La fiducia è una questione molto complessa, ed è l'essenza del motivo per cui garantire la sicurezza è difficile in ogni campo, inclusi i computer e le comunicazioni via Internet. Ti fidi di Tails e delle persone che lo sviluppano? Credi che abbiamo messo in Tails delle backdoor per prendere il controllo del tuo computer, o che Tails sia concepito per generare chiavi di cifratura compromesse, in modo da permettere al governo di spiarti? Ti fidi semplicemente della nostra parola?

Non importa quale sia la tua opinione in merito, dovresti chiederti come hai raggiunto le tue conclusioni. Sia la fiducia sia la sfiducia devono essere basate sui fatti, non sull'istinto, su sospetti paranoici, su dicerie infondate, e neppure sulla nostra parola. Certo, noi affermiamo di essere persone oneste, ma le assicurazioni scritte non hanno valore. Per poter prendere una decisione informata devi considerare il quadro generale del quale Tails fa parte, i nostri legami, e magari il grado di fiducia accordatoci da altri.

Il Software Libero e l'osservazione pubblica

Il software libero, come Tails, permette a chi lo utilizza di verificare con precisione in cosa consista e come funzioni il software che viene distribuito, poiché i sorgenti devono essere resi disponibili a tutte le persone che lo ricevono. Perciò un esame accurato del codice può rivelare se sia presente codice malevolo, come ad esempio una backdoor. In più, dal codice sorgente è possibile compilare il software, e poi confrontare il risultato con qualsiasi versione sia già stata compilata e resa disponibile al pubblico, come le immagini di Tails che puoi scaricare. In questo modo si può stabilire se la versione distribuita sia stata compilata usando proprio quei sorgenti, o se invece siano state introdotte modifiche dannose.

Certo, la maggior parte della gente non ha la conoscenza, le abilità o il tempo necessario per far questo, ma grazie alla politica di scrutinio pubblico chiunque può avere un certo grado di fiducia implicita nei software liberi, almeno in quelli la cui popolarità è sufficiente a indurre altre persone che sviluppano software a dare un'occhiata al codice sorgente e a fare quanto descritto nel paragrafo precedente. Dopotutto, nella comunità del software libero è tradizione consolidata segnalare pubblicamente ogni problema serio che viene scoperto in un software.

Verificare Debian GNU/Linux

La vasta maggioranza di tutto il software collocato in Tails viene dalla distribuzione GNU/Linux Debian. Debian è probabilmente la distribuzione Linux i cui pacchetti software sono sottoposti allo scrutinio pubblico più approfondito. Debian non è solamente una delle maggiori distribuzioni Linux, ma è anche una di quelle che godono di maggior popolarità come base di partenza da cui creare distribuzioni derivate. Ubuntu Linux, per esempio, è una derivata di Debian, e lo stesso vale transitivamente per tutte le derivate di Ubuntu, come Linux Mint. Dunque innumerevoli persone usano i pacchetti software di Debian, e innumerevoli persone che sviluppano software ispezionano l'integrità di questi pacchetti. Sono stati scoperti problemi di sicurezza molto seri (come la famigerata vulnerabilità Debian SSH PRNG), ma non sono mai state trovate backdoor o altri tipi di vulnerabilità di sicurezza piazzate intenzionalmente, a quanto ne sappiamo.

Fidarsi di Tor

L'anonimato di Tails si basa su Tor, che è sviluppato da The Tor Project. Lo sviluppo di Tor è sottoposto a intenso scrutinio pubblico sia dal punto di vista accademico (ricerche su metodi di attacco e di difesa nell'ambito dell'instradamento a cipolla) sia dal punto di vista tecnico (il codice di Tor ha affrontato parecchie verifiche esterne, e molti sviluppatori indipendenti hanno esaminato i sorgenti per altre ragioni). Di nuovo, sono stati segnalati problemi di sicurezza, ma niente di malevolo come una backdoor -- potremmo sostenere che al giorno d'oggi sono solo fautori di teorie del complotto male informati a ipotizzare che in Tor ci siano backdoor inserite volutamente. Inoltre, il modello di fiducia distribuita su cui Tor è basato rende difficile per un'entità singola catturare il traffico di una persona e identificarla con certezza.

Fidarsi di Tails

Si potrebbe dire che Tails è l'unione di Debian e Tor. Ciò che facciamo, essenzialmente, è incollare tutto insieme. Perciò, se ti fidi di Debian e del Tor Project, ciò che rimane da fare per stabilire la fiducia in Tails è fidarti della nostra "colla". Come è stato detto, Tails è un software libero, quindi il suo codice sorgente è completamente aperto alle ispezioni, e consiste principalmente in una specificazione dei pacchetti software Debian da installare e di come devono essere configurati. Anche se Tails non riceve sicuramente la stessa attenzione che viene dedicata a Debian o a Tor, abbiamo comunque alcuni occhi puntati addosso, specialmente dalla comunità Tor, e anche da alcune comunità che si occupano di sicurezza generale (vedere la nostra pagina delle verifiche). Dato che il codice sorgente di Tails è relativamente esiguo e privo di complessità, siamo in posizione piuttosto buona rispetto a molti altri progetti di simile natura. A proposito, il nostro documento di specifica e progettazione (in inglese) è un buon punto di partenza per comprendere come funziona Tails.

Alla luce di tutto questo (e tenendo presente che idealmente dovresti anche cercare di verificarlo), dovresti poter decidere in modo informato se fidarti o meno del nostro software.