Dopo le ultime rivelazioni di Edward Snowden sulle intercettazioni effettuate dalla NSA, Microsoft ha deciso di utilizzare la crittografia a 2.048 bit per proteggere lo scambio dei dati tra i data center che ospitano i suoi servizi cloud. L’azienda di Redmond ha costituito un team di ingegneri per trovare la soluzione migliore da adottare. Alla guida del gruppo c’è Mark Russinovich, uno dei progettisti di Windows Azure, che ha fornito alcuni interessanti dettagli sulla questione.
Microsoft, come Google, Facebook e altri grandi aziende che operano su Internet, hanno realizzato data center in varie parti del globo. Le comunicazioni tra i data center avviene tramite linee in fibra ottica ad altissima velocità, alcune di loro proprietà, altre noleggiate dagli operatori telefonici. È evidente quindi l’esistenza di diversi punti deboli lungo la catena, per cui Microsoft dovrà esaminare tutte le possibili soluzioni che possano bloccare le intercettazioni da parte della NSA. La crittografia è solo il primo passo verso l’offerta di servizi che garantiscono la privacy degli utenti.
Russinovich e i suoi colleghi hanno considerato l’utilizzo di enormi router di rete posizionati ai confini dei data center. Tutte le informazioni dovrebbero essere criptate prima della trasmissione verso altri data center. Questa soluzione è stata però scartata, in quanto troppo costosa e, sopratutto, troppo vulnerabile. I dati infatti verrebbero criptati con una sola chiave. Il problema verrà invece gestito in modo “distribuito“. Le informazioni saranno criptate ogni volta che lasceranno un singolo server all’interno del data center. In questo modo, si avranno più chiavi crittografiche, per la cui generazione verrà sfruttata la potenza di elaborazione non utilizzata in quel momento.
Per implementare correttamente questo sistema occorre sviluppare un software custom da installare su ogni singola macchina. Bisognerà inoltre valutare l’impatto sulle prestazioni. La crittografia a 2.048 bit e la Perfect Forward Secrecy verranno attivate non prima di fine 2014 per Office 365, Outlook.com e SkyDrive. Windows Azure offre già una protezione maggiore rispetto agli altri servizi, ma sarà migliorata, dato che attualmente viene usato un algoritmo crittografico più debole.