Una riflessione sulla sicurezza SSH e il teatro della protezione — 22 dicembre 2025
Immagina di avere una porta blindata con una serratura unica al mondo. La chiave che apre quella serratura esiste in una sola copia, custodita nella tua tasca. Nessuno può copiarla, nessuno può indovinarla, nessuno può forzarla. Matematicamente impossibile.
Ora immagina che qualcuno ti dica: "Bella la serratura, ma per sicurezza mettiamo anche un guardiano che controlla il colore della tua macchina. Se non arrivi con la macchina giusta, non entri."
Questa è, in essenza, la differenza tra l'autenticazione a chiave pubblica e il filtraggio per indirizzo IP.
Il sistema SSH a chiave pubblica si basa su un principio matematico elegante: esistono due chiavi, una pubblica e una privata, legate da una relazione matematica asimmetrica. Ciò che viene cifrato con una può essere decifrato solo con l'altra.
La chiave privata non lascia mai il tuo computer. La chiave pubblica viene messa sul server. Quando ti colleghi, il server ti manda una sfida matematica che solo chi possiede la chiave privata può risolvere. Non c'è nulla da indovinare, nulla da intercettare, nulla da rubare in transito.
È lo stesso sistema che protegge le transazioni bancarie, i certificati digitali, le comunicazioni militari. Ad oggi, con chiavi di lunghezza adeguata, non esiste al mondo un computer in grado di violare questo sistema in tempi utili. Parliamo di miliardi di anni con tutta la potenza di calcolo esistente.
Bruce Schneier, uno dei massimi esperti di sicurezza informatica, ha coniato il termine "security theater" — teatro della sicurezza. Sono quelle misure che danno l'impressione di proteggere senza aggiungere protezione reale. Il controllo delle scarpe agli aeroporti. I tornelli che si scavalcano. Le password che scadono ogni mese e finiscono su post-it.
Il filtraggio per IP, aggiunto sopra un'autenticazione a chiave pubblica, rischia di essere esattamente questo. Non perché sia inutile in assoluto, ma perché il suo beneficio marginale è minimo rispetto al costo operativo che introduce.
Se la tua porta è già impenetrabile, controllare il colore della macchina non la rende più sicura. La rende solo più scomoda.
Il problema del filtraggio IP non è tecnico — è umano. Gli indirizzi IP cambiano. Cambiano quando sei in hotel. Cambiano quando lavori da un cliente. Cambiano quando il tuo provider decide di riassegnarli. Cambiano quando usi il telefono come hotspot perché il wifi dell'ufficio è andato.
E le emergenze non aspettano. I server che si bloccano non consultano il calendario prima di farlo. I bug critici in produzione non verificano se sei a casa con il tuo IP statico o in treno verso Milano.
Ogni volta che ti trovi bloccato fuori dal tuo stesso server, con un problema urgente da risolvere e nessuno disponibile per aggiornare la whitelist, stai pagando il costo reale di quella sicurezza aggiuntiva. E quel costo si paga sempre nei momenti peggiori.
Il filtraggio IP non è stupido. Ha senso in contesti specifici: quando la compliance normativa lo richiede esplicitamente, quando si proteggono dati particolarmente sensibili, quando esiste un'infrastruttura di rete con IP statici garantiti o una VPN aziendale sempre attiva.
Ma applicarlo come misura generica, sopra un sistema già robusto, senza considerare l'impatto operativo, è un esempio di come la sicurezza possa diventare nemica di sé stessa. Perché la sicurezza perfetta che ti blocca fuori nel momento del bisogno non è sicurezza — è sabotaggio.
La vera sicurezza è sempre un compromesso. Non tra sicuro e insicuro, ma tra livelli di protezione e costi di gestione. Ogni layer aggiunto ha un prezzo: in complessità, in tempo, in flessibilità persa.
La domanda giusta non è "questo ci rende più sicuri?" ma "questo ci rende abbastanza più sicuri da giustificare il costo?". E quando la risposta è "marginalmente sì, ma a un costo operativo significativo", forse vale la pena ripensare l'approccio.
La serratura perfetta non serve a nulla se perdi la chiave ogni volta che piove.
Le chiavi pubbliche sono la serratura. L'IP filtering è il guardiano che controlla il colore della macchina. A volte serve. Spesso, è solo teatro.
— Fine —