Crittografia, croce e delizia dei paladini della libertà, dicevamo l’ultima volta, parlando della particolare crittografia di Telegram e dei tentativi, spesso portati avanti dalle autorità, di limitarne l’uso per poter accedere in caso di necessità a dati e informazioni personali.
Come già anticipato, però, si è capito che non sempre le cose stanno come ci sono presentate dalle singole App e che la crittografia in uso a esse non è sempre la medesima, comportando così differenziazioni sul piano della sicurezza dell’App.
Se l’ultima volta abbiamo visto le principali caratteristiche di Telegram, vale ora la pena affrontare un’App spesso ritenuta «competitor» di Telegram: Signal, la «beniamina di Snowden».
Signal, benedetta da Snowden
Creata da Moxie Marlinspike (l’ex capo della sicurezza di Twitter) con la sua non-profit Open Whisper Systems, e «benedetta» da Edward J. Snowden, è spesso citata da molti come la vera paladina della privacy anche oltre Telegram. A dicembre 2016 il New York Times le dedica un’ampia pagina: «Preoccupato per la privacy dei tuoi messaggi? Scarica Signal». Per capirla, immagina un Telegram con solo le Secret Chats. Si tratta, infatti, di un servizio di messaggistica crittografato end-to-end, gratuito, che ha conquistato il plauso di numerosi ricercatori di sicurezza e difensori della privacy. Tutti hanno detto che Signal va ben oltre gli altri strumenti di chat nel mantenere private le comunicazioni elettroniche. Il servizio di chat non conserva in sostanza alcuna informazione da parte degli utenti, inclusi messaggi e rubriche, sui suoi server. Inoltre, i messaggi rimangono crittografati quando passano attraverso i server di Signal, il che significa che i creatori dell’App non possono leggerli.
Come ormai sappiamo, crittografia end-to-end significa che un messaggio è codificato in modo che diventi indecifrabile per chiunque tranne il suo destinatario previsto quando è inviato dal dispositivo e rimane tale quando passa attraverso il server dell’App e raggiunge il destinatario. Quando si avvia una conversazione con qualcuno su Signal, mittente e destinatario scambiano le cosiddette chiavi crittografiche. Solo la persona che riceve il messaggio detiene la chiave per decrittarlo e leggerlo. Ciò significa che, se un’agenzia governativa avesse un ordine d’intercettazione per i messaggi Signal, Open Whisper Systems non avrebbe la chiave per decifrare i messaggi e non sarebbe in grado di conformarsi.
Bella differenza rispetto a tante altre App. WhatsApp, infatti, può conservare alcuni cosiddetti metadati sulle conversazioni, inclusi i numeri di telefono utilizzati in uno scambio e le volte in cui i messaggi sono stati inviati, secondo l’ informativa sulla privacy della società. WhatsApp inoltre accede regolarmente al numero di telefono e all’elenco dei contatti, in modo che l’app possa fornire un elenco aggiornato dei contatti che utilizzano il suo servizio per facilitare il loro invio. Google Allo, la nuova app di messaggistica di Google che sfrutta l’intelligenza artificiale, non abilita la crittografia end-to-end di Signal in tutti i suoi messaggi per impostazione predefinita. Google offre messaggi crittografati completi solo nelle cosiddette sessioni di navigazione in incognito, una modalità privata che deve essere attivata manualmente. Quando non stai chattando in incognito, Google memorizza i tuoi messaggi Allo sul suo server. Analogamente, Messenger di Facebook consente la crittografia end-to-end all’interno di una modalità di chat privata denominata Secret Conversations. Per impostazione predefinita, però, le normali chat di Messenger non hanno questa crittografia.
Anche se Signal non registra le informazioni degli utenti, l’App funziona ancora su tutti i dispositivi, come un computer desktop e un dispositivo mobile. I dati di messaggi e contatti sono memorizzati direttamente sui dispositivi degli utenti e sincronizzati tra loro.
I problemi
Se tutto è così bello ed efficace, produttivo, perché non ne abbiamo parlato prima? Più utile Signal o Telegram?
Alla seconda domanda, tanto generica, non è possibile dare risposta. La sua utilità dipende dalle esigenze di ognuno. Viceversa, quanto alla prima, non è esatto dire che tutto sia «bello e produttivo». Signal è un’ottima App, ma tra bug vari e caratteristiche dovute, appunto, alla tipologia end-to-end della crittografia su cui sola poggia, la scelta appare poco pacifica.
In sostanza, valgono qui i limiti messi in luce per converso nella precedente analisi di Telegram (ove invece, grazie alla doppia crittografia, il problema non si poneva):
- Meno disponibilità e, dunque, velocità di reperimento contenuti per l’utente;
- Un possibile campanello d’allarme per i governi, che possono pensare si abbia chissà che da nascondere.
Si va dunque a sacrificare velocità, efficienza, produttività – tanto importanti, piaccia o no, nella vita quotidiana di ciascuno di noi e nel nostro lavoro – in nome di una presunta «privacy assoluta» che verrebbe da definire cieca, più che rassicurante. Lo stesso New York Times parla di «anomalie, ad esempio quando si tratta di sincronizzare i dati tra computer e smartphone. Nei miei test», continua il reporter, «ci sono state diverse occasioni in cui i messaggi inviati o ricevuti sul mio smartphone non si sono mostrati immediatamente all’interno dell’App desktop, sincronizzandosi solo alcuni minuti dopo». Il problema di maggior spessore è però il primo. Perciò, verosimilmente, l’articolo preferisce chiuder con una battuta: «Signal non è così divertente da usare come Messenger, che ti consente di inviare adesivi e GIF animate. Open Whisper Systems ha detto che prevede di aggiungere queste funzionalità, notando che le GIF sono già supportate nella versione Android di Signal. Eppure, questo è un problema banale. Preferirei una maggiore privacy sull’invio di adesivi e animazioni ogni giorno». Anche noi.