Facebook, arrivano le conversazioni segrete (ed effimere) per tutti gli utenti

Facebook, arrivano le conversazioni segrete (ed effimere) per tutti gli utenti

Dopo WhatsApp arriva la sicurezza della crittografia anche per Facebook Messenger. Attivabile sulle chat segrete, nessuno potrà leggere alcun messaggio se non i partecipanti. Ecco come funziona

di Redazione pubblicata il , alle 15:27 nel canale Web
Facebook
 

Mark Zuckerberg ed i suoi ingegneri portano la sicurezza anche su Facebook Messenger introducendo per le chat segrete la crittografia end-to-end come fatto già per WhatsApp. Una novità importante che permetterà a tutti gli utenti di attivare delle conversazioni tra di loro in segreto e nessuno potrà leggere i messaggi, neppure Facebook stessa.

Le chiavi private per la codifica e decodifica dei messaggi, infatti, sono generate e memorizzate dai dispositivi client degli utenti. I messaggi inviati saranno crittografati utilizzando una chiave pubblica del destinatario e proprio il destinatario potrà leggerli usando unicamente la sua chiave privata. La caratteristica unica della crittografia end-to-end è quella per cui le chiavi sono generate sui dispositivi degli utenti e in particolare la chiave privata non lascia mai questi dispositivi, garantendo la più completa sicurezza.

A differenza di WhatsApp però in Facebook Messenger la crittografia potrà essere applicata solamente a richiesta degli utenti. In poche parole i messaggi saranno crittografati usando chiavi generate e conservate in locale sugli smartphone o tablet, solo nel momento in cui l'utente avvierà una conversazione segreta.

Messenger_crittografia.jpg (85711 bytes)

Gli oltre 900 milioni di utenti di Facebook potranno quindi utilizzare da subito questa novità in seno a Messenger e potranno anche eventualmente impostare la distruzione automatica dei messaggi scambiati. Un modo per non far apparire alcun tipo di conversazione realizzata dopo aver impostato un determinato tempo di autodistruzione.

Certo la scelta o meno di utilizzare la crittografia end-to-end ha creato alcune critiche nei confronti di Facebook e dei suoi ingegneri. In molti, infatti, hanno fatto presente che la maggior parte degli utenti non utilizzerà tale sistema per il fatto che non dispone delle competenze necessarie per comprendere l'importanza della crittografia e dunque continuerà ad utilizzare le classiche chat di Messenger. Insomma una scelta non completamente accettata che speriamo possa comunque apportare maggiore sicurezza tra gli utenti che la utilizzeranno.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

15 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
songohan05 Ottobre 2016, 16:20 #1
Facebook e segretezza non vanno tanto bene insieme.
Se volete parlare in segreto, usate Signal della Open Whispers System.
postillo05 Ottobre 2016, 18:30 #2
ma perchè? guarda che anche Whatsapp ha la crittografia end2end e le chiavi sono sui client
ComputArte05 Ottobre 2016, 19:35 #3

MArk come Vanna....VENGHINO SIORI, VENGHINO....

MA BASTA CON STA STR...aordinaria favola che la criptazione nd-to-end sia sicura e che "solo mittente e destinatario vedranno in chiaro il messaggio"...NEMMENO FB STESSO!!!!

Ma la smettiamo di dare informazioni pubblicitarie!!!!!!!

Constati i permessi che le app riescono ad ESTORCERE grazie al sistema operativo ingegnerizzato per raccogliere quanti più dati possibili NON è un peccato mortale che GOOGLE e APPLE ( mettiamoci anche gli asiatici con TIZEN ) lascino le porticine di servizio aperte dalle quali si entra nel "client" e si ricostruisce il puzzle... rastrellando la chiave privata insieme a quella pubblica.

Naturalmente chi difenderà a spada tratta la "PUBBLICITA'" di queste aziende non può, se intellettualmente onesto e tecnicamente preparato, escludere questa "possibilità"....e visto che si tratta di aziende che hanno fatto la loro fortuna ( TUTTE le OTT ) sulla raccolta indiscriminata e continuativa dei dati, fare questo peccatuccio è ...sacrosanto ;-)
matteop305 Ottobre 2016, 20:21 #4
Certo la scelta o meno di utilizzare la crittografia end-to-end ha creato alcune critiche nei confronti di Facebook e dei suoi ingegneri. In molti, infatti, hanno fatto presente che la maggior parte degli utenti non utilizzerà tale sistema per il fatto che non dispone delle competenze necessarie per comprendere l'importanza della crittografia e dunque continuerà ad utilizzare le classiche chat di Messenger. Insomma una scelta non completamente accettata che speriamo possa comunque apportare maggiore sicurezza tra gli utenti che la utilizzeranno.

Tutto giusto. E' la stessa critica che si è sempre fatta nei confronti di Telegram e Allo.

Da notare che anche le chat segrete di FbM utilizzano Signal Protocol; bene.

Originariamente inviato da: songohan
Facebook e segretezza non vanno tanto bene insieme.
Se volete parlare in segreto, usate Signal della Open Whispers System.

Originariamente inviato da: postillo
ma perchè? guarda che anche Whatsapp ha la crittografia end2end e le chiavi sono sui client

A livello puramente crittografico non farebbe differenza (utilizzano lo stesso identico protocollo), ma a livello di metadati raccolti non c'è paragone: https://twitter.com/whispersystems/...325788883955713
Applausi per OWS.
pingalep05 Ottobre 2016, 21:12 #5
per me è una guerra da agenzie di spionaggio, tra usa che entra nelle chat criptate di whtsapp e fb e kgb che entra in quelle di telegram. non a caso servizi gratuiti
evil weasel06 Ottobre 2016, 11:00 #6
Signal è una porcheria anche peggio di whatsapp e simili, viene spacciato come sicuro e crittografato end-to-end quando poi utilizza GCM e semina metadati lungo tutto il tragitto.
matteop307 Ottobre 2016, 14:06 #7
Originariamente inviato da: evil weasel
Signal è una porcheria anche peggio di whatsapp e simili, viene spacciato come sicuro e crittografato end-to-end quando poi utilizza GCM e semina metadati lungo tutto il tragitto.

Effettivamente Open Whisper Systems raccoglie tanti di quei dati personali da far schifo: https://twitter.com/whispersystems/...325788883955713
Edit: mi sono accorto di averlo già linkato, quindi probabilmente avevi già letto, ma forse ne dubiti; perché?

Tutto ciò che Google sa tramite i GCM è che l'app X si è svegliata, stop; nessun contenuto della notifica o altro.

A volte mi chiedo su quali presupposti si basino giudizi così categorici e definitivi.
evil weasel07 Ottobre 2016, 15:15 #8
Originariamente inviato da: matteop3
Effettivamente Open Whisper Systems raccoglie tanti di quei dati personali da far schifo: https://twitter.com/whispersystems/...325788883955713
Edit: mi sono accorto di averlo già linkato, quindi probabilmente avevi già letto, ma forse ne dubiti; perché?

Tutto ciò che Google sa tramite i GCM è che l'app X si è svegliata, stop; nessun contenuto della notifica o altro.

A volte mi chiedo su quali presupposti si basino giudizi così categorici e definitivi.


Certi guidizi così categorici si basano su dati oggettivi:
1. google è una agenzia pubblicitaria mascherata da società informatica (quasi tutti i suoi servizi sono gratis per l'utente finale);
2. Signal richiede che sia installato sul telefono l'arnamentario closed source di google che è risaputo essere oggettivamente uno spyware (telemetria ecc);
3. open whisper system potrebbe anche non raccoglie dati personali (e probabilmente non lo fa) ma utilizzando GCM regala eccome palate di metadati a google (chi scrive a chi, quando viene scritto un messaggio, quando viene ricevuto ecc);
4. il programma è opensource ma moxie fondamentalmente rompe le scatole a chiunque cerchi di redistribuire il suo software per canali che non sono quelli specificati da lui (vedere diatriba OWS vs fdroid);
5. la discutibile scelta di utilizzare GCM al posto di websocket.

Usare signal su un dispositivo con installata la porcheria di google è più o meno allo stesso livello di usare torbundle su windows: una cagata pazzesca.
Erotavlas_turbo07 Ottobre 2016, 18:31 #9
Originariamente inviato da: evil weasel
Certi guidizi così categorici si basano su dati oggettivi:
1. google è una agenzia pubblicitaria mascherata da società informatica (quasi tutti i suoi servizi sono gratis per l'utente finale);

Pienamente d'accordo.
Originariamente inviato da: evil weasel
2. Signal richiede che sia installato sul telefono l'arnamentario closed source di google che è risaputo essere oggettivamente uno spyware (telemetria ecc);

Dipende da quale versione di android tu stia utilizzando. Se stai utilizzando AOSP o cyanogemod sono open source.
Originariamente inviato da: evil weasel
3. open whisper system potrebbe anche non raccoglie dati personali (e probabilmente non lo fa) ma utilizzando GCM regala eccome palate di metadati a google (chi scrive a chi, quando viene scritto un messaggio, quando viene ricevuto ecc);

Non ho bene capito. Signal si appoggia a dei server di google? Da qui sembrerebbe solo per la parte voce. Veramente rimangono tutte queste tracce sul server?
Se si, meglio usare telegram a questo punto almeno è svincolato da google...
Originariamente inviato da: evil weasel
4. il programma è opensource ma moxie fondamentalmente rompe le scatole a chiunque cerchi di redistribuire il suo software per canali che non sono quelli specificati da lui (vedere diatriba OWS vs fdroid);

Magari vuole mantenere il controllo sul progetto principale. Data la licenza GPL chiunque può creare un nuovo client.
Originariamente inviato da: evil weasel
5. la discutibile scelta di utilizzare GCM al posto di websocket.

Qui viene spiegato il motivo dell'uso di GCM.
Ci sono vere alternative funzionanti?
Originariamente inviato da: evil weasel
Usare signal su un dispositivo con installata la porcheria di google è più o meno allo stesso livello di usare torbundle su windows: una cagata pazzesca.

Purtroppo comincio a pensarlo anch'io...
Alternative?
matteop308 Ottobre 2016, 11:11 #10
Originariamente inviato da: evil weasel
1. google è una agenzia pubblicitaria mascherata da società informatica (quasi tutti i suoi servizi sono gratis per l'utente finale);

Che non c'entra niente in questo discorso, dato che si parla di Signal che semplicemente utilizza una libreria Google, ma proseguendo si capirà perché.

2. Signal richiede che sia installato sul telefono l'arnamentario closed source di google che è risaputo essere oggettivamente uno spyware (telemetria ecc);

E cosa c'entrerebbe con Signal, dato che si parla semplicemente di GCM?

3. open whisper system potrebbe anche non raccoglie dati personali (e probabilmente non lo fa) ma utilizzando GCM regala eccome palate di metadati a google (chi scrive a chi, quando viene scritto un messaggio, quando viene ricevuto ecc);

Il grassettato è falso. Tramite GCM Google non ha modo di conoscere il contenuto di alcuna notifica, né l'origine del traffico. Queste palate di metadati che Google raccoglie tramite GCM sono semplicemente, come ti avevo già scritto, il wake up di un'app, stop; il massimo che possono dire è: Signal si è svegliato.

4. il programma è opensource ma moxie fondamentalmente rompe le scatole a chiunque cerchi di redistribuire il suo software per canali che non sono quelli specificati da lui (vedere diatriba OWS vs fdroid);

La libera circolazione e implemetazione dei software sono una bellissima cosa, ma Moxie ha tra le sue argomentazioni l'evidenza che sarebbe altrimenti molto difficile offrire un servizio di tale qualità.

5. la discutibile scelta di utilizzare GCM al posto di websocket.

L'utente prima ti ha linkato il motivo sul loro sito, ma qui Moxie articola ancora meglio: https://github.com/WhisperSystems/S...roid/issues/127

Poi un interessante post sul perché OWS non permette l'utilizzo dei propri server ai fork di Signal: https://whispersystems.org/blog/the...stem-is-moving/

Usare signal su un dispositivo con installata la porcheria di google è più o meno allo stesso livello di usare torbundle su windows: una cagata pazzesca.

La cosa paradossale è che molti pensano che non utilizzare Signal perché richiede un account e qualche libreria Google sia una vittoria per la privacy, senza rendersi conto che - oltre al fatto che sono stati esposti precisi motivi perché sia così (vedi i link) - l'alternativa è utilizzare servizi che, in fatto di sicurezza e privacy, non si avvicinano nemmeno lontanamente a Signal.
Molti inneggiano a Telegram, ma avete visto la quantità di metadati che stora? Sapete che state parlando di un servizio cloud per la messaggistica personale? Sapete che NON è open source (visto che il server, che costituisce il 90% dell'infrastruttura, è closed source)? Sapete che si sono fatti IN CASA il proprio protocollo crittografico (rompendo la regola zero della crittografia)?

State sostanzialmente evitando di mangiare una torta squisita perché non vi piace l'amarena piazzata in cima.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^