Come funziona Signal, la app di messaggistica più sicura di tutte

Se pensi di non averne bisogno, probabilmente ne hai bisogno.

|
giu 8 2018, 12:41pm

Immagine: Motherboard

Abbiamo fatto una cosa, si chiama La Guida di Motherboard Per Non Farsi Hackerare — È una guida intera per imparare le basi della sicurezza informatica. Verrà pubblicata interamente online la prossima settimana, e martedì prossimo a Milano presentiamo la versione cartacea. Vieni!

Signal è un servizio di messaggistica criptato per smartphone e computer desktop. È per molti — ma non per tutti — un buon modo di evitare la sorveglianza. Visto che il governo ha la possibilità di intercettare i messaggi elettronici mentre vengono trasmessi, il vostro obiettivo è quello di utilizzare un sistema di crittografia end-to-end per più comunicazioni possibili.

Utilizzare Signal è semplice. Potete trovarlo e installarlo dallo store del vostro telefono (sull’App Store di iOS e sul Play Store di Google si chiama Signal Private Messenger ed è sviluppato da Open Whisper Systems).

Se avete il numero di telefono dell’altra persona nella vostra lista dei contatti potrete vederli su Signal e inviare loro messaggi o chiamarli. Se anche l’altra persona ha Signal i messaggi verranno automaticamente criptati e tutto risul-terà invisibile.

Esiste anche un’applicazione desktop, quindi potete utilizzarlo allo stesso modo in cui gli utenti iOS/Mac OS utilizzano iMessage sul loro telefono o sul loro computer. Andate sul sito Signal.org e scaricate l’app per il sistema operativo che preferite. Basta seguire le istru- zioni, è molto semplice e intuitivo.

La crittografia non impedisce al governo di curiosare, lo rende solo più difficile. Il punto è che introdurre incognite nell’equazione aiuta ad aumentare il livello di privacy.

Signal vi permette di impostare un timer per i messaggi in modo che si cancellino tutti automaticamente. L’intervallo di tempo può variare ed essere anche molto breve. Questa è una funzione molto utile per i giornalisti che vogliono proteggere le loro fonti o le loro conversazioni con gli altri redattori. Queste sono tutte ottime funzionalità, e sono alcune delle ragioni per cui consigliamo Signal tra le tante altre app di messaggistica end-to-end. Anche iMessage e WhatsApp lo sono, ma hanno entrambe lati negativi.

Sconsigliamo WhatsApp perché è di proprietà di Facebook e condivide le informazioni dell’utente con l’azienda madre. Anche se si tratta solo di metadati, è in definitiva una pro- messa che Facebook aveva fatto quando ha acquistato WhatsApp ma che non ha mantenuto. Pensiamo che questo la dica lunga sull’attendibilità dell’azienda al giorno d’oggi. Al mo- mento Facebook sta discutendo e provvedendo a limitare o cessare del tutto la condivisione di dati tra le due piattaforme.

Che Apple codifichi i messaggi end-to-end è una cosa molto positiva. Ma iMessage, di default, effettua un backup dei messaggi su iCloud, grazie al quale potete inviarli tra- mite tutti i vostri dispositivi Apple. Questa è una funzione comoda e piacevole ma, se siete preoccupati dalla sorveglianza governativa, ricordate che Apple adempie alle richieste legali del governo sui dati presenti nel vostro iCloud: “Per tua comodità facciamo un backup su iCloud dei tuoi iMessage e SMS”, recita la pagina riguardante la privacy sul sito di Apple. Puoi disattivare questa funzione, ma in teoria Apple potrebbe essere costretta ad accedere agli iMessage che avete mandato alle persone che hanno ancora questa funzione abilitata.

Signal trattiene davvero poche informazioni. Lo sappiamo perché Open Whisper Systems è stato citato in giudizio dal governo lo scorso anno ed è stato costretto a cedere informazioni. Le informazioni che avevano erano, però, volutamente minime. Signal memorizza il nu- mero di telefono, la data di creazione dell’account e l’ora dell’ultima connessione ai server di Signal. Sì, è comunque qualcosa, ma non poi molto.

Ci sono applicazioni che sono meno sicure anche di iMessage e WhatsApp. Ad esempio, dovreste assolutamente evitare di utilizzare Telegram per comunicazioni sensibili. E Google può leggere i vostri Hangout a meno che non prendiate ulteriori provvedimenti per attivare una codi ca end-to-end. Ci sono molti altri prodotti sul mercato che costituiscono una valida alternativa (Wire, ad esempio) ma, come WhatsApp e iMessage, sono creati e sovvenzionati da aziende a scopo di lucro e non si può mai sapere come decideranno di monetizzare in futuro. Signal è un progetto no-profit e open source. Ha i suoi difetti (ad esempio non è pratico quanto iMessage e non ha il lusso di avere un vasto team di sicurezza alle spalle) quindi si potrebbe pensare di donare qualcosa una volta che si decide di scaricarlo.

Una cosa che vale la pena menzionare è che Signal richiede di associare il dispositivo a un numero di telefono. Questo significa che dovete darvi a lasciare il vostro numero di telefonino alle persone con cui messaggiate (oppure dovrete fare i salti mortali per usare Signal con un numero di telefono fasullo); ci sono molte ragioni per le quali potreste voler scrive- re a persone senza dar loro il vostro numero e questo è uno dei potenziali svantaggi di Signal. Se per voi questo è un problema, prendete in considerazione un’altra opzione.

Un’altra cosa da tenere a mente è che anche se una comunicazione è codi cata end-to-end non signi ca che il governo non possa vederla. Signi ca solamente che i suoi contenuti sono criptati nel percorso da un’estremità all’altra. Voi potete vedere il messaggio, il vostro de- stinatario può vedere il messaggio. Se viene intercettato durante il trasferimento è comple- tamente alterato e il suo contenuto è protetto dagli occhi di una spia.

Ma se una “estremità” è compromessa — in altre parole se il vostro telefono viene hackerato o fisicamente confiscato dal governo, o se la persona a cui scrivete fa uno screenshot della vostra conversazione — il gioco è finito.

La crittografia non impedisce al governo di curiosare, lo rende solo più difficile. Il punto è che introdurre incognite nell’equazione aiuta ad aumentare il livello di privacy.