigli privi di versione in altra lingua, sostituendo ove possibile i valori fonetici ricavati dai nomi di Tolomeo e Cleopatra. Il suo primo cartiglio misterioso (Tavola 16) conteneva uno dei più grandi nomi dell’Antichità.
Tavola 16 Decifrazione di Champollion del cartiglio di Alksentrs
(Aléxandros,
Alessandro M agno).
Pareva evidente a Champollion che il vocabolo, che sembrava leggersi (a-l-?-s-e?-t-r-?), stava per il nome Alksentrs - Aléxandros in greco, Alessandro nella forma italianizzata. Sembrava anche chiaro che gli scribi non avessero simpatia per le vocali, che omettevano appena possibile, pensando probabilmente che il lettore non avrebbe avuto difficoltà a colmare le lacune. Con due geroglifici in più nel carniere, il giovane studioso esaminò altre iscrizioni e decifrò una serie di cartigli. Ma questi progressi costituivano un mero ampliamento del lavoro di Young. I nomi incontrati fin lì, come Alessandro e Cleopatra, erano pur sempre stranieri, quindi non in grado di smentire l’ipotesi che il sistema fonetico fosse usato solo per termini estranei al lessico propriamente egiziano. Poi, il 14 settembre 1822 Champollion ricevette reperti provenienti dal tempio di Abu Simbel, con cartigli di epoca pre-classica. La loro importanza stava appunto nell’essere abbastanza antichi da contenere nomi egiziani tradizionali; tuttavia essi sembravano scritti un suono per volta, a smentita della teoria che la scrittura fonetica fosse impiegata solo per i nomi stranieri. Champollion si concentrò su un cartiglio contenente solo quattro simboli: . I primi due erano sconosciuti, ma la coppia conclusiva, i due bastoni ricurvi da pastore , rappresentavano il suono s, come
risultava dal cartiglio di Alessandro (Alksentrs). In altre parole, il cartiglio era da leggere (?-?-s-s). A quel punto lo studioso francese mise a frutto la sua straordinaria erudizione. Anche se il copto, discendente diretto dell’antico egiziano, era una lingua morta dall’XI secolo, esso aveva continuato a esistere in forma “fossile” nella liturgia della Chiesa cristiana copta. Champollion lo aveva imparato da adolescente, e lo conosceva cosi bene da averlo talvolta usato per scrivere brani del suo diario. Ma non aveva mai pensato, fino a quel momento, che proprio il copto potesse essere la lingua dei geroglifici. Egli si chiese se il primo segno del cartiglio, dalla forma di disco: , potesse essere un semagramma che rappresentava il sole - in altre parole, se fosse un simbolo del concetto «sole». D’un tratto, con un colpo di genio, pensò che il valore fonetico del semagramma potesse essere quello della parola copta ra, che significa sole. In tal caso, la sequenza del cartiglio si doveva leggere (ra-?-s-s), e c’era un solo nome di faraone che le si avvicinasse. Tenendo conto dell’irritante omissione delle vocali, e ipotizzando che il suono mancante fosse m, il faraone in questione non poteva essere che Ramses, uno dei più grandi e antichi sovrani d’Egitto. Il mistero era risolto: anche nomi arcaici, e che non si potevano considerare stranieri, erano espressi in forma fonetica. Champollion irruppe nell’ufficio del fratello gridando «Je tiens l’affaire!» («L’ho in pugno!»), ma ancora una volta il suo corpo non resse all’emozione. Perse conoscenza, e fu costretto a letto per cinque giorni. Champollion aveva dimostrato che gli scribi a volte utilizzavano il principio del rebus. A chi non ne avesse mai fatti, ricordo che il principio del rebus consiste nello scomporre una parola o una frase in frammenti fonetici, che sono poi rappresentati da semagrammi con l’aggiunta di alcune lettere. Per esempio, la parola «piramidali» si potrebbe scomporre in pi - rami - d - ali; la seconda e la quarta sequenza fonetica si potrebbero rappresentare con l’immagine di due rami e con quella di due ali, mentre la prima e la terza si potrebbero esprimere con le lettere P e D. Nell’esempio scoperto da Champollion, solo la prima sillaba, ra, è rappresentata col metodo del rebus, per mezzo dell’immagine del sole; la parte restante della parola è espressa in modo fonetico. L’importanza del semagramma del sole nel cartiglio di Ramses è enorme, perché svela in quale lingua si esprimessero gli scribi. Per esempio, di sicuro essi non parlavano l’italiano, perché in tal caso il cartiglio si sarebbe letto «Sole-me-ses», né l’inglese, perché in tal caso si sarebbe letto «Sun-me-ses». La scritta acquista un senso solo ipotizzando che i suoi autori parlassero il copto, perché in questo caso il cartiglio si pronuncia «Ra-me-ses», nome del celebre faraone. È questo il vero significato della cruciale intuizione di Champollion. Anche se quello di Ramses era solo un nuovo cartiglio tradotto, la sua
interpretazione gettava luce sui principi della scrittura geroglifica in generale. In primo luogo, essa aveva permesso di stabilire che la corrispondente lingua parlata era il copto. In secondo luogo, era chiaro che almeno alcune parole, come ra, «sole», erano rappresentate per mezzo di semagrammi, cioè di raffigurazioni stilizzate dell’oggetto. In terzo luogo, alcune parole lunghe erano costruite in tutto o in parte con la tecnica del rebus. Infine, per gran parte delle iscrizioni gli antichi scribi si servivano di un alfabeto fonetico abbastanza tipico. L’ultimo punto è il più importante, tanto che Champollion definì la fonetica «l’anima» dei geroglifici. Valendosi della sua padronanza del copto, Champollion compì una rapida e vittoriosa avanzata nel nuovo territorio linguistico, decifrando altre parole oltre ai cartigli, e in due anni l’opera di conquista poté considerarsi in gran parte compiuta. Egli aveva determinato i valori fonetici della maggior parte dei geroglifici, e scoperto che alcuni rappresentavano combinazioni di due e anche tre consonanti. Così, a volte gli scribi erano liberi di decidere se rappresentare una sequenza di suoni con più geroglifici col valore di una consonante, o con un solo geroglifico col valore di più consonanti. Champollion descrisse i suoi primi risultati in una lettera a M. Dacier, segretario permanente dell’Académie des Inscriptions. Poi, nel 1824, all’età di trentaquattro anni, espose le sue scoperte in modo sistematico nel libro intitolato Précis du système hiéroglyphique (Compendio del sistema geroglifico). Per la prima volta dopo quattordici secoli era possibile leggere la storia dei faraoni, così come i loro scribi l’avevano redatta. E i linguisti avevano l’opportunità di studiare l’evoluzione di una lingua e di una scrittura lungo un periodo di oltre tremila anni. Infatti, i geroglifici erano stati incisi, dipinti e letti dal III millennio a. C. al IV secolo d. C. Inoltre la loro evoluzione poteva esser messa a confronto con i testi ieratici e demotici, che ora erano anch’essi decifrabili. Invidia e rivalità politiche fecero sì che per alcuni anni i magnifici risultati di Champollion non fossero universalmente apprezzati. Thomas Young fu un critico particolarmente astioso. In alcune occasioni negò che i geroglifici fossero in larga misura fonetici; in altre lo concesse, ma sostenne di averlo scoperto prima di Champollion, e accusò lo studioso francese di aver solo portato a termine un lavoro in gran parte già svolto. D’altra parte, l’ostilità di Young dipese anche dal fatto che Champollion non gli attribuì nessun merito, sebbene le intuizioni dell’inglese sembrino aver facilitato la sua decifrazione. Nel luglio 1828 Champollion si imbarcò per il suo primo viaggio in Egitto, che durò diciotto mesi. Era una splendida occasione di osservare direttamente le iscrizioni fin lì studiate tramite disegni e litografie. Trent’anni prima, i membri della spedizione napoleonica avevano fatto ipotesi avventate sui simboli che adornavano i templi faraonici, ma ora egli era in grado di leggerli un carattere per volta, e di
interpretarli correttamente. Il viaggio avvenne appena in tempo. Tre anni più tardi, dopo aver rivisto le note, i disegni e le traduzioni che ne aveva ricavato, lo studioso francese fu colpito da un grave ictus. Gli svenimenti dei quali aveva sofferto per tutta la vita erano forse sintomi di una patologia cronica, che gli intensi studi e le preoccupazioni avevano a poco a poco aggravato. Champollion si spense il 4 marzo 1832, a quarantun anni.
Il mistero del lineare B Nei due secoli trascorsi dalla scoperta di Champollion, gli egittologi hanno continuato ad accrescere le loro conoscenze sul sistema dei geroglifici, anche negli aspetti più intricati. La loro padronanza di questo idioma è ormai così completa che essi sono riusciti a interpretare alcuni testi geroglifici cifrati - i quali, tra l’altro, sono tra i più antichi crittogrammi conosciuti. Alcune iscrizioni delle tombe faraoniche furono crittate con varie tecniche, compresa la cifratura per sostituzione. A volte simboli ad hoc erano impiegati al posto dei geroglifici tradizionali; in altri casi il posto di un geroglifico era preso da un altro simile nella forma, ma con un valore fonetico diverso. Per esempio la vipera cornuta, che di solito rappresenta f, rimpiazzava il serpente, che normalmente rappresenta z. Si ritiene che questi epitaffi crittati non fossero destinati a tenere all’oscuro il lettore non autorizzato, ma a risvegliare la curiosità del passante, che in tal modo si sarebbe soffermato davanti a una tomba cui altrimenti avrebbe dedicato solo un’occhiata distratta. Svelato il mistero dei geroglifici, gli archeologi decifrarono molte altre grafie antiche, come la scrittura cuneiforme, le rune turche dette Kök-Turki, e l’alfabeto brahminico. La buona notizia per gli aspiranti Champollion è che alcune scritture di grande importanza, come quella degli Etruschi e quella della valle dell’Indo, attendono ancora di essere decifrate (cfr. l’Appendice H). Il principale ostacolo che si frappone al loro chiarimento è la mancanza di cribs, cioè di qualunque corrispondenza con lingue note alla quale il solutore di codici possa aggrapparsi. Nel caso dei geroglifici egiziani, i cartigli funsero da cribs, in quanto permisero prima a Young, poi a Champollion, di intuire la struttura fonetica nascosta sotto le immagini stilizzate. In mancanza di cribs la decifrazione delle lingue morte può apparire impossibile; ma ce n’è almeno una, e tra le più importanti, che fu tradotta senza il loro aiuto. Il lineare B, una scrittura mediterranea che risale all’Età del bronzo, fu decifrato senza nessun involontario aiuto da parte dei suoi remoti utilizzatori. Le sole armi impiegate furono un mélange di logica e intuito, come nella miglior tradizione della crittoanalisi. Forse per questo, di tutte le decifrazioni archeologiche quella del lineare B è spesso considerata la più affascinante. La storia del lineare B inizia con gli scavi di Sir Arthur Evans, uno degli archeologi più eminenti. Egli era interessato al periodo della storia greca descritto da Omero nell’Iliade e nell’Odissea. Com’è noto, l’argomento dei due poemi sono la guerra mossa da una coalizione greca alla città-stato di Troia, situata nella penisola anatolica, e l’avventuroso ritorno in patria di Ulisse, re di Itaca e uno dei generali della vittoriosa spedizione. Si ritiene oggi che il racconto omerico si basi su eventi realmente accaduti nel XII secolo a. C. Fino al XIX secolo, gli studiosi ritenevano fantasiosa la trama dei due poemi; ma nel 1872 l’archeologo tedesco Heinrich
Schliemann dissotterrò i resti della città di Troia nell’Anatolia occidentale, poco lontano dalla costa, e di colpo il mondo omerico fu catapultato dalla sfera dell’immaginazione in quella della storia.
Figura 49 Siti archeologici del bacino dell’Egeo. Dopo la scoperta di preziosi reperti a M icene, nella Grecia continentale, Sir Arthur Evans si diede alla ricerca di tavolette di argilla recanti iscrizioni. Le prime con caratteri in lineare B furono scoperte sull’isola di Creta, centro dell’impero minoico.
Tra il 1872 e il 1900 gli archeologi scoprirono altri indizi di una florida civiltà preellenica, sorta e tramontata circa sei secoli prima del periodo classico che associamo ai nomi di Pitagora, Platone e Aristotele. Il periodo pre-ellenico è da collocare tra il
2800 e il 1100 a. C., ma fu negli ultimi quattro secoli che questa civiltà raggiunse l’apogeo. In Grecia continentale essa ruotò intorno a Micene, dove gli archeologi hanno scoperto oggetti di grande valore, non solo archeologico. Tuttavia, il fatto che non si fosse trovato nessun tipo di scrittura suscitò stupore e perplessità in Sir Arthur Evans. Egli non giudicava credibile che una società così evoluta fosse analfabeta, e decise di dimostrare che i micenei disponevano di una qualche forma di scrittura. Dopo vari incontri con mercanti di antichità ad Atene, Evans si imbatté in alcune pietre con incisioni, che a giudicare dall’aspetto potevano essere sigilli dell’inizio dell’Età del bronzo. I segni sulla loro superficie sembravano figure stilizzate più che una scrittura vera e propria, e ricordavano i simboli dei blasoni gentilizi. Comunque, la scoperta incoraggiò l’archeologo a proseguire le ricerche. Si diceva che i sigilli provenissero da Creta, e precisamente da Cnosso. In quella città, secondo antiche leggende, sorgeva un tempo il palazzo di re Minosse, centro di un impero che dominava tutto l’Egeo. Evans partì per Creta, e nel 1900 iniziò gli scavi. I risultati furono rapidi quanto spettacolari. Vennero alla luce i resti di un lussuoso palazzo dotato di un’intricata rete di corridoi, e con le pareti ornate da affreschi; questi raffiguravano giovani uomini che compivano acrobazie su tori dall’aspetto minaccioso. Evans suppose che l’uso di volteggiare su questi animali fosse in rapporto con la leggenda del Minotauro, il mostro dalla testa taurina che si cibava di giovani, e suggerì che la complessità dei corridoi del palazzo avesse ispirato il mito del labirinto, in cui il mostro dimorava. Il 31 marzo Evans cominciò a disseppellire il tesoro che desiderava maggiormente. Dapprima scoprì una singola tavoletta d’argilla con una scritta, poi, dopo qualche giorno, uno stipo che ne era colmo, infine mucchi interi, al di là delle attese più ottimistiche. Le tavolette non erano state cotte, ma essiccate al sole, un procedimento che permetteva di riciclarle semplicemente aggiungendo dell’acqua. Stando così le cose, nei secoli le piogge avrebbero dovuto sciogliere le tavolette, la cui esistenza sarebbe stata cancellata. Ma la reggia di Cnosso sembrava esser stata distrutta da un incendio, che cuocendo l’argilla aveva contribuito a conservarla per tre millenni. In effetti, i reperti erano in condizioni tanto buone che si potevano ancora distinguere le impronte delle dita degli scribi. Le tavolette erano di tre tipi. Le più antiche, che risalivano a un periodo compreso all’incirca tra il 2000 e il 1650 a. C., recavano soltanto disegni, probabilmente semagrammi, e sembravano collegate ai simboli dei sigilli che Evans aveva acquistato ad Atene. Un altro gruppo, databile tra il 1750 e il 1450 a. C., presentava caratteri formati da semplici linee, per cui la scrittura corrispondente fu chiamata lineare A. Un ultimo gruppo, databile tra il 1450 e il 1375 a. C., recava una scrittura che faceva pensare a un perfezionamento del lineare A, e fu quindi chiamata lineare B. Poiché la maggior parte delle tavolette era in lineare B, e poiché questo era il tipo di
scrittura più recente, sia Evans che altri archeologi pensarono che esso offrisse le migliori possibilità di decifrazione. Molte tavolette sembravano contenere elenchi. Disponendo di così tante colonne di caratteri numerici, ricostruire il sistema di computo fu piuttosto facile, ma i caratteri fonetici si dimostrarono assai più misteriosi. Sembravano una raccolta di scarabocchi senza senso. Lo storico David Kahn ne descrisse alcuni nel modo seguente: «un arco gotico che racchiude una linea verticale; una scala; un cuore attraversato da uno stelo; un tridente piegato con un’escrescenza; un dinosauro a tre gambe che guarda dietro di sé; una A con una barra orizzontale in più; una S girata al contrario; un bicchiere da birra alto, mezzo pieno, con un arco fissato al bordo; ma ce ne sono dozzine che non fanno pensare proprio a niente». Solo due cose si potevano dire con certezza del lineare B. Innanzitutto la direzione di scrittura e lettura andava da sinistra a destra. Infatti, le sequenze di caratteri erano generalmente allineate a sinistra. Inoltre, i caratteri erano 90 in tutto, il che faceva senz’altro pensare a una scrittura di tipo sillabico. Quelle puramente alfabetiche tendono ad avere un numero di segni compreso fra 20 e 40 (per esempio, l’italiano ha 21 segni, le lingue anglosassoni 26, l’arabo 28, il russo 36). D’altra parte, le scritture basate su veri semagrammi hanno centinaia o migliaia di caratteri (il cinese, per esempio, ne ha oltre 5000). Le scritture sillabiche tendono a collocarsi a metà strada, tra i 50 e i 100 caratteri. Tolti questi due dati, il lineare B era un mistero impenetrabile. Il problema principale era che nessuno aveva idee precise sulla lingua sottostante al lineare B. Dapprima si era pensato che si trattasse di una forma più o meno arcaica di greco, perché sette segni assomigliavano molto a quelli della classica grafia cipriota, nota per esser stata una forma di greco scritto in uso tra il 600 e il 200 a. C. Ma col tempo quest’ipotesi incontrò crescenti difficoltà. In greco, la consonante più comune alla fine delle parole è s; perciò nella grafia cipriota il carattere più comune in quella posizione è , che rappresenta la sillaba se - trattandosi di caratteri sillabici, una consonante è rappresentata da una combinazione consonante-vocale, in cui la vocale è muta. Lo stesso segno compare anche nel lineare B, ma raramente alla fine di una parola. Da qui la conclusione che il lineare B non fosse una forma di greco scritto. Riscuoteva il consenso generale la tesi che la scrittura più antica, il lineare B, corrispondesse a una sconosciuta lingua morta. Estintasi questa lingua, la scrittura corrispondente sarebbe sopravvissuta e nel corso dei secoli si sarebbe trasformata in quella cipriota, impiegata per esprimere il greco. Quindi le due grafie pur sembrando simili erano sottese da due lingue completamente diverse. Evans era un convinto assertore della teoria che il lineare B non fosse una forma di greco scritto, ma un idioma cretese autoctono. Riteneva inoltre che a sostegno di questa teoria ci fossero solidi indizi archeologici. Per esempio, le sue scoperte a
Creta suggerivano che l’impero minoico (così chiamato dal re Minosse) fosse assai più evoluto della civiltà micenea, situata sul continente. A suo avviso, l’impero minoico non era una propaggine della potenza micenea ma una potenza autonoma e di pari forza, se non addirittura la potenza egemone di quella parte del Mediterraneo. Il mito del Minotauro appariva conforme a quest’ipotesi. Secondo la leggenda, Minosse esigeva che gli ateniesi inviassero a Creta gruppi di giovani e giovinette da sacrificare al Minotauro. In breve, la conclusione di Evans fu che se i minoici erano così potenti, era improbabile che usassero la lingua di un impero rivale al posto di quella dei loro progenitori.
Figura 50 Una tavoletta con iscrizioni in Lineare B, 1400 a.C. circa. (fonte)
Figura 51
Anche se la tesi che i minoici parlassero una lingua non greca (della quale il lineare B sarebbe stato l’espressione scritta) fu ampiamente accettata, qualche eretico isolato continuò a sostenere che essi parlassero e scrivessero il greco. Lungi
dall’assumere verso costoro un atteggiamento tollerante, Evans usò la sua influenza per punirli. Quando A. J. B. Wace, professore di archeologia all’Università di Cambridge, si espresse in favore dell’ipotesi che la lingua del lineare B fosse il greco, Evans lo escluse da tutti i lavori di scavo, e lo costrinse a dimettersi dalla British School di Atene. Nel 1939 la controversia si inasprì, quando Carl Blegen, dell’Università di Cincinnati, scoprì un nuovo lotto di tavolette coperte di iscrizioni in lineare B nel Palazzo di Nestore a Pilo. Il ritrovamento meravigliò, perché Pilo è sulla terraferma e avrebbe dovuto far parte non dell’impero minoico, ma di quello miceneo. La minoranza di archeologi che considerava il lineare B una varietà di greco scritto sostenne che la scoperta le dava ragione: essendo stato trovato sulla terraferma, dove senza dubbio si parlava il greco, il lineare B era una varietà di greco; e poiché era usato a Creta, anche i cretesi si esprimevano in greco. Ma Evans e i suoi seguaci capovolsero il ragionamento: i minoici parlavano la loro lingua, e il lineare B, scoperto a Creta, era la sua forma scritta; la scoperta del lineare B sul continente significava che anche lì, nel periodo al quale i reperti risalivano, ci si esprimeva come a Creta. Evans prese posizione nel modo più netto: «Non c’era posto a Micene per dinastie di lingua greca… la cultura, come la lingua, era ancora minoica da cima a fondo». In effetti, la scoperta di Blegen non significava necessariamente che minoici e micenei parlassero la stessa lingua. Nel Medio Evo gli europei colti, indipendentemente dalla loro lingua madre, impiegavano il latino per opere letterarie e scientifiche, documenti ufficiali e a volte anche per scritti di carattere privato. Era quindi possibile che il lineare B fosse un mezzo di comunicazione soprannazionale del bacino dell’Egeo, destinato a facilitare il commercio tra popoli che parlavano lingue diverse. Per quarantanni, i tentativi di decifrare il lineare B come lingua scritta non greca ebbero esito negativo. E nel 1941, all’età di novantanni, Evans morì. Non fu testimone della decifrazione del lineare B; non visse abbastanza per leggere i testi da lui scoperti. Quando spirò, molti ormai dubitavano che il lineare B sarebbe mai stato compreso.
Ponti fra le sillabe Dopo la morte di Evans, l’archivio delle tavolette in lineare B e gli appunti dello studioso furono accessibili solo a un ristretto numero di archeologi, e precisamente a quanti appoggiavano la teoria che il lineare B rappresentasse una lingua minoica sui generis. Tuttavia a metà degli anni Quaranta una studiosa di Antichità classica del Brooklyn College di nome Alice Kober potè esaminare il materiale, e iniziò una meticolosa e imparziale analisi delle iscrizioni. A chi la conosceva superficialmente, la Kober sembrava la più comune delle persone: un’accademica dall’abbigliamento dimesso, né affascinante né carismatica, con un modo diretto e concreto di affrontare i problemi. Ma la sua passione per la ricerca era immensa. «Lavorava con silenziosa intensità», ricorda Eva Brann, sua allieva e poi archeologa della Yale University. «Una volta mi disse che il solo modo di capire se si è fatto qualcosa di veramente grande, è accorgersi di aver male alla schiena.»
Figura 52 Alice Kober. (fonte)
Alice Kober pensò che per far uscire la decifrazione del lineare B dalla sua situazione di stallo si doveva abbandonare qualunque preconcetto. Rivolse quindi l’attenzione soltanto alla struttura complessiva delle iscrizioni e alla costruzione dei singoli vocaboli. La colpì, in particolare, che alcune parole formavano triplette, nel senso che alcuni gruppi di stringhe sembravano consistere in tre versioni leggermente diverse della stessa parola. In una tripletta, l’inizio della parola era identico, mentre erano ammesse tre conclusioni. La Kober dedusse che il lineare B era una lingua fortemente flessiva, nel senso che la parte finale dei vocaboli mutava per esprimere proprietà grammaticali come il genere, il tempo, il numero, la persona, il caso e simili. L’italiano è moderatamente flessivo, in quanto le desinenze sono usate per esprimere il tempo e la persona (io scriverò, loro scrivevano…) ma non i casi grammaticali (vado a Milano, vengo da Milano…: la parola non cambia). In genere, le lingue antiche tendono a essere assai più sistematiche e generose nell’uso della flessione. La Kober pubblicò un lavoro in cui descriveva la natura flessiva di due particolari gruppi di parole (Tavola 17), ciascun gruppo conservando la sua radice ma acquistando desinenze diverse a seconda dei casi. Tavola 17 Due vocaboli soggetti a flessione nel lineare B.
Per facilitare la discussione, a ogni simbolo lineare B fu assegnato un numero di due cifre, come mostrato nella Tavola 18. Perciò i vocaboli dell’archeologa del Brooklyn College possono essere riscritti come nella Tavola 19:
Tavola 18 I segni del lineare B e i numeri ad essi attribuiti.
Entrambi i gruppi di vocaboli potevano essere nomi che mutavano desinenza a seconda del caso. Per esempio, il caso 1 poteva essere un nominativo, il caso 2 un accusativo, il caso 3 un dativo. È chiaro che i primi due segni nei due gruppi di
vocaboli (25 - 67 e 70 - 52) sono radici, e restano immutati. Il terzo segno è di più ardua interpretazione. Se facesse parte della radice, non dovrebbe cambiare col caso, come invece fa. Nel vocabolo A è uguale a 37 nei casi 1 e 2, a 05 nel caso 3. Nel vocabolo B è uguale a 41 nei casi 1 e 2, a 12 nel caso 3. D’altra parte, se non facesse parte della radice si potrebbe forse attribuirlo alla desinenza; ma quest’ipotesi appare altrettanto problematica. Se i segni fossero uguali, si potrebbe senz’altro interpretarli come desinenze uguali di casi uguali; ma nei casi 1 e 2 i segni sono il numero 37 nel vocabolo A, il numero 41 nel vocabolo B; nel caso 3, il segno è il numero 05 nel vocabolo A, il numero 12 nel vocabolo B. Tavola 19 I due vocaboli soggetti a flessione del lineare B riscritti in forma numerica.
Caso 1 Caso 2 Caso 3
Vocabolo A
Vocabolo B
25-67-37-57 25-67-37-36 25-67-05
70-52-41-57 70-52-41-36 70-52-12
Il terzo segno deludeva le attese perché sembrava non far parte né della radice né della desinenza. La Kober risolse il paradosso invocando la teoria che il lineare B fosse sillabico. Se era così, il III segno corrispondeva a più suoni, verosimilmente una consonante seguita da una vocale. Inoltre, nella sua ipotesi il III segno non era una sillaba normale ma una «sillaba-ponte» - in parte radice e in parte desinenza. In particolare, la consonante avrebbe fatto corpo con la radice, la vocale con la desinenza. Per illustrare la sua congettura, ella prese un esempio dall’accadico, che possiede sillabe-ponte ed è fortemente flessivo. Esiste un sostantivo accadico la cui forma è sadanu in un caso, sadani in un secondo caso, sadu in un terzo (Tavola 20). È chiaro che le tre parole consistono nella radice sad-, cui si aggiungono le desinenze -anu nel caso 1, -ani nel caso 2 e -u nel caso 3, dove -da-, -da- e -dusarebbero le rispettive sillabe-ponte. È da notare che la sillaba- ponte è la stessa nei casi 1 e 2, mentre il caso 3 ne ha una propria. È appunto lo schema osservabile nei vocaboli del lineare B; l’ipotesi della Kober sulla natura del terzo segno dal comportamento anomalo ne usciva sostanzialmente confermata. Tavola 20 Le sillabe-ponte nel sostantivo accadico sadanu.
Caso 1
sa-da-nu
Caso 2 Caso 3
sa-da-ni sa-du
Già il semplice riconoscimento della natura flessiva del lineare B, e dell’esistenza delle sillabe-ponte, significava che la ricercatrice statunitense si era spinta più lontano di chiunque altro nella decifrazione del minoico. Ma era solo l’inizio; ella stava per trarre una deduzione ancora più importante. Nell’esempio in accadico la sillabaponte muta da -da a -du, ma la consonante è la stessa nelle due sillabe. In modo analogo le sillabe 37 e 05 del vocabolo A in lineare B devono condividere la stessa consonante, così come le sillabe 41 e 12 nel vocabolo B. Per la prima volta da quando Evans aveva scoperto il lineare B, si cominciavano a distinguere fatti relativi alla fonetica dei caratteri. La studiosa americana potè stabilire anche un altro gruppo di relazioni tra i caratteri. È chiaro che i vocaboli in lineare B indicati con A e B, nel caso 1 hanno la stessa desinenza. Ciò nondimeno la sillaba-ponte è diversa, corrispondendo in un caso al segno 37, nell’altro al segno 41. Ciò suggerisce che i segni 37 e 41 rappresentino sillabe con consonanti diverse, ma con la stessa vocale. Si spiegherebbe così il fatto che nei due vocaboli le sillabe-ponte sono diverse, e le desinenze uguali. Per la stessa ragione nel caso 3 le sillabe corrispondenti ai segni 05 e 12 dovrebbero avere la stessa vocale, e consonanti diverse. Alice Kober non fu in grado di stabilire quali fossero le vocali condivise dai segni sillabici 05 e 12, e 37 e 41; né potè stabilire quali consonanti fossero condivise dai segni sillabici 37 e 05, e 41 e 12. Ma a prescindere dagli esatti valori fonetici, ella aveva individuato relazioni precise tra alcuni segni e alcuni suoni vocalici e consonantici, e le riassunse in una tavola (Tavola 21). In altre parole, la Kober non aveva idea di quale sillaba fosse rappresentata dal segno 37, ma sapeva che la sua consonante era presente nel segno 05 e che la sua vocale era presente nel segno 41. In modo analogo, ella ignorava che sillaba corrispondesse al segno 12, ma sapeva che la consonante era presente anche nel segno 41, e la vocale anche nel segno 05. Lo stesso metodo di apparentamento fu da lei applicato ad altre parole. Ne derivò una tavola di dieci segni, larga due vocali e alta cinque consonanti. Nulla vieta di pensare che avrebbe tratto anche la successiva, e cruciale, conseguenza, e decifrato l’intero testo; disgraziatamente morì di tumore polmonare a quarantatré anni, nel 1950. Tavola 21 La tabella degli apparentamenti fonetici fra caratteri del lineare B compilata da Alice Kober.
Consonante I
Vocale 1
Vocale 2
37
05
Consonante II
41
12
Una digressione poco seria Pochi mesi prima di morire, Alice Kober ricevette una lettera da Michael Ventris, un architetto inglese che fin da ragazzo era affascinato dal mistero del lineare B. Ventris era nato nel 1922 da un ufficiale dell’esercito britannico e da sua moglie, per metà di origine polacca. La madre fu in larga misura all’origine dell’interesse di Michael per l’archeologia; era da lei che veniva spesso accompagnato, ancora piccolo, a visitare le sale del British Museum colme di antichi reperti. Ventris si era rivelato un bambino di intelligenza precoce, straordinariamente dotato in campo linguistico. Appena ebbe l’età per frequentare la scuola, fu mandato dai genitori a Gstaad, in Svizzera, e ben presto fu in grado di parlare con naturalezza il francese e il tedesco. E a sei anni, Michael cominciò spontaneamente a studiare il polacco. Come per Jean-François Champollion, l’amore di Ventris per le lingue morte si era manifestato assai presto. A sette anni aveva letto un trattato sui geroglifici un’impresa notevole per un bambino di quell’età, anche perché il trattato era in tedesco! L’interesse per le scritture delle antiche civiltà durò fino all’adolescenza, e crebbe ulteriormente nel 1936, quando all’età di quattordici anni accadde a Ventris di assistere a una conferenza di Sir Arthur Evans, lo scopritore del lineare B. Il giovane ascoltò rapito le descrizioni della civiltà minoica e delle sue misteriose tavolette, e giurò a se stesso che le avrebbe decifrate. Nacque quel giorno un’ossessione, che avrebbe accompagnato la sua brillante ma breve vita. A soli diciotto anni, egli riassunse le sue opinioni iniziali sul lineare B in un articolo poi pubblicato dal prestigioso American Journal of Archaeology. Nel candidare il suo scritto, ebbe cura di nascondere la sua età alla redazione, temendo di non esser preso sul serio. Quanto al contenuto, esso era ampiamente in sintonia con l’ostilità di Evans per l’«ipotesi greca», come testimonia la frase: «Naturalmente, la teoria che il minoico possa essere greco si basa sul consapevole spregio della plausibilità storica». Personalmente, l’autore riteneva che il lineare B potesse essere apparentato all’etrusco - un’idea non peregrina, perché alcuni dati suggerivano che quel popolo fosse giunto in Italia dall’Egeo orientale. E sebbene l’articolo non contenesse tentativi di decifrazione, riguardo a quest’ultima l’autore affermava ottimisticamente: «È un’impresa fattibile». Pur essendo diventato architetto, anziché archeologo professionista, Ventris non rinnegò la sua passione per il lineare B, e usò tutto il suo tempo libero per studiare ogni aspetto di quella scrittura. Appena sentì parlare del lavoro di Alice Kober, desiderò conoscerlo a fondo, e scrisse all’archeologa americana pregandola di fornirgli maggiori particolari. La Kober spirò senza aver avuto la possibilità di rispondergli, ma le sue idee vivevano nel materiale da lei pubblicato, e Ventris lo studiò attentamente. Apprezzò molto le potenzialità della tavola della Kober, e tentò
di individuare nuovi vocaboli che condividessero radice e sillabe-ponte; avendoli trovati, ampliò la tavola per includere i nuovi segni, e con essi, altre vocali e consonanti. Poi, dopo anni di intenso studio, egli notò una particolarità, una possibile eccezione alla regola che i segni del lineare B corrispondessero a sillabe. In generale, si era d’accordo che ogni segno lineare B rappresentasse una combinazione consonante + vocale (CV), e che per scandire il vocabolo in base ai caratteri si dovesse spezzarlo nelle componenti CV. In altri termini, se il vocabolo italiano «vocale» appartenesse al lineare B, lo scandiremmo come «vo-ca-le». D’altra parte, non sempre una parola si lascia spezzare in componenti CV. Uno dei casi più comuni è quello costituito dalla presenza di una consonante doppia, come nella parola «tavoletta». Ventris suppose che la lingua minoica avesse risolto il problema inserendo una i muta tra le doppie, creando una sillaba ti «cosmetica» che permettesse di scomporre il vocabolo come ta-vo-le-ti-ta, cioè come una serie di sillabe CV.
Figura 53 M ichael Ventris. (fonte)
Tuttavia, una parola come «invisibile» comporta altre difficoltà. Oltre a inserire una i tra n e v, bisogna tener conto della i iniziale. La sua trasformazione in una sillaba CV è particolarmente difficile, perché l’aggiunta di una consonante muta all’inizio della parola può facilmente creare confusione. In breve, Ventris concluse che il lineare B doveva disporre di segni corrispondenti a vocali isolate, necessari alla scrittura di vocaboli che non cominciavano con una consonante. Questi segni non avrebbero dovuto esser difficili da riconoscere, comparendo solo in posizione iniziale. Egli classificò quindi i segni del lineare B in base alla frequenza con cui comparivano in posizione iniziale, finale o intermedia, e ne individuò due, i numeri 08 e 61, con una chiara preferenza per l’inizio delle parole. Ipotizzò quindi che essi non rappresentassero sillabe, ma vocali singole. Ventris riassunse le sue ipotesi sui segni vocalici, e gli ampliamenti della tavola inaugurata da Alice Kober, in una serie di appunti di lavoro che spedì agli altri ricercatori interessati al lineare B. Infine, il 1° giugno 1952, pubblicò il suo risultato più importante, l’Appunto di lavoro 20, che rappresentò una svolta nella decifrazione di questa scrittura. Da due anni Ventris lavorava all’ampliamento della tavola di Alice Kober, che aveva assunto l’aspetto della Tavola 22. Essa ha cinque colonne per le vocali, e 15 righe per le consonanti, per un totale di 75 caselle, più 5 caselle extra per le vocali singole. All’incirca nella metà delle caselle, Ventris aveva inserito dei segni. La tavola contiene un autentico tesoro di informazioni. Per esempio, dalla sesta riga si evince che i segni sillabici 37 e 05 possiedono la stessa consonante, che si è convenuto di indicare con VI, ma differenti vocali, cioè quelle che si è convenuto di indicare con 1 e 2 rispettivamente. Ventris non sapeva quale valore fonetico corrispondesse alla consonante e alle vocali in questione, e fin lì aveva resistito alla tentazione di fare congetture. Ma a quel punto pensò che fosse il momento di seguire alcuni indizi, mettere alla prova alcuni valori fonetici ed esaminare le conseguenze. Tavola 22 La tabella ampliata degli apparentamenti fonetici compilata da M ichael Ventris.
Egli aveva notato tre parole che comparivano con grande frequenza in alcune tavolette; le loro sequenze di caratteri erano 08-73-30-12, 70-52-12 e 69-53-12. In base a una pura e semplice intuizione, egli congetturò che si trattasse di nomi di città. Ventris sospettava già che il segno 08 fosse una vocale. Perciò, se la sua intuizione era giusta, la prima parola corrispondeva a una città piuttosto importante il cui nome cominciava con una vocale. Il solo centro che corrispondesse ai criteri citati era Amnisos, un’importante città portuale. In tal caso, il secondo e il terzo segno, fin lì indicati dai numeri 73 e 30, rappresentavano i suoni mi e ni. Queste due sillabe contenevano la stessa vocale, i; quindi i numeri 73 e 30 avrebbero dovuto comparire nella stessa colonna delle vocali, come infatti facevano. L’ultimo segno, il numero 12, avrebbe rappresentato la sillaba -so-, cosicché nessun segno avrebbe rappresentato l’ultima s. Ventris decise di ignorare per il momento il problema della s finale, e prese nota della traduzione seguente: Città 1 = 08-73-30-12 = a-mi-ni-so = Amnisos
Quella di Ventris era solo un’ipotesi di lavoro, ma sommata alla tavola ebbe conseguenze di enorme portata. Per esempio, il segno 12, che sembra rappresentare
la sillaba -so-, è nella seconda colonna delle vocali e nella settima riga delle consonanti. Perciò, se l’ipotesi è corretta, tutti gli altri segni sillabici della seconda colonna contengono la vocale o, e tutti gli altri segni sillabici della settima riga contengono la consonante s. Esaminando il secondo presunto nome di città, l’architetto inglese notò che anch’esso conteneva il segno 12, -so-. Gli altri due segni sillabici, il 70 e il 52, erano nella stessa colonna delle vocali, quindi avrebbero dovuto contenere anch’essi la vocale o. Perciò in questa parola egli poteva inserire la sillaba -so- e la vocale o nei punti appropriati, lasciando degli spazi liberi per le consonanti da stabilire. Ne risultava una sequenza di questo tipo: Città 2 = 70-52-12 = ?o-?o-so = ?
Poteva forse trattarsi di Knossos? Una versione accettabile di questo nome in una scrittura sillabica avrebbe potuto essere ko-no-so. Di nuovo, Ventris decise di non affrontare, per il momento, il problema della s finale. Fu invece lieto di constatare che il segno 52, che avrebbe dovuto stare per la sillaba -no-, occupava nella tavola la stessa riga del segno 30, che in base alle sue supposizioni avrebbe dovuto corrispondere alla -ni- di Amnisos. Ciò era rassicurante: le sue ipotesi di lavoro implicavano proprio che la terza sillaba del primo nome e la seconda del secondo, contenendo entrambe il suono n, fossero sulla stessa riga. Usando le informazioni ricavate dall’ipotesi Amnisos-Cnosso, Ventris inserì alcuni suoni nel terzo nome: Città 3 = 69-53-12 = ??-?i-so.
Il solo nome di città apparentemente compatibile con questa sequenza era Tulissos (tu-li-so), un importante centro abitato dell’interno di Creta. Ancora una volta non c’era traccia dell’ultima s, e ancora una volta Ventris non se ne curò. C’erano buone probabilità che egli avesse identificato tre toponimi, e i valori fonetici di otto segni: Città 1 = 08-73-30-12 Città 2= 70-52-12
= a-mi-ni-so = ko-no-so
= Amnisos = Cnosso
Città 3 = 69-53-12
= tu-li-so
= Tulissos
L’identificazione di otto segni ebbe implicazioni enormi. Ventris potè attribuire valori fonetici a molti altri segni della tavola, purché si trovassero su una riga, o su una colonna, contenente almeno uno dei segni identificati. Il risultato fu che molti segni rivelarono una parte del loro significato sillabico, e alcuni furono identificati in modo completo. Per esempio, il segno 05 è nella colonna dei segni 12 (so), 52 (no)
e 70 (ko), ossia nella colonna o, perciò deve contenere questa vocale. Ma è anche nella stessa riga del segno 69 (tu), cioè nella riga t, quindi deve contenere la consonante t. In breve, il segno 05 rappresenta la sillaba -to-. Il segno 31, a sua volta, è nella colonna del segno 08, cioè nella colonna a, e nella riga del segno 12, la riga s. Perciò il segno 31 rappresenta la sillaba -sa-. La deduzione dei valori sillabici di questi due segni, il 05 e il 31, fu particolarmente importante, perché permise a Ventris di decifrare completamente due parole, 05-12 e 05-31, che comparivano spesso in fondo agli elenchi. Egli sapeva già che il segno 12 corrispondeva alla sillaba -so-, perché faceva parte del toponimo tu-li-so; quindi 05-12 si doveva leggere to-so. E l’altra parola, 05-31, si doveva leggere to-sa. Era un risultato strabiliante. Le parole in questione concludevano molte enumerazioni, e alcuni studiosi avevano già avanzato l’ipotesi che significassero «in tutto». Perciò Ventris le lesse toso e tosa, quasi identiche a tossos e tossa, forma rispettivamente maschile e femminile dell’espressione greca arcaica che significava «così tanto». Fin da quando, a quattordici anni, aveva ascoltato la conferenza di Sir Arthur Evans, lo studioso inglese era convinto che il minoico non potesse essere greco. Ma era toccato proprio a lui scoprire il primo, decisivo indizio del fatto che la lingua corrispondente alle iscrizioni in lineare B era una forma arcaica di greco. L’antica scrittura cipriota aveva fornito una delle prime indicazioni contrarie all’ipotesi che il lineare B fosse greco. Infatti, essa suggeriva che in questo le parole terminassero raramente con s, mentre il suono s è molto comune in greco proprio alla fine dei vocaboli. In effetti, le scoperte di Ventris confermavano che i vocaboli del lineare B tendevano a non concludersi col suono s; d’altra parte, spesso la s sembrava omessa per una sorta di convenzione ortografica. Amnisos, Knossos, Tulissos e tossos erano scritti senza l’ultima consonante, come se gli scribi l’avessero sottintesa lasciando al lettore di colmare l’ovvia lacuna. Di lì a poco Ventris decifrò una manciata di altre parole. Anch’esse facevano pensare al greco antico, ma lo studioso ancora non era affatto convinto che sotto il lineare B si celasse questa lingua. Teoricamente, i pochi termini identificati fino a quel momento potevano essere stati importati dal greco al minoico. Sarebbe incauto lo straniero che, ospite di un grand hotel italiano, avendo notato la scritta «coiffeur» e udito l’espressione «pardon» pensasse che a sud delle Alpi si parli il francese. Inoltre, Ventris si imbattè in alcune parole per lui prive di senso, che avrebbero potuto appartenere a una lingua fin lì sconosciuta. Nell’Appunto di lavoro 20 egli non passò sotto silenzio l’ipotesi greca, ma la definì una «digressione poco seria», e concluse: «Se perseguita, credo che questa strategia di decifrazione porterebbe prima o poi in un vicolo cieco, o si disperderebbe in assurdità». Nonostante queste pessimistiche previsioni, Ventris non si astenne dall’impiegare la strategia di decifrazione basata su tale ipotesi. Mentre l’Appunto di lavoro 20 era
ancora in corso di distribuzione tra gli specialisti, egli cominciò a scoprire altri vocaboli greci: poimén (pastore), keraméus (vasaio), khrusowórgos (orafo), khalkéus (fabbro), e riuscì a tradurre perfino un paio di frasi complete. Fino a quel momento, nessuna delle temute assurdità gli aveva sbarrato il cammino. Per la prima volta dopo tremila anni, il silenzioso lineare B tornava a farsi udire, e le parole che bisbigliava erano incontestabilmente elleniche. Il caso volle che proprio in quel periodo di rapidi progressi Ventris fosse invitato a una trasmissione radio della BBC per parlare del mistero delle iscrizioni minoiche. Gli sembrò un’occasione ideale per rendere pubblica la sua scoperta. Dopo aver ricapitolato il già noto circa la cultura minoica e il lineare B, fece il suo rivoluzionario annuncio: «Nelle ultime settimane, sono giunto alla conclusione che le tavolette di Cnosso e Pilo devono, dopo tutto, essere scritte in greco - un greco arcaico e di difficile comprensione, visto che è di quasi 500 anni più antico di Omero ed è scritto in una forma piuttosto abbreviata, ma pur sempre greco». Uno degli ascoltatori era John Chadwick, un ricercatore di Cambridge che fin dagli anni Trenta si interessava dei tentativi di decifrazione del lineare B. Durante la guerra aveva prestato servizio come crittoanalista ad Alessandria, dove traduceva messaggi cifrati italiani, prima di trasferirsi a Bletchley Park e rivolgere i suoi sforzi ai sistemi crittografici giapponesi. Dopo la guerra era tornato a occuparsi di lineare B, questa volta impiegando le tecniche apprese quando si occupava di cifrature militari - purtroppo, con scarso successo.
Figura 54 John Chadwick. (fonte)
Quando udì l’intervista della BBC, Chadwick era completamente impreparato alle affermazioni apparentemente incongrue di Ventris. Come la maggior parte degli archeologi professionisti, liquidò la tesi dell’intervistato come il punto di vista di un dilettante - quale in effetti era. Tuttavia, poiché tra l’altro teneva lezioni di greco, Chadwick immaginò che gli studenti l’avrebbero sommerso di domande sull’intervista, e per non esser colto impreparato decise di studiare attentamente le argomentazioni di Ventris. Si procurò le copie degli Appunti di lavoro dell’architetto, e le esaminò aspettandosi di trovarle piene di lacune. Invece, in pochi giorni lo scettico studioso divenne uno dei primi seguaci della teoria del lineare B come forma
di greco scritto. Ben presto Chadwick cominciò ad ammirare Ventris: Il suo cervello lavorava con impressionante rapidità, tanto da permettergli di valutare tutte le implicazioni di un suggerimento quasi prima che si avesse finito di pronunciarlo. E aveva un quadro molto preciso degli aspetti concreti del problema; per lui i micenei non erano una vaga astrazione, ma persone realmente vissute, la cui mentalità riusciva a immaginare. Lui stesso sottolineava l’importanza di un approccio immaginativo; gli aspetti visivi dei testi gli erano così familiari che significative porzioni di essi erano nella .sua mente come schemi percettivi molto prima che la decifrazione avesse dato loro un senso. M a una semplice memoria fotografica non sarebbe stata sufficiente, ed era qui che gli studi di architettura venivano in suo soccorso. L’occhio dell’architetto vede in un edificio non una mera facciata, un guazzabuglio di elementi strutturali e decorativi; esso guarda oltre le apparenze e discerne le parti significative dello schema, il senso complessivo dell’edificio e delle sue parti. Così, mescolati alla varietà sconcertante dei segni misteriosi, Ventris riusciva a percepire schemi e ricorrenze, che tradivano la struttura sottostante. È questa qualità, la capacità di vedere l’ordine al di là dell’apparente confusione, a contraddistinguere il lavoro di tutti i grandi uomini.
Tuttavia Ventris era carente di una particolare conoscenza specialistica, quella del greco arcaico. I suoi soli studi sistematici di greco risalivano a quando, da ragazzo, frequentava la Stowe School. Perciò non poté sfruttare a fondo le sue straordinarie scoperte. Per esempio, non riuscì a spiegare alcune delle parole decifrate, perché estranee al suo patrimonio lessicale. La specialità di Chadwick era la filologia greca, cioè lo studio dell’evoluzione storica della lingua ellenica. Perciò era in grado di dimostrare che anche i vocaboli più bizzarri trovavano spiegazione e chiarimento nelle teorie scientifiche sulle trasformazioni del greco antico. Insieme, lui e Ventris formavano una formidabile coppia di ricercatori. È bene ribadire che se il greco omerico risale a tremila anni or sono, il lineare B lo precede di cinque secoli. Quindi per tradurlo Chadwick doveva estrapolare dal greco dell’epoca classica al lineare B, tenendo presenti le tre principali direttrici lungo le quali una lingua si evolve. Innanzitutto, il tempo cambia la pronuncia delle parole. Per esempio, il sostantivo greco che designa «coloro che versano l’acqua per il bagno» muta da lewotrokhowoi in lineare B a loutrokhooi al tempo di Omero. In secondo luogo, muta la grammatica. Per esempio, in lineare B una delle desinenze del genitivo è -oio, mentre la corrispondente desinenza in greco classico è -ou (pronunciato u). Infine, mutamenti vistosi investono il lessico. Alcune parole nascono, altre muoiono, altre cambiano significato. In lineare B harmo significa «ruota», ma in periodi successivi lo stesso significante si riferisce all’oggetto che chiamiamo «carro». Chadwick fece notare che ciò ricordava l’uso di wheels, «ruote», per designare un’automobile nell’inglese moderno.
Con l’attitudine di Ventris alla decifrazione e la conoscenza del greco di Chadwick, fu possibile convincere il resto degli studiosi che il lineare B era, in effetti, greco. Il ritmo di traduzione accelerava ogni giorno. Scrive Chadwich nel libro dedicato alla sua collaborazione con Ventris, The Decipherment of Linear B (La decifrazione del lineare B): La crittografia è una scienza basata sulla deduzione e il controllo sperimentale; le ipotesi sono formulate, controllate, spesso scartate. M a il residuo che supera i controlli cresce a poco a poco, finché, a un certo punto, lo sperimentatore si accorge di posare i piedi su un terreno solido: le ipotesi risultano coerenti, frammenti sensati emergono dall’apparente confusione. Nel codice si è aperta una breccia. Forse, il modo migliore di definire quest’ultima è farla coincidere col momento in cui le indicazioni utili cominciano a comparire così in fretta, che non si riesce a seguirle tutte. È un po’ come nella reazione a catena della fisica atomica: una volta superata la soglia critica, la reazione si propaga da sé.
Non mancava molto al momento in cui Chadwick e Ventris avrebbero dimostrato l’uno all’altro la rispettiva padronanza del lineare B inviandosi brevi appunti di lavoro redatti in quella remota scrittura. Un test informale dell’accuratezza della decifrazione era il numero di divinità che vi comparivano. In passato, quanti imboccavano una strada sbagliata generavano com’era da aspettarsi - parole senza senso, considerate nomi di divinità ignote fino a quel momento. Ma Chadwick e Ventris chiamarono in causa solo quattro divinità, nessuna delle quali era sconosciuta. Nel 1953 i due studiosi, sicuri della loro analisi, riassunsero il lavoro svolto in un articolo dal titolo senza pretese, «Evidence for Greek Dialect in the Mycenaean Archives» (Indizi di un idioma greco negli archivi micenei), che comparve in The Journal of Hellenic Studies. Da quel momento, gli archeologi di tutto il mondo cominciarono a capire di stare assistendo a una rivoluzione. In una lettera a Ventris, lo studioso tedesco Ernst Sittig riassunse l’umore dell’ambiente accademico: «Lo ripeto: le sue dimostrazioni sono, dal punto di vista crittografico, le più interessanti di cui abbia sentito parlare, e mi hanno davvero affascinato. Se lei ha ragione, i metodi dell’archeologia, dell’etnologia, della storia e della filologia degli ultimi cinquantanni sono ridotti ad absurdum». Le tavolette in lineare B contraddicevano quasi tutto quello che era stato sostenuto da Sir Arthur Evans e dagli archeologi della sua generazione. In primo luogo, c’era il puro e semplice fatto che il lineare B era greco. In secondo luogo, se i minoici di Creta scrivevano in greco e, presumibilmente, parlavano quella lingua, gli archeologi erano costretti a riesaminare l’intera storia di quel popolo. Sembrava ora che la potenza egemone della regione fosse Micene, e la Creta minoica una potenza
minore, i cui abitanti parlavano la lingua dei potenti vicini. Comunque, alcuni indizi suggerivano che prima del 1450 a. C. quello minoico fosse uno Stato pienamente indipendente, con una propria lingua. Fu intorno al 1450 a. C. che il lineare B sostituì il lineare A, e sebbene le due scritture appaiano assai simili, nessuno ha ancora decifrato il lineare A. È quindi probabile che il lineare A esprima una lingua del tutto diversa da quella sottostante al lineare B. È oggi ritenuto verosimile che intorno al 1450 a. C. i micenei abbiano soggiogato i minoici, imponendo la loro lingua e causando la transizione dal lineare A al lineare B, che funse da forma scritta della lingua greca. Oltre a chiarire il quadro storico complessivo, la decifrazione del lineare B fornì alcune informazioni particolari. Per esempio, gli scavi effettuati a Pilo non hanno permesso di recuperare alcun oggetto prezioso dalle rovine del lussuoso palazzo che lì sorgeva, la cui distruzione sembra esser stata causata da un incendio. Ciò ha fatto sospettare che il palazzo sia stato dato alle fiamme da un esercito invasore, dopo la razzia di tutte le suppellettili di valore. Anche se le tavolette in lineare B di Pilo non menzionano in modo esplicito gli eventi in questione, essi accennano a preparativi in vista di un attacco nemico. Una tavoletta descrive la creazione di una speciale unità militare per proteggere la costa, un’altra la raccolta di ornamenti di bronzo da riutilizzare come punte di lancia. Una terza tavoletta, dalle iscrizioni stranamente disordinate, descrive un rito complesso da compiere in un tempio, forse comprendente un sacrificio umano. Mentre la maggior parte delle tavolette in lineare B appaiono prive di incertezze e correzioni, come se gli scribi si fossero serviti di una versione provvisoria poi distrutta, la tavoletta disordinata presenta evidenti lacune, e linee a volte incomplete a volte così lunghe da proseguire sulla superficie posteriore. Una possibile spiegazione è che essa rappresenti la versione provvisoria della descrizione di una cerimonia in cui si chiedeva l’intervento divino per sventare un’invasione; la sua trascrizione e distruzione sarebbe stata impedita dalla conquista del palazzo da parte del nemico. Tavola 23 I segni del lineare B, con i numeri e i valori fonetici.
Gran parte delle tavolette in lineare B servono all’archiviazione di dati, e descrivono le transazioni effettuate giorno per giorno. Esse indicano l’esistenza di una burocrazia tra le più efficienti che si conoscano, che teneva un’accurata documentazione di tutte le merci prodotte e scambiate, sia artigianali sia agricole. Chadwick paragonò l’antico archivio su argilla al Domesday Book, (Elenco dei
terreni d’Inghilterra fatto compilare nel 1086 da Guglielmo il Conquistatore. [N.d.T.]) e il professor Denys Page descrisse così il suo carattere particolareggiato: «Le pecore erano computate fino al bel numero di 25.000; nello stesso tempo, il contributo di un animale da parte di Komawens fu considerato meritevole di registrazione… Viene naturale supporre che non un seme potesse esser seminato, non un grammo di bronzo lavorato, non una pezza di stoffa tessuta, non una capra allevata o un maiale ingrassato, senza aver compilato un modulo al Palazzo Reale». Questo archivio di palazzo può esser pedestre nel contenuto, ma ha per forza di cose un risvolto poetico, non fosse che per lo stretto legame con l’Iliade e l’Odissea. Mentre gli scribi di Cnosso e Pilo contavano capre e pezze di stoffa, in Anatolia i duci achei cingevano Troia d’assedio. La lingua rivelata dagli enigmatici segni del lineare B era quella in cui Ulisse diede ordini e consigli ai suoi compagni. Il 24 giugno 1953 Ventris tenne una pubblica conferenza sulla decifrazione del lineare B. Il giorno dopo il Times ne diede notizia, vicino a un commento sulla recente conquista dell’Everest. Ciò fece sì che l’impresa di Ventris e Chadwick fosse spesso definita l’«Everest dell’archeologia greca». L’anno seguente i due studiosi decisero di scrivere un autorevole ed esauriente riassunto delle loro scoperte. Dell’opera, in tre volumi, avrebbero fatto parte la ricostruzione di tutte le fasi della decifrazione, una descrizione particolareggiata di 300 tavolette, e un dizionario con 630 termini micenei. I Documents in Mycenaean Greek (Atti di greco miceneo) furono completati nell’estate del 1955, e pronti per la pubblicazione nell’autunno del 1956. Ma Michael Ventris era morto il 6 settembre 1956, poche settimane prima della stampa: si era scontrato con un autocarro nei pressi di Hatfield, in piena notte, mentre percorreva in automobile la Great North Road. John Chadwick rese omaggio al collega, un uomo che il destino aveva voluto affiancare a Champollion per l’acutezza dell’ingegno e la tragica, prematura scomparsa: «Il lavoro ch’egli ha compiuto vive, e il suo nome verrà ricordato finché la lingua e la civiltà degli antichi greci saranno oggetto di studio».
6 Il segreto alla luce del sole di Alice e Bob
D
urante la seconda guerra mondiale, i solutori di codici britannici prevalsero sugl’inventori di codici tedeschi. Ciò dipese anche dal fatto che gli uomini e le donne di Bletchley Park, ispirandosi al lavoro dei crittoanalisti polacchi, realizzarono congegni pionieristici per la decifrazione automatica. Oltre alle bombe di Turing, usate per tradurre i messaggi Enigma, i britannici inventarono un altro dispositivo di decrittazione; si chiamava Colossus, ed era stato progettato per debellare un sistema crittografico ancora più resistente: la cifratura Lorenz. Dei due dispositivi, Colossus faceva presagire ancor meglio il cammino che la crittografia avrebbe imboccato nella seconda metà del XX secolo. La cifratura di Lorenz era usata per crittare le comunicazioni tra Hitler e i suoi capi di stato maggiore. La codifica era effettuata dalla macchina Lorenz SZ40, simile a Enigma nei principi di funzionamento ma molto più complicata; infatti, essa si dimostrò ben presto un osso duro per i crittoanalisti di Bletchley. Ciò nondimeno due di loro, John Tiltman e Bill Tutte, scoprirono un punto debole nel modo in cui la Lorenz SZ40 era impiegata. Col tempo, il punto debole si trasformò in una falla del sistema crittografico, e permise a Bletchley di tradurre i messaggi di Hitler. Violare la cifratura Lorenz richiedeva indagini, confronti, analisi statistiche e capacità deduttiva - molto più di quanto le «bombe» potessero garantire. La loro forza consisteva nello svolgere un compito specifico in modo accurato e molto veloce, ma mancavano della flessibilità indispensabile per aver ragione di una cifratrice sofisticata come la Lorenz SZ40. Perciò i crittogrammi erano risolti manualmente - un’impresa che richiedeva settimane di duro lavoro e faceva sì che, nella maggioranza dei casi, una volta interpretati essi risultavano ampiamente superati. Alla fine Max Newman, un matematico di Bletchley, trovò il modo di automatizzare la crittoanalisi della cifratura Lorenz. Partendo dal concetto di macchina universale elaborato da Alan Turing, Newman progettò una calcolatrice capace di adattarsi a problemi differenti - quello che oggi chiamiamo computer. La realizzazione pratica del progetto di Newman fu giudicata tecnicamente impossibile, e la direzione di Bletchley archiviò la sua proposta. Ma Tommy Flowers, un ingegnere coinvolto nella valutazione del progetto, era di diverso parere. Le obiezioni degli scettici non lo convincevano, ed egli decise di proseguire lungo la via indicata da Newman. Lavorando al centro di ricerche dell’Ufficio delle Poste, a Dollis Hill, Flowers spese dieci mesi per trasformare lo schema del matematico nella
macchina Colossus, che portò a Bletchley Park l’8 dicembre 1943. L’apparecchio conteneva 1.500 valvole elettroniche, molto più veloci degl’imprecisi interruttori elettromeccanici delle bombe. Tuttavia la caratteristica più interessante di Colossus non consisteva nella velocità, ma nella programmabilità. Era questa a farne un precursore dei moderni elaboratori digitali. Come tutto ciò che si trovava a Bletchley Park, Colossus fu distrutto dopo la guerra, e a coloro che l’avevano usato fu proibito parlarne. Quando a Tommy Flowers fu ordinato di distruggere l’intero progetto del congegno, egli, ubbidiente, portò i fogli nel locale caldaie e li gettò nel fuoco. Così, lo schema di funzionamento del primo calcolatore andò definitivamente perduto, e altri poterono attribuirsi il merito di quell’invenzione. Nel 1945 J. Presper Eckert e John W. Mauchly dell’Università della Pennsylvania realizzarono ENIAC (Electronic Numerical Integrator And Calculator [Integratore e calcolatore numerico elettronico]), un’apparecchiatura contenente 18.000 valvole elettroniche capace di effettuare 5000 calcoli al secondo. Per decenni, non Colossus ma ENIAC fu considerato il capostipite dei moderni elaboratori. Dopo aver contribuito alla nascita del computer, la crittoanalisi continuò nel dopoguerra a impiegare e migliorare la tecnologia informatica per la decodifica di ogni sorta di scritture segrete. La velocità e la flessibilità dei computer sembravano fatte apposta per la crittoanalisi, che poteva approfittarne per generare e controllare una possibile chiave dopo l’altra, fino a trovare quella giusta. Ma, com’era prevedibile, i crittografi contrattaccarono sfruttando a loro volta le risorse dei calcolatori per generare cifrature di enorme complessità. In breve, dopo il 1945 l’informatica fu la protagonista della battaglia tra inventori e solutori di codici. Usare un computer per crittare un messaggio non differisce, per molti aspetti, dall’eseguire una cifratura tradizionale. Le differenze importanti tra un procedimento computerizzato e un procedimento soltanto automatizzato, come Enigma, si riducono a tre: la prima è che una cifratrice meccanica o elettromeccanica ha una potenza limitata, perché con queste tecnologie le dimensioni, il costo e la tendenza a guastarsi aumentano vertiginosamente col crescere della complessità, mentre un computer può simulare una cifratrice estremamente complicata la cui affidabilità, ovviamente, è pari a quella del computer. Per esempio, niente impedisce di programmare un calcolatore in modo che imiti il funzionamento di cento scambiatori, alcuni a rotazione oraria, altri antioraria, alcuni che si autoescludono a ogni decimo numero, altri che cambiano velocità di rotazione durante la cifratura. Un dispositivo elettromeccanico di questo tipo genererebbe un codice molto sicuro, ma sarebbe terribilmente costoso e delicato, mentre un buon programmatore potrebbe realizzare il suo equivalente virtuale con relativa facilità. La seconda differenza è una semplice questione di velocità. L’elettronica opera
molto più rapidamente di uno scambiatore elettromeccanico. Per esempio, un computer programmato per simulare una cifratrice Enigma critterebbe un messaggio quasi istantaneamente. D’altra parte, un programma per la generazione di una cifratura di enorme complessità potrebbe assolvere il suo compito in un tempo ragionevole. La terza, e forse più importante, differenza è che un computer scambia e traspone numeri anziché caratteri alfabetici. I calcolatori operano con numeri binari, cioè con sequenze di 0 e 1. Questi ultimi sono detti anche cifre binarie, o «bit» (dall’inglese binary digit, cifra binaria) per brevità. Perciò, prima della cifratura un messaggio dev’essere convertito in cifre binarie. La conversione può essere eseguita in base a vari codici, tra i quali uno dei più diffusi è l’American Standard Code for Information Interchange [Codice americano standard per lo scambio di informazioni], o, in forma di acronimo, ASCII. Il codice ASCII assegna un particolare numero binario a ogni lettera dell’alfabeto. Per il momento, è sufficiente immaginare un numero binario ASCII come una sequenza di 0 e 1, che equivale a una lettera, così come nel codice Morse ogni lettera è espressa tramite una specifica sequenza di punti e linee. Ci sono 128 (27) modi di disporre 7 cifre binarie, perciò il codice ASCII può esprimere fino a 128 caratteri distinti. Vi è quindi posto per le lettere minuscole (per esempio, a = 1100001), per i segni di interpunzione (per esempio, ! = 0100001) e per altri simboli di uso comune (per esempio, & = 0100110). Una volta convertito il messaggio in numeri binari, la cifratura può cominciare. Anche se ora ci occupiamo di calcolatori e numeri, anziché di cifratrici e lettere, la generazione di un crittogramma ubbidisce ai tradizionali principi della sostituzione e della trasposizione; in altre parole la scrittura segreta si può ottenere sostituendo gli elementi del messaggio originale, oppure cambiandoli di posto, o ancora ricorrendo sia all’una che all’altra operazione. Qualunque cifratura, per quanto complessa, può essere ricondotta a una combinazione di queste basilari modifiche. I due esempi che seguono dimostrano la sostanziale semplicità della cifratura computerizzata, illustrando come un calcolatore potrebbe eseguire un’elementare cifratura per sostituzione e un’elementare cifratura per trasposizione. Innanzitutto, supponiamo che il messaggio che vogliamo cifrare sia SALVE, e che intendiamo servirci di una semplice versione computerizzata di una cifratura per trasposizione. Prima di crittarlo, dobbiamo convertire il messaggio in codice ASCII, rispettando le corrispondenze elencate nella Tavola 24.
Tavola 24 Numeri binari ASCII delle lettere maiuscole
Una delle forme più semplici di cifratura per trasposizione comporta lo scambio della prima e della seconda cifra binaria, poi della terza e della quarta cifra binaria, e così via. Poiché il testo chiaro genera una sequenza dispari di cifre binarie, l’ultimo bit resterà immutato. Per rendere più evidente la natura di questa operazione, ho eliminato gli spazi tra i blocchi ASCII del testo chiaro, riducendoli a una stringa unica, che poi ho allineato col testo cifrato che serve da paragone:
Un aspetto interessante della trasposizione al livello delle cifre binarie è che opera all’interno della singola lettera, e inoltre che lo scambio può coinvolgere il bit iniziale o finale di una lettera, e il bit contiguo della lettera precedente o seguente. Nel nostro esempio, questo tipo di scambio coinvolge per esempio l’1 finale di S e l’1 iniziale di A (dove non ha conseguenze, perché i bit scambiati sono uguali), ma anche lo 0 finale di L e l’1 iniziale di V, dove ha l’effetto di mutare la sequenza 01 in 10. Il messaggio crittato è una singola stringa di 35 cifre binarie, che può essere trasmessa al destinatario. Quest’ultimo può ripristinare il testo chiaro effettuando di nuovo la trasposizione delle cifre binarie, dividendo la stringa in elementi del codice ASCII da sette bit, e trovando la lettera alfabetica corrispondente. Supponiamo ora di voler crittare lo stesso messaggio, SALVE, impiegando una semplice versione computerizzata di una cifratura per sostituzione. Di nuovo, prima di crittare il messaggio dovremo convertirlo in codice ASCII. Come di consueto, la sostituzione si avvale di una chiave concordata dal mittente e dal destinatario. In questo caso, sia la parola DAVID a fungere da chiave. Tradotta in codice ASCII, essa si potrà usare nel modo seguente. Ogni elemento del testo chiaro è «sommato» al corrispondente elemento della chiave. L’addizione delle cifre binarie può essere
concepita in termini di due semplici regole: se gli elementi del testo chiaro e della chiave sono uguali, l’elemento del testo chiaro diventa 0 nel crittogramma; se invece gli elementi del messaggio e della chiave differiscono, l’elemento del testo chiaro diventa 1 nel crittogramma.
Il crittogramma così generato è una singola stringa di 35 cifre binarie, che può essere trasmessa al destinatario. Quest’ultimo, usando la chiave per invertire la sostituzione, può ricreare la stringa originaria, e da questa, tramite il codice ASCII, risalire al testo chiaro. All’inizio, la cifratura computerizzata era riservata a chi disponeva di elaboratori elettronici, in sostanza il governo e le forze armate. Ma una serie di progressi scientifici, tecnologici e ingegneristici, diminuendo il costo di produzione degli elaboratori aumentò la loro diffusione e la possibilità di impiegarli anche per la crittografia. Nel 1947 la AT&T e i Laboratori Bell inventarono il transistor, un’alternativa economica alla tradizionale valvola elettronica. Nel 1951 l’informatica commerciale diventò una realtà quando compagnie come la Ferranti cominciarono a costruire computer su ordinazione. Nel 1953 la IBM lanciò il suo primo elaboratore, e quattro anni dopo introdusse il Fortran, un linguaggio di programmazione che permetteva anche ai non specialisti di scrivere programmi per computer. Infine, nel 1959 l’invenzione del circuito integrato segnò l’inizio di una nuova èra per il mondo dell’informatica. Nel corso degli anni Sessanta i calcolatori diventarono sempre più potenti e, nel contempo, sempre meno costosi. Un numero crescente di aziende private poté permettersi di acquistarli e di utilizzarli per vari scopi, compresa la cifratura di informazioni particolarmente delicate, come i movimenti di capitale e le trattative con privati e istituzioni. D’altra parte, la crescente diffusione degli elaboratori e l’uso sempre più frequente della crittografia da parte dei privati misero i crittografi di fronte a problemi che non si erano mai presentati, quando la loro arte era la riserva di caccia dei militari e degli uomini di Stato. Uno dei più pressanti era quello della standardizzazione. Un’azienda poteva decidere di usare un particolare sistema crittografico per proteggere le comunicazioni al proprio interno, ma se decideva di inviare un crittogramma a un’altra organizzazione doveva accertarsi che il destinatario usasse lo stesso sistema; in caso contrario, la decifrazione sarebbe stata impossibile. Finalmente, il 15 maggio 1973 il National Bureau of Standards
americano invitò ufficialmente ad avanzare proposte per l’adozione di un sistema crittografico standardizzato, che consentisse lo scambio di informazioni cifrate tra tutti gli operatori economici. Uno dei più apprezzati algoritmi di cifratura, e un buon candidato a questo ruolo, era un prodotto IBM noto come Lucifer. Esso era stato sviluppato da Horst Feistel, un tedesco emigrato negli Stati Uniti nel 1934. Quando l’America entrò in guerra, egli era sul punto di ottenere la cittadinanza; fu invece posto agli arresti domiciliari fino al 1944. Poi, per qualche anno, nascose il suo interesse per la crittografia temendo di insospettire le autorità. Quando infine cominciò a compiere ricerche in questo campo al Cambridge Research Centre dell’aeronautica, ebbe subito problemi con la National Security Agency (NSA), l’ente preposto alla sicurezza delle comunicazioni governative e militari degli Stati Uniti, nonché all’intercettazione e decifrazione delle comunicazioni di Stati esteri. Quest’organizzazione impiega più matematici, compra più apparecchiature informatiche e intercetta più messaggi di chiunque altro al mondo. Quando si tratta di «curiosare» nelle trasmissioni di ogni genere, la supremazia planetaria della NSA è indiscussa. La NSA non muoveva obiezioni al passato di Feistel; voleva solo avere il monopolio delle ricerche in campo crittografico, e sembra sia stata all’origine della cancellazione del progetto di ricerca dello studioso tedesco. Negli anni Sessanta Feistel si trasferì alla Mitre Corporation, ma la NSA continuò a far pressione e lo costrinse a rinunciare per la seconda volta. Infine egli approdò al Watson Laboratory della IBM, vicino a New York, dove per alcuni anni poté lavorare senza essere importunato; e nei primi anni Settanta mise a punto il sistema Lucifer. Lucifer critta i messaggi tramite le seguenti operazioni. In primo luogo il testo è convertito in una lunga stringa di cifre binarie. Poi la stringa è divisa in blocchi di 64 bit, ciascuno dei quali sarà crittato separatamente. Il terzo passo consiste nel mescolamento dei 64 bit del blocco, e nella divisione di quest’ultimo in due mezzi blocchi da 32 bit, chiamati Sinistra0 e Destra0. I bit di Destra0 sono poi introdotti in una funzione «deformante», che trasforma le cifre binarie tramite un complesso procedimento di sostituzione. Il mezzo blocco Destra0 deformato è sommato a Sinistra0 per produrre un nuovo mezzo blocco da 32 bit chiamato Destra1, mentre l’originario Destra0 è ribattezzato Sinistra1. Questa serie di operazioni è chiamata complessivamente «giro». Il primo giro è seguito da un secondo giro, che parte dai nuovi mezzi blocchi Sinistra1 e Destra1 e porta a Sinistra2 e Destra2. La cifratura completa di un blocco da 64 bit prevede un totale di sedici giri. Nell’insieme il procedimento può essere accostato alla lavorazione di un impasto. Immaginiamo una massa soda di acqua e farina sulla quale si sia scritto un messaggio. Dapprima essa è divisa in blocchi di 64 cm. Poi nell’ambito di un blocco un mezzo blocco da 32 cm è
separato, appiattito, arrotolato, aggiunto all’altro mezzo blocco e riplasmato in modo da formare un nuovo blocco da 64 cm. Il procedimento è ripetuto sedici volte, dopo di che si passa al blocco successivo, finché tutto l’impasto sia stato lavorato. Il testo in cifra può quindi essere inviato al destinatario, che lo volgerà in chiaro invertendo il processo. I particolari della funzione deformante possono mutare a ogni messaggio, in quanto dipendono dalla chiave concordata dal mittente e dal destinatario. In altre parole, lo stesso messaggio può essere cifrato in un’infinità di modi a seconda della chiave scelta. Nella crittografia computerizzata le chiavi sono essenzialmente numeri. Perciò la selezione della chiave si riduce alla scelta, di comune accordo, di un numero da parte del mittente e del destinatario. Nella cifratura, l’input che il mittente fornisce a Lucifer consiste nel numero in questione e nel testo chiaro; il testo in cifra è l’output del programma. La decrittazione richiede che il destinatario fornisca a Lucifer la chiave e il testo crittato; il programma restituisce il testo originale. Nell’insieme, Lucifer era considerato uno dei migliori programmi crittografici presenti sul mercato, ed era perciò impiegato da una quantità di organizzazioni. Sembrava inevitabile che questo sistema fosse adottato dal Bureau of Standards, ma ancora una volta la NSA ostacolò il cammino professionale di Feistel. Lucifer era così efficace che uno standard crittografico basato su di esso avrebbe probabilmente superato le capacità di decifrazione dell’agenzia. Si dice che, per questa ragione, essa abbia fatto pressione per indebolire un aspetto del programma, cioè il numero di chiavi ammesse, quale condizione del suo accoglimento come standard. Il numero di chiavi è uno dei fattori decisivi per la forza di una cifratura. Non si può mai escludere che un decifratore adotti la strategia di testare tutte le chiavi possibili, e quanto più numerose sono le chiavi, tanto meno è probabile che quella giusta sia trovata rapidamente. Nel caso di un milione di chiavi possibili, il decifratore potrebbe ricorrere a un computer molto potente e individuare quella giusta nell’arco di qualche minuto. Trovata la chiave, volgere in chiaro il messaggio sarebbe questione di un attimo. D’altra parte, un numero enorme di chiavi può rendere impraticabile questa strategia anche per chi disponga dei migliori computer. Per questo la NSA voleva esser sicura che se Lucifer fosse stato scelto come standard, esso potesse operare solo con un numero limitato di chiavi. L’agenzia si batté perché il numero di chiavi non superasse i cento milioni di miliardi - una quantità che in gergo tecnico si chiama «56 bit», perché questo è il numero di 0 e 1 necessari a esprimerla in forma binaria. A quanto pare, la NSA riteneva che questa gamma di chiavi garantisse la sicurezza in ambito civile, perché nessuna organizzazione non militare possedeva calcolatori capaci di controllarla in un tempo ragionevole. Quanto all’agenzia stessa, potendo essa disporre dei più avanzati dispositivi di calcolo allora disponibili, il chiarimento dei crittogrammi corrispondenti
allo standard in discussione non sarebbe stato al di là della sua portata. La versione a 56 bit della cifratura Lucifer di Horst Feistel fu ufficialmente adottata il 23 novembre 1976 col nome di Data Encryption Standard (Standard di codifica dei dati), o DES. È trascorso un quarto di secolo, e il DES rimane lo standard ufficiale americano per la codifica delle informazioni. L’introduzione del DES risolse il problema della standardizzazione, e ciò incoraggiò la comunità degli affari a servirsi della crittografia per ragioni di sicurezza. Il DES offriva infatti garanzie sufficienti contro incursioni da parte delle aziende rivali. In effetti, un’azienda che fosse in possesso di un elaboratore a uso civile non poteva far breccia in un crittogramma DES, perché la gamma di chiavi ammesse era sufficientemente ampia. Purtroppo, nonostante la standardizzazione e la forza del DES, gli uomini d’affari dovevano ancora fare i conti con una difficoltà di prima grandezza - un problema noto come distribuzione delle chiavi. Immaginiamo che una banca voglia inviare un messaggio riservato a un cliente per via telefonica, e tema che la chiamata possa essere intercettata. Un funzionario autorizzato sceglie una chiave e usa il DES per cifrare il messaggio. Ma perché il cliente possa servirsene, oltre a far sì che abbia una copia del software nel proprio computer, occorre fornirgli la chiave usata per cifrarlo. Come comunicargliela? Non è possibile inviarla via telefono come il messaggio, visto che questo era stato crittato per timore di un’intercettazione. Il modo più sicuro sarebbe la consegna brevi manu, che comporta un notevole spreco di tempo. Una soluzione meno sicura ma più pratica consiste nell’invio tramite corriere. Negli anni Settanta le banche cercarono di distribuire le chiavi per mezzo di personale specializzato, uomini e donne vagliati con cura, assunti da parecchio tempo e considerati pienamente affidabili. Questi messaggeri percorrevano il Paese con borse portadocumenti dalle serrature sofisticate, e consegnavano personalmente le chiavi informatiche a coloro ai quali la banca intendeva inviare dati cifrati nelle settimane successive. Ma poiché ogni istituto di credito mira a espandere la clientela, il numero di messaggi da trasmettere e di chiavi da consegnare crebbe incessantemente, finché ci si accorse che quel metodo di distribuzione stava diventando un incubo logistico, con costi generali proibitivi. Il problema della distribuzione delle chiavi turba da sempre i sonni dei crittografi. Per esempio, durante la seconda guerra mondiale l’Alto comando germanico dovette distribuire a tutti gli operatori Enigma, con frequenza mensile, i cifrari con le chiavi giornaliere - un’impresa che si rivelò irta di difficoltà. Inoltre gli U-boot, che tendevano a restare lontani dalle basi per lunghi periodi, dovevano caricare provviste di chiavi particolarmente abbondanti. Perciò la cattura dei sottomarini permetteva di solito a Bletchley Park di decrittare le comunicazioni radio della marina tedesca per diverse settimane. Per quanto forte possa essere in teoria una cifratura, in pratica il
problema della distribuzione delle chiavi può minarne le fondamenta. Fino a un certo punto, il problema è stato risolto dalle forze armate e dalle istituzioni governative attingendo generosamente alle risorse umane e materiali messe a loro disposizione. Infatti, le informazioni che esse devono trasmettere sono considerate abbastanza importanti da giustificare i costi. Le chiavi crittografiche del Governo degli Stati Uniti sono custodite e distribuite dal COMSEC, acronimo di Communications Security [Sicurezza delle comunicazioni]. Negli anni Settanta, ogni giorno il COMSEC ha trasportato tonnellate di chiavi. Appena una nave col materiale COMSEC attraccava, gli agenti del COMSEC salivano a bordo, prendevano in consegna tessere magnetiche, nastri, floppy disk, e qualsiasi altro supporto per la conservazione delle chiavi, e li portavano alla locale sede diplomatica statunitense, o a chiunque ne facesse le veci. La distribuzione delle chiavi può sembrare un problema pedestre, ma per i crittografi del secondo dopoguerra diventò addirittura prioritario. Due parti che intendevano comunicare in modo sicuro dovevano affidarsi a una terza parte per la consegna delle chiavi crittografiche, e questo diventò l’anello debole della catena della segretezza. Per gli uomini d’affari, la difficoltà era impossibile da aggirare: se il governo, nonostante i suoi mezzi, riusciva a mala pena a garantire la sicurezza nella consegna delle chiavi, come potevano le compagnie civili sperare anche solo di avvicinarsi a un simile risultato senza andare in fallimento? Sebbene alcuni sostenessero apertamente che la distribuzione delle chiavi era un problema insolubile, un’équipe di operatori indipendenti smentì gli scettici, e a metà degli anni Settanta trovò una brillante soluzione. Essi misero a punto un sistema crittografico che sfidava ogni logica. Anche se i calcolatori hanno profondamente influenzato la codifica dei messaggi, la vera rivoluzione crittografica del XX secolo è consistita nella comparsa di tecniche capaci di superare il problema della distribuzione delle chiavi. In effetti, questo passo avanti è stato considerato il più importante dall’invenzione della cifratura monoalfabetica, avvenuta più di duemila anni fa.
Dio ripaga i folli Whitfield Diffie è uno dei più vulcanici crittografi della sua generazione. La sua semplice vista suscita un’impressione intensa e in qualche modo contraddittoria. Il suo abbigliamento impeccabile testimonia che per gran parte di questo decennio egli è stato stipendiato da uno dei giganti americani dell’informatica - attualmente, la sua qualifica professionale ufficiale è «Distinguished Engineer» alla Sun Microsystems. Nel contempo i capelli lunghi fino alle spalle e la lunga barba candida rivelano che egli ha ancora nel cuore gli anni Sessanta. Passa gran parte del tempo di fronte a un terminale di computer, ma ha l’aria di chi sarebbe altrettanto a suo agio in un āśhram di Bombay. Diffie è consapevole dell’effetto che la sua personalità e il suo abbigliamento hanno sul prossimo, e commenta: «La gente ha sempre l’impressione che sia più alto di quanto in effetti sono: “Non importa quanti chili, etti e grammi pesi, sembra sempre più grande per via dei rimbalzi”». Diffie è nato nel 1944, e ha passato gran parte dell’infanzia nella città di New York. Fin da bambino era così affascinato dalla matematica da divorare libri sull’argomento che andavano da Il prontuario di tavole matematiche dell’Industria chimica della gomma al Corso di matematica pura di G.H. Hardy. La passione per questa materia lo condusse al Massachusetts Institute of Technology, dove si laureò nel 1965. Ottenne poi una serie di impieghi connessi con la sicurezza dei dati informatici, e all’inizio degli anni Settanta era diventato uno dei pochi autentici esperti indipendenti in questo campo. In altre parole egli era un libero professionista della crittografia, non stipendiato né dal governo né da una delle grandi corporations. Col senno di poi, si può dire che fu il primo cypherpunk. Il problema della distribuzione delle chiavi sembrava a Diffie particolarmente interessante. È verosimile che capisse che chi lo avesse risolto, sarebbe passato alla storia come uno dei massimi crittografi di ogni tempo. L’argomento lo conquistò a tal punto da diventare la voce più importante nel suo speciale quaderno di appunti, intitolato «Problemi per un’ambiziosa teoria della crittografia». In parte, l’interesse di Diffie per la distribuzione delle chiavi derivava dalla sua visione di un futuro «mondo interconnesso». Negli anni Sessanta il ministero della Difesa americano aveva cominciato a finanziare un’organizzazione di ricerche non convenzionali chiamata Advanced Research Projects Agency (Agenzia per i progetti di ricerca avanzata), e uno dei progetti di avanguardia presi in esame dall’ARPA mirava a trovare il modo di collegare computer militari situati a grande distanza gli uni dagli altri. Questo avrebbe permesso di trasferire i compiti dai computer danneggiati a quelli intatti nell’ambito della rete di interconnessione. Lo scopo principale era rendere più resistente a un attacco nucleare l’infrastruttura di calcolatori militari del Pentagono; tuttavia la rete avrebbe anche permesso agli scienziati di scambiarsi messaggi, e di
effettuare calcoli approfittando della residua capacità di lavoro di computer distanti. L’ARPANet, cioè il network di comunicazioni dell’ARPA, fu inaugurato nel 1969, e alla fine dell’anno collegava quattro siti. Continuò a crescere in modo lento ma costante, e nel 1982 generò l’Internet. Alla fine degli anni Ottanta questa potente rete fu messa a disposizione degli utenti extra-accademici ed extra-governativi, il cui numero cominciò a crescere con rapidità addirittura esplosiva. Oggi oltre cento milioni di persone usano Internet per scambiarsi informazioni e inviare posta elettronica, o e-mail.
Figura 55 Whitfield Diffie. (fonte)
Quando ARPANet era ancora nella fase iniziale, Diffie fu abbastanza lungimirante da prevedere l’avvento della rivoluzione telematica e delle super-autostrade
dell’informazione. Capì che le persone comuni avrebbero un giorno posseduto un computer, e che i computer avrebbero comunicato tra loro per mezzo delle linee telefoniche. Se questi mezzi fossero stati usati per scambiarsi posta elettronica, gli utenti, secondo Diffie, avrebbero avuto il diritto di cifrarla per difendere la loro privacy. D’altra parte, la cifratura richiedeva lo scambio delle chiavi in condizioni di sicurezza. Se la loro distribuzione protetta metteva in difficoltà il governo e le grandi corporations, essa sarebbe risultata impossibile per i privati, il cui diritto al riserbo in realtà non sarebbe stato tutelato. Diffie immaginò due estranei che si incontravano via Internet, e si chiese come avrebbero potuto scambiarsi messaggi crittati. Come alternativa, prese in considerazione il caso di una persona che volesse acquistare tramite Internet un prodotto. Come avrebbe potuto inviare un e-mail con i dati crittati della sua carta di credito, in modo che solo il destinatario Internet potesse decifrarli? In entrambi i casi, sembrava che le parti non potessero fare a meno di concordare una chiave, ma come riuscirci in condizioni di sicurezza? Il numero di scambi occasionali di comunicazioni e di e-mail tra gli utenti della rete sarebbe stato enorme, e altrettanto difficile sarebbe stata la distribuzione delle chiavi. Diffie temeva che la necessità della distribuzione delle chiavi spingesse le persone comuni a rinunciare alla privacy informatica, e superare l’ostacolo divenne per lui quasi un’ossessione. Nel 1974, quando era ancora un crittografo indipendente, egli fece visita al Laboratorio Watson dell’IBM, dov’era stato invitato a tenere una conferenza. Parlò di varie strategie di attacco relative al problema della distribuzione delle chiavi, ma tutte le sue idee erano in uno stadio iniziale di elaborazione, e l’uditorio le accolse con scetticismo. La sola nota positiva per Diffie venne da Alan Konheim, uno dei crittografi esperti dell’IBM; Konheim accennò al fatto che recentemente un altro studioso aveva visitato il laboratorio e tenuto una conferenza; e anch’egli aveva tentato di affrontare il problema della distribuzione delle chiavi. Il relatore era Martin Hellman, un professore dell’università californiana di Stanford. Quella sera Diffie prese la sua automobile e affrontò un viaggio di cinquemila chilometri fino alla costa occidentale per incontrare la sola persona che sembrava condividere la sua ossessione. L’alleanza di Diffie e Hellman avrebbe generato una delle collaborazioni più dinamiche nella storia della crittografia. Martin Hellman era nato nel 1946 a New York, in una zona del Bronx abitata prevalentemente da ebrei; poi, quando aveva quattro anni, la sua famiglia si era trasferita in un quartiere a maggioranza cattolico-irlandese. Secondo Hellman, ciò aveva cambiato per sempre il suo atteggiamento verso la vita: «Gli altri bambini andavano in chiesa, e sentivano raccontare che gli ebrei avevano crocifisso Gesù; dopo di che qualcuno pensava bene di chiamarmi “assassino di Cristo”; fui anche preso a botte. All’inizio volevo essere come i miei coetanei, avere l’albero di Natale
e ricevere regali il 25 dicembre. Poi capii che non potevo essere come gli altri, e reagii assumendo un atteggiamento del tipo “tanto meglio se sono diverso”». Hellman attribuiva una parte del suo interesse per la crittografia al perdurante desiderio di essere diverso. I colleghi gli dicevano che era matto a voler compiere ricerche in quel campo, dove avrebbe dovuto competere con la NSA e i suoi bilanci miliardari. Come poteva sperare di scoprire qualcosa che l’agenzia non conoscesse già? E se l’avesse scoperta, la NSA l’avrebbe dichiarata segreto militare. All’inizio delle sue ricerche crittografiche, Hellman si era imbattuto in The Codebreakers (I solutori di codici) dello storico David Kahn. Il libro era la prima ricostruzione dettagliata dell’evoluzione delle scritture segrete, e il punto di partenza ideale per un aspirante crittografo. The Codebreakers fu il solo compagno di ricerche di Hellman, finché, nel settembre 1974, ricevette un’inattesa telefonata da Whitfield Diffie, che aveva appena attraversato gli Stati Uniti per incontrarlo. Hellman non l’aveva mai sentito nominare, e accettò senza entusiasmo di dedicargli una mezz’ora il pomeriggio di quel giorno. Tuttavia, trascorsi i trenta minuti egli aveva compreso di essere di fronte alla persona più preparata che avesse incontrato. L’impressione fu reciproca. Ricorda Hellman: «Avevo promesso a mia moglie di tornare presto a casa per badare ai bambini, perciò lui mi accompagnò e cenammo insieme. Se ne andò verso mezzanotte. Le nostre personalità sono molto diverse - lui è molto più “alternativo” di me - ma alla fine questa diversità si è rivelata molto complementare. Per me fu come una boccata d’aria fresca. Lavorare nel più completo isolamento era stato veramente duro». Hellman non disponeva di grandi fondi, perciò non poté assumere come collaboratore il suo nuovo compagno di scorribande intellettuali; Diffie fu invece arruolato come studente di dottorato. I due crittografi affrontarono subito il problema della distribuzione delle chiavi, decisi a trovare un’alternativa all’ingrato compito di trasportarle fisicamente in remote località. Dopo qualche tempo si unì a loro Ralph Merkle. Questi era un transfuga intellettuale, provenendo da un’équipe guidata da un docente che considerava insolubile il problema distributivo. Come noi due, Ralph era disposto a fare la parte del matto - racconta Hellman - e se si vuole arrivare da qualche parte compiendo ricerche originali, bisogna essere un po’ matti; solo i folli non si stancano di tentare. Ti viene l’idea numero 1, ci speri, e si rivela un fallimento. Allora provi l’idea numero 2, ci speri, e ti delude… Poi ti viene l’idea numero 99, ci speri, e anche quella ti delude. Solo un pazzo può lasciarsi tentare dalla centesima idea. Eppure, può accadere di doverne scartare novantanove per trovare quella che dà frutto. Se non si è abbastanza matti da continuare a entusiasmarsi, la motivazione vien meno, e non si può proseguire. Dio ripaga i folli.
L’intero problema della distribuzione delle chiavi sembra privo di via d’uscita. Se
due persone vogliono usare il telefono per condividere un segreto, il mittente deve crittarlo. Per crittarlo deve ricorrere a una chiave, che è a sua volta un segreto. Sorge quindi il problema di trasmettere la chiave, per poter trasmettere il messaggio. In breve, per potere condividere un segreto (tramite un messaggio crittato), due persone dovrebbero già condividere un segreto (la chiave). Per ragionare di distribuzione delle chiavi, è utile riferirsi ad Alice, Bob ed Eva, tre personaggi immaginari spesso utilizzati nelle discussioni sulla crittografia commerciale. Di solito Alice vuole mandare un messaggio a Bob, o viceversa, ed Eva vuole conoscerne il contenuto. Per impedire a Eva di scoprire cose che non la riguardano, Alice decide di crittare ogni messaggio con una chiave diversa prima di mandarlo a Bob. Ma ogni volta deve affrontare il problema del recapito della chiave. Una possibile soluzione sarebbe che Alice e Bob si incontrassero una volta alla settimana e si scambiassero abbastanza chiavi per i messaggi dei sette giorni successivi. Scambiarsi le chiavi brevi manu è un sistema sicuro ma esposto a contrattempi. Per incepparlo, basta una malattia che costringa a letto Alice o Bob per qualche tempo. Oppure, Alice e Bob potrebbero rivolgersi a un corriere; questo li solleverebbe da molti problemi, ma sarebbe più costoso e meno sicuro. Nell’un caso e nell’altro la distribuzione delle chiavi sembra inevitabile. Da duemila anni, questo era considerato un assioma della crittografia; eppure, Diffie e Hellman conoscevano una storiella che lo faceva traballare.
Figura 56 M artin Hellman. (fonte)
L’immaginaria vicenda, in cui ritroviamo Bob e Alice, è ambientata in un Paese dal servizio postale totalmente immorale. I suoi dipendenti si divertono a leggere tutta la corrispondenza non protetta, perciò un giorno Alice, dovendo inviare a Bob un messaggio personale, decide di collocarlo in una scatola di metallo chiusa da un lucchetto. Ovviamente, ella non ha intenzione di consegnare all’impiegato delle poste sia la scatola che la chiave. Consegnando solo la scatola, il messaggio giungerà a
Bob in condizioni di sicurezza; ma come farà Bob ad aprire il lucchetto? Per un attimo, Alice pensa di collocare la chiave in un altra scatola con lucchetto e di spedirla a Bob. Ma poiché egli non ha nemmeno la chiave del secondo lucchetto, ciò non rappresenterebbe un passo avanti. Non sembrano esserci alternative: per uscire dall’impasse Alice deve fare una copia della chiave e consegnarla a Bob in anticipo, magari durante la pausa per il caffè. Siamo tornati al vecchio problema della distribuzione. Evitarlo sembra impossibile per ragioni logiche: se Alice chiude la scatola con un lucchetto, in modo che solo Bob possa prendere visione del contenuto, Bob deve possedere una copia della chiave. In termini crittografici: o Bob conosce la chiave usata da Alice per crittare il messaggio, o quest’ultimo gli sarà incomprensibile (a meno che si improvvisi crittoanalista); tertium non datur - o sì? Immaginate la seguente situazione. Come prima, Alice vuole mandare a Bob un messaggio molto personale. Di nuovo, lo colloca in una scatola metallica, chiude la scatola con un lucchetto, e la spedisce a Bob tenendo la chiave. Ricevuta la scatola, Bob le applica un secondo lucchetto e la rispedisce ad Alice, tenendo con sé la chiave del secondo lucchetto. Quando Alice riceve la scatola è libera di rimuovere il primo lucchetto e di rispedirla a Bob; infatti il lucchetto di Bob è sufficiente ad assicurare l’inviolabilità del contenuto. Quando la scatola è finalmente recapitata a Bob, egli può aprire il secondo lucchetto con la relativa chiave, da cui non si è mai separato. Le implicazioni di questo breve racconto sono profonde. Esso dimostra che un messaggio segreto può essere trasmesso da una persona a un’altra in modo sicuro, senza dover necessariamente recapitare la chiave. Per la prima volta, disponiamo di uno schema in cui la distribuzione delle chiavi non è parte integrante della crittografia. Il racconto può essere reinterpretato in termini di cifratura. Alice usa la propria chiave per crittare il messaggio destinato a Bob. Bob lo ricritta usando anch’egli la propria chiave, e lo rimanda ad Alice. Alice rimuove dal messaggio bi-crittato la propria cifratura, e lo invia a Bob in forma mono-crittata. Infine, Bob rimuove la sua cifratura, e legge il messaggio. Il problema della distribuzione delle chiavi sembra risolto, perché lo schema a doppia cifratura non richiede la condivisione delle chiavi. Tuttavia, la realizzazione pratica di un sistema in cui Alice critta, Bob ricritta, Alice decritta e Bob ridecritta urta contro un grave ostacolo. Il problema riguarda l’ordine in cui cifrature e decifrature sono eseguite. In generale, quest’ordine è di importanza cruciale, e deve ubbidire al principio per cui «l’ultimo arrivato esce per primo». In altre parole, la cifratura eseguita per ultima andrebbe decifrata per prima. Nel racconto precedente, l’ultima cifratura è quella di Bob; perciò egli dovrebbe effettuare la prima decifrazione, mentre la cifratura rimossa per prima è quella di Alice. L’importanza dell’ordine in cui si compie una serie di operazioni è un fatto così comune, che non
gli prestiamo attenzione. Poiché la mattina infiliamo i calzini, poi le scarpe, la sera dobbiamo togliere prima le scarpe, poi i calzini. Fare il contrario sarebbe impossibile: «l’ultimo arrivato esce per primo». Alcune cifrature elementari, come quella di Cesare, sono così semplici che l’ordine non ha importanza, ma almeno negli anni Settanta sembrava che ogni cifratura forte dovesse ubbidire al principio dell’ultimo arrivato. Quindi in un messaggio cifrato prima con la chiave di Alice, poi con quella di Bob, è indispensabile rimuovere la cifratura di Bob prima di quella di Alice. L’ordine è cruciale perfino in una semplice sostituzione monoalfabetica. Immaginate che Alice e Bob abbiano le loro chiavi, come mostrato sotto, e osservate cosa accade se l’ordine è scorretto. Alice usa la propria chiave per crittare il messaggio per Bob, e Bob lo ricritta usando la sua chiave; poi Alice usa la propria chiave per decrittare parzialmente il messaggio. Infine, Bob cerca di ripristinare il testo originale usando la sua.
Il risultato è senza senso. D’altra parte, potete controllare da soli che se l’ordine delle decifrazioni fosse invertito, e Bob decifrasse prima di Alice, il risultato avrebbe coinciso col messaggio iniziale. Ma se l’ordine è così importante, perché nel racconto precedente lo stratagemma dei due lucchetti sembra funzionare? La risposta è che per i lucchetti l’ordine di rimozione non ha importanza. Posso applicare a una scatola di metallo anche venti lucchetti uno accanto all’altro e rimuoverli in qualunque modo; alla fine la scatola si aprirà. Purtroppo, i sistemi crittografici sono molto più sensibili dei lucchetti all’ordine in cui sono eseguite le operazioni che li riguardano.
Anche se il trucco dei due lucchetti non è immediatamente applicabile ai sistemi crittografici, esso rinforzò la determinazione di Diffie e Hellman a trovare il modo di aggirare la distribuzione delle chiavi. Mese dopo mese, continuarono a cercare una soluzione. Un’idea dopo l’altra si rivelò un fallimento, ma da autentici folli essi perseverarono. Le loro ricerche si concentrarono sull’esame di varie funzioni matematiche. Si chiama funzione qualunque procedimento matematico che trasforma un numero in un altro. In questo senso, «doppio di …» è una funzione, cioè un procedimento che trasforma il numero 3 nel numero 6, il numero 9 nel numero 18 e così via. Inoltre, tutti i tipi di cifratura computerizzata possono essere considerati funzioni, perché trasformano un numero (il testo chiaro) in un altro numero (il testo cifrato). Molte funzioni matematiche sono «bidirezionali» [two-way], nel senso che si possono disfare con la stessa facilità con cui sono state fatte. Per esempio, «il doppio di …» è una funzione «bidirezionale», perché è facile sia generare un numero grande due volte un numero dato, sia invertire la funzione, tornando dal numero raddoppiato a quello originario. Così, se sappiamo che il risultato di «il doppio di …» è 26, non presenta difficoltà, ricorrendo alla funzione inversa, dedurre che il numero originario era 13. Il modo più semplice di assimilare il concetto di funzione «bidirezionale» è paragonarla alle attività quotidiane. Se pensiamo alla pressione di un interruttore della luce come a una funzione che può trasformare una lampadina spenta in una lampadina accesa, allora si tratta di una funzione bidirezionale, perché riportare la lampadina allo stato iniziale è banale (basta premere di nuovo l’interruttore). D’altra parte, Diffie e Hellman non erano interessati alle funzioni bidirezionali; la loro attenzione era invece rivolta a quelle «unidirezionali». Come il loro nome suggerisce, il risultato delle funzioni unidirezionali è facile da ottenere, ma tornare al numero di partenza è molto difficile. In altre parole, le funzioni bidirezionali possiedono una funzione inversa, quelle unidirezionali no. Ancora una volta, il miglior modo di illustrare una funzione unidirezionale è tramite la vita di tutti i giorni. Mescolare vernice gialla e vernice blu per ottenere vernice verde è l’equivalente di una funzione unidirezionale, perché il procedimento è semplice, ma non è possibile tornare alle condizioni di partenza. L’aritmetica dei moduli,, chiamata a volte aritmetica dell’orologio dagli studiosi, è un campo della matematica ricco di funzioni unidirezionali. In questo tipo di aritmetica i matematici prendono in considerazione un gruppo limitato di numeri disposti ad anello, un po’ come le ore sul quadrante di un orologio. La figura 57 mostra un quadrante corrispondente a modulo 7 (o mod 7), che comprende solo 7 numeri tra 0 e 6. Per calcolare 2 + 3 partiamo da 2 e ci spostiamo di 3 numeri, ottenendo 5, lo stesso risultato dell’aritmetica comune. Per calcolare 2 + 6
dobbiamo partire da 2 e spostarci di 6 numeri. In questo modo percorriamo l’intero anello e otteniamo 1, cioè un risultato diverso da quello dell’aritmetica comune. Perciò: 2 + 3 = 5 (mod 7) and 2 + 6 = 1 (mod 7)
Operare coi moduli è relativamente semplice: lo facciamo ogni giorno parlando del tempo (cronologico). Se sono le 9 del mattino, e abbiamo un appuntamento tra otto ore, tendiamo a dire che l’appuntamento è «alle cinque» (del pomeriggio), piuttosto che «alle diciassette». In altre parole, calcoliamo mentalmente 9 + 8 (mod 12). Immaginiamo un quadrante d’orologio, troviamo il numero 9, ci spostiamo di 8 numeri in senso orario e arriviamo due tacche dopo il 3 : 9 + 8 = 5 (mod 12)
Anziché immaginare quadranti d’orologio, spesso i matematici per trovare il modulo adottano una scorciatoia. Innanzitutto effettuano il calcolo secondo l’aritmetica normale. Poi, per convertire il risultato in (mod x) lo dividono per x e calcolano il resto. Questo corrisponde al risultato in (mod x). Quindi, per calcolare 11 × 9 (mod 13) si può procedere come segue: 11 × 9 = 99 99 / 13 = 7, con un resto di 8 (perché 13 × 7 = 91) perciò 11 × 9 = 8 (mod 13)
Le funzioni calcolate nell’ambito dell’aritmetica dei moduli tendono a comportarsi in modo imprevedibile, il che a sua volta le rende funzioni unidirezionali. Ciò appare evidente confrontando una semplice funzione in aritmetica normale con la stessa funzione in aritmetica dei moduli. Nel primo ambito la funzione sarà bidirezionale e facile da invertire; nel secondo, sarà unidirezionale e difficile da invertire. Per esempio, consideriamo la funzione 3x Essa ricava da x un altro numero (il valore della funzione) moltiplicando tra loro un numero di 3 uguale a x; così, se x = 2, la funzione assume il valore 3×3, cioè ricava 9 da 2. Nell’aritmetica ordinaria, al crescere di x cresce il valore della funzione; perciò è relativamente facile, conoscendo quest’ultimo, risalire al numero di partenza. Per esempio, se il valore della funzione è 81 è chiaro che x cioè il numero di partenza, è 4, perché 34 dà 81. Anche se per errore supponessimo che x sia 5, la scoperta e la correzione dell’errore non presenterebbero difficoltà. Un semplice calcolo rivela infatti che 35 dà 243; quindi è stato scelto un numero di partenza troppo alto. Attribuiremo quindi a x il valore 4, che è esatto. In breve, nell’aritmetica normale invertire una funzione
non è difficile, perché qualche tentativo e un po’ di buon senso permettono, noto un numero ricavato tramite una funzione, di scoprire il numero di partenza.
Figura 57 L’aritmetica dei moduli si applica a un insieme finito di numeri, che si può immaginare scritto su un quadrante di orologio. In questo caso, possiamo calcolare 6 + 5 modulo di 7 partendo da 6 e contando 5 posti; in tal modo, otteniamo 4.
Nell’aritmetica dei moduli, d’altra parte, la stessa funzione si comporta in modo bizzarro. Supponiamo che qualcuno ci abbia detto che 3x in (mod 7) è uguale a 1, e ci abbia invitato a scoprire il valore di x. L’intuito non ci aiuta, perché l’aritmetica dei moduli non è di uso comune. Tirando a indovinare, potremmo partire dall’ipotesi che x sia 5, e calcolare 35 (mod 7). Il risultato è 5 - troppo grande, visto che il numero cercato deve far sì che la funzione assuma il valore 1. Potremmo esser tentati di ridurre il valore di x e riprovare. In realtà, in tal modo andremmo nella direzione sbagliata, perché la risposta giusta è 6. Nell’aritmetica normale possiamo provare alcuni valori, e il risultato è quasi sempre «acqua» o «fuoco». In confronto, l’ambiente dell’aritmetica dei moduli è avaro di suggerimenti, e l’inversione delle funzioni è molto difficile. Non di rado, il solo modo di invertire una funzione in aritmetica dei moduli è compilare una tavola dei valori della funzione, fino a trovare quello cercato. La Tavola 25 mostra i risultati del calcolo di alcuni valori di 3x in aritmetica normale e dei moduli. In questa il comportamento imprevedibile della funzione nel secondo tipo di ambiente è palese. Finché si ha a che fare con numeri piccoli, realizzare tavole di questo tipo è solo noioso. Provate, però, a immaginare il caso di una funzione come 453x (mod 21997). Questo è un classico esempio di funzione unidirezionale, perché scegliere un valore di x e calcolare il valore della funzione è relativamente facile; ma l’inverso per esempio determinare quale valore di x faccia assumere alla funzione il valore
5787 - è estremamente difficile. Tavola 25 Valori della funzione 3x calcolata in aritmetica normale (riga 2) e in aritmetica dei moduli (riga 3). La funzione cresce in modo continuo in aritmetica normale, in modo imprevedibile in aritmetica dei moduli.
Dopo due anni di lavoro sull’aritmetica dei moduli e le funzioni unidirezionali, la follia di Hellman cominciò a dar frutto. Nell’estate del 1976, egli intravide una strategia capace di risolvere il problema della distribuzione delle chiavi. In mezz’ora di frenetica scrittura, riuscì a dimostrare che Alice e Bob potevano stabilire una chiave senza comunicare l’una con l’altro, invalidando un assioma che aveva dominato la crittografia per secoli. L’idea di Hellman si basava su una funzione unidirezionale della forma Yx (mod P). All’inizio, Alice e Bob devono accordarsi sui valori di Y e P. Quasi tutti i valori sono accettabili, fatta eccezione per un paio di limitazioni: P dev’essere numero primo, e Y dev’essere minore di P. Non è necessario che i valori in questione siano segreti; perciò Alice può telefonare a Bob e suggerire Y = 7 e P = 11. Come si vedrà, l’eventualità che la linea telefonica non sia sicura ed Eva abbia ascoltato la conversazione è irrilevante per la sicurezza del sistema crittografico. Dunque, Alice e Bob hanno concordato la funzione unidirezionale 7x (mod 11). A questo punto possono avviare il procedimento che permetterà loro di stabilire una chiave segreta senza incontrarsi. Poiché operano in modo parallelo, riporterò i loro atti in due colonne affiancate (Tavola 26). Ora che Alice e Bob hanno concordato la chiave, possono usarla per cifrare il messaggio. Per esempio, potrebbero usare il numero 9 per effettuare una cifratura DES. In realtà il DES usa come chiavi numeri molto più grandi, ma in realtà questo vale anche per il procedimento appena descritto; perciò, la chiave risultante sarebbe adeguata al DES. Dunque, grazie allo schema di Hellman, Alice e Bob hanno concordato una chiave senza incontrarsi e parlare a bassa voce. L’incredibile è appunto che la scelta della chiave è avvenuta tramite un normale scambio telefonico di informazioni. Ma se nessuna misura è stata presa per impedire a Eva di intercettare la chiamata, la chiave non dovrebbe essere nota anche a lei? Esaminiamo lo schema di Hellman dal punto di vista della nostra immaginaria
ficcanaso. Se ha captato la telefonata, è in possesso dei dati seguenti: che la funzione è 7x (mod 11) che il numero comunicato da Alice a Bob è 2; che il numero comunicato da Bob ad Alice è 4. Per trovare la chiave, ella dovrebbe procedere come Bob, che ha trasformato α nella chiave per mezzo di B, o come Alice, che ha trasformato β nella chiave per mezzo di A. Ma ella non conosce il valore né di A né di B, perché Alice e Bob non si sono scambiati questa informazione. L’unica chance di Eva consisterebbe nel tentare di ricavare A da α, visto che è stato ottenuto inserendo A nella funzione, ed ella conosce la funzione; o nel tentare di ricavare B da β, perché anche in questo caso ella conosce sia il risultato che la funzione. Purtroppo per lei, la funzione di cui si tratta è unidirezionale; così, mentre per Alice e Bob passare da A e B ad α e β, rispettivamente, è stato facile, compiere il percorso inverso sarebbe quasi impossibile per Eva, specialmente qualora i numeri in gioco siano molto grandi. Tavola 26 Alice e Bob hanno concordato la funzione unidirezionale 7x (mod 11).
Bob e Alice si erano scambiati solo le informazioni indispensabili a stabilire la chiave, ma le medesime informazioni erano insufficienti per Eva. Un paragone utile a chiarire lo schema di Hellman può basarsi su un’ipotetica cifratura che usi come chiavi i colori anziché i numeri. Immaginiamo che tutti, Alice, Bob ed Eva, abbiano un recipiente da tre litri, contenente un litro di vernice gialla. Se Alice e Bob vogliono concordare una chiave segreta, devono in primo luogo aggiungere un litro di un colore segreto nei rispettivi recipienti. Il colore di Alice potrebbe essere una particolare sfumatura di porpora, mentre Bob potrebbe aggiungere del rosso cremisi. Poi, ciascuno spedisce all’altro il suo recipiente. Infine, Alice aggiunge alla mistura di Bob un litro del suo colore segreto, e Bob aggiunge alla mistura di Alice un litro del proprio colore segreto. Ora il contenuto dei due recipienti dovrebbe
avere lo stesso colore, perché è formato da un litro di giallo, un litro di porpora e un litro di cremisi. A fungere da chiave è il colore, preciso in ogni sfumatura, che si trova nei due recipienti due volte «contaminati». Alice ignora che colore, precisamente. Bob abbia aggiunto, e Bob ignora che colore, precisamente, abbia aggiunto Alice; ciò nonostante, il colore ottenuto alla fine da entrambi è identico. Frattanto, Eva ha un diavolo per capello. Pur avendo intercettato i recipienti con la mistura intermedia, non è in grado di stabilire o fabbricare il colore della mistura finale, cioè la chiave. Ha prelevato un campione della mistura composta dal giallo e dal colore segreto di Alice durante il recapito a Bob, e della mistura composta dal giallo e dal colore segreto di Bob durante il recapito ad Alice. Ma per produrre la chiave le occorrono i colori segreti di Alice e Bob, dei quali le misture intermedie le danno solo un’idea imprecisa; e i colori della mistura non possono essere separati: una mescolanza di colori è irreversibile, proprio come una funzione unidirezionale. La soluzione del problema si presentò alla mente di Hellman di sera, mentre lavorava a casa sua. Così quando ebbe finito i calcoli, era troppo tardi per chiamare Diffie e Merkle. Per comunicare la sua scoperta alle due sole persone al mondo che l’avevano considerata possibile, dovette aspettare il mattino seguente. «La musa ha ispirato me», spiega Hellman, «ma le fondamenta le abbiamo gettate tutti insieme.» Diffie capì immediatamente la forza dell’intuizione del collega. «Marty ci spiegò il suo metodo di scambio delle chiavi in tutta la sua spaventosa semplicità. Ascoltandolo capii che l’idea era stata sulla soglia della mia coscienza per qualche tempo, ma non l’aveva mai realmente varcata.» Il metodo Diffie-Hellman-Merkle di scambio delle chiavi, come è chiamato, permette ad Alice e Bob di condividere un segreto per mezzo di un pubblico scambio di informazioni. In effetti, si tratta di una delle scoperte più controintuitive della storia della scienza; essa ha costretto la crittografia ufficiale a riscrivere le regole della messa in codice. Diffie, Hellman e Merkle diedero una pubblica dimostrazione della loro scoperta alla National Computer Conference del giugno 1976, lasciando attonita la platea degli esperti crittografi. L’anno successivo iniziarono le pratiche per il brevetto. E Alice e Bob non dovettero più organizzare incontri clandestini per scambiarsi le chiavi: potevano concordare per telefono un paio di numeri tenendone segreti altri due, posare il ricevitore e dare inizio alla cifratura. Anche se sul piano teorico lo scambio di chiavi secondo Diffie, Hellman e Merkle era un enorme passo avanti, non era ancora perfetto. Infatti, sul piano pratico poteva dar adito a qualche difficoltà. Supponiamo che Alice viva alle Hawaii e voglia mandare un e-mail a Bob che è a Istanbul. È probabile che Bob dorma, ma il bello dell’e-mail è che si può mandare un messaggio a qualunque ora, ed esso aspetterà pazientemente che il proprietario del computer si sia svegliato. D’altra parte, se
vuole crittare il messaggio Alice deve comunicare con Bob. L’ideale, quindi, è che l’invio della posta elettronica avvenga in un momento della giornata in cui mittente e destinatario sono entrambi svegli. In altre parole, Alice aspetterà che Bob si alzi. Oppure può trasmettergli la sua parte di informazioni relative alla chiave, aspettare la risposta di Bob, che può tardare anche dodici ore, e se non è addormentata a sua volta può cifrare il suo messaggio e trasmetterlo in Turchia. Comunque si comporti, il sistema di scelta della chiave messo a punto da Hellman compromette la spontaneità dell’e-mail. Resta il fatto che Hellman aveva abbattuto uno dei dogmi della crittografia, dimostrando che Alice e Bob potevano usare la stessa chiave senza menzionare quest’ultima, a voce, per iscritto o in qualunque altro modo. Ora, bastava che qualcuno escogitasse un modo più pratico di impiegare questa scoperta.
La nascita della crittografia a chiave pubblica Mary Fisher non ha mai dimenticato la prima volta in cui Whitfield Diffie le propose di passare una sera con lui. «Whit sapeva che avevo la passione dello spazio, perciò suggerì di assistere a un lancio. Aveva già deciso di vedere la partenza dello Skylab, così passammo quasi tutta la notte in macchina, e arrivammo alla base di lancio alle tre del mattino. L’uccellino era in pista, come si diceva a quel tempo. Whit aveva un lasciapassare da giornalista, ma io non l’avevo. Così quando mi chiesero chi ero e in che veste mi trovavo lì, lui rispose: “È mia moglie”. Era il 16 novembre 1973.» Marito e moglie, Mary e Whitfield lo diventarono davvero, e all’inizio lei gli tenne compagnia durante le meditazioni crittografiche. Lo status di Diffie era ancora quello di studente di dottorato, il che significava che l’università gli versava uno stipendio minimo. Così Mary, che tecnicamente era archeologa, per far quadrare i conti dovette accettare un impiego alla British Petroleum. Mentre Martin Hellman sviluppava il suo metodo, Whitfield Diffie lavorava a un approccio completamente diverso al problema della distribuzione delle chiavi. Spesso attraversava lunghi periodi di meditazione apparentemente improduttiva, e una volta, nel 1975, provò un tale senso di frustrazione che disse a sua moglie di essere solo uno scienziato fallito, destinato a non concludere mai niente. Le consigliò anche di cercare un partner migliore. Mary replicò di avere piena fiducia in lui, e dopo due sole settimane egli ebbe un’idea veramente brillante. Diffie ricorda ancora che essa gli si presentò di colpo, e subito svanì: «Scesi da basso con l’intenzione di bere una coca, e d’un tratto temetti di aver scordato tutto. Mi era venuto in mente qualcosa di interessante, ne ero certo, ma non ricordavo cosa fosse. Poi lo ritrovai, e subito tornai a emozionarmi; sentivo l’adrenalina scorrermi nelle vene. Per la prima volta da quando mi occupavo di crittografia capivo di aver fatto una scoperta veramente importante. In confronto, i contributi che avevo dato fino a quel momento mi sembrarono tecnicismi banali». Era metà pomeriggio, e Diffie dovette aspettare un paio d’ore prima che Mary rincasasse. «Whit mi aspettava sulla soglia», ricorda l’archeologa. «Affermò di avere qualcosa da comunicarmi, e aveva una buffa espressione. Entrai, e lui disse: “Siediti, per piacere, voglio parlarti. Credo di aver fatto una grande scoperta - qualcosa a cui nessun altro aveva ancora pensato’’. In quel momento, ebbi come l’impressione che il mondo si fosse fermato. Mi sentivo dentro la trama di un film hollywoodiano.» Diffie aveva architettato un nuovo tipo di cifratura, basato su una chiave asimmetrica. Tutte le tecniche di scrittura segreta descritte finora in questo libro sono simmetriche, nel senso che il procedimento di decifrazione è semplicemente il procedimento di cifratura eseguito al contrario. Per esempio, la macchina Enigma usa una chiave per cifrare un messaggio, e il destinatario usa una macchina identica,
con lo stesso assetto della chiave, per decifrarlo. In modo analogo, la cifratura DES usa una chiave per eseguire i sedici giri che crittano un messaggio, e la stessa chiave per effettuare i sedici «giri» in senso contrario che lo decrittano. In sostanza, mittente e destinatario dispongono di informazioni equivalenti, e usano la stessa chiave per cifrare e decifrare. Invece, in un sistema a chiave asimmetrica, come il nome suggerisce, la chiave usata per cifrare e quella usata per decifrare non coincidono. In un sistema di questo tipo il fatto che Alice abbia cifrato un messaggio non significa ch’ella sia in grado di decifrarlo. Lo sarà solo nel caso in cui conosca anche la chiave per decifrare. È l’esistenza di queste due chiavi a contraddistinguere la cifratura asimmetrica. A questo punto è bene precisare che Diffie aveva intuito la possibilità della cifratura asimmetrica, ma non aveva in mente nessuno specifico procedimento di questo tipo. L’idea, comunque, era rivoluzionaria di per sé. Se i crittografi avessero realizzato una cifratura veramente asimmetrica che soddisfacesse i criteri di Diffie, le implicazioni per Alice e Bob sarebbero state enormi. Alice avrebbe potuto creare una coppia di chiavi, una per cifrare, l’altra per decifrare. Nell’ipotesi che la cifratura asimmetrica sia una forma di crittografia computerizzata, la chiave per cifrare di Alice sarà un numero, quella per decifrare un altro numero. Ella terrà segreta la chiave per decifrare, che perciò è spesso chiamata chiave privata, e divulgherà la chiave per cifrare, in modo che chiunque possa adoperarla; questa chiave è spesso chiamata chiave pubblica. Se Bob vuole inviare ad Alice un messaggio, è sufficiente che impieghi la sua chiave pubblica, che potrebbe cercare in una sorta di guida telefonica. Il messaggio crittato è inviato ad Alice, che lo decifra con la chiave privata. In modo analogo Carlo, Davide ed Enrico possono inviare ad Alice messaggi crittati con la sua chiave pubblica, mentre solo Alice dispone della chiave privata necessaria a renderli intelligibili. Il grande pregio di questo sistema è che, diversamente dallo scambio delle chiavi secondo Diffie-Hellman-Merkle, non ha niente di macchinoso. Bob non deve aspettare di ricevere informazioni da Alice per cifrare il messaggio a lei destinato: poiché la chiave per cifrare è pubblica, gli basta consultare un elenco. Nello stesso tempo, la cifratura asimmetrica risolve il problema della distribuzione delle chiavi altrettanto bene del sistema di Hellman. Alice non deve più preoccuparsi di comunicare la chiave a Bob in condizioni di sicurezza; al contrario, è suo interesse che la chiave per cifrare sia nota al maggior numero di persone. Così, se vogliono, esse potranno inviarle messaggi crittati. Ma quand’anche il mondo intero conoscesse la chiave per cifrare di Alice, nessuno, Eva compresa, potrebbe curiosare nella sua corrispondenza, perché per definizione la chiave pubblica non serve alla decifrazione. Bob stesso, una volta cifrato il messaggio con la chiave pubblica di Alice, non sarebbe in grado di volgerlo in chiaro; quest’operazione è possibile solo
ad Alice, che conserva gelosamente la sua chiave privata. Come si vede, siamo di fronte a un procedimento che è l’esatto contrario della tradizionale cifratura simmetrica, in cui la comunicazione a Bob, in condizioni di sicurezza, della chiave per cifrare era una delle principali preoccupazioni. Nella cifratura simmetrica una sola chiave serve a cifrare e a decifrare; perciò Alice e Bob devono prendere ogni precauzione perché Eva ne resti all’oscuro. È questa la radice del problema distributivo. Tornando all’analogia dei lucchetti, la crittografia asimmetrica potrebbe essere illustrata nel modo seguente: chiunque può chiudere un lucchetto facendo scattare l’anello metallico, ma solo chi ha la chiave può aprirlo. La chiusura è alla portata di tutti (come la cifratura), mentre l’apertura è privata (come la decifrazione), e possibile solo al possessore della chiave. Le semplici nozioni relative alla chiusura del lucchetto non dicono nulla su come aprirlo. Sviluppando l’analogia, immaginate che Alice progetti un lucchetto e la relativa chiave. Ella potrebbe custodire gelosamente quest’ultima, e fare costruire migliaia di copie del lucchetto da distribuire a uffici postali di tutto il mondo. Se Bob vuole inviarle un messaggio riservato, lo colloca in una scatola metallica, si reca all’ufficio postale, chiede «uno dei lucchetti di Alice» e chiude la scatola. Da questo momento, il contenuto è inaccessibile anche a lui, ma quando Alice riceve la scatola l’apre senza difficoltà con la chiave, che è unica. L’analogia dei lucchetti può far pensare che il sistema concepito da Diffie sia semplice, ma trovare una funzione matematica che si comporti come un lucchetto, e si possa incorporare in un procedimento crittografico maneggevole, è tutt’altro che banale. All’inizio, la cifratura asimmetrica era solo un’idea geniale; per trasformarla in un’invenzione dotata di utilità pratica bisognava scoprire una funzione matematica appropriata. Diffie rivolse l’attenzione a un particolare tipo di funzione unidirezionale, che può essere invertita solo in circostanze eccezionali. Nel sistema asimmetrico di Diffie, Bob può crittare il messaggio con la chiave pubblica di Alice, ma non è in grado di decrittarlo: in sostanza, questo è il comportamento di una funzione unidirezionale. Alice però dev’essere in grado di decifrarlo, e deve poterlo fare per mezzo di un’informazione riservata. In altre parole, dev’essere in possesso di dati che rendono bidirezionale una funzione che normalmente non lo è. L’analogia col lucchetto resta valida: chiudere il lucchetto equivale a una funzione unidirezionale; il risultato è irreversibile, a meno di possedere qualcosa di speciale (la chiave) che rende bidirezionale il funzionamento del lucchetto. Così, esso potrà passare facilmente da aperto a chiuso, e viceversa. Diffie pubblicò un riassunto della sua idea nell’estate del 1975; da quel momento altri studiosi parteciparono alla ricerca di una funzione undirezionale con le proprietà necessarie alla cifratura asimmetrica. All’inizio c’era grande ottimismo, ma dopo un
anno nessuno l’aveva ancora trovata. Col passare dei mesi, sembrava sempre più probabile che le funzioni unidirezionali «speciali» vagheggiate da Diffie semplicemente non esistessero. Molti si convinsero che l’idea del crittografo newyorkese fosse bella in teoria, ma irrealizzabile in pratica. Una cosa era certa: entro la fine del 1976 Diffie, Hellman e Merkle avevano rivoluzionato il mondo della crittografia. Avevano convinto i colleghi della possibilità di risolvere il problema della distribuzione delle chiavi, e inventato il metodo Diffie-Hellman-Merkle - una procedura un po’ macchinosa, ma efficace. Infine, avevano introdotto il concetto di cifratura asimmetrica, teoricamente affascinante ma per il momento irrealizzabile. Alla Stanford University essi continuarono a cercare una funzione unidirezionale speciale che lo trasformasse in una realtà, ma non furono loro a scoprirla. A vincere questa sorta di gara accademica fu un altro trio di studiosi la cui base operativa era a cinquemila chilometri di distanza, sulla costa orientale degli Stati Uniti.
Primi sospetti «Sono entrato nell’ufficio di Ron Rivest», ricorda Leonard Adleman, «e ho notato che Ron aveva in mano dei fogli. Si è messo subito a parlare: “A Stanford stanno lavorando a quest’ipotesi veramente eccetera eccetera”. Rammento di aver pensato: “Sì, sì, Ron, ma non è di questo che volevo discutere con te” Ero completamente digiuno di storia della crittografia, e quello che stava dicendo non m’interessava affatto.» L’articolo che aveva tanto eccitato Ron Rivest era di Diffie e Hellman, e illustrava il concetto di cifratura asimmetrica. Alla fine, Rivest persuase Adleman che la questione aveva implicazioni matematiche molto interessanti, ed entrambi decisero di scoprire se esistesse una funzione unidirezionale adatta alla cifratura asimmetrica. Di lì a poco Adi Shamir decise di unirsi alla battuta di caccia. Tutti e tre lavoravano come ricercatori al settimo piano del Laboratorio di scienza dei calcolatori del MIT. Rivest, Shamir e Adleman formavano una squadra perfetta. Rivest è uno specialista in calcolatori con un’enorme capacità di assorbire idee nuove e applicarle in ambiti inconsueti; leggeva i lavori più recenti e proponeva candidati inediti quanto interessanti al ruolo di funzione unidirezionale per cifrature asimmetriche. Purtroppo, tutti i candidati avevano qualche grave difetto. Shamir, un altro specialista di computer, era altrettanto brillante, ma la sua dote principale consisteva nella capacità di concentrarsi sul nocciolo di un problema, ignorando tutti gli aspetti secondari. Con tranquilla regolarità egli proponeva nuove idee per la realizzazione della cifratura asimmetrica, ma per buone che fossero anch’esse, come le funzioni di Rivest, alla fine risultavano inadeguate. Adleman, un matematico rigoroso, paziente e con una prodigiosa resistenza alla fatica, cercava i punti deboli delle idee di Rivest e Shamir; così, evitava a tutti e tre di sprecare tempo ed energie. Per un anno, Rivest e Shamir avanzarono nuove proposte, e Adleman le bocciò senza eccezione. I tre studiosi cominciarono a scoraggiarsi. Non capivano che quella serie di insuccessi era parte integrante del loro cammino di ricerca; un cammino che a poco a poco li allontanava da zone matematicamente sterili, guidandoli verso terre più fertili. Al momento opportuno, i loro sforzi furono premiati. Nell’aprile 1977 Rivest, Shamir e Adleman avevano festeggiato la Pasqua a casa di uno studente, e bevuto parecchio vino. Verso mezzanotte, erano tornati alle rispettive abitazioni. Incapace di prender sonno, Rivest si era sdraiato sul letto e aveva aperto un libro di matematica. Cominciò a rimuginare la questione che lo assillava da settimane: è possibile realizzare una cifratura asimmetrica? è possibile concepire una funzione unidirezionale, invertibile per chi disponga di particolari informazioni? Di colpo, la nebbia cominciò a diradarsi ed egli intravide la soluzione. Passò il resto della notte a darle forma razionale, ed entro l’alba aveva scritto un
articolo scientifico completo. La scoperta era stata fatta da Rivest, ma essa era scaturita da un anno di collaborazione con Shamir e Adleman, e sarebbe stata impossibile senza il loro apporto. Rivest finì l’articolo elencando gli autori in ordine alfabetico: Adleman, Rivest, Shamir. Il mattino seguente consegnò lo scritto ad Adleman, che si preparò a farlo a brandelli come di consueto; ma questa volta non trovò sbagli. La sola critica che gli venne in mente riguardava l’elenco degli autori. «Pregai Ron di cancellare il mio nome dall’articolo», racconta. «Gli dissi che la scoperta era sua, non mia. Ron rifiutò e ne nacque una discussione. Stabilimmo che sarei tornato a casa, ci avrei dormito su e poi gli avrei comunicato la mia decisione. Il giorno dopo suggerii a Ron di lasciare il mio nome, ma di collocarlo in fondo alla lista. Rammento di aver pensato dentro di me che difficilmente sarei stato coautore di un articolo meno interessante.» Adleman non avrebbe potuto essere più fuori strada. Il sistema che quei fogli tennero a battesimo, soprannominato RSA (Rivest, Shamir, Adleman) anziché ARS, sarebbe diventato la cifratura più influente della moderna crittografia.
Figura 58 Ronald Rivest, Adi Shamir e Leonard Adleman. (fonte)
Prima di discutere l’idea di Rivest, è opportuno riassumere che cosa occorreva agli studiosi per realizzare una cifratura asimmetrica: (1) Alice deve possedere una chiave pubblica, cioè un dato da divulgare in modo
che Bob (e chiunque altro) possa usarlo per cifrare i messaggi a lei destinati. Poiché la chiave pubblica è una funzione unidirezionale, in condizioni normali la decifrazione del messaggio destinato ad Alice sarà impossibile. (2) Alice, però, deve poter decifrare il messaggio di cui è destinataria. Quindi deve disporre di una chiave privata, un dato speciale che le permetta di invertire l’effetto della chiave pubblica. In tal modo Alice (e solo Alice) sarà in grado di decifrare tutti i messaggi a lei inviati. Il cuore della cifratura asimmetrica di Rivest è una funzione unidirezionale basata sul concetto di modulo, descritto in una parte precedente del capitolo. Naturalmente la funzione unidirezionale di Rivest si può usare per cifrare: il messaggio, che in effetti è un numero, è immesso nella funzione; il risultato, anch’esso numerico, è il testo cifrato. Non discuterò in modo dettagliato la funzione unidirezionale di Rivest (cfr. l’Appendice I), ma ne spiegherò un aspetto particolare, noto semplicemente come N, perché è N a far sì che in particolari circostanze questa funzione unidirezionale sia invertibile. N è importante perché è la componente flessibile della funzione unidirezionale; ciò significa che ognuno può scegliere un valore di N, e personalizzare la funzione. Per stabilire il valore personale di N, Alice sceglie due numeri primi, detti p e q, e li moltiplica. Un numero primo è un numero intero che può essere diviso senza resto solo per se stesso e per 1. Così, per esempio, 7 è primo perché la divisione di 7 per qualunque intero tra 2 e 6 dà un resto. 8 invece non lo è, perché può essere diviso senza resto per 2 e per 4. Quindi, Alice sceglie due numeri primi, per esempio p = 17.159 e q = 10.247. Moltiplicando p e q si ottiene N = 17.159 × 10.247 = 175.828.273. Il numero N scelto da Alice può diventare la sua chiave crittografica pubblica, ed essere stampato sul suo biglietto da visita, diffuso tramite Internet o inserito in una sorta di guida telefonica insieme ai valori di N degli altri utenti del sistema crittografico. Qualora Bob voglia inviare ad Alice un messaggio crittato, dovrà innanzitutto procurarsi il suo valore di N (175.828.273), e inserirlo nella formula generale della funzione unidirezionale, anch’essa di pubblico dominio. Ora Bob dispone di una funzione unidirezionale personalizzata tramite la chiave pubblica di Alice, che potremmo chiamare «la funzione unidirezionale di Alice». Per cifrare il messaggio egli lo introduce nella funzione, prende nota del risultato e lo invia alla destinataria. A questo punto il messaggio cifrato è sicuro; solo una persona può decifrarlo. Poiché la cifratura è il prodotto di una funzione unidirezionale, volgerla in chiaro è per definizione molto difficile. Come può riuscirci Alice? Pur avendo reso pubblico il
fatto che il suo valore di N è 175.828.273, ella non ha rivelato i valori di p e q perciò lei sola dispone dei dati extra necessari per la decifrazione. Possiamo pensare a N come alla chiave pubblica, cioè all’informazione accessibile per chiunque voglia mandare ad Alice un messaggio crittato; e a p e q come alla chiave privata, che Alice tiene in serbo per decifrare i messaggi. Il modo esatto in cui p e q possono essere usati per invertire la funzione è delineato nell’Appendice I. Ma c’è una questione che va affrontata immediatamente: se N è pubblico, non dovrebbe esser possibile per chiunque dedurre p e q. Dopo tutto, N è stato ottenuto moltiplicando p e q. In realtà, è molto laborioso ricavare p e q da N; questo è forse l’aspetto più bello ed elegante della cifratura asimmetrica RSA. Alice ha creato N scegliendo p e q e calcolando il prodotto. Il punto decisivo è che questa è di per sé una funzione unidirezionale. Per dimostrarlo prendiamo due numeri primi, per esempio 9.419 e 1.933, e moltiplichiamoli. Il risultato, 18.206.927, si ottiene senza difficoltà. Ma partendo da 18.206.927, la scomposizione in fattori primi (cioè il procedimento atto a restituire 9.419 e 1.933) richiede molto più tempo. Se dubitate che trovare i fattori primi di un numero sia difficile, fate questo piccolo esperimento; con una calcolatrice ho impiegato appena 10 secondi per generare il numero 1.709.023; ma, sempre con una calcolatrice, per scomporlo in fattori primi a voi occorrerebbero diverse ore. L’intero sistema della crittografia asimmetrica, noto come RSA, è considerato una forma di crittografia a chiave pubblica. Per comprendere quanto la crittografia RSA sia sicura, esaminiamola dal punto di vista di Eva, e cerchiamo di decifrare un messaggio di Alice per Bob. Per crittarlo, Alice deve procurarsi la chiave pubblica di Bob. Per creare quest’ultima, Bob sceglie i suoi numeri primi, pB e qB, e li moltiplica per ottenere NB. Egli tiene segreti pB e qB, che costituiscono la sua chiave privata di decifrazione, ma rende noto NB, il cui valore è 408.508.091. Dunque, Alice si procura il valore di NB scelto da Bob, lo introduce nella formula generale della funzione unidirezionale, e cifra il messaggio. Quando questo giunge a Bob, egli può invertire la funzione e decifrare il messaggio usando i suoi valori di pB e qB, che costituiscono la sua chiave privata. Nel frattempo, Eva ha intercettato il messaggio. La sua sola possibilità di decifrarlo è invertire la funzione unidirezionale, e a tal fine è indispensabile conoscere pB e qB. Ma Bob non li ha divulgati ed Eva, come chiunque altro, conosce solo NB. Ella tenta quindi di dedurre pB e qB verificando quali numeri primi permettano di dividere 408.508.091 senza resto - un procedimento noto come scomposizione in fattori primi. Come ho accennato, il procedimento in questione è decisamente lento. Ma quanto occorrerebbe a Eva per scomporre in fattori primi 408.508.091? I metodi per scomporre NB in fattori primi sono numerosi, e alcuni sono più veloci di altri;
tutti, comunque, comportano che NB sia diviso per una serie di numeri, controllando se la divisione generi un resto. Per esempio, 3 è primo, ma non è un fattore primo di TV; infatti 408.508.091 diviso per 3 dà un resto. Controllato 3, Eva passerà a 5 (che non è un fattore primo di NB), poi al successivo numero primo, e così via. Giunta a 18.313 (che è il duemillesimo numero primo) ella constaterà che esso divide NB senza resto. Scoperto un fattore primo, basta una divisione per scoprire l’altro, che corrisponde al numero 22.307. Se Eva dispone solo di una calcolatrice, esaminando quattro numeri al minuto e lavorando senza interruzione le occorreranno 500 minuti, ossia 8 ore e 20 minuti, per trovare pB and qB. In altre parole, Eva potrebbe scoprire la chiave privata di Bob in meno di un giorno, e decifrare il messaggio intercettato nell’arco delle 24 ore. Questo non è un livello di sicurezza particolarmente elevato, ma per accrescerlo Bob potrebbe ricorrere a numeri primi molto più grandi. Per esempio, potrebbe scegliere numeri primi il cui valore si aggiri intorno a 1065 (ossia 1 seguito da sessantacinque zeri). Il risultato sarebbe un numero N grande all’incirca come 1065 × 1065, ovvero all’incirca come 10130. Un calcolatore potrebbe moltiplicare i due numeri primi e generare N in un secondo, ma se Eva volesse invertire il procedimento e calcolare p e q, il tempo necessario sarebbe spaventoso. La sua durata esatta dipende, ovviamente, dalla potenza del calcolatore di Eva. L’esperto di sicurezza delle comunicazioni Simson Garfinkel ha calcolato che un computer dotato di un processore Pentium Intel da 100 megahertz e con una memoria ad accesso casuale di 8 megabite impiegherebbe circa cinquant’anni per scomporre in fattori primi un numero dell’ordine di grandezza di 10130. I crittografi tendono ad avere una vena paranoica, e a tener conto delle peggiori eventualità - per esempio, una cospirazione planetaria per la violazione delle loro cifrature. Perciò, Garfinkel si è chiesto cosa sarebbe accaduto se cento milioni di personal computer (il numero venduto nel 1995) avessero lanciato un assalto coordinato alla cifratura, giungendo alla conclusione che 10130 avrebbe potuto essere scomposto in fattori primi in circa quindici secondi. Perciò oggi è generalmente accettato che per un elevato livello di sicurezza si debba ricorrere a numeri primi più grandi. Per le operazioni bancarie importanti, N tende a valere almeno 10308. Lo sforzo combinato di cento milioni di personal computer impiegherebbe più di mille anni per venire a capo di una simile cifratura. In breve, per valori abbastanza elevati di p e q, la cifratura RSA può essere considerata inviolabile. Il solo punto debole della crittografia RSA a chiave pubblica è che in futuro potrebbe essere disponibile un metodo più veloce di scomporre N in fattori primi. Non si può escludere che da qui a dieci anni - forse domani stesso - qualcuno scopra un procedimento rapido di scomposizione in fattori; una scoperta simile
renderebbe inutilizzabile la RSA. Tuttavia, bisogna tener presente che questa scorciatoia i matematici la cercano invano da più di duemila anni. Per il momento la scomposizione in fattori primi comporta un grande consumo di tempo, e la maggior parte dei matematici è convinta che questa situazione non sia fortuita, ma frutto delle proprietà dei numeri in quanto tali. In altre parole, la scorciatoia in questione sarebbe irrealizzabile per ragioni logiche. Se è così, la cifratura RSA dovrebbe restare affidabile nel futuro prevedibile. Il grande vantaggio della crittografia RSA a chiave pubblica è che elimina tutti i problemi di distribuzione. Alice non deve più preoccuparsi di trasmettere la chiave a Bob in condizioni di sicurezza. Il solo dato che deve restare segreto è la chiave privata, necessaria alla decifrazione; ma questa chiave, diversamente da quelle dei sistemi crittografici tradizionali, non deve essere nota a più persone. L’esistenza della RSA fu annunciata ai non specialisti nell’agosto 1977, quando Martin Gardner scrisse un articolo intitolato Un nuovo tipo di cifrario che richiederebbe milioni di anni per essere decifrato , per la rubrica di «giochi matematici» da lui curata su Scientific American. Dopo aver spiegato il funzionamento della crittografia a chiave pubblica, Gardner sfidava i lettori: fece stampare un testo cifrato, e la chiave pubblica che era servita a crittarlo: N=114.381.625.757.888.867.669.235.779.976.146.612.010.218.296. 721.242.362.562.561.842.935.706.935.245.733.897.830.597.123.563. 958.705.058.989.075.147.599.290.026.879.543.541.
La sfida consisteva nello scomporre N in p e q, e usare questi numeri per decifrare il messaggio. Il premio era di cento dollari. Gardner non aveva spazio a sufficienza per entrare nei particolari della RSA; suggerì quindi ai lettori di scrivere al Laboratorio di scienza dei calcolatori del MIT, che avrebbe inviato loro una scheda tecnica preparata a questo scopo. Rivest, Shamir e Adleman accolsero con sbalordimento le tremila richieste a loro indirizzate, e decisero di non rispondere immediatamente nel timore che un eccesso di pubblicità ostacolasse la concessione di un brevetto. Comunque, appena la domanda di brevetto fu accolta, organizzarono una festicciola; tra una fetta di pizza e un sorso di birra, professori e studenti infilarono nelle buste le migliaia di risposte ai lettori di Scientific American. Per quanto riguarda la sfida di Gardner, dovevano passare diciassette anni perché l’indovinello fosse risolto. Il 26 aprile 1994 una squadra di seicento volontari annunciò che i fattori di N erano q =3.490.529.510.847.650.949.147.849.619.903.898.133.417.764.
638.493.387.843.990.820.577 p=32.769.132.993.266.709.549.961.988.190.834.461.413.177. 642.967.992.942.539.798.288.533.
Usando questi valori come chiave privata, essi riuscirono a decrittare il messaggio. Quest’ultimo era una serie di numeri, che convertiti in lettere formarono la frase «the magic words are squeamish ossifrage» (Le parole magiche sono avvoltoio schifiltoso). Il problema della scomposizione in fattori primi era stato ripartito tra i volontari, i cui Paesi d’origine erano disparati: Australia, Gran Bretagna, Stati Uniti e Venezuela. I volontari avevano approfittato dei momenti liberi di workstations, calcolatori di media potenza e supercomputer, attaccando ciascuno una frazione del problema globale. In effetti, una rete internazionale di computer dovette unire le sue forze e lavorare in parallelo per raccogliere la sfida di Gardner. Anche tenendo conto del gigantesco sforzo simultaneo, alcuni lettori saranno forse sorpresi del fatto che la RSA sia stata violata in un tempo ragionevole; ma bisogna tener conto del fatto che Gardner propose un N di grandezza relativamente contenuta, e precisamente dell’ordine di 10129. Oggi nell’ambito della RSA per proteggere le informazioni più importanti si usano valori molto più alti. Tecnicamente, è possibile crittare un messaggio con un valore di N così alto che tutti i computer del mondo non potrebbero decrittarlo nemmeno in un tempo pari all’età dell’universo.
La storia alternativa della crittografia a chiave pubblica Negli ultimi vent’anni Diffie, Hellman e Merkle hanno raggiunto una fama planetaria per aver introdotto il concetto di crittografia a chiave pubblica, mentre a Rivest, Shamir e Adleman è andato il merito dello sviluppo della RSA, che di quel concetto è la migliore applicazione pratica. Ma una recente dichiarazione di alcuni crittoanalisti britannici ha reso necessaria la riscrittura dei testi storici sull’argomento. Secondo il Governo britannico, la crittografia a chiave pubblica fu concepita per la prima volta al Quartier generale governativo delle comunicazioni (GCHQ) di Cheltenham, l’ente ultrasegreto costituito dopo la seconda guerra mondiale con quanto era rimasto di Bletchley Park. È una storia di rara ingegnosità, di eroi anonimi e di un’attività di copertura da parte delle autorità durata decenni. La vicenda ha inizio nei tardi anni Sessanta, quando le forze armate britanniche cominciarono a preoccuparsi del problema della distribuzione delle chiavi. Con lo sguardo rivolto al decennio successivo, gli stati maggiori immaginarono uno scenario in cui la miniaturizzazione delle radio e la riduzione del loro costo avrebbero permesso a ogni soldato di essere continuamente in contatto col suo superiore diretto. I vantaggi di comunicazioni così capillari sarebbero stati enormi, ma molte comunicazioni si sarebbero dovute cifrare, e il problema della distribuzione delle chiavi sarebbe diventato insormontabile. A quel tempo tutti i tipi di cifratura erano simmetrici, perciò una chiave individuale avrebbe dovuto essere recapitata in condizioni di sicurezza a ogni membro della rete di comunicazioni. La difficoltà di questo compito avrebbe soffocato lo sviluppo delle comunicazioni che la tecnologia tendeva a promuovere. Così, all’inizio del 1969 i militari si rivolsero a James Ellis, uno dei più stimati crittografi governativi, perché trovasse il modo di aggirare l’ostacolo della distribuzione delle chiavi. Ellis era un personaggio curioso e un po’ eccentrico. Sosteneva con fierezza di aver girato mezzo mondo ancor prima di nascere - era stato concepito in Gran Bretagna, ed era nato in Australia. Poi, ancora piccolo, era tornato a Londra, ed era cresciuto nell’East End degli anni Venti. A scuola lo interessavano soprattutto le materie scientifiche, ed egli aveva concluso gli studi di fisica all’Imperial College prima di entrare nell’équipe della Post Office Research Station di Dollis Hill, dove Tommy Flowers aveva costruito Colossus, il primo calcolatore per la decrittazione. La sezione crittografica a Dollis Hill fu infine assorbita dal GCHQ e il 1° aprile 1965 Ellis traslocò a Cheltenham, nell’appena costituito Communications- Electronics Security Group (Gruppo per la sicurezza delle comunicazioni - elettronica), o CESG, una squadra di specialisti di comunicazioni ad alta tecnologia nell’ambito del GCHQ. Essendo implicato in attività legate alla sicurezza nazionale, Ellis ebbe l’obbligo del silenzio per tutta la carriera. Sua moglie e i suoi parenti stretti sapevano
che lavorava al GCHQ ma ignoravano le sue scoperte, né sospettavano che fosse uno dei più brillanti crittografi della Gran Bretagna. Pur essendo molto brillante, Ellis non fu mai a capo di nessuno dei principali gruppi di lavoro del GCHQ. Era geniale ma imprevedibile, introverso e poco portato al «gioco di squadra». Il suo collega Richard Walton ricorda: Aveva un modo di lavorare tutto suo, e non si era mai davvero inserito nella routine del GCHQ. M a quando si trattava di idee originali, era straordinario. A volte bisognava mettere un po’ d’ordine, separare il grano dal loglio, ma i suoi contributi erano molto innovativi ed egli era sempre pronto a sfidare l’ortodossia. Se al GCHQ fossimo stati tutti come Ellis, sarebbero sorti gravi problemi, ma la nostra organizzazione è in grado, più di molte altre, di integrare persone come lui. Ne abbiamo diverse, e si è trovato un modus vivendi più che soddisfacente
Una delle più importanti qualità di Ellis era l’ampiezza delle sue conoscenze. Leggeva tutte le riviste scientifiche che trovava, e non dimenticava niente. Per ragioni di sicurezza, i dipendenti del GCHQ devono sgombrare le scrivanie tutte le sere e chiudere quello che non portano a casa in mobiletti a prova di scasso; il risultato fu che il mobiletto di Ellis era zeppo dei più oscuri periodici scientifici che sia dato immaginare. Acquistò fama di guru della crittografia, e se altri ricercatori si impantanavano in un problema prima o poi bussavano alla sua porta. Confidavano nella sua originalità e nelle sue innumerevoli letture per tirarsi fuori dai guai. La reputazione di cui godeva fu probabilmente il motivo per cui venne consultato circa la distribuzione delle chiavi. La spesa per la trasmissione delle chiavi era molto elevata, e rischiava di frenare l’ulteriore espansione della crittografia. Ridurre anche solo del 10% il costo della distribuzione avrebbe permesso di contenere in modo significativo il bilancio delle forze armate. Ma invece di cercare di tamponare il problema, Ellis fu attratto dalla prospettiva di risolverlo radicalmente. Rammenta Walton: «Nell’affrontare un ostacolo, James partiva sempre dalla domanda: “Davvero è tutto qui quello che vogliamo?” Essendo l’uomo che era, una delle sue prime mosse fu mettere in questione che si dovesse necessariamente render noto ciò che occorreva tener segreto; mi riferisco alla chiave. In proposito, nessun teorema era mai stato dimostrato. Perciò, ciascuno era libero di dissentire». L’offensiva teorica di Ellis partì innanzitutto dal suo tesoro di articoli scientifici. Molti anni dopo, egli rievocò il momento in cui aveva scoperto che la distribuzione delle chiavi non era sinonimo di sistema crittografico. L’episodio che cambiò le mie opinioni in proposito fu la lettura di un vecchio rapporto della Bell Telephone, risalente al periodo bellico. Nel rapporto, l’ignoto autore descriveva un’idea ingegnosa per garantire la sicurezza delle conversazioni telefoniche. Egli proponeva che il destinatario
mascherasse la comunicazione del mittente immettendo del rumore nella linea. In seguito avrebbe potuto filtrarlo, perché avendolo generato ne conosceva le caratteristiche. Alcuni inconvenienti pratici del sistema ne avevano sconsigliato l’adozione, ma esso possedeva proprietà interessanti. La differenza tra questo metodo e le codifiche tradizionali consiste nel fatto che il destinatario ha un ruolo attivo nella cifratura… Così nacque l’idea.
«Rumore» è il termine tecnico per ogni tipo di segnale che disturba una comunicazione. Di solito è il prodotto di fenomeni naturali, e in tal caso la sua caratteristica più irritante è che esso è interamente casuale; ciò rende molto difficile la sua rimozione da un messaggio. Se un apparecchio radio è ben progettato, il suo livello di rumore è basso e i messaggi chiaramente udibili; ma se il rumore è intenso e rende incomprensibile il messaggio, quest’ultimo non può essere recuperato. L’idea di Ellis era che Alice, la destinataria, generasse un rumore non casuale ma con caratteristiche da lei prescelte, da immettere nel canale di comunicazione con Bob. A questo punto Bob avrebbe potuto inviarle il messaggio, e un’eventuale intercettazione da parte di Eva sarebbe stata inutile. Infatti, le informazioni intercettate sarebbero risultate incomprensibili a causa del rumore. Eva non avrebbe potuto ripulire il messaggio; la sola persona in grado di farlo sarebbe stata Alice perché solo lei, avendo aggiunto il rumore alla trasmissione, ne avrebbe conosciuto le caratteristiche. Ellis aveva escogitato un sistema che garantiva la sicurezza senza comportare lo scambio delle chiavi: la chiave era il rumore, e solo il destinatario aveva bisogno di conoscerne la natura. In un memorandum, Ellis chiariva le implicazioni del suo ragionamento: «La domanda successiva è ovvia. Si può procedere allo stesso modo nella cifratura ordinaria? Si può produrre un crittogramma sicuro, leggibile per il destinatario legittimo, senza concordare in precedenza le chiavi? La domanda mi si è presentata una notte, mentre ero a letto, e la dimostrazione teorica della possibilità di un sistema di questo tipo non ha richiesto che pochi minuti. C’è un teorema di esistenza. L’impensabile è sicuramente possibile». Un teorema di esistenza dimostra che qualcosa è possibile, ma non è tenuto a precisarne i particolari. D’altra parte, fino a quel momento la ricerca di una soluzione del problema distributivo era stata simile alla ricerca di un ago in un pagliaio, senza nemmeno la certezza che l’ago ci fosse. Almeno questo dubbio, Ellis l’aveva dissipato. Le idee di Ellis erano molto simili a quelle di Diffie, Hellman e Merkle, ma egli li precedeva di diversi anni. D’altra parte, nessuno era al corrente delle sue scoperte. Era un dipendente del Governo britannico e aveva giurato di mantenere il segreto. Alla fine del 1969, sembra che egli fosse nella stessa impasse in cui il terzetto di Stanford si sarebbe trovato nel 1975. Aveva dimostrato a se stesso che la crittografia a chiave pubblica (o crittografia non segreta, com’egli la chiamava) era
possibile, e aveva sviluppato il concetto della separazione delle chiavi pubblica e privata. Capiva anche di aver bisogno di una speciale funzione unidirezionale, che si potesse invertire se il destinatario disponeva di informazioni altrettanto speciali. Purtroppo, Ellis non era un matematico. Studiò alcune funzioni, ma ben presto dovette ammettere che da solo non sarebbe andato lontano. Per uscire dall’isolamento, cominciò con l’informare i superiori della sua scoperta. Le loro reazioni sono ancora coperte dal segreto, ma durante l’intervista che mi ha concesso Richard Walton ha accettato di fornirmi una parafrasi dei memorandum che circolarono in quel periodo. Seduto di fronte a me con la borsa sulle ginocchia, aperta in modo da impedirmi di vedere i documenti, ha percorso con lo sguardo una serie di fascicoli: Non posso mostrarle questi fogli perché molti sono ancora coperti di «top secret» e altre brutte stampigliature. Comunque l’idea di James plana sulla scrivania del grande capo, che se ne libera come spesso si usa da quelle parti: passandola agli esperti; e gli esperti dichiarano in sostanza che James ha ragione. Insomma, non ci si può liberare di lui dandogli dello svitato. Nello stesso tempo, gli esperti non vedono come le sue idee si possano mettere in pratica. La sua ingegnosità li ha colpiti, ma non sono sicuri che sia destinata a dare dei frutti.
Nei tre anni seguenti, i migliori cervelli del GCHQ cercarono una funzione che soddisfacesse i requisiti di Ellis, ma non emerse nulla. Poi, nel settembre 1973 un nuovo matematico si unì alla squadra. Clifford Cocks si era laureato da poco a Cambridge, dove si era occupato di teoria dei numeri - una delle branche più astratte della sua disciplina. Quando entrò nel GCHQ sapeva ben poco di crittografia e del mondo sfuggente delle comunicazioni diplomatiche e militari; perciò gli fu assegnato una specie di tutore, il cui nome era Nick Patterson. Fu sotto la sua ala protettrice che Cocks trascorse le prime settimane al Quartier generale delle comunicazioni. Dopo circa sei settimane, Patterson parlò a Cocks di «un’idea un po’ folle». Delineò la teoria di Ellis circa una possibile crittografia a chiave pubblica, e spiegò che fino a quel momento nessuno era riuscito a trovare una funzione matematica adatta allo scopo. Patterson ne parlò a Cocks perché era una delle questioni intellettualmente più stimolanti che in quel momento circolassero al GCHQ; non perché si aspettasse che il giovane cercasse di risolverla. Ma come spiega lo stesso Cocks, quello stesso giorno egli si mise al lavoro: «Non stava succedendo niente di speciale, perciò decisi di pensarci un po’ su. Poiché mi ero occupato di teoria dei numeri, era naturale che mi venissero in mente le funzioni unidirezionali - qualcosa che si può fare, ma non disfare. Da lì ai numeri primi e alla scomposizione in fattori il passo era breve, e quello diventò il mio punto di partenza».
Figura 59 James Ellis. (fonte)
Cocks stava cominciando a formulare quella che sarebbe diventata la cifratura asimmetrica RSA. Rivest, Shamir e Adleman scoprirono la loro formula per la crittografia a chiave pubblica nel 1977, ma quattro anni prima il giovane matematico di Cambridge stava seguendo esattamente lo stesso filone. Ricorda Cocks: «Dall’inizio alla fine, non mi ci volle più di mezz’ora. Ero piuttosto contento di me. Pensai: “Così mi piace: mi hanno sottoposto un problema, e l’ho risolto”». Cocks non comprese appieno l’importanza della sua scoperta. Non sapeva che le menti più acute del Quartier generale delle comunicazioni avevano inutilmente assediato quel problema per anni. Non sospettava di aver fatto una delle più importanti scoperte crittografiche del secolo. L’ingenuità di Cocks può esser stata
una delle ragioni del suo successo, avendogli permesso di affrontare la questione con serenità, invece che con ansia e timore reverenziale. Cocks parlò della scoperta al suo mentore, e fu poi Patterson a informare i responsabili del GCHQ. Cocks era ancora molto diffidente, e in larga misura un novellino, mentre Patterson non ebbe difficoltà a collocare il problema nel giusto contesto, e a prevedere le inevitabili difficoltà. Di lì a poco perfetti sconosciuti cominciarono ad avvicinarsi a Cocks, il nuovo ragazzo prodigio, e a congratularsi con lui. Uno di loro non era altri che James Ellis, ansioso di conoscere l’uomo che aveva trasformato il suo sogno in realtà. Poiché Cocks ancora non capiva la grandezza della sua impresa, i particolari dell’incontro non gli fecero un effetto particolare, e oggi, a oltre vent’anni di distanza, egli non ricorda quale fosse stata la reazione di Ellis. Quando, finalmente, Cocks capì la portata di quello che aveva fatto, temette che la sua scoperta sarebbe forse dispiaciuta a G. H. Hardy, uno dei grandi matematici inglesi della prima metà del secolo. Nel 1940 egli aveva scritto Apologia di un matematico, e affermato orgogliosamente: «La vera matematica non ha effetti sulla guerra. Nessuno ha ancora scoperto qualche scopo bellico al quale la teoria dei numeri possa servire». La vera matematica era la matematica pura, compresa quella teoria dei numeri ch’era al centro del lavoro di Cocks. E Hardy sarebbe stato smentito, se le sottigliezze della teoria dei numeri avessero permesso ai generali di preparare i loro piani in completa segretezza. Poiché i suoi studi erano connessi con le comunicazioni militari, Cocks, come Ellis, ebbe il divieto di parlarne a chicchessia al di fuori del GCHQ. Quale dipendente di un organismo governativo supersegreto, egli non poteva confidarsi coi genitori o lasciarsi sfuggire una parola coi vecchi compagni d’università. La sola persona con cui poteva parlare era sua moglie Gill, perché anche lei lavorava al GCHQ. Sebbene l’idea di Cocks fosse uno dei più preziosi segreti del GCHQ aveva il difetto di essere troppo avanzata per il suo tempo. Cocks aveva scoperto una funzione matematica che permetteva la crittografia a chiave pubblica, ma restava il problema di tradurla in pratica. Le cifrature a chiave pubblica richiedono un’enorme potenza di elaborazione rispetto a quelle simmetriche di tipo tradizionale. All’inizio degli anni Settanta gli elaboratori erano in uno stadio ancora piuttosto primitivo, e non avrebbero potuto gestire procedimenti così onerosi in un tempo ragionevole. In breve, in quel momento il GCHQ non era in grado di sfruttare la scoperta di Cocks; lui ed Ellis avevano dimostrato che l’apparentemente impossibile era possibile, ma il salto dal possibile al reale nessuno sembrava in grado di compierlo. All’inizio dell’anno seguente, il 1974, Cocks illustrò il suo lavoro sulla crittografia a chiave pubblica a Malcolm Williamson, che di recente era stato assunto dal GCHQ come crittografo. Il caso volle che i due uomini fossero vecchi amici. Avevano entrambi frequentato la Manchester Grammar School (In Gran Bretagna,
scuola secondaria corrispondente al nostro liceo. [N.d.T.]) il cui motto era Sapere aude, «osa conoscere». Mentre la frequentavano, i due ragazzi avevano fatto parte della rappresentativa britannica alle Olimpiadi di matematica svoltesi in URSS nel 1968. Poi si erano inscritti insieme all’Università di Cambridge. Dopo la laurea le loro strade si erano divise per un paio d’anni, per poi ricongiungersi nella sede del GCHQ. I due amici si scambiavano opinioni di argomento matematico da quando avevano undici anni, ma quello che Cocks gli aveva confidato sulla crittografia a chiave pubblica sembrò a Williamson la novità più scioccante di cui avesse sentito parlare. «Cliff mi ha spiegato la sua idea», ricorda Williamson, «ma non riuscii a crederci. Ero molto sospettoso, perché realizzare cose simili era del tutto fuori dell’ordinario.» Rimasto solo, Williamson tentò di dimostrare che Cocks si era sbagliato e che la crittografia a chiave pubblica era un miraggio. Esaminò i suoi calcoli, cercando qualche errore nascosto. Ciò che Cocks gli aveva prospettato sembrava troppo bello per esser vero, ed egli era così sicuro che da qualche parte ci fossero delle sviste che si portò a casa il materiale. Come dipendente del GCHQ non avrebbe dovuto farlo; i documenti con cui lavorava erano in gran parte segreti, e l’ambiente domestico era considerato permeabile allo spionaggio nemico. Ma la questione si era impressa nella mente del giovane, ed egli non riusciva a smettere di pensarci. Nella sua abitazione la caccia all’errore ricominciò, ed egli studiò la tesi di Cocks per altre cinque ore. «Non trovai difetti di qualche importanza», spiega Williamson. «In compenso, m’imbattei in una diversa soluzione del problema della distribuzione delle chiavi.» Williamson aveva scoperto lo scambio delle chiavi secondo DiffieHellman-Merkle, pochi mesi prima che fosse scoperto da Martin Hellman. La reazione iniziale di Williamson rivela il suo atteggiamento negativo: «Mi dissi: sembra fantastico. Chissà se almeno qui mi riesce di trovare uno sbaglio. Evidentemente, quel giorno non ero dell’umore giusto».
Figura 60 Clifford Cocks. (fonte)
Nel 1975 James Ellis, Clifford Cocks e Malcolm Williamson avevano già scoperto gli aspetti fondamentali della crittografia a chiave pubblica ma nessuno di loro potè parlarne al di fuori del GCHQ. I tre studiosi britannici dovettero assistere in silenzio allo spettacolo di Diffie, Hellman, Merkle, Rivest, Shamir e Adleman che, nei tre anni seguenti, rifacevano una per una le loro scoperte. Stranamente il GCHQ scoprì la RSA prima dello scambio delle chiavi secondo Diffie-Hellman-Merkle, mentre negli Stati Uniti lo scambio delle chiavi fu escogitato prima della RSA. La stampa scientifica riferì i progressi compiuti alla Stanford University e al MIT, e i ricercatori americani, avendo potuto dar conto del loro lavoro sui periodici specializzati, diventarono celebri tra informatici ed esperti di sicurezza delle comunicazioni. Una breve indagine in Internet con uno strumento di ricerca automatica rivela che nella rete solo 15 pagine sono riservate a Clifford Cocks, mentre Whitfield Diffie è menzionato in 1382 pagine. Il matematico britannico commenta la situazione con ammirevole misura: «Chi aspira a pubblici riconoscimenti non sceglie questo campo
d’attività». Williamson è altrettanto sereno. «La mia reazione è stata “okay, è andata così”. In sostanza, la mia vita è continuata proprio come prima.» Il solo rammarico di Williamson è che il GCHQ non sia riuscito a brevettare la crittografia a chiave pubblica. Quando Cocks e Williamson fecero le prime scoperte, i vertici del GCHQ giunsero alla conclusione che il brevetto era impossibile per due motivi. Innanzitutto, per ottenerlo sarebbe stato necessario fornire particolari sulle ricerche in corso, la qual cosa era incompatibile con la natura del GCHQ. Inoltre, negli anni Settanta ancora non era affatto chiaro se un algoritmo matematico si potesse brevettare. Ma quando nel 1976 Diffie e Hellman presentarono la domanda di brevetto, era ormai chiaro che gli algoritmi matematici erano meritevoli di protezione legale. A quel punto, Williamson avrebbe voluto fare un pubblico annuncio e bloccare la domanda, ma fu fermato dai superiori, non abbastanza lungimiranti per accorgersi dell’incipiente rivoluzione informatica, e delle possibilità della crittografia a chiave pubblica. Nei primi anni Ottanta essi cominciarono a pentirsi di questa decisione. Lo sviluppo del mercato dei computer e di un Internet in fase embrionale faceva presagire che la RSA e lo scambio delle chiavi secondo Diffie-Hellman- Merkle sarebbero diventati prodotti di enorme successo. Nel 1996 la RSA Data Security Inc., la società che commercializzava i prodotti basati sulla procedura RSA, fu venduta per duecento milioni di dollari. Anche se le ricerche del GCHQ nel campo della crittografia a chiave pubblica restavano segrete, un’altra organizzazione era al corrente dei progressi compiuti in Gran Bretagna. All’inizio degli anni Ottanta la National Security Agency americana sapeva del lavoro di Ellis, Cocks e Williamson, e probabilmente fu tramite quest’agenzia che Whitfield Diffie sentì parlare delle scoperte britanniche. Nel settembre 1982 egli decise di controllare se nelle voci che gli erano giunte ci fosse del vero, e si recò con la moglie a Cheltenham per parlare direttamente con Ellis. Si incontrarono in un pub dei dintorni, e ben presto Mary fu colpita dalla notevole personalità di Ellis. Ci sedemmo a parlare, e d’un tratto mi resi conto di esser di fronte alla persona più gradevole che si possa immaginare. Non credo di poter esprimere un parere sulla profondità della sua cultura matematica, ma di certo egli era un vero gentiluomo, infinitamente modesto, una persona di estrema generosità e cortesia. Parlando di «cortesia» non mi riferisco a niente di artificioso o stantio. Quell’uomo era un cavaliere. Un uomo davvero retto, e di spirito gentile.
Figura 61 M alcolm Williamson. (fonte)
Diffie ed Ellis parlarono di argomenti disparati, dall’archeologia a come un topo nella botte possa migliorare il gusto del sidro, ma ogni volta che la conversazione si avvicinava alla crittografia, diplomaticamente Ellis cambiava argomento. Alla fine della visita, preparandosi a ripartire, Diffie non riuscì a resistere e rivolse apertamente al collega la domanda che più gli stava a cuore: «Può dirmi qualcosa su come avreste inventato la crittografia a chiave pubblica?» Ci fu una lunga pausa. «Beh, non so in che misura sono libero di parlarne. Mi consenta di dirle solo che voi avete concluso molto di più.» Anche se il GCHQ si è imbattuto per primo nella crittografia a chiave pubblica, ciò non diminuisce i meriti degli accademici che l’hanno riscoperta. Innanzitutto, questi ne hanno meglio compreso le possibilità, e hanno lottato per realizzarle. Inoltre è possibile che il GCHQ non avrebbe mai divulgato le sue ricerche in questo campo, congelando un sistema crittografico che avrebbe permesso alla rivoluzione digitale di esplicare tutte le sue potenzialità. Infine, le scoperte degli accademici sono state del
tutto indipendenti da quelle del GCHQ e sono altrettanto solide sul piano intellettuale. Il mondo delle università è del tutto separato da quello dei centri di ricerca segreti del governo, e coloro che ne fanno parte non hanno accesso ai dati e agli strumenti dei servizi di controspionaggio. Al contrario, i membri delle istituzioni governative hanno a disposizione tutte le pubblicazioni accademiche. È un esempio di funzione unidirezionale: l’informazione si muove liberamente in una direzione, ma il movimento in quella opposta non è consentito. Quando Diffie parlò a Hellman di Ellis, Cocks e Williamson, il suo punto di vista era che le scoperte degli accademici dovessero essere una nota a piè di pagina nella storia delle ricerche segrete, e le scoperte del GCHQ dovessero essere una nota a piè di pagina nella storia delle ricerche accademiche. Ma a quel tempo nessuno fuorché il GCHQ la NSA, Diffie e Hellman sapeva delle scoperte dei crittografi britannici, i quali non potevano essere considerati nemmeno una nota. A metà degli anni Ottanta il GCHQ stava cambiando, e coloro che lo dirigevano si chiesero se si dovesse annunciare il lavoro di Ellis, Cocks e Williamson. La matematica della crittografia a chiave pubblica era ormai familiare a tutti gli specialisti, e sembravano non esserci più motivi di tenerla nascosta. Semmai, rivelare il lavoro pionieristico svolto in questo campo dagli studiosi britannici avrebbe comportato dei vantaggi. «Accarezzammo l’idea di uscire allo scoperto nel 1984», racconta Walton. Cominciavamo a scorgere dei vantaggi nel fatto che il cittadino comune fosse informato a proposito del GCHQ. A quel tempo il mercato dei prodotti governativi riguardanti la sicurezza era in espansione; volevamo spingerci al di là della tradizionale clientela militare e diplomatica, e conquistare la fiducia di chi non era avvezzo a consultare istituzioni come la nostra. Eravamo in piena èra Thatcher, e cercavamo di arginare il dilagante ethos secondo il quale «tutto ciò che è pubblico è male, tutto ciò che è privato è bene». Avevamo intenzione di pubblicare una monografia, ma l’idea fu accantonata a causa di quel dannato Peter Wright e del suo Spycatcher. Eravamo quasi riusciti a convincere i nostri dirigenti ad autorizzare la pubblicazione, quando Spycatcher suscitò tutto quel clamore. Così, l’ordine del giorno fu: «testa china e cappello sugli occhi».
Figura 62 M alcolm Williamson (secondo da sinistra) e Clifford Cocks (all’estrema destra) di ritorno dalle Olimpiadi di matematica del 1968. (fonte)
Peter Wright era un funzionario del controspionaggio in pensione, e la pubblicazione delle sue memorie col titolo di Spycatcher (L’accalappiaspie) causò grande imbarazzo al Servizio segreto britannico. Ci vollero altri tredici anni perché il GCHQ aprisse al pubblico; dalla prima scoperta di Ellis, ne erano trascorsi ventotto. Nel 1997 Clifford Cocks svolse alcune importanti ricerche non segrete sulla cifratura RSA, di interesse generale e tali da non rappresentare un pericolo per la sicurezza nazionale in caso di divulgazione. Gli fu quindi proposto di presentare una relazione scritta alla conferenza dell’Istituto di matematiche e loro applicazioni che doveva aver luogo a Cirencester. La sala sarebbe stata piena di esperti di crittografia. Una manciata di loro probabilmente sapeva che Cocks, che avrebbe parlato solo di un aspetto della RSA, era in realtà il suo anonimo inventore. Non si poteva escludere che qualcuno facesse domande imbarazzanti, come: «È vero che lei ha inventato la RSA?» Se il problema in un modo o nell’altro fosse emerso, come avrebbe dovuto comportarsi Cocks? In base alla tradizionale politica GCHQ egli avrebbe dovuto negare di aver avuto alcun ruolo nello sviluppo della cifratura a chiave pubblica; ciò significava costringerlo a dire bugie su una questione assolutamente innocua. Era una situazione ridicola, e il Quartier generale delle comunicazioni decise che era il momento di cambiar politica. Cocks fu perciò autorizzato a iniziare il suo intervento con un breve riassunto storico
del contributo del GCHQ al superamento della cifratura simmetrica. Il 18 dicembre 1997 Cocks lesse la sua relazione. Dopo quasi tre decenni di segretezza, Ellis, Cocks e Williamson ottennero il riconoscimento cui avevano diritto. Purtroppo James Ellis era morto un mese prima, il 25 novembre 1997, all’età di settantré anni. Il suo nome si aggiunge all’elenco degli esperti britannici di crittografia che non ottennero, in vita, alcun riconoscimento per i loro contributi teorici. Il metodo di decrittazione della cifratura di Vigenère scoperto da Babbage non fu rivelato mentre egli era vivo, perché poteva essere prezioso per il corpo di spedizione britannico in Crimea. Così, il merito della scoperta andò a Friedrich Kasiski. Una sorte analoga toccò ad Alan Turing, il cui contributo allo sforzo bellico della Gran Bretagna fu senza uguali: per ragioni di sicurezza, il suo trionfo su Enigma fu del tutto ignorato. Nel 1987 Ellis scrisse un documento riservato che illustrava il suo contributo alla crittografia a chiave pubblica, e sviluppava alcune considerazioni sul silenzio che così spesso circonda l’attività del crittografo: La crittografia è una strana scienza. La maggior parte degli scienziati professionisti ambiscono a pubblicare per primi i resoconti dei loro studi, perché solo venendo letti questi possono esplicare le loro potenzialità. Al contrario, la crittografia si realizza appieno minimizzando le informazioni disponibili ai potenziali avversari. Perciò i crittografi professionisti lavorano normalmente in comunità chiuse, che offrono nello stesso tempo interazioni professionali sufficienti a garantire la qualità, e segretezza rispetto al mondo esterno. La rinuncia alla segretezza è consentita solo nell’interesse della verità storica, quando sia stato dimostrato che il suo mantenimento non può portare ulteriori benefici.
7 Una riservatezza niente male
C
ome Whitfield Diffie aveva pronosticato all’inizio degli anni Settanta, stiamo entrando nell’Età dell’informazione, un’èra post-industriale in cui i dati e la capacità di utilizzarli sono la risorsa fondamentale. Le comunicazioni digitalizzate sono ormai entrate a far parte della nostra vita quotidiana. Decine di milioni di messaggi sono inviati ogni giorno sotto forma di e-mail, e sembra vicino il momento in cui la posta elettronica sarà più diffusa di quella tradizionale. Già quando era in una fase embrionale, Internet ha posto le basi di un mercato telematico, e il commercio elettronico è in continua espansione. Il denaro si sposta nel cyberspazio, e si stima che nelle ventiquattro ore metà del prodotto lordo mondiale transiti per mezzo della Society of Worldwide International Financial Telecommunication (Società delle telecomunicazioni finanziarie internazionali mondiali) (SWIFT). Presto i Paesi in cui è contemplato l’istituto del referendum terranno consultazioni popolari via cavo, e i governi approfitteranno di Internet per snellire la pubblica amministrazione - per esempio, permettendo l’inoltro per via telematica della dichiarazione dei redditi. D’altra parte l’ingresso nell’Età dell’informazione dipende dalla possibilità di proteggere i dati durante i loro spostamenti planetari, e fornire questa protezione è compito della crittografia. Le tecniche crittografiche saranno le chiavi e le serrature di questa Età. Per duemila anni la crittografia è stata importante solo per uomini di Stato e militari, ma oggi è chiamata a facilitare le transazioni economiche, e domani le persone comuni attingeranno alle sue risorse per salvaguardare la loro privacy. Per fortuna, proprio allo schiudersi di questa nuova fase storica disponiamo di cifrature la cui affidabilità è senza precedenti. Lo sviluppo della crittografia a chiave pubblica, e in particolare della RSA, colloca i crittografi contemporanei in posizione di netto vantaggio nella secolare battaglia coi decrittatori. Nell’ambito della RSA, se il valore di N è abbastanza grande il calcolo di p e q richiede un tempo così lungo, anche valendosi delle tecnologie più avanzate, da non rappresentare per Eva un’opzione realistica. Sul piano pratico, la cifratura RSA può quindi essere considerata inviolabile. Soprattutto, la crittografia a chiave pubblica non è indebolita dal problema della distribuzione delle chiavi. In breve la RSA equivale a una serratura impossibile da forzare, a tutela delle nostre più preziose informazioni. Ma, al pari di ogni tecnica, la crittografia ha il suo lato oscuro. Come protegge le comunicazioni dei cittadini rispettosi delle leggi, così può proteggere quelle di criminali e terroristi. Attualmente la polizia ricorre all’intercettazione nei casi di grave
minaccia per l’ordine pubblico; è questo il caso delle grandi organizzazioni criminali e del terrorismo. Ma le intercettazioni diventerebbero impossibili se i criminali si servissero di cifrature inespugnabili. Il XXI secolo sta per cominciare, e la crittografia è di fronte a un dilemma: come permettere agli uomini d’affari e ai cittadini comuni di godere i vantaggi dell’Età dell’informazione, impedendo nel contempo ai criminali di abusare della segretezza per sottrarsi all’arresto? In proposito è in corso un dibattito complesso e appassionante, e sulla discussione ha un grande peso la vicenda di Phil Zimmermann, l’uomo che per primo ha teorizzato l’uso della crittografia forte da parte dei privati cittadini. Con la sua campagna, Zimmermann ha tolto il sonno agli esperti di sicurezza statunitensi e messo in difficoltà la National Security Agency, a dispetto dei suoi bilanci miliardari; ma ha anche causato l’apertura di due inchieste sul suo operato, una da parte del FBI, l’altra da parte di un gran giurì.
Figura 63 Phil Zimmermann. (fonte)
Intorno alla metà degli anni Settanta, Phil Zimmermann frequentò la Florida Atlantic University, studiando fisica e informatica. Dopo la laurea sembrava destinato a una carriera placida e sicura nella fiorente industria dei calcolatori, ma il clima politico dei primi anni Ottanta impresse una svolta alla sua esistenza: cominciò a pensare sempre meno alle tecnologie dei microchip al silicio, e sempre di più al pericolo di una guerra atomica. La sua angoscia fu via via accresciuta dall’invasione sovietica
dell’Afghanistan, dall’ingresso di Ronald Reagan alla Casa Bianca, dall’instabilità dell’Unione Sovietica dovuta al peggioramento della salute di Leonid Breznev, e dal riacutizzarsi della guerra fredda. Giunse a progettare di trasferirsi con la famiglia in Nuova Zelanda, ritenendola uno dei pochi Paesi che sarebbero rimasti abitabili dopo un conflitto nucleare. Poi, proprio quando aveva ottenuto il passaporto e gli altri documenti per l’emigrazione, lui e sua moglie parteciparono a una riunione della Nuclear Weapons Freeze Campaign (Campagna per il congelamento delle armi nucleari). Invece di fuggire gli Zimmermann decisero di restare, e di battersi per il disarmo nel luogo dov’erano nati. Diventarono due attivisti antinucleari tra i più combattivi: consigliavano sulle questioni di politica militare i candidati vicini alle loro idee, e furono arrestati con Carl Sagan e altre quattrocento persone per aver manifestato in un poligono per test atomici del Nevada. Qualche anno dopo, nel 1985, Michail Gorbaciov diventò segretario generale del Partito comunista sovietico. Le sue parole d’ordine politiche - la glasnost, o «trasparenza», e la perestroika, o «ristrutturazione», ridussero la tensione tra Est e Ovest. Le paure di Zimmermann si attenuarono, ma egli non rinunciò all’impegno politico; si limitò a incanalarlo verso altre mete. La sua attenzione fu catturata dalla rivoluzione telematica e dalla nuova importanza sociale della crittografia: La crittografia era una volta una scienza oscura, di poca importanza per la vita di ogni giorno. Storicamente, ha sempre avuto un ruolo privilegiato nelle comunicazioni diplomatiche e militari. M a nell’Età dell’informazione, la crittografia riguarda il potere politico e in particolare il rapporto tra un popolo e coloro che lo governano. Riguarda il diritto alla privacy, alla libertà di parola, di associazione e di stampa; il diritto di non subire perquisizioni e di non essere trattenuto dalla polizia senza ragioni plausibili; il diritto di non subire vessazioni.
Queste idee possono sembrare vagamente paranoidi, ma secondo Zimmermann esiste una differenza tra la comunicazione normale e quella digitale che ha importanti conseguenze per la tutela della privacy: In passato, se un governo voleva violare la privacy di un cittadino doveva investire tempo e risorse per sottrarre, aprire e leggere la sua corrispondenza, o per ascoltare e trascrivere le sue conversazioni telefoniche. È un po’ come pescare con amo e lenza: si prende solo un pesce per volta. Per fortuna della libertà e della democrazia, questa sorveglianza ad alta intensità di lavoro non è mai stata attuabile su larga scala. M a la posta elettronica sta sostituendo quella cartacea, e presto cesserà di essere la curiosità che è oggi per entrare nell’uso quotidiano. Diversamente dalla posta normale, quella elettronica è fin troppo facile da intercettare e sottoporre a scansione alla ricerca di parole chiave. Lo si può fare agevolmente, in modo rutinario e automatizzato, su larga scala e senza correre il rischio di essere scoperti. È come la pesca a strascico, e questo fa una differenza qualitativa, «orwelliana», per quanto attiene alla salute della democrazia.
La differenza tra posta ordinaria ed e-mail si può illustrare immaginando che Alice voglia spedire gl’inviti alla sua festa di compleanno e che Eva, esclusa dalla festa, voglia scoprire la data e il luogo della riunione. Con la posta tradizionale il compito di Eva è difficile. Innanzitutto, ella non sa dove sia avvenuto l’ingresso degl’inviti nel sistema postale; infatti Alice può aver usato qualsiasi buca delle lettere della sua città. Ancor meno sa dove avverrà l’uscita degl’inviti dal sistema postale. Tutt’al più, se conosce l’indirizzo di almeno un invitato, può intrufolarsi nella locale centrale di smistamento. Nella centrale la ricerca dell’invito andrà effettuata manualmente, esaminando le buste una alla volta. Ammesso che la busta spedita da Alice sia stata trovata, bisognerà aprirla, leggerla e richiuderla senza lasciar traccia, per non insospettire il destinatario. Il compito di Eva è considerevolmente più facile se Alice manda gli inviti tramite e-mail. Lasciato il suo personal computer, i messaggi raggiungono il server locale uno degl’ingressi obbligatori nella rete telematica. Se Eva ha gli strumenti e il knowhow necessario, può violare il server senza nemmeno uscire di casa. Gli inviti includono l’indirizzo e-mail di Alice, e progettare un programma filtro per la ricerca dei messaggi che contengono questo dato non presenta difficoltà. Trovato un invito, non ci sono buste da aprire e richiudere; la consultazione è immediata. L’e-mail prosegue poi per la sua strada senza perdite di tempo o segni di intercettazione. Così, Alice e i suoi ospiti non sospetteranno nulla. Naturalmente, il piano di Eva può essere sventato: è sufficiente che Alice cifri la sua posta elettronica. Ogni giorno circolano oltre cento milioni di messaggi e-mail, e tutti possono essere intercettati. La tecnologia digitale ha facilitato le comunicazioni, ma anche la loro sorveglianza. Secondo Zimmermann, i crittografi dovrebbero incoraggiare la codifica dei messaggi per la protezione della privacy individuale: I governi del futuro potrebbero ereditare un’infrastruttura tecnologica ideale per la sorveglianza [delle comunicazioni], e usarla per spiare le opposizioni politiche, conoscere le transazioni finanziarie, registrare ogni messaggio e-mail, ogni telefonata, ogni scambio di dati. Tutto potrebbe essere filtrato, vagliato, classificato automaticamente per mezzo di tecnologie di riconoscimento vocale, e trascritto. È ora che la crittografia abbandoni il mondo chiuso delle spie e dei militari, esca alla luce del sole e sia accolta dal resto della società.
In teoria, l’invenzione della RSA nel 1977 avrebbe dovuto rappresentare un antidoto allo scenario orwelliano, perché ciascuno avrebbe potuto munirsi di una chiave pubblica e una privata e inviare messaggi adeguatamente protetti. In realtà un simile uso urta contro un grave ostacolo perché la cifratura RSA richiede una potenza di calcolo molto elevata rispetto alle scritture segrete tradizionali come la DES. Basti pensare che negli anni Ottanta solo il governo, le forze armate e le società private di
grandi dimensioni possedevano calcolatori abbastanza potenti per gestire la RSA. Non per caso la RSA Data Security Inc., che si occupava della commercializzazione di questa cifratura, sviluppava i propri prodotti in base alle esigenze di una porzione elitaria del mercato. Zimmermann, invece, pensava che tutti avessero diritto al livello di sicurezza consentito dalla cifratura asimmetrica, e rivolse il proprio zelo di militante alla messa a punto di prodotti RSA per l’uomo comune. Intendeva avvalersi dei suoi studi di informatica per progettare programmi efficienti ed economici, tali da non richiedere risorse superiori a quelle di un normale personal computer. Egli mirava anche a una versione della RSA che si presentasse all’utente in una veste «amichevole»; una versione con cui potesse dialogare anche chi non sapeva nulla di informatica e crittografia. Chiamò il suo progetto Pretty Good Privacy (Riservatezza niente male), PGP per brevità. Il nome si ispirava alle Ralph’s Pretty Good Groceries (Prodotti alimentari niente male di Ralph), sponsor di uno dei programmi radio preferiti di Zimmermann. Alla fine degli anni Ottanta, nella sua casa di Boulder, Colorado, egli realizzò passo dopo passo il suo pacchetto di software. In quel periodo, la sua preoccupazione principale fu aumentare la velocità di codifica RSA. Normalmente, se Alice vuole inviare a Bob un messaggio cifrato con questo sistema deve procurarsi la chiave pubblica di Bob, e immettere il messaggio nella funzione unidirezionale RSA. Per decifrare il messaggio Bob deve usare la sua chiave privata, e invertire la funzione unidirezionale RSA. Entrambi i procedimenti comportano un considerevole lavoro matematico da parte del software, cosicché cifratura e decifrazione di un testo lungo può richiedere, su un computer domestico, diversi minuti. Poiché può accadere di inviare, in un giorno, anche un centinaio di messaggi, un simile dispendio di tempo dev’essere considerato eccessivo. Per rendere più veloce la cifratura e la decifrazione Zimmermann ricorse a un elegante stratagemma basato sull’uso combinato della codifica asimmetrica RSA e della tradizionale codifica simmetrica. Come sappiamo la codifica tradizionale può essere sicura quanto quella asimmetrica, ed è molto più veloce, ma ha il difetto di comportare la distribuzione delle chiavi, che devono essere trasmesse da chi invia i messaggi a chi li riceve in condizioni di sicurezza. È qui che la RSA può venire in soccorso: nulla vieta infatti di usarla per codificare e trasmettere, invece del messaggio, soltanto la chiave simmetrica. La situazione immaginata da Zimmermann è la seguente: per inviare un messaggio a Bob, Alice in primo luogo lo cifra con un procedimento simmetrico. Il procedimento preferito da Zimmermann si chiama IDEA, ed è simile al DES. Per cifrare tramite IDEA Alice deve scegliere una chiave; inoltre, poiché il procedimento è simmetrico, deve comunicare la chiave a Bob in condizioni di sicurezza. Alice
risolve il problema procurandosi la chiave pubblica RSA di Bob, e usandola per cifrare la chiave IDEA. Alice deve quindi inviare a Bob due dati: il messaggio cifrato in modo simmetrico tramite IDEA, e la chiave IDEA, cifrata in modo asimmetrico col procedimento RSA. All’altra estremità della rete Bob usa la sua chiave privata RSA per decifrare la chiave IDEA, e usa quest’ultima per decifrare il messaggio vero e proprio. Questo metodo può sembrare contorto, ma il suo pregio è che il messaggio, che può contenere molte informazioni, è cifrato col rapido sistema della cifratura simmetrica, e solo la chiave simmetrica IDEA, che contiene poche informazioni, è cifrata col lento sistema asimmetrico. Zimmermann intendeva incorporare RSA e IDEA nel suo prodotto PGP; come sappiamo, esso era progettato per essere usato con facilità, senza costringere l’utente a informarsi sui particolari tecnici del suo funzionamento. Avendo in gran parte risolto il problema della rapidità, Zimmermann inserì nel PGP una serie di utili caratteristiche. Per esempio, prima di attivare la componente RSA del suo programma crittografico, Alice deve generare due chiavi, quella privata e quella pubblica. Non si tratta di un compito banale, perché richiede la scelta di due numeri primi molto grandi. Ma nel PGP Alice deve solo muovere il mouse casualmente, perché il programma provveda a creare la chiave privata e la chiave pubblica personalizzate. I movimenti del mouse introducono un fattore aleatorio, del quale il PGP approfitta per garantire che ogni utente disponga della sua particolare coppia di numeri primi, e con essi di una chiave privata e di una chiave pubblica uniche. Da quel momento, Alice deve solo render nota la propria chiave pubblica. Un altro aspetto interessante del PGP è l’utility per firmare i documenti di e-mail. Normalmente la posta elettronica non permette di firmare alcunché; perciò non si può individuare il vero autore di un messaggio elettronico. Per esempio, se Alice decide di usare l’e-mail per mandare una lettera d’amore a Bob, può cifrarla con la chiave pubblica di Bob e inviargliela. Quando l’avrà ricevuta, Bob la decifrerà con la propria chiave privata. Naturalmente egli sarà lusingato, ma come può esser certo che il messaggio proviene davvero da Alice? Eva potrebbe aver scritto l’e-mail digitando il nome di Alice al posto del proprio. Senza la garanzia rappresentata da una firma veramente personale, non c’è alcun modo sicuro di accertare l’autore di un testo. Oppure, immaginate che una banca riceva un e-mail col nome di un cliente in calce, in cui si ordina di trasferire i risparmi dell’interessato su un conto corrente numerato nelle isole Cayman. Come possono i funzionari della banca stabilire se l’ordine è autentico, in mancanza di una firma a mano libera? L’e-mail potrebbe esser stato spedito da un truffatore, e il conto corrente nelle isole Cayman potrebbe appartenere a lui. Perché la fiducia entri in Internet, bisogna disporre di una firma elettronica affidabile quanto quella tradizionale. La firma digitale del PGP si basa su un principio sviluppato in origine da Diffie e
Hellman. Nel proporre di separare la chiave pubblica da quella privata essi capirono che oltre a risolvere il problema della distribuzione delle chiavi la loro invenzione spianava la strada alla realizzazione di firme elettroniche. Si è spiegato nel capitolo 6 che la chiave pubblica serve a cifrare, quella privata a decifrare. In realtà il procedimento si può invertire, in modo che la chiave privata serva a cifrare e quella pubblica a decifrare. Questa possibilità è di solito trascurata perché non produce sicurezza. Se Alice usasse la sua chiave privata per cifrare la lettera per Bob, chiunque potrebbe decifrarla perché per definizione la chiave pubblica è accessibile a tutti. Tuttavia questa modalità di funzionamento garantisce l’autenticità: se Bob è in grado di decifrare il messaggio con la chiave pubblica di Alice, questo significa che è stato cifrato con la sua chiave privata, che lei sola possiede. Dunque, se Alice vuole mandare una cyberlettera d’amore a Bob può procedere in due modi: può cifrare il messaggio con la chiave pubblica di Bob per garantire la riservatezza, o con la propria chiave privata per garantire il riconoscimento del mittente. Combinando i procedimenti potrebbe raggiungere entrambi gli scopi. Ci sono modi più rapidi di ottenere questo risultato, ma ecco come, in pratica, potrebbe comportarsi: innanzitutto ella cifra il messaggio con la sua chiave privata, poi cifra il crittogramma così ottenuto con la chiave pubblica di Bob. Possiamo immaginare il messaggio circondato da un guscio interno fragile, che rappresenta la cifratura tramite la chiave privata di Alice, e da un robusto guscio esterno, che rappresenta la cifratura tramite la chiave pubblica di Bob. Il crittogramma è accessibile solo a Bob, che può aprire il guscio esterno con la propria chiave privata. Compiuta questa operazione egli può facilmente controllare che il messaggio non provenga da un impostore, eliminando il guscio interno con la chiave pubblica della mittente. Il guscio interno non serve a proteggere il messaggio, ma dimostra che esso è stato inviato da Alice e non da un impostore. A questo punto, inviare un messaggio cifrato PGP può apparire piuttosto complesso. La cifratura IDEA codifica il testo vero e proprio, la cifratura RSA codifica la chiave IDEA, e se occorre una firma digitale si deve ricorrere a un terzo passaggio. Ma Zimmermann aveva sviluppato il suo software in modo che quasi tutte le fasi fossero svolte in modo automatico; quindi Alice e Bob non avrebbero dovuto preoccuparsi della matematica. Per mandare un documento di testo a Bob, Alice avrebbe dovuto scriverlo, scegliere un’opzione da un menu PGP richiamato sullo schermo del computer, e digitare il nominativo di Bob. Il PGP avrebbe trovato la chiave pubblica di Bob ed eseguito tutte le routine di cifratura; inoltre, il software avrebbe effettuato in modo automatico le operazioni necessarie alla firma digitale del messaggio. Ricevuto il documento, Bob avrebbe attivato il programma PGP, che lo avrebbe decifrato e avrebbe controllato l’identità del mittente. Nessun aspetto del PGP era originale - Diffie e Hellman avevano già inventato la firma elettronica, e altri
crittografi avevano impiegato combinazioni di cifrature simmetriche e asimmetriche per accelerare la codifica - ma Zimmermann era stato il primo a fondere questi procedimenti in un solo software facile da usare e in grado di funzionare su un personal computer di media potenza. Nell’estate del 1991 la trasformazione del PGP in un prodotto vendibile era a buon punto. A Zimmermann restavano solo due problemi, nessuno dei quali di natura tecnica. Il primo, di vecchia data, era che la cifratura RSA - uno dei pilastri del PGP - era brevettata. Perciò per commercializzare il suo programma Zimmermann aveva bisogno dell’autorizzazione della RSA Data Security Inc. Tuttavia, egli decise di ignorare l’ostacolo, perché il PGP intendeva proporsi come un prodotto destinato non alle corporations ma ai privati cittadini. In altre parole, gli sembrava evidente che il suo software non sarebbe entrato in competizione commerciale con quelli della RSA Data Security Inc.; sperava perciò che a suo tempo quest’ultima gli avrebbe concesso la necessaria autorizzazione. Il secondo problema, più serio e immediato, era costituito dalla legge anticrimine approvata nel 1991 dal Senato degli Stati Uniti, che conteneva la clausola seguente: «È parere del Congresso che i fornitori di servizi di comunicazione elettronica, e i produttori di apparecchiature per le comunicazioni elettroniche, debbano assicurarsi che i sistemi in oggetto permettano al governo di volgere in chiaro voci, dati e altri messaggi in presenza delle necessarie autorizzazioni legali». Ciò che preoccupava il Senato americano era che gli sviluppi delle tecnologie digitali, per esempio nel campo della telefonia cellulare, impedissero ai tutori dell’ordine di effettuare intercettazioni ritenute indispensabili. D’altra parte, costringendo le compagnie del settore delle comunicazioni a rendere possibili le intercettazioni, la legge sembrava vietare ogni sistema crittografico veramente affidabile. Dopo qualche tempo gli sforzi concertati della RSA Data Security Inc., dell’industria delle comunicazioni e dei gruppi per le libertà civili ottennero la cancellazione della clausola, ma la sensazione generale fu che si trattasse solo di un rinvio. Zimmermann era sicuro che, prima o poi, il governo avrebbe dichiarato di nuovo fuori legge metodi crittografici come il PGP. Aveva sempre pensato di commercializzarlo, ma a quel punto riesaminò la sua strategia. Trasse la conclusione che il programma rischiava di essere dichiarato illegale, e che l’obiettivo più importante era farlo giungere ai potenziali utenti finché la situazione lo permetteva. Spinto dalla disperazione, nel giugno 1991 chiese a un amico di spedire il PGP a un Usenet bulletin board, destinato a illustrare i nuovi prodotti informatici. Il PGP era un software; perciò chiunque aveva il diritto di scaricarlo gratuitamente dal bulletin board. Da quel momento, il programma di Zimmermann fu in Internet, a disposizione degli utenti della rete. Dapprima il PGP fece scalpore soprattutto tra gli appassionati di crittografia. Poi,
numerosi abbonati a Internet cominciarono a scaricarlo sui loro elaboratori. Fu quindi il turno delle riviste specializzate in personal computer, che iniziarono con resoconti piuttosto sintetici per finire con articoli di intere pagine. A poco a poco, il programma di Zimmermann raggiunse gli angoli più remoti della comunità telematica. Per esempio, le associazioni di difesa dei diritti umani cominciarono a servirsene per crittare i documenti, perché questi non potessero essere utilizzati dai regimi accusati di abusi. Zimmermann cominciò a ricevere telegrammi di congratulazioni per la sua invenzione. «Gruppi della resistenza birmana», racconta, «lo usano nei campi di addestramento nella jungla. Ci hanno fatto sapere che esso ha risollevato loro il morale. Prima dell’introduzione del PGP, la cattura di documenti da parte del nemico poteva significare l’arresto, la tortura e la condanna a morte per intere famiglie». Nell’ottobre 1993 egli ricevette un e-mail dalla Lituania inviato il giorno in cui Boris Eltsin ordinò di bombardare il palazzo del Parlamento: «Phil, voglio che tu lo sappia: Dio ce ne scampi, ma se in Russia dovesse tornare la dittatura il tuo PGP ormai è diffuso dal Baltico all’Estremo Oriente, e se necessario aiuterà i democratici a resistere. Grazie». Mentre trovava sostenitori nei più remoti angoli del globo, in America Zimmermann era giudicato in modo assai meno favorevole. Lungi dal concedergli la sperata autorizzazione, la RSA Data Security Inc. lo accusò di avere violato i suoi diritti. Anche se egli aveva diffuso il PGP come freeware (software disponibile gratuitamente), il suo programma conteneva il sistema RSA di crittografia a chiave pubblica, e per la RSA Data Security Inc. egli era un pirata informatico. Secondo la società, Zimmermann non poteva regalare ciò che non gli apparteneva. La disputa sul brevetto sarebbe durata anni, durante i quali l’inventore statunitense si sarebbe imbattuto in un ostacolo ancor più pericoloso. Nel febbraio 1993 egli ricevette la visita di due investigatori del governo. Nel corso dell’indagine sulla presunta violazione del brevetto, essi avevano cominciato a valutare un’ipotesi di reato molto più grave: l’esportazione illegale di materiale bellico. Il governo americano includeva nella sua definizione di armi da guerra anche il software crittografico, con missili, mortai e mitragliatrici. Di conseguenza il PGP non si poteva esportare senza l’autorizzazione del Dipartimento di Stato. In poche parole, il fatto di aver regalato il PGP via Internet faceva di Zimmermann un sospetto trafficante d’armi. Per questo, nei tre anni seguenti, egli fu sottoposto a indagine da parte di un gran giurì e del Federal Bureau of Investigation.
Un crittografo in ogni casa? Le indagini su Phil Zimmermann e il PGP accesero il dibattito sugli effetti positivi e negativi della crittografia nell’Età dell’informazione. Il successo del programma spinse scienziati, uomini politici, attivisti per i diritti civili e tutori dell’ordine a riflettere sulle implicazioni dell’uso generalizzato della crittografia. C’era chi, come Zimmermann, pensava che il largo impiego di cifrature forti sarebbe stato un bene per la società, proteggendo il diritto individuale alla riservatezza. E c’era chi lo considerava una minaccia, perché criminali e terroristi avrebbero potuto comunicare in tutta tranquillità, immuni alle intercettazioni da parte della polizia. Il dibattito è proseguito per tutti gli anni Novanta, e attualmente non è meno acceso che in passato. La questione fondamentale è se i governi debbano o no promulgare leggi che limitino l’uso della crittografia. La completa libertà crittografica permetterebbe a tutti, criminali compresi, di usufruire di comunicazioni inviolabili. D’altra parte le restrizioni in questo campo faciliterebbero la sorveglianza dei criminali da parte della polizia, ma esporrebbero anche il cittadino comune allo spionaggio, da parte della polizia e di chiunque altro. Comunque saremo noi, tramite i nostri rappresentanti nelle assemblee elettive, ad aver l’ultima parola sul futuro delle scritture segrete. Questa sezione del libro prende in esame i due versanti della polemica. La maggior parte dello spazio è riservata a uomini politici e attivisti degli Stati Uniti, da un lato perché quello è il luogo di nascita del PGP, intorno al quale ruota gran parte del dibattito; dall’altro perché la linea che sarà adottata in America avrà ripercussioni in tutti gli altri Paesi. La battaglia legale contro la crittografia, com’è stata impostata dai tutori dell’ordine, esprime il desiderio di non alterare lo status quo. Per decenni le polizie di tutto il mondo hanno effettuato intercettazioni autorizzate per assicurare alla legge i criminali. Per esempio, nel 1918 in America le intercettazioni furono usate per individuare le spie nemiche, e negli anni Venti per contrastare il contrabbando di alcolici. L’opinione che questo strumento fosse indispensabile alla tutela dell’ordine pubblico si consolidò negli anni Sessanta, quando il FBI mise in guardia le autorità sul pericolo che la criminalità organizzata rappresentava per la sicurezza nazionale. In questo campo, la condanna degli imputati era molto difficile sia perché i potenziali testimoni di accusa erano sottoposti a minacce, sia per la difficoltà di violare il codice del silenzio, l’omertà. La polizia si convinse che le intercettazioni fossero il solo mezzo di raccogliere indizi, e la Corte Suprema diede il suo assenso. Nel 1967, essa dichiarò legittime le intercettazioni, purché approvate dalla magistratura. Sono passati vent’anni, e il FBI sostiene che «le intercettazioni autorizzate dalla magistratura sono tuttora il più efficace strumento investigativo a disposizione delle forze dell’ordine per contrastare lo spaccio di droga, il terrorismo, reati contro la
persona, lo spionaggio e il crimine organizzato». Uno strumento che i sistemi crittografici più avanzati potrebbero rendere inutilizzabile. Le comunicazioni telefoniche digitalizzate non sono altro che una lunga serie di numeri, e possono essere crittate con le stesse tecniche impiegate per l’e-mail. Per esempio, PGPfone è un prodotto in grado di crittare le comunicazioni vocali via Internet. Se la polizia sostiene che le intercettazioni sono necessarie alla difesa della legalità, e pertanto l’impiego della crittografia andrebbe limitato, non è solo in base a considerazioni astratte. Si sono già registrati casi di criminali che usavano cifrature forti per sfuggire alla legge. Un giurista tedesco esperto in materia ha dichiarato che «le attività più scottanti e lucrose, come il traffico d’armi e quello di stupefacenti, già oggi non sono gestite in chiaro per telefono, ma in forma cifrata tramite le reti mondiali di trasferimento dei dati». Un funzionario della Casa Bianca ha accennato a una tendenza altrettanto preoccupante in corso negli Stati Uniti. A suo avviso, «gli esponenti della criminalità organizzata sono tra i più smaliziati utenti di sistemi telematici e di procedure crittografiche forti». Per esempio, il «cartello di Calì» gestisce la distribuzione di droga per mezzo di comunicazioni crittate. I tutori dell’ordine paventano che l’abbinamento di Internet e crittografia permetta ai criminali di comunicare e coordinarsi; temono in particolare i cosiddetti «quattro cavalieri dell’Apocalisse telematica» - spacciatori di droga, crimine organizzato, terrorismo e pedofilia - i gruppi illegali che dal libero impiego delle scritture segrete potrebbero ricavare i maggiori vantaggi. Oltre a crittare le comunicazioni, criminali e terroristi codificano piani e documenti a uso interno per ostacolare la raccolta di prove a loro carico. Si è scoperto che la setta Aum Shinrikyo, responsabile nel 1995 degli attentati con gas nervino alla metropolitana di Tokyo, aveva reso illeggibili alcuni documenti tramite la RSA. Ramsey Yousef, una delle persone implicate nell’attentato dinamitardo al World Trade Center di New York, conservava nel suo computer portatile i piani crittati di una serie di futuri attentati. A parte le organizzazioni terroristiche internazionali, la criminalità comune può anch’essa approfittare della crittografia; per esempio, un’organizzazione criminale americana di scommesse clandestine per quattro anni ha tenuto una contabilità computerizzata in forma cifrata. Uno studio effettuato nel 1997 da Dorothy Denning e William Baugh su richiesta del US Working Group on Organized Crime (Gruppo di lavoro statunitense sul crimine organizzato), del National Strategy Information Center (Centro informazioni di strategia nazionale), stimò che i processi penali che avevano dovuto occuparsi di crittografia erano già cinquecento; secondo i due ricercatori questa cifra era destinata a raddoppiare all’incirca ogni dodici mesi. Oltre alla difesa della legalità in patria, il diffondersi della crittografia pone anche problemi di sicurezza internazionale. La National Security Agency è preposta alla
raccolta di informazioni sui Paesi ostili, e svolge il suo compito in gran parte per mezzo delle intercettazioni. Essa gestisce una rete mondiale di stazioni d’ascolto in collaborazione con la Gran Bretagna, l’Australia, il Canada e la Nuova Zelanda, Stati che collaborano alla raccolta dei dati e hanno diritto alla loro utilizzazione. La rete comprende impianti come la Menwith Hill Signals Intelligence Base (Base di raccolta dei segnali di Menwith Hill), nello Yorkshire, in assoluto la più potente stazione d’ascolto a livello planetario. Le attività di Menwith Hill si basano tra l’altro sul sistema Echelon, che effettua la scansione di e-mail, fax, telex e telefonate in base a una lista di parole scottanti, come Hezbollah, assassinare, Clinton, e simili. Il sistema è abbastanza potente da riconoscere queste parole in tempo reale e sottoporre a un esame più attento i messaggi che le contengono, permettendo di sorvegliare le comunicazioni di gruppi estremistici e organizzazioni terroristiche. Ma Echelon diventerebbe pressoché inutilizzabile se i messaggi fossero crittati in modo forte. Così, tutte le nazioni comproprietarie di Echelon perderebbero informazioni preziose su complotti politici e attacchi terroristici. Sull’altro versante della polemica sono schierati i difensori delle libertà civili, soli o riuniti in gruppi come il Center for Democracy and Technology (Centro per la democrazia e la tecnologia) e l’Electronic Frontier Foundation (Fondazione frontiera elettronica). La loro difesa della crittografìa si basa sulla convinzione che la riservatezza è un diritto fondamentale, riconosciuto dall’articolo 12 della Dichiarazione universale dei diritti dell’Uomo: «Nessuno dev’essere oggetto di interferenze arbitrarie riguardanti la vita privata, la famiglia, l’abitazione e la corrispondenza, né di attacchi al suo onore e alla sua reputazione. Tutti hanno il diritto di esser protetti dalla legge contro interferenze e attacchi di questo tipo». La tesi dei difensori delle libertà civili è che la crittografia forte è indispensabile per garantire il diritto alla riservatezza. Essi temono che altrimenti i progressi della tecnologia digitale, che rende sempre più facile la sorveglianza sistematica, sfoceranno in un’Età dell’intercettazione con tutti gli abusi che è facile immaginare. In passato, i governi hanno spesso approfittato del potere per far compiere intercettazioni a danno di ignari cittadini. I presidenti degli Stati Uniti Lyndon Johnson e Richard Nixon furono responsabili di intercettazioni illegali, e John F. Kennedy dispose intercettazioni di dubbia legalità nei primi mesi del suo mandato: essendo imminente la discussione di una proposta di legge sulle importazioni di zucchero dalla Repubblica Dominicana, Kennedy chiese la messa sotto sorveglianza dei telefoni di alcuni deputati. Egli si giustificò sostenendo di sospettare che fossero stati corrotti una spiegazione accettabile dal punto di vista della sicurezza nazionale; tuttavia non fu scoperto alcun indizio di corruzione, mentre le intercettazioni fornirono al presidente preziose informazioni politiche, e permisero al governo di far approvare la legge.
Uno dei casi più noti di prolungata intercettazione illegale è quello di Martin Luther King Jr., le cui conversazioni telefoniche furono tenute sotto controllo per anni. Per esempio nel 1963 il FBI ottenne in questo modo notizie su King che trasmise al senatore James Eastland, per favorirlo in un dibattito su alcune proposte di legge in tema di diritti civili. Più in generale, il FBI raccolse informazioni sulla vita privata di King, poi usate per screditarlo. Registrazioni del reverendo che raccontava barzellette sconce furono inviate a sua moglie e fatte ascoltare al presidente Johnson. Poi, dopo l’assegnazione a King del premio Nobel, particolari imbarazzanti sulla sua vita furono forniti a organizzazioni che avevano intenzione di conferirgli titoli onorifici. Altri governi hanno sulla coscienza scorrettezze analoghe. La Commission Nationale de Contrôle des Interceptions de Sécurité stima che ogni anno, in Francia, le intercettazioni illegali siano dell’ordine del centinaio di migliaia. Ma la più colossale violazione della privacy individuale è forse il già citato programma internazionale Echelon. Esso non deve dar conto a nessuno delle informazioni di cui si impadronisce, e non prende di mira solo sospetti criminali; fa incetta di notizie in modo indiscriminato, usando ricevitori che captano i dati ritrasmessi a terra dai satelliti. Un innocuo messaggio transoceanico di Alice a Bob sarebbe certamente intercettato da Echelon, e se per caso contenesse un paio di vocaboli inclusi nel suo dizionario verrebbe segnalato per ulteriore sorveglianza, insieme a quelli dei gruppi estremistici e delle bande di terroristi. Mentre i tutori dell’ordine sostengono che l’accesso alla crittografia va limitato perché renderebbe inefficace Echelon, i paladini dei diritti civili sostengono che il libero accesso alla crittografia è necessario proprio perché mette fuori gioco Echelon. Se i tutori dell’ordine sostengono che le cifrature forti renderanno più difficile condannare i criminali, i paladini dei diritti civili replicano che il problema della riservatezza è più importante. In ogni caso, secondo i fautori delle libertà civili la cifratura non rappresenta un ostacolo significativo per l’applicazione della legge, perché nella maggior parte delle indagini le intercettazioni non sono determinanti. Per esempio, in America nel 1993 le intercettazioni ordinate dalla magistratura sono state circa mille, contro un totale di 250.000 indagini federali. Non sorprende che tra i difensori della libertà crittografica figurino alcuni degl’inventori della crittografia a chiave pubblica. Whitfield Diffie afferma che gli uomini hanno goduto di una privacy quasi completa per gran parte dei tempi storici: Nel 1790, quando la Carta dei diritti dell’Uomo fu promulgata, due persone potevano tenere una conversazione riservata con una tranquillità che oggi neanche ci sogniamo, semplicemente facendo due passi e badando che nessuno fosse nascosto tra i cespugli. Non c’erano registratori, microfoni parabolici e interferometri laser che ti rimbalzano sugli occhiali. E bisogna pur riconoscere che la civiltà esisteva lo stesso. Anzi, molti considerano quei tempi l’età aurea della cultura politica
americana.
Ron Rivest, uno degl’inventori della RSA, pensa che limitare l’accesso alla crittografia non abbia senso: È politicamente miope impedire in modo indiscriminato la diffusione di una tecnologia solo perché alcuni criminali potrebbero approfittarne. Qualunque cittadino degli Stati Uniti è libero di acquistare guanti, anche se un ladro potrebbe usarli per svaligiare una casa senza lasciare impronte. La crittografia è una tecnologia per la protezione dei dati, proprio come i guanti sono una tecnologia per la protezione delle mani. La crittografia protegge i dati dagli hackers, dallo spionaggio industriale e dai falsari, mentre i guanti proteggono le mani da tagli, abrasioni, freddo e infezioni. Quella può interferire con le intercettazioni da parte dello FBI, questi col rilevamento delle impronte da parte dello FBI. Sia la crittografia sia i guanti sono diffusi e poco costosi. In effetti, si può scaricare da Internet un buon programma crittografico per un prezzo inferiore a quello di un buon paio di guanti.
I principali alleati dei paladini dei diritti civili sono forse gli operatori economici. Il commercio via Internet è ancora in uno stadio infantile, ma il volume di vendite è in rapida crescita, con libri, compact-disc e programmi per computer in vetta alla classifica, e supermarket, turismo organizzato e altri prodotti di largo consumo in seconda posizione. Nel 1998 un milione di cittadini britannici è ricorso a Internet per acquistare beni e servizi per quattrocento milioni di sterline - una somma che dovrebbe quadruplicare nel 1999. Da qui a qualche anno il commercio telematico potrebbe dominare il mercato; a condizione, ovviamente, che i problemi della sicurezza e della fiducia siano stati affrontati e risolti. Le società di commercio telematico devono garantire la riservatezza e l’affidabilità delle transazioni, e il solo modo di farlo è ricorrere alle cifrature forti. Attualmente, un acquisto tramite Internet può essere reso sicuro dalla crittografia a chiave pubblica. Alice visita il sito Internet di una società, sceglie un prodotto, compila un modulo elettronico col proprio nome, indirizzo, numero di carta di credito e ogni altra informazione necessaria, dopo di che critta il modulo con la chiave pubblica della società. Solo quest’ultima può accedere alle informazioni contenute nel modulo, in quanto la decifrazione richiede la sua chiave privata. Tutto il processo è svolto automaticamente tramite il programma per navigare in rete (per esempio, Netscape o Explorer), con l’aiuto del computer della società. Come di consueto, la sicurezza della cifratura dipende anche dalle dimensioni della chiave. In America esse non sono soggette a limitazioni, ma le società di informatica statunitensi non sono ancora autorizzate a esportare prodotti che permettano cifrature forti. Perciò i programmi per navigare in rete esportabili nel resto del mondo gestiscono solo chiavi brevi, con un moderato livello di sicurezza. In effetti, se Alice acquista da Londra un libro in vendita su un sito Internet di Chicago,
la sua transazione telematica sarà un miliardo di miliardi di miliardi di volte meno sicura di quella di Bob, che acquista lo stesso libro da New York. La transazione di Bob è assolutamente sicura, perché il programma di navigazione di Bob gestisce la cifratura tramite una chiave molto più lunga; invece, la transazione di Alice potrebbe essere decifrata da una banda criminale sufficientemente decisa. Per fortuna, il costo dell’attrezzatura necessaria a questo scopo è probabilmente superiore al limite di spesa della carta di credito di Alice, per cui l’attuazione di un simile piano avrebbe poco senso. Tuttavia, con l’aumentare del flusso di denaro attraverso Internet, per i criminali potrebbe diventare conveniente impadronirsi dei dati sulle carte di credito. In breve, perché il commercio telematico possa prosperare i consumatori devono sentirsi sicuri da questo punto di vista; una cifratura debole non rappresenterebbe una soluzione. Il mondo degli affari è favorevole alle cifrature forti anche per un’altra ragione. Le corporations immagazzinano grandi quantità di informazioni negli archivi computerizzati, dalle caratteristiche dei prodotti ai dati sui clienti, ai bilanci aziendali. È naturale che esse desiderino proteggere gli archivi dai pirati informatici, che potrebbero raggiungerli e svaligiarli per via telematica. Questo risultato si potrebbe ottenere crittando gli archivi, in modo che siano utilizzabili solo dai dipendenti muniti della chiave crittografica. In sintesi, è chiaro che il dibattito ha generato due campi contrapposti; difensori delle libertà civili e mondo degli affari sono favorevoli alle cifrature forti, mentre i tutori dell’ordine sostengono la necessità di significative limitazioni. Quanto all’opinione pubblica, essa sembra propendere per lo schieramento favorevole alle cifrature forti, che gode della simpatia dei media e ha avuto l’appoggio di un paio di importanti pellicole hollywoodiane. All’inizio del 1998, Codice Mercury ha narrato la storia di un’immaginaria nuova cifratura della NSA, creduta inviolabile ma involontariamente decifrata da un ragazzino autistico di nove anni. Un agente della NSA (interpretato da Alec Baldwyn) cerca di eliminare il ragazzino, considerato una minaccia alla sicurezza nazionale; per sua fortuna la vittima designata può contare sulla muscolosa protezione di Bruce Willis. In seguito, sempre nel 1998, è stato distribuito alle sale cinematografiche Nemico pubblico, la storia di un complotto della NSA per assassinare un uomo politico favorevole alle cifrature forti. L’omicidio è portato a termine ma un avvocato (interpretato da Will Smith) e un dissidente della NSA (interpretato da Gene Hackman) assicurano il colpevole alla giustizia. Entrambe le pellicole dipingono la NSA come più sinistra della CIA, e da molti punti di vista l’agenzia per la sorveglianza delle comunicazioni sembra aver ereditato il ruolo di minaccia per la democrazia. Mentre la lobby pro-crittografia si batte per il libero uso dei codici segreti, e la lobby anti-crittografia per significative limitazioni a quell’uso, una terza opzione
potrebbe rappresentare un compromesso. Nell’ultimo decennio crittografi e uomini politici hanno valutato i pro e contro di uno schema noto come key escrow, o «deposito della chiave». Il termine escrow si riferisce di solito a un accordo per cui una persona consegna una somma di denaro a un’altra, che si impegna a consegnarlo a una terza parte in determinate circostanze. Per esempio un inquilino può affidare il denaro a un avvocato, affinché lo versi al proprietario in caso di danno all’abitazione. Parlando di crittografia, escrow significa che Alice consegna una copia della sua chiave privata a un suo rappresentante, un intermediario da lei giudicato affidabile, che la consegnerà alla polizia solo in presenza di indizi convincenti del coinvolgimento di Alice in attività illegali. Il più noto tentativo di deposito della chiave è stato l’American Escrowed Encryption Standard (Standard di cifratura con deposito), adottato nel 1994. Esso mirava a favorire l’adozione di due sistemi crittografici chiamati clipper e capstone, rispettivamente per le comunicazioni via telefono e via computer. Per utilizzare la cifratura clipper, Alice avrebbe dovuto acquistare un telefono con un circuito integrato preinstallato, destinato a immagazzinare la sua chiave segreta. Al momento dell’acquisto del telefono clipper, una copia della chiave privata contenuta nel chip sarebbe stata divisa in due metà, ognuna delle quali sarebbe stata archiviata da due diverse istituzioni federali. Secondo il governo degli Stati Uniti, in questo modo Alice aveva accesso a una cifratura pienamente affidabile, e la sua privacy sarebbe stata violata solo nel caso in cui le forze dell’ordine avessero persuaso due diverse istituzioni federali della necessità di consegnare la loro parte di chiave. Il governo americano cominciò a servirsi di clipper e capstone per le sue comunicazioni, spingendo le società che avevano rapporti commerciali con esso ad adottare l’American Escrowed Encryption Standard. Altre società e persone singole erano libere di usare tipi differenti di cifratura, ma il governo sperava che clipper e capstone diventassero gradualmente i sistemi crittografici più diffusi. Tuttavia, questa politica non funzionò. L’idea del deposito della chiave trovò pochi sostenitori al di fuori dell’esecutivo. Ai paladini delle libertà civili non piaceva l’idea che le autorità possedessero le chiavi crittografiche di tutti gli americani; paragonandole a quelle comuni, essi domandavano polemicamente come avrebbe reagito la gente se il governo avesse preteso di avere una copia delle chiavi di casa di ogni cittadino. Gli esperti di crittografia fecero notare che pochi impiegati infedeli avrebbero potuto mettere a repentaglio l’intero sistema vendendo le informazioni loro affidate al miglior offerente. E gli uomini d’affari temevano una crisi di fiducia. Per esempio, la succursale americana di una multinazionale europea avrebbe potuto temere che i suoi messaggi fossero intercettati da funzionari di enti preposti al commercio, per carpire informazioni in grado di avvantaggiare la concorrenza americana. Nonostante l’insuccesso di clipper e capstone, molti governi rimangono convinti
che il deposito della chiave possa dare buoni risultati, purché dia sufficienti garanzie rispetto ai criminali e agli abusi da parte delle autorità. Louis J. Freeh, direttore dello FBI, ha dichiarato nel 1996: «I tutori dell’ordine sono pienamente favorevoli a una politica equilibrata nel campo della crittografia… Il deposito della chiave non solo è l’unica soluzione; è anche un’ottima soluzione, perché concilia efficacemente fondamentali esigenze sociali riguardanti la riservatezza, la protezione delle informazioni, il commercio elettronico, la sicurezza pubblica e quella nazionale». Per ora il governo americano ha ritirato le proposte di deposito della chiave, ma molti sospettano che in futuro esso tenterà di introdurre una variante di questo procedimento. Può darsi perfino che avendo constatato l’insuccesso del deposito volontario, le autorità prendano in considerazione forme di deposito obbligatorio. Nel frattempo, la lobby pro-crittografia continua la polemica contro questa prassi; Kenneth Neil Cukier, un giornalista scientifico, ha scritto: «Le persone coinvolte nel dibattito sul deposito della chiave sono intelligenti, rispettabili e favorevoli al deposito, ma nessuna ha contemporaneamente più di due di queste caratteristiche». Vi sono alcune altre opzioni cui i governi potrebbero ricorrere per tentare di conciliare le preoccupazioni dei paladini delle libertà civili, degli uomini d’affari e dei tutori dell’ordine. Quale abbia maggiori probabilità di successo è lungi dall’apparire chiaro, perché al momento la politica nel campo della crittografia è in una fase fluida. Gli eventi in grado di influenzare il dibattito si succedono senza interruzione. Nel novembre 1988 il Queen’s Speech (Discorso della Regina) diede per imminente l’entrata in vigore in Gran Bretagna di una legislazione sul mercato telematico. Nel dicembre 1998 trentatré nazioni hanno firmato l’accordo di Wassenaar sulla limitazione delle esportazioni di armamenti, che copre anche le più potenti tecnologie crittografiche. Nel gennaio 1999 la Francia ha abolito le sue norme anticrittografiche, fino a quel momento le più restrittive dell’Europa Occidentale; ciò è verosimilmente da attribuire alla pressione degli ambienti economici. Nel marzo 1999 il governo britannico ha distribuito il documento informativo sull’«Electronic Commerce Bill» (Proposta di legge sul commercio elettronico). Quando leggerete queste pagine, è probabile che il dibattito sulla politica in tema di crittografia avrà compiuto qualche altra piroetta. Tuttavia, almeno un aspetto della futura politica in quest’ambito sembra sicuro: la necessità di un’autorità di certificazione. Se Alice vuole inviare in condizioni di sicurezza un e-mail a Zac, un nuovo amico, deve procurarsi la sua chiave pubblica; potrebbe quindi pregarlo di inviargliela per posta elettronica. Purtroppo, Eva potrebbe intercettare il messaggio di Zac, cancellarlo e produrne uno uguale con la propria chiave pubblica al posto di quella di Zac. In tal modo, Alice potrebbe involontariamente mandare a Zac un email strettamente personale crittato con la chiave pubblica di Eva. Ovviamente, se Eva lo intercettasse non avrebbe difficoltà a decifrarlo con la propria chiave privata.
In altre parole, uno dei problemi della crittografia a chiave pubblica è esser certi di utilizzare la chiave della persona con cui si desidera comunicare. Le autorità di certificazione sono organizzazioni incaricate di verificare che una chiave pubblica corrisponda a una persona particolare. Un’autorità di questo tipo potrebbe chiedere a Zac un incontro vis-à-vis, per controllare di aver correttamente catalogato la sua chiave pubblica. Se Alice si fida dell’autorità di certificazione, può chiedere a lei la chiave pubblica di Zac ed essere tranquilla circa la sua validità. In precedenza si è spiegato come Alice potrebbe acquistare in modo sicuro dei prodotti via Internet, usando la chiave pubblica della società venditrice per cifrare il modulo di ordinazione. In realtà, ella si comporterebbe così solo a condizione che la chiave pubblica della società fosse garantita da un’autorità di certificazione. Nel 1998 il leader del mercato nel campo della certificazione è stato Verisign, trasformatosi in una società da trenta milioni di dollari in appena quattro anni. Oltre a garantire cifrature affidabili grazie alla certificazione delle chiavi pubbliche, un’autorità di questo tipo può anche garantire la validità delle firme digitali. Nel 1998 l’irlandese Baltimore Technologies ha certificato le firme digitali del presidente Bill Clinton e del primo ministro Bertie Ahem. I due capi di Stato hanno così potuto sottoscrivere a Dublino per via telematica un comunicato ufficiale. Le autorità di certificazione non rappresentano un pericolo per la privacy, perché a Zac si limiterebbero a chiedere di comunicare la chiave pubblica, in modo che sia disponibile per chi desidera inviargli comunicazioni cifrate. Esistono però altre società, note come trusted third parties (terze parti di fiducia), o TTP, che forniscono un servizio più controverso, noto come key recovery (ripristino della chiave). Immaginiamo uno studio legale che protegge i documenti più importanti cifrandoli con la propria chiave pubblica, in modo da poterli decifrare solo con la propria chiave privata. Un sistema siffatto è efficace nei confronti dei pirati informatici e di chiunque altro voglia impadronirsi illegalmente dei dati in questione. Ma cosa accadrebbe se l’impiegato che custodisce la chiave privata la dimenticasse, la nascondesse, o venisse coinvolto in un grave incidente che danneggiasse gravemente sia lui sia le informazioni a lui affidate? Per fronteggiare eventualità di questo tipo i governi favoriscono la nascita di TTP, che conservino le copie di riserva delle chiavi crittografiche. Una società che avesse perso la propria chiave privata potrebbe rimediare rivolgendosi a una TTP. Le TTP sono controverse perché avendo accesso alle chiavi private individuali potrebbero decifrare i messaggi codificati tramite queste ultime. Le terze parti di fiducia devono essere veramente affidabili, o il sistema potrà essere oggetto di abuso. Alcuni sostengono che le TTP sono in realtà una reincarnazione del deposito della chiave, e che le autorità inquirenti sarebbero per forza tentate, durante le indagini, di esercitare su esse fortissime pressioni per ottenere informazioni sulle
chiavi dei clienti. Altri replicano che le TTP sono una componente necessaria di un’infrastruttura di chiavi pubbliche organizzata in modo razionale. Nessuno è oggi in grado di dire quale sarà il ruolo futuro delle TTP, o di prevedere con sicurezza il tipo di politica che tra dieci anni sarà seguita in campo crittografico. Sospetto però che nel futuro prossimo la lobby pro-cifratura vincerà la prima fase della guerra, soprattutto perché nessun Paese vorrà avere leggi sulla crittografia che soffocano il commercio elettronico. Se questa politica dovesse dimostrarsi un errore, sarebbe sempre possibile invertire la rotta legislativa. Per esempio, se si verificasse una serie di attentati terroristici efferati, e le forze di polizia riuscissero a dimostrare che intercettazioni più efficaci avrebbero potuto sventarli, i governi riuscirebbero facilmente a suscitare un ampio consenso intorno a procedure come il deposito della chiave. Tutti coloro che impiegano cifrature forti sarebbero costretti a depositare la chiave personale presso un affidatario, e chiunque inviasse messaggi sottoposti a cifratura forte senza aver depositato la chiave si porrebbe nell’illegalità. Se le sanzioni per le cifrature senza deposito della chiave fossero sufficientemente severe, i tutori dell’ordine potrebbero riportare la situazione sotto controllo. In seguito, se i governi abusassero della fiducia loro concessa col sistema del deposito, l’opinione pubblica chiederebbe il ritorno alla libertà crittografica, e il pendolo compirebbe un’altra oscillazione. In breve, non c’è ragione di non modificare la politica in questo campo in funzione del clima internazionale, sociale ed economico. Decisivo risulterà cosa, di volta in volta, apparirà più temibile: i criminali o i governi.
La riabilitazione di Zimmermann Nel 1993 un gran giurì era stato chiamato a indagare su Philip Zimmermann. Secondo il FBI egli era colpevole di esportazione illegale di materiale bellico, avendo messo a disposizione di Paesi ostili e gruppi terroristici gli strumenti necessari a sottrarsi all’autorità del governo degli Stati Uniti. Man mano che le indagini procedevano, un numero crescente di crittografi e difensori delle libertà civili decisero di aiutarlo, promuovendo tra l’altro una raccolta internazionale di fondi per il pagamento delle sue spese legali. Nello stesso tempo, il fatto di essere oggetto di indagine da parte del FBI accrebbe la fama del PGP, che cominciò a diffondersi via Internet ancor più rapidamente: non si trattava forse di un programma così potente da impensierire perfino il FBI? La distribuzione del PGP era avvenuta sotto la pressione degli eventi, e il programma non era rifinito come avrebbe dovuto. Nacque l’attesa di una sua versione migliorata, ma era chiaro che Zimmermann non era in condizione di metter mano al prodotto. Della revisione del PGP si occuparono invece alcuni ingegneri informatici europei. In generale gli umori del Vecchio Continente in tema di crittografia erano, e sono tuttora, più permissivi, e non furono poste limitazioni all’esportazione della versione europea del PGP. Inoltre il brevetto RSA non era un problema al di qua dell’Atlantico, la sua validità limitandosi all’America. Dopo tre anni, l’indagine del gran giurì non era ancora sfociata nell’incriminazione di Zimmermann. Il caso era complicato dalla natura del PGP e dalle modalità della sua distribuzione. Se egli l’avesse memorizzato su un computer e spedito a un Paese ostile, il quadro legale sarebbe stato semplice, essendo evidente che egli aveva esportato un sistema crittografico funzionante. Anche nel caso in cui egli avesse esportato il PGP su floppy disk, si sarebbe stati in presenza di un oggetto materiale definibile «sistema crittografico», e le accuse mosse a Zimmermann avrebbero poggiato su una base abbastanza solida. Se invece avesse fatto stampare il programma sorgente e l’avesse distribuito all’estero sotto forma di volume, la situazione sarebbe entrata nella zona grigia dell’esportazione non di un congegno ma delle conoscenze atte a realizzarlo. D’altra parte oggi la carta stampata può essere sottoposta a scansione ottica, e le relative informazioni possono essere immesse direttamente in un calcolatore; in altre parole, un libro rappresenta un pericolo non meno immediato di un floppy disk. In realtà, i fatti si erano svolti così: Zimmermann aveva consegnato una copia del PGP a «un amico», il quale l’aveva copiato su un computer che si dava il caso fosse collegato a Internet. In seguito, era possibile che un regime ostile avesse, o non avesse, scaricato il programma dalla rete. In base a questi fatti, si poteva accusare Zimmermann di aver esportato il PGP? Ancor oggi la legislazione su Internet è di dubbia interpretazione, e all’inizio degli anni Novanta era
estremamente vaga. Nel 1996, dopo tre anni di indagini, l’ufficio del Procuratore generale decise di rinunciare all’incriminazione di Zimmermann. Il FBI aveva capito che ormai era troppo tardi: il programma si aggirava nei meandri di Internet, e processare il suo inventore non sarebbe servito a niente. C’era anche il problema che il sospetto aveva l’appoggio di istituzioni importanti, come il Massachusetts Institute of Technology, che tramite la sua casa editrice aveva pubblicato sul caso un libro di 600 pagine. Il volume era stato distribuito anche all’estero, cosicché processare Zimmermann avrebbe significato processare anche la MIT Press. Infine, il FBI era riluttante a proseguire sulla strada dell’incriminazione, perché c’erano discrete probabilità che l’imputato fosse assolto. In tal caso, il bureau non avrebbe ottenuto altro che sollevare un imbarazzante dibattito costituzionale sul diritto alla privacy, e forse aumentare la simpatia dell’opinione pubblica per i difensori della crittografia senza limitazioni. Fu rimosso anche l’altro principale ostacolo sulla strada di Zimmermann. Egli giunse a un accordo con la RSA e ottenne una licenza che metteva fine al contenzioso sul brevetto. Il PGP era ormai un prodotto legittimo, e il suo inventore un cittadino irreprensibile. L’inchiesta contro di lui l’aveva trasformato in un paladino della crittografia alla portata dell’uomo comune, e qualunque esperto di marketing avrebbe invidiato la notorietà e la pubblicità gratuite che il caso giudiziario aveva procurato al PGP. Alla fine del 1997, Zimmermann vendette il PGP alla Network Associates e diventò uno dei Soci Anziani. Sebbene il programma sia ora venduto ai grandi operatori economici, è ancora disponibile gratuitamente per i singoli che non intendono usarlo per attività che producono profitto. In altre parole, chi vuole impiegare la crittografia solo per tutelare la sua privacy può ancora scaricare il PGP dall’Internet senza alcun versamento di denaro. Se desiderate ottenere una copia del PGP ci sono molti siti Internet che lo offrono, e raggiungerne uno non dovrebbe essere difficile. Probabilmente la fonte più sicura è (http://www.pgpi.com/), la PGP Home Page, che permette di scaricare le versioni americana e internazionale del PGP. Vorrei a questo punto declinare ogni responsabilità: se decidete di installare il programma sul vostro computer, sta a voi accertarvi di poterlo far funzionare, controllare che non contenga virus, e così via. Vi raccomando anche di accertarvi di risiedere in un Paese in cui le cifrature forti sono legali. Infine, assicuratevi di scaricare la versione appropriata di PGP - in altri termini, coloro che non risiedono negli Stati Uniti non dovrebbero scaricare la versione americana, perché così facendo violerebbero le leggi statunitensi sull’esportazione. La versione internazionale del PGP non è soggetta a questa limitazione. Personalmente, ricordo ancora la domenica pomeriggio in cui ho scaricato per la
prima volta il PGP da Internet. Da quel momento sono stato in grado di proteggere le mie e-mail dall’intercettazione e dalla lettura non autorizzata. Posso crittare informazioni delicate per Alice, Bob e chiunque altro sia in possesso di un software PGP. Il mio computer portatile e il suo programma PGP mi forniscono un livello di sicurezza al di sopra degli sforzi concertati di tutti i sistemi di decrittazione attualmente disponibili.
8 Un salto quantico nel futuro
N
el corso degli ultimi duemila anni, i crittografi hanno lottato per la protezione dei segreti, i crittoanalisti per il loro disvelamento. È sempre stata una gara dall’esito incerto, in cui i crittoanalisti hanno contrattaccato ogni volta che i crittografi sembravano in vantaggio, e i crittografi hanno introdotto nuove scritture segrete ogni volta che la sicurezza di quelle esistenti era compromessa. L’invenzione della crittografia a chiave pubblica e il dibattito politico intorno all’uso delle cifrature forti ci hanno condotti alla situazione presente, in cui la palma della vittoria sembra spettare ai crittografi. Secondo Phil Zimmermann, viviamo l’età aurea delle scritture segrete: «La moderna crittografia consente di effettuare cifrature molto ma molto al di là della portata di tutte le forme di decifrazione oggi conosciute. E penso che questo stato di cose sia destinato a durare». L’opinione di Zimmermann è condivisa da William Crowell, vicedirettore della NSA: «Se tutti i personal computer del mondo - all’incirca 260 milioni - fossero impiegati simultaneamente per la decifrazione di un solo crittogramma PGP, si stima che per venirne a capo impiegherebbero un tempo pari a circa 12 milioni di volte l’età dell’universo». Tuttavia, l’esperienza passata ci dice che tutte le scritture segrete ritenute inviolabili prima o poi hanno ceduto alla decifrazione. Si pensi a quella di Vigenère, che pur essendo soprannominata «le chiffre indéchiffrable» fu risolta da Charles Babbage; oppure a Enigma, che molti consideravano inespugnabile ma che non resse alla tenacia dei crittoanalisti polacchi. E oggi? I decrittatori sono prossimi a compiere una nuova, rivoluzionaria scoperta oppure ha ragione Zimmermann? Predire gli sviluppi di una tecnologia è sempre rischioso, ma nel caso della crittografia lo è ancor di più: bisogna tentare di immaginare non solo il futuro, ma anche il presente. La vicenda di James Ellis e del GCHQ è un ammonimento. Dietro il velo del segreto di Stato possono già nascondersi importanti progressi dei metodi di decifrazione. Questo capitolo è dedicato ad alcune idee al limite della fantascienza che potranno rinforzare o compromettere la riservatezza nel corso del XXI secolo. La prossima sezione è dedicata alle prospettive della crittoanalisi, e in particolare a una tecnologia che potrebbe permettere di violare tutte le cifrature oggi in uso. La sezione successiva, l’ultima del libro, rivolge l’attenzione all’ipotesi più affascinante attualmente al vaglio dei crittografi: un sistema capace, in teoria, di garantire la privacy assoluta.
Il futuro della crittoanalisi Nonostante l’enorme forza della RSA e delle altre moderne cifrature, la decrittazione ha ancora un ruolo importante nella raccolta di notizie. Il suo successo è dimostrato dal fatto che la richiesta di crittoanalisi è più grande che mai; per esempio, la National Security Agency è l’ente che in assoluto impiega il maggior numero di matematici. Solo una piccola parte delle informazioni che transitano nel mondo sono cifrate in modo sicuro; il resto è debolmente crittato, o non crittato. Ciò dipende tra l’altro dalla circostanza che gli utenti di Internet sono sempre più numerosi, e pochi di loro prendono precauzioni adeguate in fatto di privacy. A sua volta, questo significa che le organizzazioni per la sicurezza nazionale, i tutori dell’ordine e i semplici curiosi possono procurarsi più informazioni di quante siano in grado di utilizzare. Anche nel caso in cui il mittente abbia impiegato la cifratura RSA, i decrittatori hanno vari modi di ricavare dati dalle intercettazioni. Vecchie, rispettabili tecniche come l’analisi del traffico sono tuttora utilizzate; perfino quando il contenuto di un messaggio è inaccessibile, può essere importante sapere chi lo invia e chi lo riceve. Uno sviluppo più recente è il cosiddetto tempest attack (approccio tempesta elettromagnetica); esso implica il rilevamento dei segnali elettromagnetici che accompagnano la pressione di ogni pulsante di una tastiera di computer, e che permettono di identificarla. Posteggiando un furgone di fronte alla casa di Alice, Eva potrebbe utilizzare strumenti ultrasensibili per il rilevamento dei segnali elettromagnetici, e prender nota di ogni tasto premuto dalla padrona di casa. Questo consentirebbe a Eva di intercettare un messaggio prima che sia cifrato. Per difendersi dall’approccio tempesta elettromagnetica sono nate società che forniscono materiali capaci di assorbire i segnali elettromagnetici, applicabili alle pareti di una stanza. In America, per acquistare e installare schermature di questo tipo occorre l’autorizzazione dello Stato; ciò suggerisce che forze di polizia come il FBI ricorrano spesso a questa forma di sorveglianza. Altre strategie di intercettazione si basano sui virus informatici e i «cavalli di Troia». Eva potrebbe progettare un virus informatico capace di penetrare silenziosamente nel personal computer di Alice, e infettare programmi come il PGP. Non appena Alice usasse la sua chiave privata per decifrare un messaggio, il virus la memorizzerebbe; poi, al primo collegamento di Alice con Internet, il virus approfitterebbe della rete per inviare la chiave a Eva, che da quel momento avrebbe accesso a qualunque messaggio di Alice crittato tramite il PGP. Il cavallo di Troia, un altro stratagemma informatico, implica che Eva realizzi un programma che all’apparenza non si distingue da un normale software crittografico, ma al momento opportuno tradirà il proprio utente. Per esempio, Alice potrebbe credere di aver
scaricato da Internet una copia autentica del PGP, e aver invece installato sul suo computer una versione «troiana» del programma; nell’insieme, la versione adulterata funzionerebbe come un PGP genuino, ma conterrebbe istruzioni extra per l’invio surrettizio a Eva di copie non crittate dei messaggi di Alice. Per citare la colorita prosa di Zimmermann, «chiunque potrebbe modificare il codice sorgente del PGP e realizzarne una sua versione lobotomizzata, una specie di zombie che sembra normale ma ubbidisce ciecamente alle istruzioni del suo diabolico creatore. Simili versioni troiane del PGP potrebbero venir messe in circolazione in gran numero, insieme alla voce che io ne sia l’autore. Sarebbe una mossa molto astuta. Vi raccomando di fare ogni sforzo per ottenere le copie del PGP da una fonte affidabile, qualunque cosa ciò possa significare». Una variazione sul tema del cavallo di Troia è rappresentata da un programma crittografico originale, affidabile in condizioni normali ma munito di una backdoor (porta di servizio): un gruppo di istruzioni che permettono ai creatori del programma, o a chi conosce l’esistenza e le proprietà della porta, di accedere ai messaggi in chiaro degli utenti. Nel 1998 un rapporto di Wayne Madsen ha rivelato che la compagnia crittografica svizzera Crypto AG aveva inserito porte di servizio in alcuni suoi prodotti, e fornito al governo degli Stati Uniti informazioni su come utilizzarle. In tal modo, Washington aveva potuto violare le comunicazioni crittate di alcuni Paesi stranieri; per esempio, nel 1991 i killer dell’ex primo ministro ed esule iraniano Shahpur Bakhtiar furono catturati grazie all’intercettazione e interpretazione di messaggi iraniani cifrati con apparecchiature della Crypto AG. Anche se l’analisi del traffico, l’approccio tempesta elettromagnetica, i virus e i cavalli di Troia informatici sono efficaci tecniche di raccolta delle notizie riservate, i crittoanalisti si rendono conto che per loro la vera sfida è trovare il punto debole della cifratura RSA, cardine della crittografia contemporanea. La RSA è usata per proteggere le più importanti informazioni militari, diplomatiche, commerciali e criminali; cioè proprio il tipo di informazioni che più stanno a cuore alle organizzazioni per la raccolta di intelligence. Ma per violare una cifratura così forte, i crittoanalisti dovrebbero compiere grandi passi avanti sia teorici che tecnologici. L’unico passo avanti teorico che sia dato immaginare è un nuovo procedimento matematico per la scoperta della chiave privata di Alice. Essa consiste nei numeri p e q, e la possibilità di calcolarli è legata alla scomposizione in fattori primi di N, la chiave pubblica di Alice. I sistemi adoperati a questo scopo comportano l’esame di un numero primo per volta, per controllare se divide N senza resto; ma sappiamo che questo approccio è di gran lunga troppo lento. I decrittatori hanno quindi cercato una scorciatoia della scomposizione in fattori primi - un metodo che riduca drasticamente i passi necessari all’individuazione di p e q. Finora, però, nessun tentativo in questa direzione ha avuto buon esito. Del resto, i matematici studiano la
scomposizione in fattori primi da secoli, e i procedimenti oggi in uso non rappresentano un sostanziale passo avanti rispetto a quelli del passato. Non si può affatto escludere che le leggi della matematica vietino l’esistenza di una vera scorciatoia della scomposizione in fattori primi. Essendoci poche speranze di un deciso passo avanti teorico, i decrittatori sono stati costretti a puntare su innovazioni di carattere tecnico. Se ridurre i passi necessari alla scomposizione in fattori primi sembra difficile o impossibile, la decrittazione ha bisogno di una tecnologia che li esegua più rapidamente. I circuiti integrati al silicio diventano più potenti anno dopo anno, raddoppiando la propria velocità di elaborazione all’incirca ogni diciotto mesi, ma un simile ritmo non può avere conseguenze rilevanti per la scomposizione di numeri grandi come le chiavi pubbliche RSA; per rendere obsoleta questa cifratura, occorrerebbero circuiti integrati miliardi di volte più veloci di quelli attuali. Perciò, gli esperti di decifrazione hanno riposto le loro speranze in un tipo di calcolatore radicalmente diverso da quelli attuali: il computer quantistico. Se scienziati e ingegneri riuscissero a costruirne uno, esso potrebbe eseguire la scomposizione in fattori primi così rapidamente da far apparire gli attuali supercomputer solo un po’ più evoluti di un pallottoliere rotto. Nella parte restante di questa sezione verrà discusso il concetto di computer quantistico. Ciò richiederà qualche accenno ad alcuni principi della fisica dei quanti, nota anche come meccanica quantistica. Tuttavia, prima di avventurarmi nelle spiegazioni desidero citare il monito formulato a suo tempo da Niels Bohr, uno dei padri di questa teoria: «Chiunque riesca a riflettere sulla meccanica quantistica senza che gli giri la testa, non l’ha capita». In altre parole, in questa sezione vi imbatterete in alcune idee decisamente contro-intuitive. Per illustrare i principi del calcolatore quantistico è opportuno tornare alla fine del XVIII secolo e a Thomas Young, il versatile scienziato inglese che per primo decifrò alcuni geroglifici. Quando era fellow dell’Emmanuel College di Cambridge, nel pomeriggio egli si recava spesso in cerca di tranquillità a un laghetto pieno di anatre. Si racconta che un giorno la sua attenzione sia stata attratta da due anatroccoli che nuotavano uno accanto all’altro, e in special modo dalle loro scie, che si intersecavano formando sulla superficie del laghetto uno schema a chiazze ora calme ora increspate. Le scie si aprivano a ventaglio dietro gli anatroccoli, e dove le creste di una scia incontravano le concavità dell’altra la superficie dell’acqua appariva liscia: le onde si annullavano a vicenda. Al contrario, nei punti raggiunti simultaneamente dalle creste delle due scie gli effetti delle onde si sommavano, e la superficie dell’acqua era molto increspata. Young ne fu affascinato, soprattutto perché la scena gli ricordava un esperimento sulla natura della luce da lui effettuato nel 1799. L’esperimento di Young utilizzava un pannello con due fenditure verticali, come mostrato nella figura 64. Uscendo dalle fenditure la luce si apriva a ventaglio e
raggiungeva uno schermo posto a una certa distanza dal pannello, dove formava un disegno a strisce chiare e scure. Allora lo schema a righe lo aveva lasciato perplesso, ma adesso Young riteneva di poterlo spiegare ispirandosi al comportamento dell’acqua sulla superficie dello stagno. Egli ipotizzò innanzitutto che la luce consista in onde di qualche tipo. In tal caso, le onde luminose che uscivano dalle fenditure si potevano paragonare alle scie dei due anatroccoli, e le strisce chiare e scure si potevano attribuire alle stesse interazioni per cui le onde sull’acqua ora si rinforzavano ora si annullavano, generando chiazze increspate o calme. Young immaginò che in certi punti dello schermo le creste si sommassero alle concavità delle onde luminose, cancellandosi a vicenda e generando una striscia scura; e che in altri punti le creste si sommassero alle creste, rinforzandosi e generando una striscia chiara. Gli anatroccoli di Cambridge gli avevano suggerito una comprensione più profonda della natura della luce, e qualche tempo dopo egli pubblicò La teoria ondulatoria della luce, un classico della fisica di ogni tempo. Oggi sappiamo che la luce si comporta davvero come se la sua natura fosse ondulatoria; ma abbiamo scoperto che si comporta anche come se consistesse in un flusso di particelle. Il comportamento ch’essa assume di volta in volta dipende dalle circostanze. Quest’ambiguità è detta «dualismo onda-particella». Non è necessario, per i nostri scopi, sapere altro circa questo dualismo. Basti dire che i fisici contemporanei concepiscono un raggio di luce come formato di un gran numero di particelle chiamate fotoni, che possiedono anche le proprietà tipiche delle onde. Possiamo quindi interpretare l’esperimento di Young come un flusso di fotoni attraverso le fenditure del pannello, che interagiscono come onde dall’altra parte del pannello.
Figura 64 L’esperimento delle fenditure di Young. Il diagramma superiore mostra le onde luminose che si aprono a ventaglio aldi là delle fenditure; il diagramma inferiore evidenzia creste e concavità delle singole onde.
Finora non c’è niente di paradossale nei risultati dell’esperimento di Young, ma la tecnologia moderna permette di effettuarlo con un filo incandescente così sottile da emettere singoli fotoni. Se i fotoni sono prodotti individualmente al ritmo, poniamo, di uno al minuto, ogni particella luminosa viaggerà verso il pannello, attraverserà l’una o l’altra fenditura e colpirà lo schermo. Sebbene i nostri occhi non siano abbastanza sensibili per percepire i singoli fotoni, questi ultimi possono essere studiati con un apposito rivelatore, e dopo qualche ora saremo in possesso di un quadro d’insieme dei punti in cui i fotoni hanno colpito lo schermo. Poiché attraverso le fenditure è passato solo un fotone per volta, ci aspetteremmo di non vedere lo schema a strisce osservato da Young, perché il sommarsi o l’annullarsi delle onde dovrebbe richiedere il passaggio simultaneo di almeno due fotoni, e la loro interazione dall’altra parte del pannello. Ci attenderemmo di vedere soltanto due righe luminose, cioè le proiezioni delle due fenditure. Invece dobbiamo constatare che, per ragioni imperscrutabili, il passaggio di un fotone al minuto ha generato il solito schema a righe chiare e scure. È come se l’interazione si fosse verificata anche tra i fotoni non simultanei. Questo risultato sfida il buon senso. È un fenomeno che non si può spiegare con le leggi della fisica classica, elaborate per prevedere il comportamento degli oggetti a noi familiari. La fisica classica è in grado di descrivere le orbite dei pianeti e le traiettorie dei proiettili, ma non è adatta al mondo dell’estremamente piccolo, compreso il percorso di un fotone. Per dar conto di fenomeni di questo tipo si è dovuto ricorrere alla meccanica quantistica, cioè a una teoria del comportamento degli oggetti microscopici. D’altra parte, anche i seguaci di questa teoria dissentono sull’interpretazione del suddetto risultato sperimentale. Essi tendono a dividersi in due partiti, ciascuno con una propria spiegazione del fenomeno. I militanti del primo partito si riconoscono nell’ipotesi nota come sovrapposizione. Il punto di partenza del loro ragionamento è che circa il fotone abbiamo solo due certezze: che è stato emesso dal filo incandescente e che ha colpito lo schermo. Tutto il resto è mistero, compresa la questione se la particella sia passata dall’una o dall’altra fenditura. Poiché la traiettoria precisa del fotone è ignota, coloro che sposano la teoria della sovrapposizione sostengono la tesi peculiare che sia passato da entrambe le fenditure. Così esso avrebbe potuto, in un certo senso, interagire con sé stesso generando sullo schermo le righe chiare e scure. Ma come può un solo fotone esser passato da due fenditure? Il ragionamento dei «sovrapposizionisti» sembra essere all’incirca il seguente: finché il comportamento di una particella è ignoto, tutto ciò che essa può fare è autorizzata a farlo simultaneamente. Poiché il fotone può esser passato dalla
fenditura di destra o da quella di sinistra, l’ignoranza circa il percorso che ha seguito fa sì che possa esser passato simultaneamente da entrambe. Ogni possibilità è chiamata stato, e poiché in quest’ipotesi il fotone ha realizzato più possibilità, si dice che esso è in una sovrapposizione di stati. Sappiamo che un solo fotone è partito dal filamento, e che un solo fotone ha colpito lo schermo dall’altra parte del pannello, ma lungo il tragitto esso si è in qualche modo scisso in due «fotoni fantasma», passati da entrambe le fenditure. La sovrapposizione può sembrare stravagante, ma ha il merito di dar conto del disegno a righe osservato nell’esperimento di Young eseguito con singoli fotoni. D’altra parte, l’antiquata interpretazione classica secondo la quale il fotone dev’essere passato da una delle due fenditure, ma noi non sappiamo da quale, va d’accordo col buon senso ma non spiega il risultato sperimentale. Erwin Schrödinger, premio Nobel per la fisica nel 1933, ha escogitato una sorta di parabola detta del «gatto di Schrödinger», spesso usata per illustrare il concetto di sovrapposizione. Immaginiamo di collocare un gatto in una scatola. Due stati sono possibili per il gatto: vivo e morto. All’inizio, sappiamo che il gatto è in uno stato ben preciso: infatti, osserviamo che è vivo. Per il momento non si può parlare di sovrapposizione di stati. Poi infiliamo una fiala di cianuro nella scatola insieme al gatto, e chiudiamo la scatola. Entriamo così in una fase di ignoranza, perché non possiamo vedere il gatto né controllare il suo stato. È ancora vivo, o ha urtato la fiala di cianuro ed è morto? In un’ottica tradizionale, ci sentiremmo almeno di affermare che dev’essere vivo oppure morto, anche se non sappiamo in quale stato si trovi. Ma in una prospettiva quantistica, il gatto è in una sovrapposizione di stati - è sia vivo sia morto, cioè realizza simultaneamente entrambe le sue possibilità. La sovrapposizione sussiste solo nel periodo in cui un oggetto è perso di vista, ed è un modo di descrivere la sua condizione in quest’interludio di incertezza. Alla fine, aprendo la scatola possiamo controllare la condizione del gatto. L’osservazione costringe l’oggetto in un unico stato; in quel preciso momento, la sovrapposizione cessa. I lettori che trovano poco convincente l’ipotesi della sovrapposizione possono esser tentati di iscriversi all’altro partito quantistico. Come si è accennato, esso interpreta l’esito dell’esperimento di Young in modo diverso - ma, ahinoi, altrettanto bizzarro. L’ ipotesi dei mondi multipli sostiene che dopo l’emissione da parte del filo incandescente il fotone ha due possibilità - passare dalla fenditura di destra o da quella di sinistra - e che a quel punto la realtà si biforca; in un universo il fotone passa dalla fenditura di destra, nell’altro da quella di sinistra. In qualche modo, i due universi interagiscono; si spiegherebbe così la comparsa del disegno a righe sullo schermo. I seguaci dell’ipotesi dei mondi multipli pensano che ogniqualvolta un oggetto ha la possibilità di entrare in più stati, l’universo si divide in più universi e
ogni stato si realizza in un universo differente. Per alludere in modo sintetico a questa proliferazione di universi, si parla di multiverso. Indipendentemente dal fatto che si propenda per l’ipotesi della sovrapposizione o per quella dei mondi multipli, la meccanica quantistica lascia disorientati. Nel contempo, essa si è dimostrata una delle teorie scientifiche più corrette e potenti che l’uomo abbia concepito. Oltre al risultato dell’esperimento di Young, essa spiega con successo un numero impressionante di fenomeni naturali. Per esempio, solo la meccanica quantistica ha permesso ai fisici di calcolare le conseguenze delle reazioni nucleari che hanno luogo nel nocciolo dei reattori atomici, ai chimici di dar conto dei minimi dettagli della struttura del DNA, agli astrofisici di capire come avviene la combustione nel sole, agl’ingegneri di progettare i laser per la lettura dei CD del vostro impianto stereofonico. Ci piaccia o no, viviamo in un mondo quantistico. Di tutte le conseguenze della teoria dei quanti, la più importante sul piano tecnologico è potenzialmente il computer quantistico. Oltre a distruggere l’affidabilità delle cifrature più moderne, esso inaugurerebbe una nuova èra nel campo della potenza di calcolo. Uno dei pionieri dell’informatica quantistica è David Deutsch, un fisico britannico che ha cominciato a occuparsi di questo argomento nel 1984, dopo aver partecipato a una conferenza sul funzionamento dei calcolatori. Ascoltando un intervento, Deutsch si accorse di qualcosa che fino a quel momento nessuno aveva notato. Era tacitamente accolto il presupposto che i calcolatori operino in base alle leggi della fisica classica; egli, al contrario, era convinto che ubbidiscano alle leggi della fisica quantistica, perché queste ultime sono più fondamentali. Il funzionamento dei calcolatori ordinari dipende quasi esclusivamente da fenomeni del mondo macroscopico, cioè appartenenti a un livello nel quale leggi classiche e leggi quantistiche sono indistinguibili. Perciò, il fatto che gli scienziati abbiano quasi sempre applicato ai calcolatori i concetti della fisica classica è rimasto senza conseguenze. Ma a livello microscopico i due gruppi di leggi divergono, e solo quelle quantistiche conservano la loro validità. Qui i fenomeni del mondo atomico e sub-atomico rivelano la loro bizzarria, e un calcolatore progettato sulla loro base si comporterebbe in un modo molto diverso da quello a cui siamo abituati. Dopo la conferenza Deutsch tornò a casa e cominciò a riformulare l’informatica alla luce della fisica quantistica. In uno scritto del 1985, egli illustrò la sua concezione di un computer funzionante in base a leggi quantistiche, soffermandosi sulle differenze tra un congegno di questo tipo e quelli tradizionali. Immaginate una persona alle prese con due varianti di un problema. Con un calcolatore normale, essa dovrebbe elaborare la prima variante e attendere la risposta, quindi elaborare la seconda variante e attendere la risposta. In altre parole, un calcolatore normale affronta un problema per volta, e se ce ne sono molti essi vanno sottoposti alla macchina in modo sequenziale. Ma se la persona in questione
disponesse di un calcolatore quantistico, le varianti potrebbero essere incorporate in una sovrapposizione di stati, ed essere elaborate contemporaneamente; il computer stesso entrerebbe in una sovrapposizione di stati, uno per variante. Oppure, secondo l’interpretazione dei mondi multipli, il computer entrerebbe in due universi distinti e risolverebbe in ciascun universo una delle varianti del problema. Indipendentemente dall’interpretazione, grazie ai paradossi della fisica dei quanti un calcolatore non convenzionale potrebbe affrontare più problemi simultaneamente.
Figura 65 David Deutsch. (fonte)
Per meglio comprendere e apprezzare la potenza di questo tipo di calcolatore, possiamo paragonare le sue prestazioni a quelle di un computer tradizionale, descrivendo quello che accadrebbe se l’uno o l’altro fossero impiegati per risolvere un problema specifico. Nel nostro esempio, il problema consisterà nel trovare un numero il cui quadrato e il cui cubo contengano, nell’insieme, tutte le cifre da 0 a 9, senza che nessuna cifra compaia più di una volta. Così, il numero 19 non soddisferebbe le condizioni date, perché 192 = 361, e 193 = 6.859. L’insieme delle
cifre dei due risultati è 1, 3, 5, 6, 6, 8, 9, ed è inadeguato perché 0, 2, 4 e 7 non compaiono affatto, mentre 6 compare più di una volta. Per risolvere il problema con un calcolatore tradizionale, l’operatore adotta il seguente approccio: immette il numero 1 e aspetta che il calcolatore l’abbia controllato. Svolti i calcoli, il dispositivo comunica se il numero soddisfa o no i criteri menzionati. Il numero 1 non li soddisfa, perciò l’operatore immette il numero 2 e permette al calcolatore di effettuare un altro controllo, e così via, fino all’individuazione del numero giusto. Questo risulta essere 69. Infatti 692 = 4.761 e 693 = 328.509, che nell’insieme includono tutte le cifre del sistema decimale una e una sola volta. Tra l’altro, 69 è l’unico numero che soddisfa i requisiti proposti. Il procedimento descritto è piuttosto lento, perché il calcolatore deve controllare un numero per volta. Se ogni controllo richiede un secondo, per trovare la soluzione ce ne vorranno 69. Tuttavia, a un calcolatore quantistico basterebbe un secondo. Per sfruttare la potenza di un computer di questo tipo, l’operatore dovrebbe innanzitutto rappresentare il numero in modo adeguato - per esempio, sotto forma di particelle dotate di «spin», o momento angolare. Molte particelle sub-atomiche hanno uno spin intrinseco, e possono ruotare verso est o verso ovest, come un pallone da basket che ruoti sulla punta di un dito. Si può adottare la convenzione che una particella che ruota verso est equivalga a 1, e una particella che ruota verso ovest equivalga a 0. Così, una sequenza di particelle rotanti rappresenterebbe una sequenza di 1 e 0, cioè un numero binario. Sette particelle con rotazione verso est, est, ovest, est, ovest, ovest, ovest, corrisponderebbero a 1101000, cioè a 104 in notazione decimale. A seconda dello spin, una combinazione di sette particelle può rappresentare qualsiasi numero tra 0 e 127. Utilizzando un computer tradizionale l’operatore immetterebbe una sequenza di spin, per esempio ovest, ovest, ovest, ovest, ovest, ovest, est; si tratta del numero 0000001 in notazione binaria, e del numero 1 in notazione decimale. Ciò fatto, attenderebbe che la macchina abbia verificato se la sequenza soddisfa i criteri di cui si è detto. L’esito della verifica sarebbe negativo, perciò l’operatore immetterebbe sempre sotto forma di particelle subatomiche dotate di spin - il numero 0000010 in notazione binaria, ovvero il numero 2 della notazione decimale; e così via. Come prima, i numeri andrebbero introdotti uno alla volta, in modo sequenziale - un metodo piuttosto lento. D’altra parte, immaginando di utilizzare un computer quantistico l’operatore potrebbe ricorrere a un metodo alternativo, e molto più veloce, di introduzione dei numeri. Essendo molto piccole, le particelle subatomiche ubbidiscono alle leggi della meccanica quantistica. Quindi quando non è osservata una particella entra in una sovrapposizione di stati, ossia può ruotare contemporaneamente in due direzioni, e
corrispondere sia a 0 che a 1. Possiamo anche immaginare che la particella entri in universi alternativi, e in un universo ruoti verso est equivalendo a 1, nell’altro verso ovest equivalendo a 0. La sovrapposizione si ottiene in questo modo. Immaginiamo di osservare la particella e constatare che ruota verso ovest. Per cambiare il suo spin potremmo ricorrere a un impulso elettromagnetico abbastanza potente da invertire la rotazione, in modo che sia diretta a est. Potremmo anche generare un impulso più debole; in tal caso a volte avremmo fortuna, e la particella muterebbe senso di rotazione, a volte non l’avremmo, e la rotazione continuerebbe nel senso precedente. Finora la particella è stata visibile, e abbiamo potuto sorvegliare il suo comportamento. Ma se la particella fosse chiusa in una scatola ed esposta a un impulso di potenza limitata, il suo spin potrebbe essere cambiato oppure no, e noi non potremmo saperlo. In altre parole, la particella entrerebbe in una sovrapposizione di stati, uno con spin diretto a ovest l’altro con spin diretto a est, proprio come il gatto di Schrödinger entrava in una sovrapposizione di stati, uno vitale e l’altro non vitale. Se collocassimo nella scatola sette particelle con spin verso ovest, e le esponessimo a sette deboli impulsi di energia, tutte le particelle entrerebbero in una sovrapposizione di stati. In una condizione di sovrapposizione le particelle rappresentano tutte le possibili combinazioni di spin orientati a ovest e a est. Infatti, esse si trovano simultaneamente in 128 stati, ed equivalgono a 128 numeri, se si è stabilita una corrispondenza tra stati e cifre binarie. L’operatore può quindi introdurre le particelle nel computer quantistico, e il computer eseguirà i calcoli come se stesse controllando simultaneamente 128 numeri. In relazione all’esempio precedente, dopo un solo secondo esso sarà in grado di comunicare il numero (69) che soddisfa il criterio della prova. È evidente che in tal modo si sarebbero eseguiti 128 calcoli nel tempo necessario a un calcolatore tradizionale per effettuarne uno solo. Il calcolatore quantistico sfida il buon senso. Mettendo da parte i dettagli per un momento, lo si può concepire in due modi diversi, a seconda dell’interpretazione quantistica che si preferisce. Alcuni fisici vedono il computer quantistico come un’entità singola che esegue contemporaneamente i calcoli a partire da 128 numeri; altri come 128 entità distinte, ognuna delle quali esiste in un universo separato ed esegue i calcoli a partire da un solo numero per volta. Nell’uno e nell’altro caso, siamo «ai confini della realtà» del calcolo automatizzato. Gli zero e gli uno sui quali si basa il funzionamento dei calcolatori tradizionali sono detti bit, acronimo di binary digit (cifra binaria). Poiché un computer quantistico opera con 0 e 1 in condizione di sovrapposizione quantistica, essi sono chiamati qubit (che si pronuncia «cubit»). Il vantaggio dei qubit è ancora più evidente prendendo in considerazione un maggior numero di particelle. Con 250 particelle dotate di spin, ovvero con 250 qubit, è possibile rappresentare circa 1075
combinazioni - un numero più grande di quello degli atomi contenuti nell’universo. Se questo numero di particelle potesse essere messo in una condizione di sovrapposizione di stati, e utilizzato per i calcoli del calcolatore quantistico, quest’ultimo potrebbe eseguire in un solo secondo 1075 operazioni. Ciò significa che lo sfruttamento degli effetti quantistici potrebbe conferire a un elaboratore una potenza di calcolo inimmaginabile. Purtroppo, quando a metà degli anni Ottanta Deutsch concepì la sua nozione di computer quantistico, nessuno aveva la minima idea di come si potesse trasformarla in un’apparecchiatura reale e funzionante. Tanto per cominciare, gli scienziati non erano in grado di costruire alcunché in grado di compiere calcoli per mezzo di particelle elementari con spin in sovrapposizione di stati. Uno degli ostacoli principali era la necessità di mantenere la sovrapposizione quantistica durante l’intera procedura di calcolo. La sovrapposizione può esistere solo in assenza di osservazioni, ma il concetto di osservazione nell’accezione più ampia comprende qualunque interazione con qualsiasi cosa esterna alla sovrapposizione. Un atomo vagabondo che interagisca con una delle particelle dotate di spin causerebbe il collasso della sovrapposizione in un singolo stato, e il fallimento del calcolo quantistico. Non si aveva nemmeno idea di come un calcolatore quantistico potesse essere programmato; tanto meno si era in grado di prevedere che tipo di calcoli sarebbe riuscito a eseguire. Tuttavia, nel 1994 Peter Shor dei Laboratori Bell AT&T del New Jersey riuscì a definire un programma efficace per computer quantistici. Il punto rilevante per la decrittazione era che il programma di Shor definiva una serie di passi utilizzabili da un computer quantistico per scomporre in fattori primi un numero gigantesco - proprio ciò che occorrerebbe per violare una cifratura RSA. Quando Martin Gardner lanciò la sua sfida RSA dalle pagine di Scientific American, ci vollero seicento computer e diversi anni di lavoro per scomporre un numero di 129 cifre. Il programma di Shor potrebbe scomporre un numero un milione di volte più grande in un tempo un milione di volte più breve. Purtroppo, egli non poté dare una dimostrazione pratica della bontà del suo software, perché nella realtà non esisteva ancora niente di simile al calcolatore quantistico. Poi, nel 1996, Lov Grover, anch’egli dei Laboratori Bell, escogitò un altro potente programma. Esso permette di esaminare un elenco a una velocità inaudita. Ciò può apparire poco interessante, finché non ci si accorge che è proprio quanto occorre per violare una cifratura DES. Una delle possibili strategie per ottenere questo risultato consiste infatti nel controllare un elenco di possibili chiavi fino a individuare quella giusta. Se un calcolatore convenzionale potesse controllare un milione di chiavi al secondo, occorrerebbero più di mille anni per venire a capo di un crittogramma DES; ma un calcolatore quantistico su cui girasse il programma di Grover potrebbe scoprire la chiave giusta in meno di quattro minuti.
È una pura coincidenza che i due programmi per calcolatori quantistici inventati per primi siano quelli che i crittoanalisti avrebbero considerato prioritari. Sebbene essi abbiano suscitato grandi speranze tra i solutori di codici, il senso di frustrazione che ne è derivato è stato altrettanto grande, perché ancora non esiste nessun elaboratore a sovrapposizione di stati capace di eseguirli. Com’era prevedibile, la prospettiva di una tecnologia per la decrittazione teoricamente in grado di violare qualunque cifratura ha destato gli appetiti di enti come il Defence Advanced Research Projects Agency (Agenzia per i progetti di ricerca avanzati per la Difesa), DARPA, e il Los Alamos National Laboratory (Laboratorio nazionale di Los Alamos). Queste organizzazioni statunitensi cercano disperatamente di costruire congegni capaci di gestire i qubit allo stesso modo in cui i circuiti integrati al silicio gestiscono i bit. Sebbene alcuni recenti progressi abbiano galvanizzato i ricercatori, non sembra eccessivo affermare che la tecnologia in questo campo è ancora primitiva. Nel 1998 Serge Haroche, dell’Università di Parigi VI, ha espresso un parere equilibrato sull’euforia che circonda i progressi in questione, negando che manchino solo pochi anni alla realizzazione di un calcolatore quantistico. A suo avviso, fare simili previsioni è come costruire il primo piano di un castello di carte, e affermare spavaldamente che la realizzazione degli altri quindicimila è una semplice formalità. Solo il tempo potrà dire se, e quando, saranno superati tutti i problemi legati alla realizzazione di un computer quantistico. Nel frattempo, si può solo riflettere sulle conseguenze che esso potrebbe avere per la crittografia. Fin dagli anni Settanta, la competizione evolutiva tra crittografi e crittoanalisti vede i primi in netto vantaggio grazie a scritture segrete come DES e RSA. Queste cifrature sono una risorsa preziosa, perché ne dipenderemo sempre di più per crittare la posta elettronica e proteggere la nostra privacy. In modo analogo, nel XXI secolo una quota crescente di transazioni commerciali saranno effettuate via Internet, e la loro protezione dipenderà dall’affidabilità dei sistemi crittografici. Man mano che l’informazione diventa la materia prima più preziosa, il destino economico, politico e militare delle nazioni viene a dipendere dalla forza delle cifrature. Perciò, lo sviluppo di un calcolatore quantistico funzionante metterebbe in pericolo la nostra riservatezza, distruggerebbe il commercio telematico e demolirebbe il concetto di sicurezza nazionale. In poche parole, un simile strumento avrebbe conseguenze destabilizzanti su scala mondiale. Il Paese che lo realizzasse per primo potrebbe sorvegliare le comunicazioni dei suoi cittadini, anticipare le mosse dei concorrenti economici, conoscere i piani delle potenze ostili. Benché ancora in fase di gestazione, l’informatica quantistica costituisce una minaccia potenziale per il singolo, il mondo delle attività economiche e la sicurezza globale.
La crittografia quantistica Mentre i decrittatori pregustano la realizzazione dei computer quantistici, i crittografi lavorano a un miracolo tecnologico che va nell’opposta direzione: un sistema di codifica che ristabilirebbe la riservatezza dopo l’eventuale costruzione del calcolatore quantistico. Questa nuova forma di protezione dei dati è radicalmente diversa da quelle fin qui incontrate, perché fa intravedere la possibilità della privacy assoluta. In altre parole, si tratterebbe di un sistema privo di punti deboli, capace di garantire la sicurezza delle comunicazioni per l’eternità. Per di più, questo sistema si ispira alla teoria dei quanti, la stessa su cui dovrebbero basarsi i supercalcolatori del futuro. Il settore più avanzato della fisica teorica potrebbe quindi tenere a battesimo sia uno strumento capace di violare i più moderni sistemi crittografici, sia un sistema crittografico nuovo e inviolabile, la cosiddetta crittografia quantistica. La storia di questo sistema risale a una curiosa idea sviluppata alla fine degli anni Sessanta da Stephen Wiesner, allora studente di dottorato alla Columbia University. Come talvolta accade, Wiesner ebbe la sfortuna di avere un’intuizione così avanzata per i suoi tempi, che nessuno le prestò attenzione. Egli ricorda ancora la reazione dei superiori: «Non ebbi alcun incoraggiamento dal mio relatore; non dimostrò il minimo interesse. Ne parlai ad alcune altre persone: mi guardarono in modo strano, e tornarono a occuparsi di quello che stavano facendo». Wiesner aveva loro esposto l’inedita nozione di «denaro quantistico», il cui grande pregio sarebbe consistito nell’essere impossibile da falsificare. Il denaro quantistico di Wiesner si basava in larga misura sulla fisica dei fotoni. Muovendosi nello spazio, un fotone vibra, come mostrato nella figura 66(a). I quattro fotoni dell’illustrazione viaggiano nella stessa direzione, ma in ciascun caso l’angolo di vibrazione è diverso. Quest’angolo è noto come polarizzazione, e una normale lampadina a filamento incandescente produce fotoni con ogni possibile polarizzazione: alcune vibrazioni avvengono nel piano verticale, altre nel piano orizzontale, altre ancora in tutti i piani intermedi. Per semplificare l’esposizione, ammettiamo che le polarizzazioni possibili siano solo quattro, che indico con , , and . Collocando sulla traiettoria dei fotoni un filtro detto polarizzatore, è possibile far sì che il raggio di luce dopo il filtro contenga solo fotoni che vibrano in una particolare direzione, cioè che le particelle filtrate abbiano tutte la stessa polarizzazione. In una certa misura, il filtro polarizzatore può esser paragonato a una grata, e i fotoni a bastoncini gettati a casaccio sulla grata: l’ostacolo sarà superato solo dai bastoncini orientati nel modo giusto. Ogni fotone già polarizzato secondo lo stesso angolo del filtro supererà quest’ultimo senza subire modifiche, mentre i fotoni il cui angolo di polarizzazione è perpendicolare a quello del filtro saranno fermati.
Purtroppo, l’analogia dei bastoncini cessa di funzionare se prendiamo in considerazione fotoni a polarizzazione diagonale che raggiungono un filtro polarizzatore verticale. Mentre i bastoncini a orientamento diagonale vengono bloccati da una grata a fessure verticali, ciò non sempre accade ai fotoni a polarizzazione diagonale che incontrano un filtro polarizzatore verticale. Diversamente dai bastoncini, i fotoni sono microscopici e devono affrontare un «dilemma quantistico»: in modo del tutto casuale circa la metà di essi supera l’ostacolo, mentre i rimanenti sono fermati. Inoltre, quelli che passano non mantengono la precedente polarizzazione, ma ne assumono una orientata in senso verticale. La figura 66(b) mostra otto fotoni che si avvicinano al polarizzatore verticale, e la figura 66(c) indica che solo quattro riescono ad attraversarlo. Tutti i fotoni a polarizzazione verticale sono passati, tutti i fotoni a polarizzazione orizzontale sono stati fermati, mentre dei fotoni a polarizzazione diagonale il cinquanta per cento è passato e il cinquanta per cento è stato fermato.
Figura 66 (a) Sebbene i fotoni vibrino in tutte le direzioni, supponiamo per semplicità che le possibili direzioni di vibrazione siano solo quattro, come in questo diagramma. (b) La lampadina ha emesso otto fotoni, che vibrano in varie direzioni. Ciascun fotone ha una propria direzione di polarizzazione. I fotoni si muovono verso un filtro polarizzatore orientato in senso verticale. (c) Solo metà dei fotoni sono visibili dall’altra parte del filtro. I fotoni a polarizzazione verticale sono passati, mentre quelli a polarizzazione orizzontale sono stati fermati. Dei fotoni a polarizzazione diagonale, metà sono passati, e hanno assunto una direzione di polarizzazione verticale.
La capacità di fermare una parte dei fotoni spiega il funzionamento degli occhiali da sole Polaroid. In effetti, si possono dimostrare gli effetti dei filtri polarizzatori compiendo esperimenti con un paio di Polaroid. Innanzitutto rimuovete una lente e chiudete l’occhio corrispondente, in modo da vedere solo attraverso la restante lente Polaroid. Il mondo esterno sembra più buio; ciò non sorprende, perché la lente ferma molti fotoni che altrimenti avrebbero raggiunto il vostro occhio. D’altra parte, quelli che lo raggiungono hanno tutti la stessa polarizzazione. Poi, collocate la lente tolta dalla montatura davanti all’altra, e ruotatela lentamente. A un certo punto, la seconda lente non avrà effetto sulla luce che raggiunge il vostro occhio, perché il suo orientamento è uguale a quello della lente fissa - in altre parole, tutti i fotoni che attraversano la lente libera attraversano anche la lente fissa. Se a questo punto ruotate la lente libera di novanta gradi, la luce non sarà assolutamente in grado di attraversare entrambe le lenti e il mondo esterno vi sembrerà buio. Questa disposizione è caratterizzata dal fatto che la polarizzazione di una lente è perpendicolare a quella dell’altra, cosicché tutti i fotoni che attraversano la lente libera sono fermati da quella fissa. Ruotando la lente libera di altri 45° si crea una situazione intermedia, in cui l’allineamento delle polarizzazioni è parziale, e metà dei fotoni che hanno attraversato la lente esterna riescono a superare anche quella interna. Wiesner intendeva usare la polarizzazione dei fotoni per produrre banconote impossibili da falsificare. Egli aveva in mente speciali biglietti di banca contenenti venti «trappole per la luce», minuscoli dispositivi capaci di catturare e trattenere un fotone. Egli suggeriva che le banche usassero quattro filtri polarizzatori orientati in quattro modi diversi ( ) per riempire le venti trappole per la luce con venti fotoni polarizzati, usando una sequenza diversa per ogni banconota. Per esempio, la figura 67 mostra un biglietto di banca con la sequenza di polarizzazione ( ). Sebbene i valori di polarizzazione si vedano chiaramente nella figura 67, in realtà essi sarebbero invisibili a occhio nudo. Ogni biglietto mostrerebbe anche il tradizionale numero di serie, che corrisponde a B2801695E in quello riprodotto. La banca potrebbe quindi identificare ciascun biglietto in base alla sequenza di polarizzazione e in base al numero di serie, e a questo scopo conserverebbe elenchi a due voci, col numero di serie e il numero di polarizzazione di ogni banconota. L’eventuale falsario ha ora il problema seguente: non può limitarsi a riprodurre una banconota con un numero di serie arbitrario e una sequenza di polarizzazione anch’essa arbitraria nelle trappole per la luce, perché l’abbinamento non
comparirebbe nell’elenco della banca, e quest’ultima si accorgerebbe della falsificazione. Per produrre un falso efficace egli dovrebbe usare come campione una banconota autentica, misurare in qualche modo la sequenza di venti polarizzazioni, e creare un duplicato, riproducendo il numero di serie e «compilando» le trappole per la luce in maniera appropriata. Ma è risaputo che misurare la polarizzazione dei fotoni è un compito ingrato, e se il falsario non è in grado di determinare con precisione la polarizzazione della banconota campione, non può sperare di produrre un duplicato. Per capire la difficoltà di misurare la polarizzazione dei fotoni, occorre immaginare come dovremmo comportarci per effettuare quest’operazione. Il solo modo di procurarsi informazioni sulla polarizzazione di un fotone è usare un filtro polarizzatore. Per misurare la polarizzazione del fotone della prima trappola, il falsario prende il filtro e lo orienta - per esempio, verticalmente: . Se il fotone che esce dalla trappola è polarizzato in senso verticale, attraverserà il filtro e il falsario dedurrà giustamente che la sua polarizzazione è verticale. Se il fotone che esce dalla trappola è polarizzato in senso orizzontale sarà fermato dal filtro, e il falsario dedurrà giustamente che la sua polarizzazione è orizzontale. Ma se il fotone emesso dalla trappola è polarizzato in senso diagonale forse attraverserà il filtro e forse no; in entrambi i casi, la sua polarizzazione può essere fraintesa. Un fotone può attraversare il filtro, ed esser creduto verticale, o non passarlo, ed esser creduto orizzontale. D’altra parte, se il falsario decidesse di misurare il fotone proveniente dalla trappola successiva con un polarizzatore a orientamento diagonale, per esempio , riuscirebbe a identificare con sicurezza i fotoni diagonali ( e ), ma non riuscirebbe a identificare in modo affidabile quelli verticali e orizzontali.
Figura 67 La cartamoneta quantistica di Stephen Wiesner. Ogni banconota è unica per via del numero di serie, visibile ad occhio nudo, e delle venti trappole per la luce, il cui contenuto è ignoto. Le trappole per la luce contengono fotoni polarizzati secondo varie direzioni. La banca, diversamente da un eventuale falsario, conosce la sequenza di polarizzazione abbinata a ciascun numero di serie.
Il problema del falsario è che dovrebbe usare un orientamento corretto del filtro per misurare in modo affidabile la polarizzazione dei fotoni; ma per orientare correttamente il filtro dovrebbe conoscere la polarizzazione dei fotoni, ed è proprio perché non la conosce che deve misurarla. Questo circolo vizioso è parte integrante della fisica dei fotoni. Immaginate che il falsario scelga un filtro per misurare il fotone proveniente dalla seconda trappola, e che il fotone non riesca ad attraversarlo. Il falsario può escludere che la polarizzazione del fotone sia perché in tal caso esso avrebbe sicuramente attraversato il filtro. Ma non può sapere se la polarizzazione del fotone sia , o ; nel primo caso il fotone sarebbe stato certamente fermato dal filtro, mentre negli altri due sarebbe stato fermato con una probabilità del cinquanta per cento. L’impossibilità di misurare in modo soddisfacente questa proprietà dei fotoni è
una conseguenza del principio di indeterminazione, elaborato negli anni Venti dal fisico tedesco Werner Heisenberg. Egli riassunse le sue considerazioni altamente tecniche in una proposizione assai semplice: «Per principio, non possiamo conoscere il presente in tutti i particolari». La frase di Heisenberg non significa che non possiamo conoscere tutti i dettagli della situazione attuale perché gli strumenti di cui ci serviamo sono imperfetti e in numero limitato; significa che è impossibile per ragioni teoriche misurare ogni aspetto di un oggetto particolare con assoluta precisione. Nel nostro esempio, ciò che non possiamo misurare con assoluta precisione sono le proprietà dei fotoni delle trappole luminose. Il principio di indeterminazione è un’altra strana conseguenza della teoria dei quanti. Le banconote quantistiche di Wiesner si basano sul fatto che la falsificazione è un processo a due stadi. Per duplicare la banconota, il falsario deve in primo luogo stabilire le sue caratteristiche; intrappolando in essa i fotoni Wiesner rende impossibile il superamento di questo stadio, e colloca sulla via della falsificazione un ostacolo insormontabile. Un falsario ingenuo potrebbe illudersi che l’impossibilità di stabilire la polarizzazione dei fotoni debba valere anche per la banca. Potrebbe quindi tentare di falsificare la banconota collocando nelle trappole luminose una sequenza arbitraria di fotoni polarizzati. In realtà, un funzionario della banca potrebbe verificare l’autenticità della banconota senza alcuna difficoltà. Innanzitutto, controllerebbe il numero di serie; poi consulterebbe l’elenco segreto per conoscere la polarizzazione dei fotoni delle trappole luminose; infine, orienterebbe il filtro in modo corretto durante la misurazione di ogni trappola, e otterrebbe risultati del tutto affidabili. Per esempio, se il funzionario usa un filtro per verificare quello che dovrebbe essere un fotone con polarizzazione , ma scopre che il filtro blocca il fotone, egli sa che un falsario ha immesso il fotone sbagliato nella trappola per la luce. Se invece la banconota risulta autentica, la si può rimettere in circolazione dopo avervi inserito di nuovo i fotoni appropriati. Riassumendo, il falsario non può misurare la polarizzazione della banconota autentica perché ignora che tipo di fotone si trovi in ciascuna trappola; quindi non sa come orientare il filtro per misurarla correttamente. La banca invece è in grado di controllare la polarizzazione di una banconota autentica, perché ha collocato i fotoni polarizzati nelle trappole luminose e preso nota della loro sequenza. Perciò, non ha difficoltà a orientare il filtro in modo corretto in corrispondenza di ogni trappola. La banconote quantistiche sono un’idea brillante, ma molto difficile da realizzare. In primo luogo, gl’ingegneri non hanno ancora sviluppato nessuna tecnologia che permetta di intrappolare per un tempo abbastanza lungo un fotone polarizzato secondo un certo angolo. E se una tecnologia simile esistesse, con ogni probabilità avrebbe un costo proibitivo. È chiaro che non avrebbe senso spendere un centinaio
di miliardi per proteggere una banconota da centomila lire. Tuttavia, benché irrealizzabile, l’idea della cartamoneta quantistica impiegava la fisica teorica in modo interessante e creativo; perciò, nonostante il disinteresse del suo relatore, Wiesner la riassunse in forma scritta e ne propose la pubblicazione a un periodico scientifico. Il suo articolo fu respinto. Allora egli lo inviò ad altri tre periodici, con lo stesso risultato. A suo parere, chi aveva bocciato il suo lavoro semplicemente non capiva la fisica. Sembra che una sola persona abbia condiviso l’entusiasmo di Wiesner per l’idea del denaro quantistico: un vecchio amico di nome Charles Bennett, che alcuni anni prima era stato suo compagno di studi all’Università di Brandeis. La curiosità di Bennett per ogni aspetto della scienza è uno degli aspetti più notevoli della sua personalità. Egli sostiene che il suo vivo desiderio di diventare uno scienziato risale all’età di tre anni. Il suo entusiasmo infantile per questo ramo del sapere non può essere sfuggito a sua madre. Un giorno, tornata a casa, ella trovò una cosa dall’aspetto inquietante che bolliva in una pentola. Per fortuna si guardò dall’assaggiarla: scoprì poi ch’erano i resti di un tacchino che suo figlio stava cuocendo in una soluzione alcalina, per staccare i tessuti molli dalle ossa e ottenere un bell’esemplare di scheletro di volatile. Durante l’adolescenza, la curiosità di Bennett si spostò dalla biologia alla biochimica, e quando giunse a Brandeis la sua intenzione era diplomarsi in chimica. All’università coltivò soprattutto la chimica fisica, per poi passare a ricerche in campo fisico, matematico e logico. L’approdo finale fu l’informatica.
Figura 68 Charles Bennett. (fonte)
Conoscendo l’ampiezza degl’interessi dell’amico, Wiesner sperò che la sua idea del denaro quantistico potesse interessarlo, e gli diede una copia del famoso articolo. In effetti esso piacque molto a Bennett, che lo definì una delle più geniali intuizioni teoriche di cui avesse sentito parlare. Nei dieci anni successivi rilesse spesso le pagine di Wiesner, sperando di trasformare una trovata così ingegnosa in qualcosa che avesse anche un’utilità pratica. Anche quando, nei primi anni Ottanta, diventò ricercatore presso i Laboratori Watson dell’IBM, Bennett non riuscì a dimenticare l’idea di Wiesner. Alle riviste scientifiche poteva non interessare, ma lui ne era ossessionato. Un giorno, Bennett illustrò il concetto di denaro quantistico a Gilles Brassard, un informatico dell’Università di Montreal. Bennett e Brassard, che collaboravano a vari progetti di ricerca, discussero più volte gli aspetti più intricati dello scritto di Wiesner, e a poco a poco si accorsero che le sue idee potevano trovare
applicazione in crittografia. Per decifrare un messaggio di Alice e Bob, Eva deve innanzitutto intercettarlo, cioè registrare in modo accurato il contenuto della trasmissione. Il denaro quantistico di Wiesner sarebbe sicuro perché non si potrebbe misurare in modo accurato la polarizzazione dei fotoni delle trappole luminose; perciò Bennett e Brassard si chiesero cosa sarebbe successo se un crittogramma fosse stato generato e trasmesso sotto forma di fotoni polarizzati. A quanto sembrava, Eva non avrebbe potuto stabilire con precisione neppure il testo in cifra; e come si può decifrare, se non si sa neanche cosa si deve decifrare? Bennett e Brassard tentarono di delineare un sistema basato sul principio seguente. Immaginate che Alice voglia mandare a Bob un messaggio crittato, che consiste in una serie di 0 e 1. Ella rappresenterà le cifre binarie inviando fotoni con un certo tipo di polarizzazione. Alice può ricorrere a due schemi diversi per associare le polarizzazioni dei fotoni con gli 0 e 1 del messaggio: nel primo schema, detto rettilineo, o schema + −, invia fotoni per significare 1, e fotoni per significare 0. Nell’altro schema, detto diagonale, o schema ×, invia fotoni per significare 1, e fotoni per significare 0. Nell’inviare il messaggio binario, Alice passa dall’uno all’altro dei due schemi in modo imprevedibile. Così, il messaggio binario 1101101001 potrebbe essere trasmesso in questo modo:
Alice trasmette il primo 1 con lo schema + −, e il secondo 1 con lo schema ×. Così, in entrambi i casi la cifra trasmessa è 1, ma in ciascun caso è rappresentata da fotoni con una polarizzazione differente. Se Eva vuole intercettare il messaggio, deve determinare la polarizzazione di ciascun fotone, così come il falsario avrebbe dovuto determinare quella dei fotoni contenuti nelle trappole luminose della banconota. Per misurare la polarizzazione dei fotoni, Eva deve decidere come orientare il filtro polarizzatore all’approssimarsi di ogni particella. Ma ella ignora quale schema Alice ha usato di volta in volta, ragion per cui non le resta che tirare a indovinare, rassegnandosi a sbagliare all’incirca nella metà dei casi. Quindi, non potrà avere una conoscenza completa della trasmissione. Un modo più semplice di raffigurarci il dilemma di Eva è fingere che ella abbia a disposizione due misuratori di polarizzazione. Il misuratore + − è capace di riconoscere con precisione i fotoni polarizzati in senso verticale e orizzontale, ma non
discrimina con sicurezza quelli polarizzati in senso diagonale, e li interpreta erroneamente come fotoni polarizzati in senso verticale od orizzontale. D’altra parte il misuratore × riconosce senza difficoltà i fotoni polarizzati in senso diagonale, ma è incerto di fronte ai fotoni verticali e orizzontali, e li interpreta erroneamente come fotoni polarizzati in senso diagonale. Per esempio, se Eva usa il rivelatore × per misurare il primo fotone, un fotone , lo interpreterà erroneamente come o . Nel secondo caso, l’errore non avrà conseguenze, perché anche rappresenta la cifra binaria 1; ma se lo interpreta come le conseguenze ci saranno, perché rappresenta la cifra binaria 0. A rendere le cose ancora più difficili per Eva, c’è il fatto che ella può compiere una sola misura accurata sul fotone. I fotoni infatti sono indivisibili, e perciò Eva non può dividere un fotone in due parti e compiere due distinte misurazioni. Le proprietà di questo sistema crittografico sembrano davvero interessanti. Eva non può esser certa di aver registrato correttamente il messaggio crittato; quindi non può sperare di poterlo decifrare. Purtroppo, esso urta contro una difficoltà grave e apparentemente insormontabile: Bob si trova nella stessa situazione di Eva, perché non sa che schema di polarizzazione Alice abbia applicato a ciascun fotone. Anch’egli, quindi, è destinato a fraintendere il messaggio. La soluzione più ovvia è che Alice e Bob decidano lo schema di polarizzazione da usare per ciascun fotone. Tornando all’esempio precedente, Alice e Bob potrebbero concordare una lista, o chiave, che possiamo rappresentare con + × + × × × + + × ×. In questo modo, però, sorgerebbe il vecchio problema della distribuzione delle chiavi: in qualche modo, Alice deve far pervenire la lista a Bob in condizioni di sicurezza. Naturalmente, Alice potrebbe crittare la lista con una cifratura a chiave pubblica come la RSA, e trasmetterla a Bob. Ma supponiamo di trovarci in un’epoca in cui questo tipo di cifratura sia obsoleta, magari a causa dell’entrata in funzione degli elaboratori quantistici. È chiaro che per rappresentare un autentico passo avanti, il sistema di Bennett e Brassard doveva essere autosufficiente. Per mesi i due informatici cercarono il modo di aggirare il problema della distribuzione delle chiavi. Infine, un giorno del 1984, accadde che fossero entrambi in piedi sul marciapiede della stazione di Croton-Harmon, vicino ai Laboratori Watson della IBM. In attesa del treno che doveva riportare Brassard a Montreal, lui e Bennett ingannavano il tempo chiacchierando di Alice, Bob ed Eva - delle loro speranze e delusioni. Se il treno fosse arrivato con qualche minuto di anticipo, Bennett e Brassard si sarebbero separati con un cenno di saluto, senza aver fatto alcun progresso circa la questione del recapito della chiave. Invece un’intuizione improvvisa come l’eureka!, di Archimede mostrò loro la strada per la crittografia quantistica, la più sicura scrittura segreta che mente umana abbia concepito. La loro ricetta implica tre stadi preparatori. Anche se nessuno di essi comporta
l’invio di un messaggio crittato, essi permettono lo scambio del tutto sicuro della chiave, che sarà poi usata per cifrare il messaggio. Primo stadio. Alice trasmette una sequenza casuale di 1 e 0 (bit), usando una sequenza casuale di schemi di polarizzazione rettilinei e diagonali. La figura 69 mostra una siffatta sequenza di fotoni in viaggio verso Bob. Secondo stadio. Bob deve misurare la polarizzazione dei fotoni, ma non sa quale schema di polarizzazione sia stato adottato da Alice in ciascun caso, perciò passa in modo casuale dal rivelatore + − al rivelatore ×. Quindi, a volte usa il rivelatore giusto, a volte quello sbagliato. Se il rivelatore è sbagliato, è possibile che egli valuti in modo erroneo la polarizzazione del fotone corrispondente. La Tavola 27 copre tutte le possibilità. Per esempio, nella prima riga Alice usa lo schema rettilineo per trasmettere la cifra 1, ossia trasmette ; Bob usa il rivelatore giusto, e correttamente attribuisce il valore 1 al primo bit della sequenza. La riga successiva mostra che Alice compie le stesse operazioni, ma Bob usa il rivelatore sbagliato; quest’ultimo segnalerà o , cosicché Bob potrà attribuire al secondo bit il valore 1, che è corretto, oppure il valore 0, che è errato. Terzo stadio. Fin qui, Alice ha inviato una serie di 1 e 0, e Bob ne ha intesi correttamente alcuni, fraintesi altri. Per chiarire la situazione, Alice telefona a Bob utilizzando una linea normale, suscettibile di essere intercettata, e rivela a Bob quale schema di polarizzazione, ma non quale polarizzazione, ha usato per ciascun fotone. Così, ella potrebbe dirgli che il primo fotone è stato inviato tramite lo schema rettilineo, senza precisare se abbia trasmesso un fotone o . A questo punto, Bob comunica ad Alice in quali occasioni ha indovinato lo schema di polarizzazione da lei usato. In queste occasioni, è indubbio che egli ha rilevato correttamente la polarizzazione del fotone, e la cifra binaria da esso rappresentata. Infine, Alice e Bob decidono di ignorare i fotoni per i quali Bob ha usato lo schema sbagliato, e si concentrano su quelli il cui schema è stato da lui indovinato. In effetti, essi hanno generato una nuova, più breve sequenza di bit, formata dalle sole rilevazioni esatte di Bob. Tutta questa fase è illustrata nella figura 69.
Figura 69 Alice trasmette a Bob una serie di 0 e 1. ciascun 1 e ciascun 0 è rappresentato da un fotone polarizzato secondo lo schema di polarizzazione rettilineo (orizzontale/verticale) o diagonale. Bob misura ciascun fotone col rilevatore rettilineo o diagonale. Egli sceglie il rilevatore corretto per il fotone all’estrema sinistra, e correttamente gli attribuisce il valore di 1. Per il fotone successivo, sceglie invece il rilevatore sbagliato. Per caso, gli attribuisce il valore 0, che è esatto: ciò nondimeno, questo bit verrà scartato, perché Bob non può essere certo di averlo misurato correttamente.
Questi tre stadi hanno permesso ad Alice e Bob di stabilire una sequenza comune di cifre binarie, come la sequenza 11001001 della figura 69. La proprietà cruciale di questa sequenza è la casualità; infatti, essa deriva dalla sequenza di Alice, anch’essa casuale. Quindi la sequenza concordata non è un messaggio, ma può fungere da chiave casuale. Finalmente può avere inizio la generazione del crittogramma, che risulterà inviolabile. Tavola 27 Le varie possibilità nel secondo stadio dello scambio di fotoni fra Alice e Bob.
La sequenza casuale concordata può fungere da chiave per una cifratura del tipo a blocco monouso. Nel capitolo 3 si è descritto come una sequenza casuale di lettere o numeri, stampata sui fogli monouso del blocco, può dare origine a una cifratura inviolabile: una cifratura non solo praticamente, ma teoricamente impossibile da decrittare. L’unico punto debole della cifratura a blocco monouso consisteva nella difficoltà di recapitare le sequenze casuali in condizioni di sicurezza, ma la procedura di Bennett e Brassard risolve radicalmente il problema. Alice e Bob hanno concordato una chiave casuale monouso, la cui intercettazione corretta da parte di Eva è resa impossibile dalle leggi della fisica quantistica. È il momento di metterci nei panni di Eva, in modo da capire perché è impossibile intercettare la chiave. Quando Alice trasmette i fotoni polarizzati, Eva può tentare di misurarli, ma come
al solito non sa se usare il rivelatore + − o il rivelatore ×. Perciò, all’incirca in metà dei casi sceglierà il rivelatore sbagliato. Ella è quindi nella stessa situazione di Bob, che ha sbagliato rivelatore all’incirca nel cinquanta per cento dei casi. Come sappiamo, alla fine della trasmissione Alice comunica a Bob quale schema avrebbe dovuto usare per ciascun fotone ed essi decidono di usare solo i fotoni che sono stati da lui rilevati correttamente. Ma anche se Eva intercettasse la conversazione ciò non le sarebbe di alcuna utilità, perché ella avrà rilevato col sistema sbagliato una parte dei fotoni compresi nella chiave casuale, e assegnato un valore sbagliato a una parte di questa parte. Il meccanismo della crittografia quantistica può essere compreso anche ragionando sulle carte da gioco, anziché sui fotoni polarizzati. Ogni carta ha un valore e un seme: il fante di cuori, il sei di fiori, e così via. Normalmente si guarda una carta e si percepiscono sia il valore sia il seme. Proviamo però a immaginare che sia possibile accertare o il valore di una carta o il suo seme, ma non entrambi. Alice ne estrae una dal mazzo, e deve decidere se determinare il valore o il seme. Diciamo che opta per il seme, che è picche, e ne prende nota. In effetti, la carta era il quattro di picche, ma che fosse un quattro, Alice non può saperlo. Dopo di che si mette in comunicazione con Bob per mezzo della linea telefonica, e in qualche modo gl’invia la carta intera. Eva cerca di rilevare la carta durante il trasferimento, ma sfortunatamente decide di misurare il valore, che è quattro. Quando riceve la carta, Bob opta per il seme, che è sempre picche, e lo annota. In seguito, Alice telefona a Bob e gli chiede se ha rilevato il seme; lui le risponde affermativamente, e da quel momento Alice e Bob condividono un’informazione: entrambi hanno scritto picche sul loro blocco per gli appunti. Ma sul suo blocco per appunti Eva ha scritto quattro, un’informazione che non le è di nessuna utilità. Subito dopo, Alice estrae dal mazzo un’altra carta, per esempio il re di quadri, della quale può apprendere solo una caratteristica. Questa volta opta per il valore, perciò scrive re sul suo blocco per gli appunti; poi trasmette la carta a Bob tramite la linea telefonica. Eva tenta di misurarla, e anche lei sceglie di conoscere il valore, che è re. Quando Bob riceve la carta, egli decide di misurare il seme, che è quadri. Poi Alice telefona a Bob e gli chiede se ha misurato il valore della carta, ed egli ammette di essersi sbagliato: ha misurato il seme. Tuttavia, il suo errore non preoccupa lui e Alice. Essi possono non tener conto di questa carta e provare con un’altra, estraendola a caso dal mazzo. In questa occasione Eva ha indovinato la proprietà da misurare e, come Alice, ha riconosciuto che la carta è un re, ma la carta è stata annullata perché Bob non l’ha misurata correttamente. Bob non si preoccupa dei suoi errori, perché Alice e Bob scelgono dalla serie di carte pescate le carte che Bob ha misurato correttamente. Ma esse non coincidono con le carte misurate correttamente da Eva. Perciò gli sbagli di Eva non vengono eliminati. Nel frattempo,
pescando dal mazzo un numero sufficiente di carte Alice e Bob possono produrre una sequenza di semi e valori su cui basare una chiave crittografica di qualche tipo. La crittografia quantistica permette ad Alice e Bob di concordare una chiave, che Eva non può intercettare senza commettere errori. Essa ha poi un utile effetto collaterale, perché consente ad Alice e Bob di sapere se Eva cerca di intercettare i loro messaggi. La presenza di Eva nella linea è rivelata dal fatto che ogni tentativo di misurare un fotone implica il rischio di modificarlo, e l’eventuale modifica non può sfuggire ad Alice e Bob. Supponiamo che Alice invii un fotone ed Eva lo misuri col rivelatore sbagliato, il rivelatore + −. Poiché questo rivelatore è, in sostanza, un polarizzatore, esso obbliga il fotone a emergere come un fotone o un fotone . Se Bob misura il fotone modificato col suo rivelatore ×, può rilevare , cioè il segnale inviato da Alice, oppure , che costituirebbe un errore di misura. Ciò metterebbe in difficoltà Alice e Bob, perché Alice ha inviato un fotone diagonale e Bob l’ha misurato col rivelatore giusto, ma il risultato della misura è errato. In breve, se Eva cerca di misurare i fotoni col rivelatore sbagliato rischia di alterarli, e di introdurre un errore nelle misurazioni di Bob anche nei casi in cui egli ha usato il rivelatore giusto. Questi errori possono essere individuati, purché Alice e Bob effettuino un breve controllo. Il controllo viene effettuato alla fine dei tre stadi preliminari, quando Alice e Bob dovrebbero disporre di un’identica sequenza di 0 e 1. Immaginate che essi abbiano stabilito una sequenza di 1.075 cifre binarie. Il modo più semplice di controllarla sarebbe che Alice telefonasse a Bob e gli comunicasse la propria sequenza. Ma se Eva intercettasse la telefonata, verrebbe a conoscere l’intera chiave. Per fortuna, controllare tutta la sequenza non è solo imprudente, ma anche superfluo. È sufficiente che Alice scelga 75 cifre a caso, e le comunichi a Bob. Se le corrispondenti cifre binarie di Bob sono identiche, il rischio che Eva abbia interferito durante la trasmissione dei fotoni è senz’altro trascurabile. Per la precisione, le probabilità che Eva abbia tentato di misurare 75 cifre binarie, cioè 75 fotoni, senza alterare la polarizzazione di nessuno di essi, sono meno di una su un miliardo. Poiché le 75 cifre sono state comunicate da Alice a Bob senza precauzioni, vanno scartate, e la loro chiave monouso si riduce da 1.075 a 1.000 cifre binarie. D’altra parte, se le due serie di 75 cifre non collimano, Alice e Bob sapranno che Eva ha tentato di intercettare il loro messaggio; potranno quindi scartare l’intera chiave monouso, e ritentare usando un’altra linea telefonica. Ricapitolando, la crittografia quantistica è un procedimento di scrittura segreta che garantisce la sicurezza delle comunicazioni impedendo a Eva di intercettare in modo accurato i messaggi che Alice e Bob si scambiano. Inoltre, qualora Eva tenti un’intercettazione la crittografia quantistica permette ad Alice e Bob di rilevare l’intrusione. Essa consente quindi ad Alice e Bob di scambiarsi informazioni e
concordare in assoluta riservatezza una chiave del tipo a blocco monouso, che potrà essere adoperata per cifrare un testo. Il procedimento comporta cinque passi fondamentali: 1. Alice invia a Bob una sequenza di fotoni, che Bob misura. 2. Alice e Bob controllano in quali occasioni Bob ha misurato i fotoni in modo corretto. (Alice comunica a Bob solo il tipo di schema di polarizzazione che ha usato, ovvero il tipo di rivelatore che Bob avrebbe dovuto impiegare, non il risultato che egli dovrebbe aver ottenuto. Perciò, l’eventuale intercettazione di questa comunicazione non pregiudica minimamente la sicurezza del sistema.) 3. Alice e Bob scartano le misurazioni da lui eseguite in modo scorretto, e usano le sole misurazioni corrette per creare una coppia di chiavi identiche del tipo a blocco monouso. 4. Alice e Bob controllano l’integrità delle loro chiavi monouso confrontando un numero limitato di cifre binarie. 5. Se il risultato del controllo è soddisfacente, essi possono usare la chiave monouso per crittare un messaggio; se invece si sono riscontrati errori, si deve presumere che la trasmissione dei fotoni sia stata captata da Eva, e la procedura dev’essere ripetuta. A quattordici anni di distanza, lo scritto di Wiesner sul denaro quantistico, che una serie di riviste scientifiche aveva respinto, aveva ispirato gl’inventori di un sistema di comunicazione in codice assolutamente sicuro. Wiesner, che ora vive in Israele, è contento che alla fine il valore della sua idea sia stato riconosciuto. «Ripensandoci, mi chiedo se non avrei potuto ricavarne qualcosa di più. Alcuni sostengono che mi sono arreso troppo facilmente, che non ho lottato abbastanza per far pubblicare il mio articolo - e in parte hanno ragione, immagino - ma ero solo un giovane studente di dottorato; la mia fiducia in me stesso era limitata, e l’idea del denaro quantistico sembrava non interessare proprio a nessuno.» Invece, la scrittura segreta quantistica di Bennett e Brassard fu accolta con entusiasmo dai crittografi. D’altra parte molti sperimentatori fecero notare che il loro sistema funzionava bene a livello teorico, ma sul piano pratico era destinato all’insuccesso. A loro giudizio, la manipolazione dei singoli fotoni non era fattibile, e rendeva irrealizzabile l’intero procedimento. Nonostante le critiche, Bennett e Brassard restarono dell’avviso che la crittografia quantistica potesse trasformarsi in una scrittura segreta funzionante. Anzi, si fidavano tanto del loro sistema da non curarsi della realizzazione delle apparecchiature. Come dichiarò Bennett, «non è poi indispensabile andare al Polo Nord, una volta stabilito che c’è».
In realtà, il crescente scetticismo sul loro metodo spinse infine Bennett a cercare di dimostrare che il sistema era realizzabile. Nel 1988 egli cominciò ad accumulare i componenti necessari a gestire un sistema crittografico quantistico, e chiamò uno studente ricercatore, John Smolin, perché lo aiutasse ad assemblarli. Dopo un anno di sforzi, essi furono pronti a inviare il primo messaggio mai crittato con un sistema quantistico. Una sera a tarda ora si ritirarono nel laboratorio a prova di luce, un ambiente nero come la pece e impenetrabile da parte di fotoni vagabondi che avrebbero potuto falsare l’esito dell’esperimento. Avendo consumato una cena sostanziosa, erano pronti ad armeggiare tutta la notte con le loro apparecchiature. Innanzitutto, si proponevano di inviare fotoni polarizzati da un punto a un altro del locale, e di misurarli con un rivelatore + − e un rivelatore ×. Un calcolatore di nome Alice controllava l’invio dei fotoni, e un calcolatore chiamato Bob decideva quale rivelatore dovesse essere usato per misurare ciascun fotone. Si industriarono per ore, e verso le tre del mattino Bennett assistette al primo scambio di informazioni tramite crittografia quantistica. Alice e Bob riuscirono a inviare e ricevere fotoni, discussero gli schemi di polarizzazione usati da Alice, scartarono i fotoni misurati da Bob col rivelatore sbagliato, e concordarono una chiave monouso basata sui fotoni restanti. «Nemmeno per un momento abbiamo dubitato che funzionasse», ricorda Bennett. «Semmai, abbiamo temuto che le nostre dita fossero troppo goffe per istallare le apparecchiature necessarie.» L’esperimento di Bennett aveva dimostrato che due calcolatori, Alice e Bob, potevano comunicare in condizioni di assoluta segretezza. Fu un esperimento storico, anche se la distanza tra i due computer era solo di trenta centimetri. Dopo il successo dell’esperimento di Bennett, la sfida si spostò su un altro terreno: la costruzione di un sistema crittografico quantistico capace di superare distanze significative. L’obiettivo non era banale, perché è difficile far viaggiare i fotoni senza alterarne le caratteristiche. Se fotoni polarizzati secondo un certo orientamento sono rilasciati da Alice nell’atmosfera, essi interagiscono con le molecole dei gas dell’aria modificando la loro polarizzazione, il che è inaccettabile. Un ambiente più adeguato è costituito dalle fibre ottiche, e di recente alcuni ricercatori sono riusciti a realizzare sistemi crittografici quantistici che operano su distanze significative. Nel 1995 studiosi dell’Università di Ginevra sono riusciti a trasmettere un crittogramma quantistico a oltre 23 chilometri di distanza, da Ginevra alla cittadina di Nyon, utilizzando una tecnologia a fibre ottiche. Ancor più di recente un gruppo di scienziati del Los Alamos National Laboratory, in Nuovo Messico, hanno effettuato ulteriori esperimenti di crittografia quantistica nell’atmosfera. Lo scopo ultimo è creare un sistema crittografico quantistico in grado di operare via satellite. Se l’obiettivo fosse raggiunto, inaugurerebbe l’epoca della comunicazione globale assolutamente sicura. Finora, l’équipe di Los Alamos è
riuscita a trasmettere una chiave quantistica fino a un chilometro di distanza. Gli esperti di sicurezza si chiedono ora quanto occorrerà perché la crittografia quantistica diventi una tecnologia suscettibile di impieghi pratici. Al momento, ciò non comporterebbe vantaggi particolari, perché la cifratura RSA permette di realizzare sistemi crittografici praticamente inviolabili e alla portata di tutti. Ma se i computer quantistici dovessero diventare una realtà, la RSA e le altre cifrature ora in auge diventerebbero inutili, e la crittografia quantistica una necessità. Perciò la corsa contro il tempo è cominciata, e la domanda cruciale è: la crittografia quantistica sarà messa a punto in tempo per salvare la privacy dalla minaccia dei computer quantistici? O ci sarà un’eclissi della riservatezza, un periodo senza privacy tra l’avvento dei computer quantistici e quello della crittografia quantistica? Attualmente, quest’ultima appare in una fase più avanzata di realizzazione. L’esperimento svizzero a fibre ottiche dimostra la fattibilità di un sistema che garantisca almeno la sicurezza delle comunicazioni tra le istituzioni finanziarie di una singola città. Sarebbe anche già possibile installare un collegamento permanente tra il Pentagono e la Casa Bianca, basato sulla tecnologia della crittografia quantistica. Sempre che non esista già. Dal punto di vista teorico la crittografia quantistica implica la fine della battaglia tra inventori e solutori di codici, e la sconfitta dei solutori. Infatti, essa è una scrittura segreta impossibile da violare. Questa affermazione può apparire eccessiva, in particolare se si pensa che frasi di questo tipo sono già state pronunciate in passato. In diversi momenti, negli ultimi duemila anni, i crittografi hanno considerato inviolabili la cifratura monoalfabetica, quella polialfabetica e quella automatizzata tipo Enigma. In ciascun caso è stato poi dimostrato che i crittografi erano in errore, perché la loro valutazione si basava solo sul fatto che la complessità delle cifrature superava l’ingegnosità e le risorse tecniche dei crittoanalisti in un particolare periodo storico. Col senno di poi non stupisce che i crittoanalisti abbiano riconquistato il terreno perduto, ora con carta e penna ora automatizzando la decrittazione così come i crittografi avevano automatizzato il procedimento opposto. Tuttavia, la tesi che la crittografia quantistica è assolutamente sicura è qualitativamente diversa dalle affermazioni di cui si è detto. L’impossibilità di decrittarla non è di natura empirica, ma razionale. La teoria dei quanti, il cui successo scientifico non ha precedenti nella storia della fisica, implica che per Eva è impossibile intercettare in modo soddisfacente la chiave monouso generata da Alice e Bob. Per di più, Eva non può evitare che i suoi tentativi di intercettazione siano rilevati. Infine, l’inviolabilità della cifratura a blocco monouso può essere stabilita con tutto il rigore delle dimostrazioni matematiche. Se un messaggio protetto con la crittografia quantistica fosse decrittato, ne discenderebbe che la teoria dei quanti è errata, e le implicazioni per la fisica intera sarebbero devastanti; i cultori di questa disciplina dovrebbero rivedere da cima a
fondo le loro ipotesi sul funzionamento dell’universo al suo livello più fondamentale. Se sarà possibile progettare e realizzare sistemi crittografici quantistici capaci di superare grandi distanze, l’evoluzione della crittografia si arresterà e la ricerca di sistemi per la tutela della privacy si potrà considerare conclusa. Sarà disponibile una tecnologia in grado di garantire la sicurezza a governi, forze armate, operatori economici e persone comuni. Una sola questione resterà aperta: se, e in che misura, i governi permetteranno l’impiego di questa tecnologia. Riuscirà il ceto politico a varare norme sulla crittografia quantistica che valorizzino le possibilità dell’èra dell’informazione, senza concedere un aiuto involontario ai criminali?
Partecipate alla sfida crittografica
La Sfida Crittografica è un insieme di dieci messaggi criptati, che avevo posto al termine della prima edizione di questo libro, nel 1999. In aggiunta alla ricompensa intellettuale del riuscire a decrittare tutti e dieci i messaggi, c’era un premio di 15.000 dollari per chi avesse risolto la Sfida per primo. La sfida fu finalmente vinta il 7 ottobre 2000, dopo un anno e un mese di strenui sforzi da parte di decifratori di tutto il mondo, dilettanti e professionisti. La Sfida Crittografica è rimasta come parte di questo libro. Non c’è più un premio per la soluzione dei messaggi, ma vorrei incoraggiare lo stesso i lettori a provare a decifrare qualcuno dei messaggi. Le dieci prove sono in ordine crescente di difficoltà, sebbene molti decifratori hanno trovato la prova 3 più difficile della prova 4. Le cifrature usate nelle prove sono differenti e sono in ordine di anzianità crescente, cosicché le prime cifrature sono più antiche e più facili da risolvere, mentre le ultime prove adoperano sistemi di cifratura moderni e necessitano di sforzi molto più grandi. In breve, le prove da 1 a 4 sono per amatori, le prove da 5 a 8 sono per veri appassionati, e la 9 e la 10 sono per decifratori professionali. Se volete sapere di più riguardo la Sfida Crittografica, potete visitare il mio sito Web (simonsingh.net), che offre una varietà di informazioni, incluso un link al report scritto dai vincitori della Sfida Crittografica, Fredrik Almgren, Gunnar Andersson, Torbjorn Granlund, Lars Ivansson e Staffan Ulfberg. Il report offre un’eccellente lettura, ma vi prego di prendere nota che sia il report che altro materiale nel sito web, includono messaggi pubblicitari che potreste non desiderare di vedere. Lo scopo principale della Sfida Crittografica era di eccitare i potenziali lettori, suscitando il loro interesse per la crittografia e la decifrazione. Il fatto che migliaia di persone abbiano partecipato alla Sfida è di enorme soddisfazione. La Sfida Crittografica è ufficialmente chiusa, ma spero che continui a generare interesse fra i nuovi lettori, che vogliano testare le loro capacità di decifratori.
Buona fortuna, Simon Singh
Prova 1: Cifratura mediante sostituzione monoalfabetica semplice
Prova 2: Cifratura di Cesare
Prova 3: Cifratura monoalfabetica omofonica
Prova 4: Cifratura di Vigenère
Prova 5
Prova 6
Prova 7
Prova 8
Prova 9
Prova 10 Messaggio più corto
Messaggio più lungo
Appendici
Appendice A Alcuni suggerimenti elementari per l’analisi delle frequenze
(1) In primo luogo, calcolate le frequenze di tutte le lettere del crittogramma. In italiano, tre lettere (a, e e i) dovrebbero avere frequenze superiori al dieci per cento, quattro (nove se si contano anche j, k, w, x e y) dovrebbero avere frequenze inferiori all’uno per cento: (inserire le quattro lettere che in italiano hanno una frequenza inferiore all’1 per cento). Se il testo in cifra non ubbidisce a questa distribuzione, è probabile che la lingua del testo chiaro sia diversa dall’italiano. Infatti, l’analisi delle frequenze dà indicazioni precise anche sulla lingua del testo originale. Per esempio, in inglese una lettera (e) dovrebbe avere una frequenza superiore al dieci per cento, sei lettere (j, k, q, v, x e z) una frequenza inferiore all’uno per cento. In tedesco, la lettera e raggiunge l’abnorme frequenza del diciannove per cento; perciò, un crittogramma in cui un carattere si avvicina a rappresentare un quinto del totale verosimilmente deriva da un testo chiaro in tedesco. Naturalmente, la crittoanalisi si baserà sulla tavola delle frequenze relativa alla lingua attribuita al testo chiaro. Non è affatto impossibile risolvere un crittogramma basato su una lingua di cui si ignorano lessico e grammatica, purché l’analisi delle frequenze sia applicata correttamente. (2) Se le frequenze si avvicinano, per esempio, a quelle della lingua italiana, ma il crittogramma - come di solito accade - oppone resistenza, conviene prestare attenzione alle lettere doppie. In italiano, le doppie più frequenti sono ll, tt, ss, cc, rr, gg, pp e nn. Se il testo in cifra contiene caratteri doppi, è probabile che rappresentino una delle anzidette ripetizioni. (3) Se il crittogramma contiene gli spazi tra le parole, cercate di identificare le più brevi: quelle formate da una, due o tre lettere. Per esempio, in italiano le sole parole di una lettera sono a, e (senza e con accento), i e o. Parole comuni di due lettere andranno cercate tra gli articoli, le preposizioni, i pronomi e le voci verbali più comuni: il, la, un, in, si, ho, ha, so, sa, fu ecc. Parole molto comuni di tre lettere sono che e non; e poi con, per, tra, le voci dell’imperfetto di «essere» (ero, eri…). Per esempio, una parola in cifra di tre lettere, con una ripetizione in prima e terza posizione, può essere non. (4) Se possibile, «tarate» la tavola delle frequenze in base al tipo di testo crittato che
volete decifrare. I dispacci militari tendono a omettere pronomi e articoli; perciò, la frequenza di lettere tipiche di queste categorie grammaticali (in italiano, l è comune negli articoli determinativi, n in quelli indeterminativi) può risultare alterata. Se si è certi di aver a che fare con un crittogramma militare, si può usare una tavola delle frequenze ricavata da dispacci delle forze armate. (5) Una delle più preziose qualità di un crittoanalista è la capacità di riconoscere parole, e perfino frasi complete, grazie all’intuito e all’esperienza. Al-Khalil, uno dei primi crittoanalisti arabi, dimostrò il suo talento volgendo in chiaro un crittogramma greco; egli intuì che cominciava con le parole «Nel nome di Dio», e rapidamente ampliò la breccia così aperta nel crittogramma, risolvendolo in brevissimo tempo. Come esposto nel capitolo 4, in lingua inglese questo stratagemma è noto come crib. (6) Può accadere che la lettera più comune di un crittogramma italiano sia e, seguita da a, i, o e così via; in altre parole, l’analisi delle frequenze può rivelare una distribuzione molto vicina a quella media della lingua del testo chiaro. Ciò nondimeno, la sostituzione dei caratteri in cifra coi caratteri corrispondenti dell’alfabeto chiaro può generare stringhe incomprensibili. In tal caso, è da sospettare che il crittogramma sia stato generato non per sostituzione, ma per trasposizione. Le lettere rappresentano quindi sé stesse, ma si trovano al posto sbagliato. Un buon testo introduttivo all’analisi delle frequenze è Cryptanalysis di Helen Fouché Gaines (Dover). Oltre a offrire suggerimenti, esso contiene le tabelle di frequenza di varie lingue.
Appendice B Il cosiddetto «Codice genesi»
Nel 1997 la stampa internazionale diede notevole rilievo a Codice genesi di Michael Drosnin. Questi sosteneva che la Bibbia contiene messaggi occulti, che si possono scoprire cercando sequenze di lettere equidistanti (Equidistant Letter Sequences, o EDLS). EDLS si possono ricavare da qualunque testo, scegliendo una lettera iniziale e avanzando ogni volta di un certo numero di posti. Per esempio, nella prima riga di questa Appendice potremmo partire dalla «s» di «stampa» e avanzare di cinque spazi per volta. La sequenza risultante sarebbe sarodnol… Mentre questa particolare EDLS non contiene parole sensate, Drosnin ha descritto la scoperta di un numero molto elevato di EDLS biblici che formano non solo parole, ma intere frasi dotate di senso. Secondo Drosnin, queste frasi hanno un carattere profetico. Per esempio, egli afferma di aver scoperto allusioni agli assassinii di John F. Kennedy, Robert Kennedy e Anwar Sadat. In un EDLS il nome di Newton è menzionato accanto alla gravità, in un altro Edison è collegato alla lampadina a incandescenza. Pur basandosi su una pubblicazione di Doron Witzum, Eliyahu Rips e Yoav Rosenberg, il libro di Drosnin sostiene una tesi ben più ambiziosa, ed è stato severamente criticato. L’obiezione principale è che la lunghezza del testo esaminato è enorme. In un testo abbastanza lungo, non meraviglia che cambiando sia il punto di partenza, sia la lunghezza dei «salti» possano comparire parole e frasi sensate. Brendan McKay, della National Australian University, ha cercato di dimostrare la debolezza della tesi di Drosnin cercando EDLS in Moby Dick e scoprendo tredici proposizioni che sembrano alludere all’assassinio di persone celebri (compresi Trotzkij, Gandhi e Robert Kennedy). Inoltre l’ebraico facilita la scoperta di EDLS apparentemente sensate, perché è in gran parte privo di vocali. Ciò significa che chi esamina il testo può inserirle dove gli sembra opportuno, e l’individuazione di presunti significati profetici è alquanto facilitata.
Appendice C La cifratura Pigpen
Le cifrature per sostituzione monoalfabetica sono sopravvissute per secoli in varie forme. Per esempio, la cifratura pigpen (recinto per maiali) era usata dai massoni del Settecento per proteggere i loro archivi; oggi, è talvolta usata dagli scolari. L’algoritmo non comporta la sostituzione delle lettere per mezzo di altre lettere, ma per mezzo di simboli ad hoc secondo lo schema seguente.
Per crittare una lettera, si trova la sua posizione in una delle quattro grate, poi si fa lo schizzo della porzione di grata necessaria a rappresentare la lettera. Perciò:
Se si conosce la chiave, l’interpretazione della cifratura pigpen è facile. Se non la si conosce, farvi breccia non comporta grosse difficoltà.
Appendice D La cifratura Playfair
La cifratura Playfair deve la sua notorietà a Lyon Playfair, primo barone Playfair di St Andrews, ma fu inventata da Sir Charles Wheatstone, uno dei padri del telegrafo. Playfair e Wheatstone erano vicini di casa (abitavano nei pressi del ponte di Hammersmith, e s’incontravano spesso per discutere di crittografia). In questa cifratura, ogni coppia di lettere del testo chiaro è sostituita da un’altra coppia di lettere. Per crittare e trasmettere un messaggio, mittente e destinatario devono innanzitutto scegliere una parola d’ordine. Nell’esempio che segue, la parola d’ordine sarà CHARLES, nome di battesimo del Wheatstone. Il passo successivo consiste nel preparare una tabella di 5 × 5 elementi, in cui ogni elemento è una lettera dell’alfabeto (previa fusione di I e J). Le prime lettere saranno quelle della chiave, seguite dalle rimanenti in ordine alfabetico.
Il messaggio è quindi spezzato in coppie di lettere, o digrammi. Poiché in ogni digramma le due lettere devono essere diverse, e non sono ammesse lettere singole, si possono inserire alcune x in punti opportuni per evitare digrammi di due lettere uguali e lettere isolate alla fine del crittogramma. Per esempio, se la doppia m di hammersmith cadesse in un solo digramma, questo nome potrebbe essere trasformato in hamxmersmith (ha-mx-me-rs-mi-th). E se il testo chiaro consistesse in un numero dispari di caratteri, una x sarebbe aggiunta alla fine per trasformare l’ultima lettera singola in un digramma.
Può ora cominciare la cifratura vera e propria. I digrammi sono divisi in tre categorie: quelli le cui lettere sono sulla stessa riga; quelli le cui lettere sono sulla stessa colonna; e tutti gli altri. Se le lettere sono sulla stessa riga, il loro posto è preso dalle vicine di destra; così, se di sera diventa BS. Qualora una lettera da sostituire
sia l’ultima della riga, il suo posto è preso dalla lettera all’inizio della riga; per esempio, in di incontriamoci diventa KG. Se le lettere sono sulla stessa colonna, il loro posto è preso dalle lettere sottostanti. Così, co di incontriamoci diventa EV. Se una lettera da sostituire è l’ultima della colonna, il suo posto viene preso dalla lettera in cima alla colonna; così, se il testo chiaro contenesse il digramma ty, esso diventerebbe YR. Se le lettere di un digramma non sono né sulla stessa riga, né sula stessa colonna, la cifratura ubbidisce a una regola differente. Per cifrare la prima lettera, si segue la sua riga finché si incontra la colonna contenente la seconda lettera; la lettera in corrispondenza dell’intersezione sostituisce la prima lettera. Per cifrare la seconda lettera, si segue la riga fino alla colonna della prima lettera; la lettera in corrispondenza dell’intersezione sostituisce la seconda lettera. Così, nt si trasforma in MU, e ri si trasforma in HM. Il crittogramma completo è:
Il destinatario, che dovrebbe conoscere la chiave, può volgere in chiaro il crittogramma invertendo il procedimento; per esempio, le lettere cifrate che sono sulla stessa riga si decifrano collocando al loro posto le lettere alla loro sinistra. Oltre che uno scienziato, Playfair fu una notevole personalità pubblica (vicepresidente della Camera dei Comuni, postmaster general, cioè direttore generale delle Poste, e commissario alla salute pubblica, veste nella quale contribuì a porre le basi della moderna politica sanitaria). Egli era deciso a far conoscere l’idea di Wheatstone alle personalità più influenti della Gran Bretagna. La citò per la prima volta nel 1854 durante una cena ufficiale alla presenza del principe Alberto (Alberto di Sassonia-Coburgo-Gotha, consorte della regina Vittoria. [N.d.T]) e del futuro Primo ministro, Lord Palmerston; in seguito, presentò Wheatstone al sottosegretario agli Esteri. Il sottosegretario, tuttavia, giudicò il sistema troppo complicato per l’impiego sul campo di battaglia; Wheatstone assicurò allora di poterne insegnare l’uso agli alunni della più vicina scuola elementare in non più di quindici minuti. «Non ne dubito», replicò il sottosegretario, «ma non riuscirebbe mai a insegnarlo agli attaché.» Playfair non si diede per vinto, e alla fine il ministero della Guerra britannico adottò in segreto il sistema, probabilmente impiegandolo per la prima volta durante la guerra anglo-boera. Pur essendosi dimostrata efficace per qualche tempo, la cifratura Playfair è tutt’altro che a prova di crittoanalisi. La strategia di attacco consiste nella ricerca dei digrammi più comuni del crittogramma, che verosimilmente
corrispondono ai digrammi più comuni della lingua del testo chiaro (nel caso dell’italiano, er, es, on, re, el, er, de…).
Appendice E La cifratura ADFGVX
La cifratura ADFGVX combina sostituzione e trasposizione. La codifica comincia disegnando una tabella 6 × 6, e riempiendo le 36 caselle in modo casuale coi caratteri dell’alfabeto completo di 26 lettere, più la serie delle 10 cifre. Ogni riga e colonna della tabella è identificata da una delle sei lettere A, D, F, G, V e X. La disposizione delle lettere e dei numeri nella tabella è parte della chiave; in altre parole, il destinatario deve conoscerla per poter effettuare la decifrazione.
Per crittare, si deve innanzitutto stabilire la posizione di ogni lettera del messaggio nella tabella, e rimpiazzarla con le lettere che designano la sua riga e la sua colonna. Così, 8 diventerebbe AA, p diventerebbe AD. Ecco un breve messaggio sottoposto alla prima fase della cifratura:
Fin qui siamo di fronte a una semplice cifratura per sostituzione monoalfabetica, della quale si verrebbe a capo con l’analisi delle frequenze. Ma il secondo stadio è una trasposizione, che rende molto più difficile la crittoanalisi. La trasposizione dipende da una parola d’ordine, che in questo caso supporremo essere MARK. Anch’essa, come la disposizione delle lettere e dei numeri nella tabella, dev’essere nota al destinatario. Il procedimento traspositivo è il seguente. Innanzitutto, le lettere della chiave sono collocate in cima a una nuova tabella. Poi, il crittogramma generato dalla prima cifratura è trascritto sotto la chiave come mostrato nello schema seguente. Le
colonne della tabella sono quindi ricollocate, in modo che le lettere della chiave siano in ordine alfabetico. Il crittogramma finale è ottenuto scrivendo le lettere nel nuovo ordine.
Il crittogramma definitivo era trasmesso in codice Morse, e per ripristinare il testo originale il destinatario doveva invertire il procedimento di codifica. Indipendentemente dalla lunghezza, il crittogramma utilizza solo sei lettere (cioè A, D, F, G, V e X), perché solo queste lettere sono impiegate per identificare le righe e le colonne della tabella iniziale 6 × 6. Spesso, chi s’imbatte in questo codice si chiede perché siano state scelte proprio queste lettere, invece, poniamo, di A, B, C, D, E e F. La risposta è che le lettere in questione danno origine alle sequenze di punti e linee Morse più dissimili le une dalle altre. La scelta mirava quindi a minimizzare gli errori di trasmissione per via telegrafica
Appendice F Perché è un errore riutilizzare i fogli dei blocchi monouso
Per le ragioni spiegate nel capitolo 3, i crittogrammi cifrati per mezzo di un blocco monouso sono inviolabili. Tuttavia, questo è vero se, e solo se, ogni foglio del blocco è utilizzato non più di una volta. Se si intercettassero due diversi testi cifrati, generati dallo stesso foglio di un blocco monouso, si potrebbe decifrarli nelmodo seguente: Probabilmente non sarebbe arrischiata l’ipotesi che in qualche punto del testo chiaro compaia la parola non. Un crittoanalista potrebbe quindi adottare l’ipotesi di lavoro che l’intero messaggio consista in una serie di non. Poi, si dovrebbe generare il foglio del blocco monouso capace di trasformare il testo composto solo da non in un crittogramma uguale a quello da risolvere. Questa è la prima tappa della nostra marcia di avvicinamento alla chiave monouso. Come possiamo stabilire che parti della chiave monouso sono corrette? Possiamo applicare la chiave monouso provvisoria al secondo crittogramma, e controllare se il risultante testo chiaro ha un senso. Con un po’ di fortuna, riusciremo a riconoscere qualche frammento di parola nel secondo testo chiaro. I frammenti sensati indicano che le parti corrispondenti della chiave monouso sono corrette. A sua volta, questo ci permette di stabilire quali parti del primo messaggio corrispondano a non. Espandendo i frammenti trovati nel secondo testo chiaro, è possibile ricostruire altre parti della chiave monouso, e dedurre altri frammenti del primo testo chiaro. In modo analogo, espandendo i frammenti del primo testo chiaro si possono ricostruire altre parti della chiave monouso, e dedurre nuovi frammenti del secondo testo chiaro. Il procedimento può essere ripetuto fino alla decifrazione di entrambi i testi chiari. Questo metodo è molto simile alla decifrazione di un crittogramma di Vigenère generato da una chiave formata da una serie di parole affini. Il metodo in questione è stato discusso nel capitolo 3, in relazione a un crittogramma esemplificativo la cui chiave consisteva nei nomi di tre Paesi (Svezia, Belgio e Argentina).
Appendice G Soluzione del cruciverba del Daily Telegraph
ORIZZONTALI 1. Troupe
VERTICALI 1. Tipstaff
4. Short Cut
2. Olive oil
9. Privet 10. Aromatic 12. Trend
3. Pseudonym 5. Horde 6. Remit
13. Great deal
7. Cutter
15. Owe
8. Tackle
16. Feign 17. Newark 22. Impale 24. Guise 27. Ash 28. Centre bit 31. Token 32. Lame dogs 33. Racing 34. Silencer
11. Agenda 14. Ada 18. Wreath 19. Right nail 20. Tinkling 21. Sennight 23. Pie 25. Scales 26. Enamel 29. Rodin
35. Alight
30. Bogie
Appendice H Esercizi per il lettore interessato
Alcune delle più grandi decifrazioni della storia sono state compiute da dilettanti. Per esempio, Michael Ventris non era professore di greco antico ma architetto, e Georg Grotefend, che per primo decifrò una scrittura cuneiforme, era un semplice insegnante. I lettori che desiderano seguire il loro esempio saranno lieti di apprendere che alcune scritture del passato restano un mistero. Il lineare A, una scrittura minoica, ha resistito ad ogni tentativo di interpretazione, anche a causa della scarsità del materiale disponibile. L’etrusco non soffre di questa limitazione, con oltre diecimila iscrizioni a disposizione degli studiosi. Eppure, il significato di queste ultime è rimasto celato ai più insigni specialisti. L’iberico, un idioma pre-romano, e le rune scandinave futhark restano ugualmente incomprensibili. La più affascinante antica iscrizione europea appare sul «disco di Festo», un reperto unico rinvenuto nella parte meridionale di Creta nel 1908. Si tratta di una tavoletta di argilla, di forma circolare, databile intorno al 1700 a.C., recante iscrizioni in forma di due spirali, una per ciascuna faccia. I segni non sono incisioni eseguite a mano libera, ma tracce impresse con speciali sigilli, uno per ogni segno. Ciò fa del disco di Festo il più antico esempio conosciuto di dattilografia. Ugualmente notevole è il fatto che non è stato finora trovato nessun altro documento di questo tipo; perciò, i tentativi di decifrazione devono basarsi su informazioni molto limitate: 242 caratteri divisi in 61 gruppi. D’altra parte, la fabbricazione dei sigilli fa pensare che questo tipo di scrittura fosse impiegata in modo massiccio. Non è quindi infondata la speranza che gli archeologi trovino altri dischi, permettendo di interpretare questa testarda iscrizione. Una delle grandi sfide extraeuropee è la decifrazione della scrittura risalente all’Età del bronzo della civiltà dell’Indo. I reperti consistono in migliaia di sigilli del III millennio a.C. Su ciascun sigillo è visibile una forma di animale, e una breve iscrizione. Delle iscrizioni, che come le forma di animale sono diverse su ogni sigillo, nessun esperto è finora venuto a capo. Un’eccezione a questa tipologia è rappresentata da una grande tavola lignea con lettere alte 37 centimetri. È possibile che si tratti della più antica insegna conosciuta; in tal caso, bisognerebbe ammettere che in quell’epoca remota la capacità di leggere non fosse appannaggio di un élite. E l’insegna, quale messaggio indirizzava ai pochi o tanti in grado di capirlo? Si è ipotizzato tra l’altro ch’essa rientrasse in una campagna propagandistica a favore di un sovrano. In tal caso, se la sua identità potesse essere stabilita si disporrebbe di un
appiglio per decifrare il resto dell’iscrizione.
Appendice I I passaggi matematici della RSA
Quella che segue è una spiegazione divulgativa dei passaggi matematici alla base della RSA, per quanto riguarda tanto la genesi quanto l’interpretazione del crittogramma. (1) Alice sceglie due numeri primi molto grandi, p e q. Per semplificare il nostro esempio non attribuiremo a p e q valori enormi, e supporremo che Alice abbia scelto p = 17, q = 11. Questi numeri dovranno essere tenuti segreti. (2) Alice moltiplica p e q, e ottiene N. In questo caso N = 187. Poi, Alice deve scegliere un altro numero, che chiameremo e; supponiamo che scelga e = 7. (e e (p − 1) × (q − 1) dovrebbero essere primi tra di loro, ma questo è un dettaglio tecnico.)
(3) A questo punto, Alice è libera di pubblicare e e N in un elenco accessibile a tutti. Poiché e e N sono necessari alla cifratura, devono essere disponibili a chiunque voglia inviarle un messaggio protetto tramite la RSA. e e N sono le «chiavi pubbliche» di Alice. (Oltre a far parte della chiave per cifrare di Alice, e potrebbe far parte di quella di chiunque altro. Tuttavia, ogni utente della RSA deve avere un proprio ed esclusivo valore di N, che dipende dai valori scelti per p e q). (4) Per cifrare un messaggio, questo deve innanzitutto essere trasformato in un numero M. Per esempio, una parola viene trasformata in cifre binarie ASCII, e le cifre binarie corrispondono a un numero decimale. M è quindi cifrato in modo da generare C, il crittogramma, secondo la formula: C = Me (mod N)
(5) Supponiamo che Bob voglia mandare ad Alice un semplice bacio epistolare: nient’altro che la lettera X. In codice ASCII X è 1011000, cioè 88 in notazione decimale. Quindi, M = 88. (6) Per crittare il messaggio, Bob comincia col procurarsi la chiave pubblica di Alice, e constata che N = 187 e e = 7. Così egli può utilizzare la formula necessaria a crittare il messaggio di Alice. Per M = 88, la formula dà: C = 887 (mod 187)
(7) Non conviene cercare di stabilire direttamente il valore di quest’espressione con una calcolatrice, perché è improbabile che il display possa contenere il risultato. Tuttavia, c’è uno stratagemma che permette di gestire facilmente gli esponenti in aritmetica dei moduli. Da 7 = 4 + 2 + 1, segue che: 887 (mod 187) = [884 (mod 187) × 882 (mod 187) × 881 (mod 187)] (mod 187) 881 = 88 = 88 (mod 187) 882 = 7,744 = 77 (mod 187) 884 = 59,969,536 = 132 (mod 187) 887 = 881 × 882 × 884 = 88 × 77 × 132 = 894,432 = 11 (mod 187)
Bob può quindi inviare ad Alice il testo cifrato, C = 11. (8) Sappiamo che le funzioni esponenziali in aritmetica dei moduli sono unidirezionali; è quindi molto difficile ritrovare M, il messaggio originale, partendo da C = 11. Perciò, Eva non è in grado di decifrare il messaggio. (9) Alice, al contrario, può decifrare il messaggio perché è in possesso di informazioni speciali: i valori di p and q. Ella calcola un numero speciale, d, la sua personale chiave per la decifrazione, nota anche come chiave privata. Il numero d è ottenuto per mezzo della formula seguente: e × d = 1 (mod (p-1) × (q-1)) 7 × d = 1 (mod 16 × 10) 7 × d = 1 (mod 160) d = 23 (La deduzione del valore di d non è immediata, ma un procedimento noto come algoritmo di Euclide permette ad Alice di trovare d rapidamente e facilmente.)
(10) Per decifrare il messaggio, Alice usa semplicemente questa formula: M = Cd (mod 187) M = 1123 (mod 187) M = [111 (mod 187) × 112 (mod 187) × 114 (mod 187) × 1116 (mod 187)] (mod 187) M = 11 × 121 × 55 × 154 (mod 187) M = 88 = «X» in codice ASCII.
Rivest, Shamir e Adleman avevano creato una speciale funzione unidirezionale; una funzione invertibile solo da chi fosse in possesso di informazioni privilegiate: i valori di p e q. Ogni funzione può essere personalizzata per mezzo di p e q, che moltiplicati danno N. La funzione permette a chiunque di crittare un messaggio da inviare a un destinatario specifico, usando il numero N scelto dal destinatario; d’altra parte solo questi può decifrare il messaggio, perché p e q, e quindi d, la chiave per decifrare, sono noti solo a lui.
Glossario
ALFABETO CIFRANTE: riorganizzazione dell’alfabeto ordinario, o chiaro, che determina come debba essere cifrata ogni lettera del messaggio. L’alfabeto cifrante può consistere anche in numeri o caratteri di altro tipo, senza che il suo ruolo nella cifratura sia modificato. ALGORITMO CRITTOGRAFICO: qualunque procedimento generale per crittare, che l’aggiunta della chiave rende unico e capace di generare una scrittura segreta. ASCII: American Standard Code for Information Interchange, uno standard per la conversione di caratteri alfabetici, numerici e di altro tipo in numeri. BLOCCO MONOUSO: la sola cifratura esistente la cui inviolabilità è matematicamente dimostrata. Essa si basa su una chiave casuale lunga quanto il messaggio. L’inviolabilità richiede però che una chiave sia usata una sola volta (chiave monouso). CHIAVE: è l’elemento che trasforma l’algoritmo crittografico, in quanto metodo generale di scrittura segreta, in un procedimento unico e concretamente applicabile. Accade spesso che il nemico conosca l’algoritmo crittografico prescelto dal mittente e dal destinatario; ciò non rappresenta un pericolo immediato per la sicurezza delle comunicazioni, finché il nemico non conosce la chiave. CHIAVE PRIVATA: nei sistemi crittografici a chiave pubblica, la chiave utilizzata dal destinatario di un messaggio per decifrarlo. La chiave privata deve rimanere segreta. CHIAVE PUBBLICA: nei sistemi crittografici a chiave pubblica, la chiave utilizzata dal mittente di un messaggio per cifrarlo. La chiave pubblica può, e deve, essere resa nota a chiunque desideri inviare al destinatario un messaggio protetto. CIFRARE: trasformare un testo chiaro in una scrittura segreta tramite una cifratura. CIFRARIO: elenco di sostituti delle parole o frasi del testo originale. CIFRATURA: ogni sistema atto a nascondere il significato di un messaggio, rimpiazzando ciascuna lettera del messaggio con una lettera diversa. Il procedimento di cifratura dovrebbe includere una parte flessibile, cioè variabile a piacere, detta «chiave». CIFRATURA DI CESARE: in origine, cifratura per sostituzione in cui il posto di
ogni lettera del messaggio è preso dalla lettera tre posti più avanti nell’alfabeto ordinario. In senso più generale, cifratura in cui il posto di ogni lettera del messaggio è preso dalla lettera che si trova a una distanza di x posti nell’alfabeto ordinario, dove x, nel caso dell’alfabeto completo di 26 lettere, è un numero compreso tra 1 e 25. CIFRATURA DI VIGENÈRE: cifratura polialfabetica sviluppata nel XVI secolo. La tavola di Vigenère contiene 26 alfabeti cifranti, ciascuno del tipo usato per la cifratura di Cesare; la chiave stabilisce quale alfabeto impiegare di volta in volta per crittare le lettere del messaggio. CIFRATURA PER SOSTITUZIONE MONO ALFABETICA: cifratura per sostituzione, in cui l’alfabeto cifrante non è mai sostituito durante la generazione del crittogramma. CIFRATURA PER SOSTITUZIONE OMOFONICA: cifratura in cui ogni lettera del testo chiaro ha più sostituti potenziali. Caratteristico di questa cifratura è che non si dà mai il caso contrario. Per esempio, nell’ipotesi che la lettera a abbia sei sostituti potenziali, nessuno di questi può sostituire una lettera diversa da a. Questa cifratura è considerata un tipo di sostituzione monoalfabetica. CIFRATURA PER SOSTITUZIONE POLIALFABETICA: cifratura per sostituzione, in cui l’alfabeto cifrante cambia durante la .generazione del crittogramma. È di questo tipo la cifratura di Vigenère. Il cambiamento degli alfabeti cifranti è dettato dalla chiave. CIFRATURA PER SOSTITUZIONE: sistema crittografico in cui ogni lettera di un messaggio è sostuita da un’altra lettera, ma conserva la sua posizione. CIFRATURA PER TRASPOSIZIONE: sistema crittografico in cui l’occultamento del significato del messaggio è ottenuto spostando le lettere in posizioni diverse da quelle originarie, senza mutare l’identità della lettera. CODICE: sistema per nascondere il significato di un messaggio sostituendo ogni parola o frase del messaggio con un carattere o un insieme di caratteri. L’elenco delle sostituzioni è contenuto in un cifrario. Un codice non è flessibile, cioè il procedimento di codifica non include una parte modificabile a piacere. L’unico modo di cambiare il codice è cambiare il cifrario. (In effetti, una definizione alternativa di codice è: sistema crittografico privo di flessibilità intrinseca.) CODIFICARE: trasformare un testo chiaro in una scrittura segreta per mezzo di un codice. COMPUTER QUANTISTICO: calcolatore elettronico di enorme potenza basato sulla meccanica quantistica, e in particolare sulla teoria che un oggetto può trovarsi in più stati contemporaneamente (sovrapposizione), o su quella,
alternativa, che un oggetto possa trovarsi contemporaneamente in più universi. Se gli scienziati riuscissero a realizzare un computer quantistico di dimensioni ragionevoli, questo minerebbe la sicurezza di tutte le cifrature esistenti a eccezione di quella a blocco monouso. CRITTARE: cifrare o codificare. CRITTOANALISI: scienza che ha per oggetto i metodi di ricostruzione del testo chiaro, partendo da un testo crittato di cui s’ignora la chiave. CRITTOGRAFIA: scienza che ha per oggetto l’occultamento del significato di un messaggio, in modo tale che il significato possa essere recuperato al momento opportuno. Talvolta il termine è usato in modo più lato, per designare ogni sapere razionale collegato con le scritture segrete; in questa accezione, può essere considerato sinonimo di «crittologia». CRITTOGRAFIA A CHIAVE ASIMMETRICA: tipo di crittografia in cui la chiave necessaria per crittare è diversa dalla chiave necessaria per decrittare. In essa rientrano i sistemi crittografici a chiave pubblica, come la RSA. CRITTOGRAFIA A CHIAVE PUBBLICA: sistema di scrittura segreta che supera il problema della distribuzione delle chiavi. La crittografia a chiave pubblica richiede una cifratura di tipo asimmetrico; solo così ogni utente può scegliere sia una chiave per cifrare, che può essere pubblica, sia una chiave per decifrare, che deve restare segreta. CRITTOGRAFIA A CHIAVE SIMMETRICA: tipo di crittografia in cui la chiave per cifrare e quella per decifrare coincidono. Prima degli anni Settanta del XX secolo, le scritture segrete che implicavano l’uso di chiavi erano senza eccezione di tipo simmetrico. CRITTOGRAFIA QUANTISTICA: forma di crittografia inviolabile basata sulla meccanica quantistica, e in particolare sul Principio d’indeterminazione, in base al quale è impossibile misurare con assoluta precisione tutte le caratteristiche di un oggetto. La crittografia quantistica permette la trasmissione in condizioni di sicurezza di una serie di bit casuali, sui quali si può basare una cifratura del tipo a blocco monouso. CRITTOLOGIA: la scienza che ha per oggetto ogni operazione concernente le scritture segrete. Il suo significato abbraccia sia la crittoanalisi che la crittografia. DECIFRARE: ricostruire il testo chiaro da cui è stato ricavato un testo in cifra. In senso stretto, «decifrare» andrebbe usato solo a proposito del destinatario legittimo, che ripristina il testo chiaro tramite la chiave. Tuttavia, accade molto spesso che «decifrare» designi anche la ricostruzione non autorizzata del testo originale, cioè la crittoanalisi.
DECODIFICARE: ripristinare il messaggio originale partendo da un messaggio in codice. DECRITTARE: decifrare o decodificare. DEPOSITO DELLA CHIAVE: schema nel quale gli utenti depositano copie delle loro chiavi segrete presso una terza parte di fiducia (l’affidatario). Questi le consegnerà ai tutori dell’ordine solo in particolari circostanze; per esempio, su richiesta della magistratura. DES: Data Encryption Standard, cioè Standard per crittare i dati; sistema crittografico sviluppato da IBM e adottato dalle autorità statunitensi nel 1976. DIFFIE-HELLMAN-MERKLE, SCAMBIO DELLE CHIAVI SECONDO: procedimento che permette a mittente e destinatario di concordare una chiave segreta per mezzo di uno scambio di informazioni non segreto. Stabilita la chiave, il mittente può usarla per cifrare un messaggio, per esempio tramite il DES. DISTRIBUZIONE DELLE CHIAVI: l’insieme degli atti e delle precauzioni che permettono al mittente e al destinatario di disporre della chiave, evitando che essa cada in mani ostili. La distribuzione delle chiavi era diventato il problema principale, dal punto di vista logistico e della segretezza, prima dell’invenzione della crittografia a chiave pubblica. FIRMA ELETTRONICA, O DIGITALE: metodo che garantisce la corretta attribuzione di un documento. Per lo più, la firma elettronica è generata dall’autore cifrando il documento con la sua chiave privata. LUNGHEZZA DELLA CHIAVE: la crittografìa computerizzata fa uso di chiavi che in ultima analisi sono numeri. Il concetto di lunghezza della chiave si riferisce al massimo numero di cifre, o bit, della chiave, cioè indica il numero più grande suscettibile di essere usato come chiave. La lunghezza della chiave definisce quindi il numero di chiavi potenziali. Maggiore la lunghezza della chiave, più alto il numero di chiavi potenziali, più lungo il tempo che un crittoanalista impiegherebbe per controllarle una per una. NATIONAL SECURITY AGENCY (NSA): organismo dipendente dal Dipartimento della Difesa degli Stati Uniti, e preposto alla sicurezza delle comunicazioni nazionali nonché alla sorveglianza di quelle degli altri Paesi. RISERVATEZZA NIENTE MALE (PRETTY GOOD PRIVACY): algoritmo crittografico per calcolatori elettronici sviluppato da Phil Zimmermann sulla base della RSA. RSA: il primo sistema sistema di scrittura segreta che soddisfa i requisiti della crittografia a chiave pubblica, inventato da Ron Rivest, Adi Shamir e Leonard
Adleman nel 1977. STEGANOGRAFIA: la scienza dell’occultamento fisico dei messaggi, contrapposta alla crittografia, che non cela il messaggio in sé ma il suo significato. STRINGA: in linguistica, sequenza lineare di elementi linguistici; in informatica, sequenza di dati omogenei dal punto di vista dell’elaborazione (per esempio, una sequenza di caratteri suscettibile di espressione tramite codice ASCII). TESTO CHIARO: il messaggio non crittato. TESTO IN CIFRA, o CRITTOGRAMMA: il messaggio (o testo chiaro) dopo la cifratura.
Ringraziamenti
S
crivendo questo libro ho avuto il privilegio di incontrare alcuni dei più grandi crittografi e crittoanalisti viventi, dagli ex collaboratori di Bletchley Park a quanti lavorano ai codici che arricchiranno l’Età dell’informazione. Desidero ringraziare Whitfield Diffie e Martin Hellman, che hanno trovato il tempo di parlarmi del loro lavoro durante il mio soggiorno nella solatìa California. D’altra parte Clifford Cocks, Malcolm Williamson e Richard Walton mi sono stati di enorme aiuto durante la mia visita all’uggiosa Cheltenham. In particolare, sono grato ai membri dell’Information Security Group del Royal Halloway College di Londra, che mi hanno permesso di frequentare il corso M. Se. sulla sicurezza delle informazioni. Ai professori Fred Piper, Simon Blackburn, Jonathan Tuliani e Fauzan Mirza sono debitore di eccellenti lezioni su codici e cifre. In Virginia, ho avuto la fortuna di compiere un’escursione al tesoro di Beale sotto la guida competente di Peter Viemeister, che conosce a fondo l’argomento. Inoltre, il Museo di Bedford Country e Stephen Cowart della Beale Cypher and Treasure Association mi hanno aiutato a effettuare ricerche in proposito. Sono grato anche a David Deutsch e Michele Mosca dell’Oxford Centre for Quantum Computation, a Charles Bennett e alla sua équipe di ricerca dei Laboratori Thomas J. Watson dell’IBM, a Stephen Wiesner, Leonard Adleman, Ronald Rivest, Paul Rothemund, Jim Gillogly, Paul Leyland e Neil Barrett. Derek Taunt, Alan Stripp e Donald Davies mi hanno fornito particolari sul lavoro che si svolgeva a Bletchley Park; un aiuto prezioso mi è anche venuto dal Bletchley Park Trust, i cui membri tengono regolarmente conferenze su ogni sorta di temi interessanti. I dottori Mohammed Mrayati e Ibrahim Kadi mi hanno aiutato a ricostruire alcuni dei primi successi della crittoanalisi araba, e sono stati così gentili da mandarmi documenti rilevanti. Inoltre, il periodico Cryptologia ha ospitato articoli sulla crittoanalisi araba e su molti altri argomenti connessi con le scritture segrete. Un grazie a Brian Winkel, per avermi procurato copie arretrate della rivista. Ai lettori che si recheranno negli USA e in Gran Bretagna vorrei suggerire di visitare il National Cryptologic Museum, non lontano da Washington D. C., e i Cabinet War Rooms di Londra. Spero che ne saranno affascinati tanto quanto me. Sono grato ai conservatori e ai bibliotecari di questi musei per avermi aiutato a trovare quello che mi occorreva. Quando il tempo stringeva, James Howard, Bindu Mathur, Pretty Sagoo, Anna Singh e Nick Shearing hanno collaborato al
reperimento di importanti e interessanti articoli, libri e documenti; un grazie a tutti loro per il tempo e le energie che hanno prodigato. Devo ringraziare inoltre Antony Buonomo della www.vertigo.co.uk, che mi ha aiutato nella costruzione della mia pagina web. Oltre a parlare con gli esperti, ho dovuto basarmi su numerosi libri e articoli. Alcuni titoli si trovano nell’elenco delle letture consigliate. Tuttavia, l’elenco non è né una bibliografia completa, né una lista definitiva delle mie fonti. Vi ho semplicemente incluso il materiale che ritengo possa interessare un certo numero di lettori. Di tutte le opere consultate nella stesura di Codici e segreti ce n’è una che vorrei segnalare in modo particolare: The Codebreakers di David Kahn. Essa documenta quasi tutti gli episodi crittografici storicamente importanti, e come tale costituisce una fonte inestimabile per chiunque si occupi di scritture segrete. Varie biblioteche, istituzioni e persone singole mi hanno fornito fotografie. Tutte le fonti sono citate nei ringraziamenti per le immagini; vorrei tuttavia esprimere la mia gratitudine a Sally McClain, per le fotografie dei «parla-codice» navajo, alla professoressa Eva Brann, per aver trovato la sola fotografia conosciuta di Alice Kober; a Joan Chadwick, per avermi mandato una fotografia di John Chadwick; a Brenda Ellis, per avermi permesso di prendere in prestito alcune fotografie di James Ellis. Un grazie anche a Hugh Whitemore, che mi ha autorizzato a citare alcune battute della sua opera teatrale Breaking the Code, basata sul libro di Andrew Hodges Alan Turing-The Enigma. Su un piano più personale, desidero esprimere tutta la mia riconoscenza ad amici e familiari, che mi sono venuti incontro nei due anni dedicati alla stesura del libro. Neil Boynton, Dawn Dzedzy, Sonya Holbraad, Tim Johnson, Richard Singh e Andrew Thompson hanno contribuito a preservare il mio equilibrio mentre ero alle prese con gli aspetti più ostici della crittologia. Un aiuto prezioso mi ha dato Bernadette Alves, che ha saputo mescolare incoraggiamento e acume critico. Retrocedendo nel tempo, sono grato anche alle persone e alle istituzioni che mi hanno preparato alla mia carriera: la Wellington School; l’Imperial College; il Gruppo di fisica delle alte energie dell’Università di Cambridge; Dana Purvis, cui devo la mia prima apparizione alla BBC; e Roger Highfield del Daily Telegraph , che mi ha incoraggiato a scrivere il mio primo articolo. Infine, ho avuto la fortuna di collaborare con alcuni dei migliori professionisti in campo editoriale. Patrick Walsh è un agente che ama la scienza, prende a cuore i suoi autori e affronta ogni impegno con illimitato entusiasmo. Per merito suo sono entrato in contatto coi più gentili e capaci editori che sia dato immaginare: Fourth Estate, il cui personale non si è perso d’animo di fronte alle innumerevoli questioni da me sollevate. Ultimi, ma non certo ultimi, i miei editor, Christopher Potter, Leo Hollis e Peternelle van Arsdale, che mi hanno aiutato a raddrizzare un cammino che si
snoda tortuoso in tremila anni di storia. Il mio debito nei loro confronti è davvero ingente.
Letture consigliate e bibliografia
L
’elenco di libri che segue è pensato per il lettore medio. Ho evitato di dare indicazioni bibliografiche di carattere più tecnico, ma alcuni dei testi citati includono bibliografie dettagliate. Per esempio, se voleste maggiori particolari sulla decifrazione del lineare B (capitolo 5), vi raccomanderei The Decipherment of Linear B di John Chadwick. Se nemmeno quest’opera vi sembrasse abbastanza ricca di informazioni, potete utilizzare i riferimenti in essa contenuti. In Internet c’è una grande quantità di materiale interessante a proposito di codici e cifre. Oltre ai libri, ho quindi elencato alcuni siti della rete che vale la pena di visitare. Dei libri consigliati è stata indicata solo l’edizione italiana, qualora disponibile. Opere d’interesse generale Kahn, David, The Codebreakers (New York: Scribner, 1996). Una storia dei codici segreti e delle decifrazioni in 1.200 pagine. L’opera più completa sulla crittografia fino agli anni Cinquanta. Newton, David E., Encyclopedia of Cryptology (Santa Barbara, CA: ABC-Clio, 1997). Un’utile opera di consultazione con spiegazioni chiare e concise su moltissimi aspetti antichi e moderni della dittologia. Smith, Lawrence Dwight, Cryptography (New York: Dover, 1943). Un’ottima introduzione elementare alla crittografia, con più di 150 problemi. La Dover pubblica molti libri sul tema dei codici e delle cifrature. Beutelspacher, Albrecht, Cryptology (Washington, D.C.: Mathematical Association of America, 1994). Un’eccellente panoramica sull’argomento, dalla cifratura di Cesare alla crittografia a chiave pubblica, con una maggiore attenzione per gli aspetti matematici che non per quelli storici. È anche il libro sulla crittografia con il miglior sottotitolo, che nell’edizione americana recita: Un’introduzione all’arte e alla scienza di cifrare, crittare, occultare, nascondere e salvaguardare, descritte senza alcun imbroglio arcano ma non senza piacevoli amenità per il diletto e l’istruzione di un pubblico non specializzato.
Capitolo 1 Gaines, Helen Fouché, Cryptanalysis (New York: Dover, 1956). Uno studio delle cifrature e delle loro soluzioni. Un’ottima introduzione alla crittoanalisi, con molte e utili tabelle delle frequenze in appendice. Al-Kadi, Ibraham A., “The origins of cryptology: The Arab contributions,” Cryptologia, vol. 16, no. 2 (April 1992), pp. 97–126. Uno studio su manoscritti arabi scoperti recentemente e sull’opera di Al-Kindi. Fraser, Lady Antonia, Maria Stuarda (Milano: Mondadori, 1996). Un resoconto leggibilissimo e interessante della vita di Maria Stuarda, regina di Scozia. Smith, Alan Gordon, The Babington Plot (London: Macmillan, 1936). Diviso in due parti, questo libro esamina la congiura dal punto di vista di Babington e da quello di Walsingham. Steuart, A. Francis (ed.), Trial of Mary Queen of Scots (London: William Hodge, 1951). Il volume fa parte della collana Notable British Trials. Capitolo 2 Standage, Tom, The Victorian Internet (London: Weidenfeld & Nicolson, 1998). La straordinaria storia della nascita e della diffusione del telegrafo elettrico. Franksen, Ole Immanuel, Mr Babbage’s Secret (London: Prentice-Hall, 1985). Contiene una esposizione del contributo di Babbage alla violazione della cifratura di Vigenère. Franksen, Ole Immanuel, “Babbage and cryptography. Or, the mystery of Admiral Beaufort’s cipher,” Mathematics and Computer Simulation, vol. 35, 1993, pp. 327–67. Un articolo dettagliato sull’opera crittologica di Babbage, e dei suoi rapporti con il contrammiraglio Sir Francis Beaufort. Rosenheim, Shawn, The Cryptographic Imagination (Baltimore, MD: Johns Hopkins University Press, 1997). Una valutazione approfondita degli scritti crittografici di Edgar Allan Poe e della loro influenza sulla letteratura e sulla crittografia. Poe, Edgar Allan, Racconti (Milano: Rizzoli ed. BUR, 1980). Comprende «Lo scarabeo d’oro».
Viemeister, Peter, The Beale Treasure: History of a Mystery (Bedford, VA: Hamilton’s, 1997). Un resoconto approfondito delle pagine cifrate di Beale, scritto da uno stimato storico locale. Comprende il testo completo di Beale. Il modo più facile per procurarsi il volume è richiederlo direttamente all’editore: Hamilton’s, P.O. Box 932, Bedford, Va, 24523, USA. Capitolo 3 Tuchman, Barbara W., The Zimmermann Telegram (New York: Ballantine, 1994). La storia raccontata con grande efficacia della decifrazione più importante nella prima guerra mondiale. Yardley, Herbert O., The American Black Chamber (Laguna Hills, CA: Aegean Park Press, 1931). Una brillante storia della crittografia che, quando fu pubblicata, divenne un discusso best-seller. Capitolo 4 Hinsley, F.H., British Intelligence in the Second World War: Its Influence on Strategy and Operations (London: HMSO, 1975). Un autorevole resoconto storico del controspionaggio nella seconda guerra mondiale, con una parte dedicata al ruolo della struttura d’intelligence Ultra. Hodges, Andrew, Alan Turing: The Enigma (London: Vintage, 1992). La vita e l’opera di Alan Turing. Una delle migliori biografie scientifiche mai scritte. Kahn, David, Seizing the Enigma (London: Arrow, 1996). La storia scritta da Kahn della Battaglia dell’Atlantico e dell’importanza della crittografia. In particolare, Kahn offre una descrizione avvincente del modo in cui i pinches rubati agli U-boot contribuirono al successo dei decrittatori di Bletchley Park. Hinsley, F.H., and Stripp, Alan (eds), The Codebreakers: The Inside Story of Bletchley Park (Oxford: Oxford University Press, 1992). Il libro basato sulla serie televisiva inglese omonima trasmessa da Channel Four, con aneddoti narrati da coloro che hanno lavorato a Bletchley Park.
Smith, Michael, Station X (London: Channel 4 Books, 1999). The book based on the British Channel 4 TV series of the same name, containing anecdotes from those who worked at Bletchley Park, otherwise known as Station X. Harris, Robert, Enigma (Milano: Mondadori, 1996). Un romanzo incentrato sul lavoro dei decrittatori a Bletchley Park. Capitolo 5 Paul, Doris A., The Navajo Code Talkers (Pittsburgh, PA: Dorrance, 1973). Un libro volto ad assicurare che il contributo dei «parla-codice» navajo non sia dimenticato. McClain, S., The Navajo Weapon (Boulder, CO: Books Beyond Borders, 1994). Un resoconto avvincente, scritto da una donna che ha passato molto tempo a parlare con gli uomini che svilupparono e usarono il codice navajo. Pope, Maurice, The Story of Decipherment (London: Thames & Hudson, 1975). Rivolto al lettore comune, è la descrizione di varie decifrazioni, dai geroglifici ittiti all’alfabeto ugaritico. Davies, W.V., Reading the Past: Egyptian Hieroglyphs (London: British Museum Press, 1997). Il volume fa parte di una bellissima collana di testi introduttivi sulla decifrazione delle scritture antiche pubblicata dal British Museum. Altri autori della collana hanno scritto libri sul cuneiforme, l’etrusco, le iscrizioni greche, il lineare B, i glifi maya e le rune. Chadwick, John, The Decipherment of Linear B (Cambridge: Cambridge University Press, 1987). Una magnifica descrizione della decifrazione del lineare B. Capitolo 6 Data Encryption Standard, FIPS Pub. 46–1 (Washington, D.C.: National Bureau of Standards, 1987). Il documento ufficiale DES. Diffie, Whitfield, and Hellman, Martin, “New directions in cryptography,” IEEE Transactions on Information Theory, vol. IT-22 (November 1976), pp. 644– 54.
L’articolo che rivelò la scoperta dello scambio di chiavi da parte di Diffie e Hellman, e aprì la porta alla crittografia a chiave pubblica. Gardner, Martin, «Un nuovo tipo di cifrario che richiederebbe milioni di anni per essere decifrato», Le Scienze, n. 112 (Dicembre 1977). L’articolo che fece conoscere al mondo la RSA. Hellman, M.E., «La crittografia a chiave pubblica», Le Scienze, n. 136 (Dicembre 1979). Un’eccellente rassegna delle varie forme di crittografia a chiave pubblica. Schneier, Bruce, Applied Cryptography (New York: John Wiley & Sons, 1996) Un’eccellente indagine sulla crittografia moderna. Un’introduzione definitiva, completa e autorevole del soggetto. Diffie, Whitfield, «The first ten years of public-key cryptography», Proceedings of the IEEE, vol. 76, n. 5 (Maggio 1988), pp. 560-77. Un’altra eccellente rassegna della crittografia a chiave pubblica. Capitolo 7 Zimmermann, Philip R., The Official PGP User’s Guide (Cambridge, MA: MIT Press, 1996). Una visione d’insieme sulla PGP, scritta in tono discorsivo dalla persona che l’ha sviluppata. Garfinkel, Simson, PGP: Pretty Good Privacy (Sebastopol, CA: O’Reilly & Associates, 1995). Un’ottima introduzione alla PGP e alle questioni che riguardano la moderna crittografìa. Bamford, James, The Puzzle Palace (London: Penguin, 1983). All’interno della National Security Agency, la più segreta agenzia d’intelligence d’America. Koops, Bert-Jaap, The Crypto Controversy (Boston, MA: Kluwer, 1998). Uno studio eccellente ed esaustivo dell’impatto della crittografia sulla privacy, le libertà civili, l’applicazione delle leggi e il commercio. Diffie, Whitfield, and Landau, Susan, Privacy on the Line (Cambridge, MA: MIT Press, 1998). La politica delle intercettazioni e della cifratura delle comunicazioni via cavo. Capitolo 8
Deutsch, David, La trama della realtà (Torino: Einaudi, 1997). Nel suo tentativo di unire la fisica dei quanti alle teorie, Deutsch dedica un capitolo ai computer quantistici, alla computazione e all’evoluzione. Bennett, C. H., Brassard, C., and Ekert, A., «Crittografia quantistica», Le Scienze, n. 292 (Dicembre 1992). Una spiegazione chiara dello sviluppo della crittografia quantistica. Deutsch, D., and Ekert, A., “Quantum computation,” Physics World, vol. 11, no. 3 (March 1998), pp. 33–56. Uno dei quattro articoli che compongono un numero speciale di Physics World. Gli altri tre articoli riguardano l’informazione quantistica e la crittografia quantistica, e sono scritti dai massimi esperti in materia. Gli articoli sono destinati a laureati in fisica e offrono un’ottima visione d’insieme sullo stato attuale delle ricerche. Siti Internet Il mistero del tesoro di Beale http://www.roanokeva.com/stories/beale.html Una raccolta di siti correlati ai testi in cifra di Beale. Il Beale Cipher and Treasure Association al momento si sta aggiornando, ma dovrebbe tornare di nuovo attivo entro il 2000. Bletchley Park http://www.cranfield.ac.uk/ccc/bpark/ E il sito ufficiale di Bletchley Park; comprende gli orari d’apertura e le informazioni per i visitatori. La Homepage di Alan Turing http://www.turing.org.uk/turing/ Simulatori di Enigma http://www.attlabs.att.co.uk/andyc/enigma/enigma_j.html http://www.izzy.net/~ian/enigma/applet/index.html Due ottimi simulatori che mostrano come funziona la macchina Enigma. Il primo permette di modificare la configurazione della macchina, ma non di seguire il percorso dei circuiti elettrici fra gli scambiatori. Il secondo ha solamente una configurazione, ma in un’altra finestra è possibile vedere gli scambiatori che si spostano e l’effetto che questo ha sul percorso dei circuiti elettrici. Phil Zimmermann e la PGP http://www.nai.com/products/security/phil/phil.asp
Electronic Frontier Foundation http://www.eff.org/ Un’organizzazione che si dedica a proteggere i diritti e a promuovere la libertà su Internet. Centre for Quantum Computation http://www.qubit.org/ Information Security Group, Royal Holloway College http://isg.rhbnc.ac.uk/ National Cryptologic Museum http://www.nsa.gov:8080/museum/ American Cryptogram Association (ACA) http://www.und.nodak.edu/org/crypto/crypto/ Un’associazione specializzata nella ideazione e risoluzione di enigmi crittografici. Cryptologia http://www.dean.usma.edu/math/resource/pubs/cryptolo/index.htm Una rivista trimestrale dedicata a tutti gli aspetti della crittologia. Frequently Asked Questions in crittografia http://www.cis.ohio-state.edu/hypertext/faq/usenet/cryptography-faq/top.html RSA Laboratories’ Frequently Asked Questions About Today’s Cryptography http://www.rsa.com/rsalabs/faq/html/questions.html Yahoo! Security and Encryption Page http://www.yahoo.co.uk/Computers_and_Internet/ Security_and_Encryption/ Links a siti di crittologia http://www.ftech.net/~monark/crypto/web.htm
Fonti delle illustrazioni
Illustrazioni di Miles Smith-Morris. Geroglifici riprodotti per gentile concessione della British Museum Press. Caratteri del lineare B riprodotti per gentile concessione della Cambridge University Press. Fig. 1 Scottish National Portrait Gallery, Edinburgh; Fig. 6 Ibrahim A. Al-Kadi e Mohammed Mrayati, King Saud University, Riyadh; Fig. 9 Public Record Office, London; Fig. 10 Cliché Bibliothèque Nationale de France, Paris, France; Fig. 22 National Archive, Washington DC; Fig. 24 Collezione di Luis Kruh, New York; Fig. 25 Collezione di Luis Kruh, New York; Fig. 31 Science and Society Picture Library, London; Fig. 32 Science and Society Picture Library, London; Fig. 33 Collezione di David Kahn, New York; Fig. 34 Collezione di David Kahn, New York; Fig. 35 Imperial War Museum, London; Fig. 36 Collezione privata di Barbara Eachus; Fig. 37 Collezione privata di Barbara Eachus; Fig. 39 Godfrey Argent Agency, London; Fig. 42 Imperial War Museum, London; Fig. 43 Telegraph Group Limited, London; Fig. 44 National Archive, Washington DC; Fig. 45 National Archive, Washington DC; Fig. 46 British Museum Press, London; Fig. 47 British Museum Press, London; Fig. 48 Louvre, Paris © Photo RMN; Fig. 50 Department of Classics, University of Cincinnati;
Fig. 52 Collezione privata di Eva Brann; Fig. 53 Fonte sconosciuta; Fig. 54 Collezione privata di Joan Chadwick; Fig. 55 Sun Microsystems; Fig. 56 Stanford, University of California; Fig. 58 RSA Data Security, Inc.; Fig. 59 Collezione privata di Brenda Ellis; Fig. 60 Collezione privata di Clifford Cocks; Fig. 61 Collezione privata di Malcolm Williamson; Fig. 62 Collezione privata di Malcolm Williamson; Fig. 63 Network Associates, Inc.; Fig. 65 Penguin Books, London; Fig. 68 Thomas J. Watson Laboratories, IBM.
View more...
Comments