La Commissione Ue ora usa Signal: è più sicura di WhatsApp?

La Commissione Ue ora usa Signal: è più sicura di WhatsApp?

Signal è un'applicazione di messaggistica istantanea che consente di effettuare chat e chiamate vocali crittografate, alternativa a WhatsApp

di pubblicata il , alle 13:01 nel canale Sicurezza
Signal
 

La Commissione Europea ha consigliato al suo staff di usare l'app di messaggistica Signal per le comunicazioni verso l'esterno. Si tratta di un'app di messaggistica con crittografia end-to-end per certi versi simile a WhatsApp e a Telegram. La decisione arriva in seguito ad alcuni problemi di sicurezza informatica che pare abbiano riguardato dei dipendenti della Commissione.

La comunicazione su Signal all'interno delle bacheche della Commissione è arrivata a inizio febbraio e la scelta sarebbe ricaduta su questa app per la natura open-source della tecnologia che ne sta alla base. Signal è stata sviluppata nel 2013 da un gruppo di sviluppatori attenti ai problemi di privacy ed è supportata da una fondazione senza scopo di lucro sostenuta dal fondatore originale di WhatsApp, Brian Acton. Lui, dopo l'acquisizione di WhatsApp da parte di Facebook, ha lasciato l'azienda per dissidi con i dirigenti di Facebook.

Signal

Sia Signal che WhatsApp sono basate sullo stesso protocollo, noto come Open Whisper Systems, con la differenza che l'app adesso nelle mani di Facebook non è open-source. L'altra popolare app di messaggistica, Telegram, sta affrontando problemi simili perché accusata di mancanza di trasparenza sul funzionamento della sua crittografia.

La Commissione Europea deve prendere provvedimenti dopo che la società di ricerca sulla sicurezza informatica Area 1 Security ha dichiarato di aver scoperto che migliaia di documenti diplomatici sono stati scaricati dal sistema COREU dell'Ue, un sistema che viene utilizzato dai governi nazionali e dalle istituzioni dell'Ue per la condivisione di informazioni sulla politica estera.

Si è scoperto nello scorso giugno che nel 2017 la delegazione dell'Ue a Mosca ha subito una violazione della sicurezza informatica, con due computer presumibilmente hackerati per entrare in possesso di informazioni di carattere diplomatico. Nella giornata di mercoledì la Commissione ha fatto sapere in via ufficiale che prenderà una serie di accortezze per evitare che casi del genere si verifichino di nuovo, a cominciare dall'app di messaggistica che useranno i suoi funzionari. In precedenza aveva annunciato che avrebbe istituito una "unità comune di sicurezza informatica" per sostenere i paesi e le organizzazioni dell'Ue in caso di attacco.

I funzionari della Commissione sono già tenuti a utilizzare e-mail crittografate per scambiare informazioni sensibili e non classificate, mentre per i documenti classificati esistono regole di sicurezza ancora più rigorose. L'uso di Signal è stato raccomandato principalmente per le comunicazioni tra il personale e le persone esterne all'istituzione. È una decisione che dimostra che la Commissione sta lavorando per migliorare le sue politiche di sicurezza informatica.

Secondo quanto riferisce Politico, inoltre, i funzionari di Bruxelles, così come quelli di Washington, hanno esercitato forti pressioni su Facebook e Apple affinché le agenzie governative possano avere accesso ai messaggi crittografati. Se fino a oggi non c'è stato un seguito tangibile a queste richieste, le istituzioni potrebbero introdurre delle leggi affinché le piattaforme di messaggistica siano più trasparenti per le agenzie governative.

I funzionari americani, britannici e australiani hanno già inoltrato delle richieste in tal senso a Mark Zuckerberg. Secondo gli esperti di sicurezza informatica, però, indebolire le tecniche di crittografia delle app di messaggistica metterebbe a rischio la riservatezza delle comunicazioni.

21 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
mattewRE22 Febbraio 2020, 15:35 #1
" L'altra popolare app di messaggistica, Telegram, sta affrontando problemi simili perché accusata di mancanza di trasparenza sul funzionamento della sua crittografia."

Dettagli? Telegram mi è sempre sembrata molto trasparente sotto questo aspetto. Anche la recente possibilità di verificare che il binario distribuito sugli store sia effettivamente corrispondente al codice su GitHub è una buona aggiunta.
Erotavlas_turbo22 Febbraio 2020, 19:37 #2
Originariamente inviato da: mattewRE
" L'altra popolare app di messaggistica, Telegram, sta affrontando problemi simili perché accusata di mancanza di trasparenza sul funzionamento della sua crittografia."

Dettagli? Telegram mi è sempre sembrata molto trasparente sotto questo aspetto. Anche la recente possibilità di verificare che il binario distribuito sugli store sia effettivamente corrispondente al codice su GitHub è una buona aggiunta.


Esatto, telegram ha sempre avuto le applicazioni client open source, il protocollo di crittografia MTproto e le API aperti. Inoltre, come hai sottolineato, dalla versione 5.13, fornisce le reproducible build sia per android sia per iOS (unica applicazione diffusa a farlo).
Il server rimane closed source, ma, secondo la roadmap della The Open Network (TON), dovrebbe diventare open source con il passaggio della gestione della TON da parte della fondazione TON Foundation (2021).

Consiglio i seguenti articoli:
[LIST]
[*] Quanto è veramente sicuro e riservato Telegram.
[*] Quali sono le caratteristiche di un servizio di comunicazione sicuro e riservato.
[*] Perché WhatsApp non è sicuro, non lo è mai stato né mai lo sarà.
[/LIST]

Signal è considerato lo stato dell'arte, penso che sia fantastico. Tuttavia ha qualche problema. Il più importante è la fiducia. Signal è centralizzato, il server è necessario per la consegna dei messaggi e il protocollo è criptato e2e, ma è Trust On First Use (TOFU). Inoltre, ha alcuni problemi corretti da un fork, session, noto come "signal decentralizzato":
[LIST=1]
[*] Signal: i server di consegna dei messaggi->session: "sciame" distribuito di server basati su blockchain loki.
[*] Signal: numero di telefono->session: username con autenticazione su blockchain loki, non TOFU.
[*] Signal: pochi metadati->session: zero metadati grazie alla rete TOR.
[*] Signal: audit del protocollo->session: audit delle applicazioni in corso.
[/LIST]

In teoria, la crittografia e2e è migliore della crittografia client-server, mentre in pratica non sempre. Quasi tutti gli algoritmi di crittografia e2e richiedono la fiducia al primo utilizzo Trust On First User (TOFU) e sono quindi suscettibili ad attacchi MITM. Infatti, se non è possibile verificare le impronte digitali delle chiavi di cifratura, bisogna fidarsi del server che distribuisce il messaggio/dati nello stesso modo della crittografia client-server. Supponiamo di avere un gruppo di N utenti, un singolo utente deve verificare le chiavi N-1 degli altri utenti. Si possono incontrare tutti gli utenti N-1 per verificare le impronte digitali delle loro chiavi di cifratura? No, o sicuramente no, se N è grande. Supponiamo di avere una chat privata formata da due utenti, puoi incontrare l'altro utente? Forse sì, ma non sempre.
Infine, nella crittografia e2e TOFU, spesso aggiungere un nuovo dispositivo al gruppo di dispositivi e sempre reinstallare l'applicazione sullo stesso dispositivo, richiede una nuova verifica.

Quindi, in pratica, se non è possibile verificare le impronte digitali delle chiavi di cifratura, la crittografia e2e TOFU non è migliore della crittografia client-server. In entrambi bisogna fidarsi del servizio.

Per quanto riguarda i dati memorizzati, la crittografia e2e è migliore della crittografia client-server. Soprattutto se la crittografia client-server non permette di cancellare i vostri dati.

Concludendo:
[LIST]
[*]crittografia e2e TOFU: whatsapp, signal, wire, matrix/riot, telegram chat segrete.
[*]crittografia e2e NO TOFU: keybase, jami, session.
[*]crittografia client-server: telegram, messenger facebook.
[/LIST]
marcram23 Febbraio 2020, 09:38 #3
Originariamente inviato da: Erotavlas_turbo
... ha alcuni problemi corretti da un fork, session, noto come "signal decentralizzato":


Grazie per averlo segnalato.
Una cosa che non ho mai sopportato di questi software, è che ti chiedano il numero di telefono, facendo sapere a tutti quelli che hanno il tuo numero che lo hai installato.
Io sono uno di quelli che vuole dare il proprio account solo a poche persone, per questo ho sempre usato Wire. Magari facessero la stessa cosa anche con Telegram...
nx-9923 Febbraio 2020, 09:46 #4
La comunicazione su Signal all'interno delle bacheche della Commissione è arrivata a inizio febbraio e la scelta sarebbe ricaduta su questa app per la natura [SIZE="6"][COLOR="Lime"]open-source[/COLOR][/SIZE] della tecnologia che ne sta alla base.

Dai un piccolo passo, spero vadano oltre.
lemming23 Febbraio 2020, 11:46 #5
E' sempre un software americano (US), quindi sotto lo stesso controllo/regole a cui è soggetto Whatsapp da parte del governo degli USA.
zappy23 Febbraio 2020, 11:47 #6
Originariamente inviato da: marcram
Grazie per averlo segnalato.
Una cosa che non ho mai sopportato di questi software, è che ti chiedano il numero di telefono, facendo sapere a tutti quelli che hanno il tuo numero che lo hai installato.
Io sono uno di quelli che vuole dare il proprio account solo a poche persone, per questo ho sempre usato Wire. Magari facessero la stessa cosa anche con Telegram...


in pratica vuoi l'email...
marcram23 Febbraio 2020, 12:09 #7
Originariamente inviato da: zappy
in pratica vuoi l'email...

In pratica...
No, dai, voglio un messenger per comunicare con chi voglio io, e non trovarmi centinaia di notifiche di ca...volate da parte di gente che non vedo da anni e di parenti che ti mandano il "buongiornissimo", senza bloccarli (che si offendono).
Quindi, account scollegati dal numero di telefono, come con Wire, Threema, Surespot, e adesso Session...
zappy23 Febbraio 2020, 12:27 #8
Originariamente inviato da: marcram
In pratica...
No, dai, voglio un messenger per comunicare con chi voglio io, e non trovarmi centinaia di notifiche di ca...volate da parte di gente che non vedo da anni e di parenti che ti mandano il "buongiornissimo", senza bloccarli (che si offendono).
Quindi, account scollegati dal numero di telefono, come con Wire, Threema, Surespot, e adesso Session...


con telegram puoi dare solo il nick e non il n°...
the_joe23 Febbraio 2020, 12:30 #9
E comunque è una comodità, conosci il numero di telefono e se ha installata l'app puoi mandare messaggi.
Se volete altro usate altro.
postillo23 Febbraio 2020, 13:43 #10
Originariamente inviato da: Erotavlas_turbo
[*] Signal: pochi metadati->session: zero metadati grazie alla rete TOR

la loro rete è simile nel funzionamento ma non è la vera Tor.
Poi Jami mi sa più di client sip e ahimè dipende da un file/backup/credenziali salvate: se se lo perdi/dimentichi le credenziali di accesso non accedi più col tuo username.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^