05. Crittografia end to end nelle chat

La crittografia end to end è una tecnica volta a garantire che le informazioni scambiate tra mittente e destinatario siano protette e coinvolgano esclusivamente i due soggetti che intendono comunicare, garantendone l'identità.

Per proteggere le informazioni si ricorre alla crittografia ma questa, da sola, non dà garanzie circa l'effettiva identità degli interlocutori.

La crittografia end to end è utilizzata da molti anni sul web ed è legata all'uso del protocollo https e dei certificati.

Negli ultimi anni si è spostata l'attenzione sulle app di messaggistica istantanea che hanno introdotto un meccanismo di protezione dei dati per migliorare la privacy degli utenti.

Tra le app di messaggistica più significative, oltre all'indiscusso leader WhatsApp, vi sono Telegram e Signal.

WhatsApp e Signal basano la cifratura sul protocollo Signal Protocol mentre Telegram su MTProto Mobile Protocol.

Le implementazioni sono piuttosto differenti ed ognuna delle app ha caratteristiche proprie.

Il principio su cui entrambi i protocolli lavorano è quello di utilizzare in combinazione cifratura a doppia chiave (cifratura asimmetrica) e cifratura a singola chiave (cifratura simmetrica).

L'uso della cifratura asimmetrica è volta principalmente a garantire l'identità dell'interlocutore: solo il legittimo proprietario della chiave pubblica (disponendo della chiave privata) potrà leggere i contenuti dei messaggi scambiati.

Tutte le app precedentemente indicate utilizzano un meccanismo di verifica dell'identità basata su QRCode: l'utente deve verificare "di persona" che la controparte disponga effettivamente della chiave che l'app utilizza.

Un ulteriore aspetto che bisogna considerare nei servizi di messaggistica, riguarda i metadati. In questo contesto, con tale termine ci si riferisce a tutte le informazioni correlate con i messaggi scambiati tra gli utenti ad esclusione del contenuto vero e proprio. Ad esempio sono metadati i nomi del mittente e del destinatario, l'orario dell'inoltro, la dimensione del messaggio ecc.

Tali dati sono anch'essi sensibili ma non rientrano tra quelli che la crittografia end to end protegge.

Essendo tali informazioni nelle disponibilità del provider che offre il servizio, sarebbe opportuno verificare nel documento della privacy quale trattamento è previsto per tali dati.

WhatsApp

Le maggiori criticità rilevate dalla prestigiosa organizzazione internazionale Electronic Frontier Foundation (EFF) (un'organizzazione internazionale rivolta alla tutela dei diritti digitali) riguardano i seguenti punti:

    • Backup non crittografati;

    • Mancata notifica delle variazioni delle chiavi degli interlocutori;

    • Accesso tramite web;

    • Condivisione dei dati con Facebook.

C'è da aggiungere che, essendo Whatsapp un'applicazione chiusa (cioè non open source), pone dubbi sull'effettivo uso dei dati.

Una osservazione sul funzionamento di Whatsapp Web: quando si inizia ad utilizzare WhatsApp Web, il telefono acquisisce un codice tramite QRCode (corrispondente alla chiave pubblica dell'applicazione web) che viene utilizzato per scambiare dati in modo sicuro tra telefono e computer.

Notare che i messaggi "originali" (quelli già presenti o nuovi messaggi) possono essere decifrati o cifrati solo dal telefono. Lo scambio di contenuti con l'applicazione web avviene con messaggi in chiaro rispetto alla cifratura originale, protetti nel "viaggio" tra telefono e computer con una nuova cifratura.

Telegram

Nelle normali chat di Telegram i messaggi viaggiano cifrati fino al server. Questo significa che chi dovesse intercettare i contenuti scambiati non può decifrarli.

Tuttavia i messaggi scambiati sono nelle disponibilità del provider e, potenzialmente, delle autorità che hanno il potere di imporre al provider la consegna dei messaggi in chiaro.

Solo le chat segrete dispongono di una cifratura end to end.

Telegram Web funziona solo con le chat standard e non richiede che il telefono sia in funzione perché lo scambio dei dati avviene direttamente con il server.

Per le chat segrete non è disponibile un supporto web.

Quando si cambia telefono, tutte le conversazioni standard sono subito disponibili, senza necessità di effettuare backup.

Le chat segrete sono irrimediabilmente perse.

Telegram mette in palio un premio di 200000 dollari a chi riesce a violare i meccanismi di sicurezza dell'app.