Whatsapp cifrato, ma dobbiamo fidarci sulla parola

Non viene aggiunta alcuna reale sicurezza per l'utente. Tanto clamore è solo marketing per indurre la falsa idea che nessuno potrà intercettare le nostre comunicazioni.



[ZEUS News - www.zeusnews.it - 20-11-2014]

Fotolia 70548606 Subscription Monthly XXL

Questo è un articolo su più pagine: ti invitiamo a leggere la pagina iniziale
WhatsApp, adesso i messaggi sono crittografati

Pubblichiamo le considerazioni di un lettore di Zeus News che introduce alcuni spunti di riflessione interessanti.

Buongiorno, mi occupo di sicurezza per large enterprise e agenzie governative. Vi scrivo a titolo personale e non dell'azienda da per cui lavoro.

Whisper Systems e il suo fondatore Moxie sono persone serie e competenti, ma questa è solo una mossa di marketing. Il modo in cui la end-to-end encryption è stata implementata consente a Whatsapp di leggere messaggi e allegati, in qualunque istante a totale discrezione della NSA o dell'FBI.

Proverò a farla breve e semplice. Se non ci riuscirò, sentitevi liberi di chiedermi chiarimenti. Parto con un esempio reale, per poi scendere più nel tecnico.

Notaio: voglio fare testamento, quindi vado da un notaio che autentica la mia firma e le mie volontà, le scrive in una busta chiusa che deposita al sicuro in cassaforte. Alla mia morte i miei eredi - che si fidano del notaio - accettano alla lettera e per autentico quanto scritto dal notaio. In questo scenario, il notaio è una parte terza, credibile che gode della fiducia di tutti.

E se il notaio è il marito di uno degli eredi? possiamo ancora fidarci?
E se il testamento dice che tutto rimane alla moglie del notaio? possiamo ancora fidarci?
E se il fisco mi contesta il patrimonio, che era noto solo nel testamento conosciuto dal notaio? possiamo ancora fidarci?

Magari il notaio è onesto, ma un delinquente gli punta una pistola alla tempia e lo costringe a violare la sua imparzialità. Come si vede dagli esempi, il notaio potrebbe non custodire adeguatamente il contenuto delle mie volontà o manipolarle.

Diretta: invece di coinvolgere una parte terza, di cui tutti si devono fidare, convoco gli eredi prima della mia porte ed esprimo direttamente e solo a loro le mie intenzioni, in modo che non ci siano dubbi sul contenuto e sull'autenticità della mia volontà.

Se trasportiamo questi concetti al mondo delle comunicazioni digitali (messaggi, telefonate, ecc...) ci troviamo in due scenari:

1) protezione end-to-site (notaio): affido le mie comunicazioni al notaio, che le autentica e custodisce.
2) protezione end-to-end (diretta): comunico direttamente con i miei interlocutori.

Facendo un passo ulteriore verso la tecnologia, stiamo considerando questi scenari:

1) Third trusted party: consegno le mie comunicazioni cifrate ed autenticate ad una parte terza, di cui tutti ci fidiamo e che si impegna a inoltrare i miei messaggi agli interlocutori opportuni.

mitm

2) End-to-end encryption: non ci fidiamo di nessuno, ci incontriamo di persona, ci diciamo quale "password" usiamo per scambiarci i messaggi o cifrare le nostre telefonate e come controllare che siano cifrate esattamente da noi due e che non siano state alterate da un attaccante che sta nel mezzo (Man In The Middle).

Veniamo alle comunicazioni dati, su internet: per ragioni tecniche (NAT), nella grandissima parte dei casi NON è possibile avere comunicazione diretta tra due telefoni o tra due computer. Se anche fosse possibile avere comunicazione diretta non c'è un modo comodo e sicuro per identificare i due terminali e occorre almeno un server pubblico che funzioni da "registro" o rubrica per trovare i "numeri" delle persone con cui si vuole comunicare.

In pratica, è necessario avere un server pubblico che si occupi di fare da "rubrica" e anche il rimbalzo delle comunicazioni. Questo accade SEMPRE, con Whatsapp, Skype e via dicendo.

Infine, a proposito di Whatsapp e della sua strabiliante end-to-end encryption: cifratura o no, tutti i nostri messaggi passano dai server di Whatsapp. Se voglio mandare un messaggio a Caio, come so quale chiave di cifratura ("password") devo usare per cifrare i messaggi per lui? chiedo a Whatsapp qual è la chiave di Caio.

Come so se Whatsapp mi restituisce la chiave di Caio o quella della NSA? nel secondo caso, sto cifrando i messaggi per la NSA, che poi li decifra e li ri-cifra con la chiave di Caio prima di mandarglieli?

Per essere sicuro, devo necessariamente "autenticare" la chiave di Caio, cioè verificare che la chiave restituita da whatsapp, sia quella di Caio e non della NSA? come faccio? ci sono vari modi, potrebbe essere il fingerprint, un QR code, che Caio mi comunica quando ci incontriamo di persona.

Sondaggio
Secondo te, quale oggetto peggio smarrire?
Il portafoglio
Lo smartphone

Mostra i risultati (2486 voti)
Leggi i commenti (2)

La contestazione a Whatsapp è tutta qui: non c'è, ad oggi, il meccanismo di autenticazione, quindi mi DEVO fidare dell'onestà di Whatsapp, e allora non serve la cifratura end-to-end. Se non viene aggiunta sicurezza, a che serve tanto clamore? è solo marketing per indurre la falsa idea che nessuno potrà intercettare le mie comunicazioni, mentre Whatsapp - o chi gli punta la pistola alla tempia - è comunque grado di farlo.

Facciamo l'ultimo passo: Whatsapp aggiunge un meccanismo - scomodo e fastidioso - per autenticare le chiavi. Come so se un messaggio è autentico? me lo dice l'applicazione di Whatsapp: e come so che non sta mentendo? Può sempre mostrare il lucchetto chiuso del messaggio supersicuro, mentre il messaggio non è stato realmente protetto.

E alla fine vale sempre la domanda delle 100 pistole: perché Whatsapp dovrebbe fornirci messaggi sicuri? È un'azienda e deve coprire i suoi costi, sta negli Stati Uniti e quindi deve fare i conti con la NSA e le sue richieste, che le piaccia o no.

Conclusione: niente sicurezza? no, ci sono modi e opzioni per raggiungerla, a seconda del contesto.

Marco Pozzato, CTO di PrivateWave Italia

Ti invitiamo a leggere la pagina successiva di questo articolo:
WhatsApp attiva la crittografia ovunque

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
WhatsApp, i messaggi crittografati non sono poi così privati
UE, Francia e Germania vogliono la backdoor di Stato
Il messenger approvato da Snowden

Commenti all'articolo (3)

Esattamente. E questo vale sia per i protocolli di comunicazione, che per i formati dei file, che per i software, in primis per i sistemi operativi. Grazie al lettore-autore di questo vecchio articolo, molto chiaro. Leggi tutto
11-4-2016 16:31

Giusto, non c' altro da aggiugere.
22-11-2014 15:14

{Shiba}
No open source, no party. Possono spararla grossa quanto vogliono, ma se non vedo, non credo.
20-11-2014 09:02

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Qui sotto trovi in ordine alfabetico i 20 marchi pi pregiati nel 2014, secondo la celebre classifica compilata da Millward Brown. Secondo te qual il pi pregiato? Confronta poi il tuo voto con questo link.
Amazon
Apple
AT&T
China Mobile
Coca-Cola
GE
Google
IBM
Industrial and Commercial Bank of China
McDonald's
Marlboro
Mastercard
Microsoft
SAP
Tencent
UPS
Verizon
Visa
Vodafone
Wells Fargo

Mostra i risultati (2439 voti)
Settembre 2021
Truffatori scavalcano le difese informatiche nella maniera più semplice
Apple svela gli iPhone “più Pro” di sempre
Ripristinare il vecchio menu Start in Windows 11
Uno spot mette Windows 11 KO
L'auto elettrica di Apple
Microsoft non bloccherà Windows 11 sui PC non supportati
Windows 11, svelata la data di lancio
Agosto 2021
La barra di Windows 11 è di proposito peggiore di quella di Windows 10
Violati i server TIM, password degli utenti a rischio
Windows 11, disponibile la prima ISO ufficiale
Microsoft: disabilitate il sistema di stampa di Windows (di nuovo)
Google taglia gli stipendi a chi sceglie il telelavoro
Gli iPhone scansioneranno tutte le foto alla ricerca di pedopornografia
Due parole sull’attacco informatico “terroristico” alla Regione Lazio
Windows 365 è già disponibile e costa meno di 30 euro al mese
Tutti gli Arretrati
Accadde oggi - 21 settembre


web metrics