Passa ai contenuti principali

Chiamate vocali a prova di intercettazione con Signal


Di tanto in tanto mi capita di scorrere la lista di coloro tra  miei contatti che sono iscritti a Signal, l'applicazione voip gratuita e open source basata sulla crittografia end-to-end lanciata nel 2014 dall'organizzazione no profit Open Whisper Systems, e mi dolgo davvero di quanto pochi essi siano soprattutto se paragonati con quelli iscritti alla più popolare app di messagistica di Meta, ovvero la maggior parte di loro.

Anarchico, hacker, crittografo, maestro d'ascia, skipper, Moxie Marlinspike, il fondatore del servizio Signal, è convinto che il progresso tecnologico debba andare di pari passo con la sicurezza degli utenti. Così intorno alla sua "creatura" è nata una community di persone che mettono la privacy al primo posto. Tra questi anche Edward Snowden il whistleblower ex consulente dell'NSA, l'agenzia per la sicurezza nazionale degli Stati Uniti, che nella primavera del 2013 divulgò una serie di informazioni classificate sui piani di sorveglianza di massa organizzati dall'agenzia governativa per la quale lavorava. 

Nel mondo della tecnologia l'anarchismo non è comune, il movimento cypherpunk all'origine delle criptovalute era più connotabile come movimento libertario piuttosto che anarchico. In un'intervista rilasciata per The New Yorker nell'ottobre del 2020, Moxie, questo il suo soprannome da bambino, parla dei suoi trascorsi nei gruppi anarchici: "L'anarchia è un rifiuto dell'autorità e una tensione verso il processo decisionale collettivo, verso la responsabilità individuale, verso la creazione di un mondo che vogliamo e che siamo noi a controllare. C'è tanto da fare. Penso che sia un progetto di miglioramento del mondo e anche di miglioramento personale. [...] Il libertarismo sostiene che ognuno deve essere libero di parlare come vorrebbe, e che c'è un mercato di idee tra cui scegliere. La risposta anarchica a questa visione è che non basta parlare delle cose, e che nessuno di noi può effettivamente sapere niente a meno che non faccia esperienza di qualcosa o la sperimenti."

Il punto di forza di Signal, che viene realizzato da un'organizzazione senza scopo di lucro che viene finanziata interamente dalle donazioni, è proprio la maniera con cui viene implementata la crittografia end-to-end che assicura che ogni comunicazione, sia essa una chat o una chiamata vocale, sia leggibile soltanto dal mittente e dal destinatario, rendendo praticamente impossibile che la comunicazione possa essere intercettata da chiunque.

Infatti nel caso di Signal, la gestione delle chiavi crittografiche è riservata solo alle parti che si mettono in contatto tra loro, senza ulteriori passaggi. A ogni chiamata vengono create nuove chiavi che stanno solo sui dispositivi ai due capi della telefonata e una volta che la chiamata finisce vengono cancellate. Open Whisper Systens, non possiede le chiavi, ne consegue che anche se l'autorità giudiziaria si presentasse alle sue porte l'organizzazione non avrebbe nulla da potergli dare.

Inoltre Signal usa anche il perfect forward secrecy (PFS), un sistema di sicurezza delle comunicazioni che genera a partire da una chiave crittografica originaria una chiave diversa per ogni chiamata, così anche nel caso in cui una chiave venisse compromessa, ovvero perdesse la sua segretezza, le chiamate successive resterebbero sicure.

Anche se al neofita potrebbe sembrare poco sicuro affidarsi ad un software open source - generalmente si tende a ritenere più affidabile un prodotto per il quale siamo disposti a pagare - in realtà fidarsi delle organizzazioni no profit che forniscono software open source è una scelta ragionevole. Il codice di Signal può essere liberamente scaricato e analizzato da migliaia di occhi pronti a segnalare qualsiasi cosa che sembri sospetto e vulnerabile. Quando invece utilizzi software proprietario ti puoi fidare solo delle parole del venditore che potrebbe essere poco trasparente dando la precedenza a fattori commerciali.

Fonti:
The New Yorker, "Taking back our privacy" di Anna Wiener, 19 ottobre 2020
Kevin D. Mitnick con Robert Vamosi, "L'arte dell'invisibilità", Apogeo 2023

Commenti

Post popolari in questo blog

Cancellazione sicura: la sanificazione dei dati informatici

La sanificazione è un punto importante del ciclo di vita del dato: quando il dato giunge al termine del suo ciclo vitale ovvero quando è diventato inutile, obsoleto o ridondante è essenziale poterlo dismettere in modo sicuro facendo in modo che non sia possibile per nessuno poterlo ricostruire in alcun modo. Formattare i dischi da smaltire non basta, è come buttare nel cassonetto un libro strappando solo la pagina dell'indice, il primo che passa potrebbe recuperarlo e leggerlo. I vostri dati sono tutti al loro posto pronti per essere ripristinati. Secondo un'indagine condotta da uno dei maggiori produttori mondiali di HD sulla vendita online di supporti di memorizzazione usati è stato possibile recuperare integralmente il contenuto di questi hard disk ben 7 volte su 10. Molti dati personali vengono recuperati da supporti digitali smaltiti in modo superficiale. In cosa consiste la sanificazione dei dati? Si definisce sanificazione dei dati quel processo attraverso il qua

L'arte del camuffamento: come ingannare gli algoritmi di riconoscimento facciale

La società nella quale viviamo è purtroppo diventata anche una società del controllo e della sorveglianza. Per proteggere la nostra privacy è opportuno adottare un modello di autodifesa digitale (privacy threat model) adeguato al nostro profilo di rischio. Se sei arrivato su questa pagina e stai leggendo questo blog allora hai già fatto il primo passo: puoi far parte anche tu del nostro gruppo di #gentesicura . Per sviluppare un modello di autodifesa digitale occorre farsi alcune domande: che tipo di informazioni voglio proteggere? Da chi le voglio nascondere? Quale sarebbe l'impatto sulla mia vita se queste informazioni venissero scoperte? Oggi una delle minacce più gravi è certamente rappresentata dai sistemi di videosorveglianza e dai loro algoritmi di riconoscimento facciale. Probabilmente in qualche banca dati digitale è già presente una vostra foto collegata al vostro nome e cognome. Anche se non è detto che questo database sia pubblico, è sempre buona norma fare una ricerca