Crittografia end-to-end di WhatsApp, cosa c’è da sapere e le conversazioni segrete

WhatsApp è uno dei servizi di messaggistica più popolari al mondo, con oltre un miliardo di utenti.

Presente oramai in ogni smartphone o tablet, permette di inviare messaggi di testo, video e foto in forma illimitata e totalmente gratis.
Da qualche tempo è possibile inoltre usare WhatsApp per fare chiamate gratuite in tutto il mondo fra gli utenti registrati al servizio.
Fino ad ora la vera pecca di questo sistema era la sicurezza delle conversazioni, infatti molti enti accreditati avevano rilevato gravi falle in questo senso.

Per questo motivo è opportuno, che anche gli utenti meno esperti, comprendano a pieno cosa è cambiato e quali sono i limiti di questo nuovo approccio di WhatsApp alla privacy.

Non tutta la crittografia è uguale

WhatsApp aveva iniziato ad implementare alcune misure crittografiche già da qualche tempo, utilizzando il protocollo SSL e TLS (impiegato per esempio nelle email).
Tuttavia, in termini di sicurezza, non è solo importante la presenza di sistemi di codifica, ma anche come questi vengono implementati.

Infatti, quando la EFF (Electronic Frontier Foundation) aveva stilato una classifica con i servizi di messaggistica più e meno sicuri, WhatsApp aveva ricevuto solo due stelle su sette. Davvero poco, anzi pochissimo, utilizzare questo sistema di instant messaging fino a qualche tempo fa, significava esporre le proprie conversazioni a molti tipi di hacher (o impiccioni). Di fatto l'app era nella “black list” degli utenti più fanatici della privacy.
Era quindi prevedibile che in tempi brevi Whatsapp avrebbe provveduto a risolvere efficacemente queste criticità.

Oggi WhatsApp usa Signal Protocol, facendo un balzo avanti importantissimo a livello di sicurezza, tanto che la EFF ha cambiato il punteggio assegnatogli un 6 su 7.

Cosa è cambiato esattamente?



WhatsApp, come dicevamo parte dal punteggio di 2 stelle in tema di sicurezza e privacy. un punteggio davvero basso.
Il 5 aprile 2016 guadagna in un sol colpo ben 4 stelle.
Vediamo nel dettaglio le motivazioni.

Stella numero 3 - Neanche gli impiegati di WhatsApp possono decriptare e leggere i messaggi degli utenti.

Stella numero 4 - Nuovo meccanismo di verificazione dell’identità. Infatti quando la chat inizia, gli utenti possono assicurarsi di star parlando con la persona corretta e possono controllare l’integrità del canale.
Per fare questa verifica bisogna accedere alle informazioni sul contatto (o sul gruppo) e accertarsi che nella sezione "Crittografia" venga mostrato un lucchetto chiuso

Stella numero 5 - La chiave crittografica viene cambiata frequentemente. Quindi se qualcuno ruba la chiave, sarebbe in grado di decrittare solo una parte della conversazione. Le conversazioni precedenti o future non sarebbero disponibili.

Stella numero 6 - L’implementazione di Signal Protocol è ben documentata. Questo consente al pubblico e soprattutto ai crittografi professionisti, di studiare la metodologia usata e individuare eventuali errori concettuali.

Perché non è stata assegnata la settima stella?
Non è gli stata conferita perché non viene reso disponibile il suo codice sorgente. Questo significherebbe che gli utenti di Internet potrebbero unire i loro sforzi per cercare nuove vulnerabilità e rendere la soluzione più sicura. D'altro canto un codice completamente pubblico potrebbe facilitare il lavoro a male intenzionati.
In ogni caso Facebook, proprietario di WhatsApp, sembra essere disposto a collaborare su questo punto, per trovare il giusto compromesso.

Facciamo dei paragoni

Sei stelle è uno dei punteggi più alti tra i servizi di messaggistica disponibili al pubblico dominio. Come metro di paragone si pensi che Skype ha ad oggi una sola stella e Viber. uno dei principali rivali di WhatsApp, ha 2 stelle.

Solo Telegram ha un punteggio di sicurezza superiore a WhatsApp, con un punteggio di 7 stelle su 7.

Possiamo stare sicuri?

Possiamo stare sicuri se comprendiamo cosa significhi esattamente Crittografia end-to-end.




Significa che il messaggio non è intercettabile, ovvero non è possibile conoscere il contenuto del messaggio ad esclusione di chi lo manda e di chi lo riceve.

Tuttavia sarebbe più corretto dire che possono conoscere il contenuto del messaggio solo i dispositivi che mandano o ricevono il messaggio. La precisazione è importante per comprendere che qualora si usi un dispositivo compromesso (ovvero con qualche virus o altra applicazione malevola), diventa a rischio tutto il contenuto dello smartphone, comprese le conversazioni WhatsApp.
Stesso discorso se lo smartphone finisce in mani sbagliate. Anche in questo caso, chi diviene in possesso del dispositivo potrà prendere visione di tutto il contenuto.

In questo caso l'unica soluzione è quella di utilizzare un sistema di crittografia anche per il contenuto del cellulare. Queste soluzioni sono previste per tutti i principali Sistemi Operativi in circolazione, basti pensare che il conflitto tra Apple e l’FBI si è scatenato proprio per questa ragione. L’azienda ha affermato che il loro smartphone non può essere hackerato, nonostante la richiesta provenga dai servizi di sicurezza.

Attualmente la soluzione migliore per tutelare la propria privacy usando WhatsApp è quella di usare le chiamate vocali (non i messaggio vocali). Di queste infatti non resta traccia né sul dispositivo che chiama né su quello che riceve.
Tuttavia c'è sempre il rischio di una intercettazione ambientale... 


Se vuoi approfondire è disponibile la pagina di informazioni di WhatsApp.

Share on Google Plus