Aggiornato il: 27-06-2022 01:00
L’approfondimento che propongo oggi sul blog riguarda una delle tecnologie di cui, almeno in previsione, le app di comunicazione potrebbero (e dovrebbero) far uso, al fine di mantenere un elevato livello di riservatezza dei dati. Sono note, infatti, le numerose problematiche di sicurezza legate ai cosiddetti man in the middle, ed a tutte quelle circostanze in cui diventa agevole, per uno sconosciuto, mettersi in comunicazione sulla nostra chat o videochiamata ed intercettarne i contenuti senza che ce ne accorgiamo.
La crittografia E2EE (End-to-end encryption in inglese) permette proprio di effettuare una comunicazione tra due parti (dette tecnicamente endpoint) sfruttando una terza parte untrusted (cioè non “fiduciata” o affidabile) avendo la certezza che le informazioni scambiate non saranno registrate, salvate o lette da terzi. Il tutto avviene crittografando i contenuti ed evitando cosଠche un super-amministratore di sistema particolarmente “impiccione” possa avere accesso a dati che non lo riguardano.
La stragrande maggioranza delle comunicazioni via internet non sfruttano questo meccanismo, e questo non vale solo per le chat e le email, ma anche per i più comuni sistemi di memorizzazione cloud di file in remoto. Se da un lato questo è preoccupante per la privacy, c’è da sperare che nel prossimo futuro i vari PGP, DUKPT e OTR diventino all’ordine del giorno anche per gli utenti meno esperti, che affollano sempre più internet e che la usano, giustamente, per una miriade di scopi legati ad esigenze diverse di comunicazione. Anche se le informazioni in merito sono spesso contraddittorie, inutilmente allarmistiche e spesso tecnicamente difficili da dimostrare, sussiste da tempo il sospetto che alcuni sistemi di comunicazione contengano delle backdoor (cioè delle “porte di ingresso” secondarie) sfruttabili all’occorrenza al fine di intercettarne le comunicazioni (ad esempio usando API non documentate / non pubbliche).
Esempi di tecnologie end-to-end utilizzate per lo più (al momento in cui scriviamo) da software sperimentali o poco diffusi sono, ad esempio:
- PGP e S/MIME per le email;
- OTR, iMessage e Signal per le chat (Pidgin permette, ad esempio, di sfruttare OTR in un ambiente che nativamente non lo supporta);
- Tresorit, MEGA or SpiderOak per lo storage di file;
- ZRTP or FaceTime per la telefonia;
- TETRA per le web-radio.
I classici sistemi di comunicazione gratuiti (da Yahoo! a Google, passando per Facebook e DropBox) non usano crittografia end-to-end; questo per un mix, probabilmente, di superficialità e mancanza di risorse da allocare per la privacy degli utenti. C’è da aggiungere, inoltre, che l’implementazione di crittografia end-to-end non sembra esente da complicazioni di carattere tecnico, specie se ad es. si tratta di criptare comunicazioni di grosse dimensioni (non tanto testo, quanto audio e video). I nuovi processori permetteranno, almeno sulla carta, di superare questo genere di limitazioni.
Ingegnere per passione, consulente per necessità, docente di informatica; ho creato Trovalost.it e ho scritto quasi tutti i suoi contenuti. Ogni guida viene revisionata e aggiornata periodicamente. Per contatti clicca qui
