Chiamate vocali a prova di intercettazione con Signal

Di tanto in tanto mi capita di scorrere la lista di coloro tra  miei contatti che sono iscritti a Signal, l'applicazione voip gratuita e open source basata sulla crittografia end-to-end lanciata nel 2014 dall'organizzazione no profit Open Whisper Systems, e mi dolgo davvero di quanto pochi essi siano soprattutto se paragonati con quelli iscritti alla più popolare app di messagistica di Meta, ovvero la maggior parte di loro.

Anarchico, hacker, crittografo, maestro d'ascia, skipper, Moxie Marlinspike, il fondatore del servizio Signal, è convinto che il progresso tecnologico debba andare di pari passo con la sicurezza degli utenti. Così intorno alla sua "creatura" è nata una community di persone che mettono la privacy al primo posto. Tra questi anche Edward Snowden il whistleblower ex consulente dell'NSA, l'agenzia per la sicurezza nazionale degli Stati Uniti, che nella primavera del 2013 divulgò una serie di informazioni classificate sui piani di sorveglianza di massa organizzati dall'agenzia governativa per la quale lavorava. 

Nel mondo della tecnologia l'anarchismo non è comune, il movimento cypherpunk all'origine delle criptovalute era più connotabile come movimento libertario piuttosto che anarchico. In un'intervista rilasciata per The New Yorker nell'ottobre del 2020, Moxie, questo il suo soprannome da bambino, parla dei suoi trascorsi nei gruppi anarchici: "L'anarchia è un rifiuto dell'autorità e una tensione verso il processo decisionale collettivo, verso la responsabilità individuale, verso la creazione di un mondo che vogliamo e che siamo noi a controllare. C'è tanto da fare. Penso che sia un progetto di miglioramento del mondo e anche di miglioramento personale. [...] Il libertarismo sostiene che ognuno deve essere libero di parlare come vorrebbe, e che c'è un mercato di idee tra cui scegliere. La risposta anarchica a questa visione è che non basta parlare delle cose, e che nessuno di noi può effettivamente sapere niente a meno che non faccia esperienza di qualcosa o la sperimenti."

Il punto di forza di Signal, che viene realizzato da un'organizzazione senza scopo di lucro che viene finanziata interamente dalle donazioni, è proprio la maniera con cui viene implementata la crittografia end-to-end che assicura che ogni comunicazione, sia essa una chat o una chiamata vocale, sia leggibile soltanto dal mittente e dal destinatario, rendendo praticamente impossibile che la comunicazione possa essere intercettata da chiunque.

Infatti nel caso di Signal, la gestione delle chiavi crittografiche è riservata solo alle parti che si mettono in contatto tra loro, senza ulteriori passaggi. A ogni chiamata vengono create nuove chiavi che stanno solo sui dispositivi ai due capi della telefonata e una volta che la chiamata finisce vengono cancellate. Open Whisper Systens, non possiede le chiavi, ne consegue che anche se l'autorità giudiziaria si presentasse alle sue porte l'organizzazione non avrebbe nulla da potergli dare.

Inoltre Signal usa anche il perfect forward secrecy (PFS), un sistema di sicurezza delle comunicazioni che genera a partire da una chiave crittografica originaria una chiave diversa per ogni chiamata, così anche nel caso in cui una chiave venisse compromessa, ovvero perdesse la sua segretezza, le chiamate successive resterebbero sicure.

Anche se al neofita potrebbe sembrare poco sicuro affidarsi ad un software open source - generalmente si tende a ritenere più affidabile un prodotto per il quale siamo disposti a pagare - in realtà fidarsi delle organizzazioni no profit che forniscono software open source è una scelta ragionevole. Il codice di Signal può essere liberamente scaricato e analizzato da migliaia di occhi pronti a segnalare qualsiasi cosa che sembri sospetto e vulnerabile. Quando invece utilizzi software proprietario ti puoi fidare solo delle parole del venditore che potrebbe essere poco trasparente dando la precedenza a fattori commerciali.

Fonti:

The New Yorker, "Taking back our privacy" di Anna Wiener, 19 ottobre 2020

Kevin D. Mitnick con Robert Vamosi, "L'arte dell'invisibilità", Apogeo 2023