Lo consiglia in alternativa alle più popolari applicazioni di messaggistica istantanea Whatsapp e Telegram, specie per la condivisione di dati riservati e di importanza collettiva: Signal è il gratuito software open source sviluppato dall’Open Whisper Systems per una comunicazione globale sicura.

L’informatico Edward Snowden – noto per aver dato il via allo scandalo Datagate – si scaglia specialmente contro l’app di Brian Acton e Jan Koum, non più in grado di garantire gli standard minimi di sicurezza dopo l’acquisizione da parte della Facebook Inc. nel 2014. La società di Menlo Park sta difatti via via rimuovendo ogni protezione, vanificando di fatto la crittografia end-to-end. L’alternativa per l’utente attento alla propria privacy esiste e si chiama Signal. 

Making private communication simple.

Slogan dell’app Signal

Come funziona

Il servizio di messaggistica istantanea di Moxie Marlinspike, in passato a capo della sicurezza di Twitter, permette di crittografare automaticamente (a differenza di altre app) chiamate e messaggi di testo tramite il proprio smarthphone o anche, nella versione desktop, tramite personal computer.

Marlinspike, giovane crittografo e ricercatore di sicurezza informatica, ha incentrato le sue ricerche sulle tecniche di intercettazione delle comunicazioni e sui relativi metodi di rafforzamento delle infrastrutture di comunicazione atti a contrastarle. Fra le chat più sicure in circolazione, Signal fu tra le prime ad offrire la crittografia end-to-end anticipando la rivale Whatsapp che, nel 2014, si avvalse proprio di TextSecure, uno dei protocolli di crittografia messi a punto dagli sviluppatori di Signal.

Tuttavia, la crittografia end-to-end da sola non basta. Il punto forte di Signal è proprio l’open source che, consentendo ad altri sviluppatori ed esperti di verificare costantemente codice e funzionalità, permette totale trasparenza riducendo il rischio backdoor, il metodo utilizzato per bypassare un crittosistema.

Moxie Marlinspike, creatore dell'app Signal.
Moxie Marlinspike, fondatore del gruppo Open Whisper Systems e co-fondatore, insieme a Brian Acton, della Signal Foundation. Credits photo: Knight Foundation/Flickr [CC BY-SA 2.0]

Il giovane ricercatore si è guadagnato molti elogi dalla comunità informatica. Non solo Snowden – che elegge Signal a imprescindibile punto di riferimento per attivisti di diritti umani, giornalisti e autorità governative e amministrative – ma anche Matthew Green, crittografo e professore alla Johns Hopkins University, che non è riuscito a trovare alcun errore di sviluppo.

Marlinspike ha inevitabilmente attratto l’avversione delle agenzie di intelligence statunitensi che, nel tentativo di decrittare ogni sistema di comunicazione crittografata, non hanno avuto successo con diversi software open source, come si evinse dai documenti del Datagate. Secondo la National Security Agency americana, tra le “minacce” figuravano proprio Signal e RedPhone (la vecchia versione android di Signal).

La tutela della privacy

Signal è stata specificatamente progettata per ridurre al minimo i dati conservati sui server. Photo Credits: Signal/Twitter.
Signal è stata specificatamente progettata per ridurre al minimo i dati conservati sui server. Photo Credits: Signal/Twitter.

La crittografia end-to-end (è bene ricordarlo) da sola non basta e Signal è stata specificatamente progettata per ridurre al minimo i dati conservati sui server. Vediamo come.

Per impostazione, Signal non tiene alcuna traccia di contatti, social graph, elenco delle conversazioni, posizione, avatar e nome dell’utente, appartenenze a gruppi nonché nomi e avatar degli stessi. Questo perché ogni profilo utente è criptato e, a sua volta, condiviso end-to-end. Signal non ha quindi alcun accesso al contenuto del profilo né tanto meno al contenuto delle conversazioni.

Il Sealed sender

La funzionalità Sealed sender (mittente sigillato) consente inoltre di nascondere l’identità del mittente di un messaggio, permettendo tuttavia al client di convalidare il contatto prevenendo il proofing (la contraffazione dei pacchetti).
Ecco come funziona: il client recupera un certificato di breve durata contenente il numero di telefono del mittente, la chiave pubblica e il timestamp (la marcatura temporale) e che sarà incluso nel messaggio inviato consentendo la verifica del contatto al momento della ricezione. Per prevenire lo spam, i client derivano un token di consegna a 96 bit dalla chiave di profilo del destinatario, la cui conoscenza è necessaria per poter trasmettere il messaggio.

La busta contenente il messaggio criptato ed il certificato sarà a sua volta crittografata e trasmessa, insieme al token di consegna, al destinatario. Questi sarà in grado di decifrare la busta con la chiave pubblica e verificare che quest’ultima coincida con il certificato del mittente.

La ritrasmissione delle chiamate e i messaggi a scomparsa

Signal consente anche di proteggersi da indesiderati accessi fisici e in remoto. Permette infatti di verificare la sicurezza della connessione tramite i safety number, codici che rappresentano la connessione tra il proprio device e quello dell’interlocutore. Se coincidono, la sessione può considerarsi sicura.

Con il blocco registrazione è inoltre possibile impostare un PIN personale per impedire una nuova registrazione del numero di telefono associato da parte di altri. L’utente Signal potrà altresì bloccare ogni sgradito accesso all’app tramite blocco schermo o impronta digitale e disattivare l’apprendimento delle parole digitate (tastiera in incognito).

Particolarmente interessante, sebbene ciò si ripercuoterebbe sulla qualità delle stesse, è l’opportunità di abilitare la ritrasmissione delle chiamate attraverso i server di Signal per non rivelare il proprio indirizzo IP.

Infine, con la funzione Messaggi a scomparsa sarà possibile rimuovere automaticamente i messaggi inviati e ricevuti dopo un periodo di tempo (variabile dai cinque secondi a una settimana) trascorso dalla loro visione. Ciò consentirà di eliminare i messaggi non solo dal proprio dispositivo, ma anche da quello di tutti i partecipanti alla chat, singola o di gruppo.

Moxie Marlinspike, vincitore, nel 2017, del Premio Levchin per la Crittografia del mondo reale.
Moxie Marlinspike ospite al TechCrunch Disrupt San Francisco 2017. Nello stesso anno ha vinto il Premio Levchin per la Crittografia del mondo reale. Credits photo: Knight Foundation/Flickr [CC BY-SA 2.0]
Per approfondire:

Edward Snowden “Ce qu’il faut changer, c’est pas une entreprise, un téléphone, un logiciel : c’est le système”, France Inter, 16 settembre 2019.

R. Rijtano, Come funziona Signal, l’app di messaggistica che piace a Snowden, La Repubblica, 01 dicembre 2015.

J. Appelbaum, A. Gibson e altri, Inside the NSA’s War on Internet Security, Spiegel Online, 28 dicembre 2014.

J. Lund, Technology preview: Sealed sender for Signal, Signal, 29 ottobre 2018.

J. Lund, Encrypted profiles for Signal now in public beta, Signal, 06 settembre 2017.

M. Shelton, Locking down Signal. Concerned about the privacy and security of your communications? Follow our guide to locking down Signal, Freedom of the Press Foundation, 13 settembre 2019.

Author: Veronica Pagano

Laureanda in Giurisprudenza a Messina, appassionata di diritto internazionale e penale e politica internazionale, racconto il mondo che ci circonda in tutte le sue sfaccettature. Già redattrice per l’Antro di Chirone, attualmente scrivo per Mangiatori di Cervello e Cronache dei Figli Cambiati.

Pin It on Pinterest

Share This

Share This

Share this post with your friends!