Alfonso Maruccia

WhatsApp cifra i messaggi dall'inizio alla fine

Con la tecnologia TextSecure gli utenti Android possono stare tranquilli. Su iOS c'č ancora da aspettare, ma comunque l'instant messenger di Facebook fa sul serio sulla privacy

Roma - WhatsApp ha reso disponibile una nuova versione della popolare app di messaggistica su terminali Android, e la novità principale della release consiste nell'inclusione delle tecnologia crittografica TextSecure per messaggi sicuri al riparo da intercettazioni. Le chat e i messaggi di WhatsApp risultano ora cifrati "end-to-end", sono cioè leggibili solo dai partecipanti alla conversazione e non possono essere decriptati nemmeno dallo stesso team di sviluppatori della app.

La disponibilità di canali di comunicazioni protetti end-to-end (su mobile o meno) non è certo una novità, nondimeno la base di utenza di WhatsApp (600 milioni di "messaggiatori" in tutto il mondo) fornisce un certo peso alla novità. Per ora comunque il cambiamento riguarda solo Android, e non c'è una data precisa di rilascio della stessa funzione su iOS: evidentemente sussistono delle differenze tra le due piattaforme, tali da spingere l'azienda acquisita da Facebook a procedere a passi successivi. Dettaglio curioso, il lavoro per implementare TextSecure in WhatsApp è iniziato proprio a ridosso dell'operazione che ha portato il social network di Mark Zuckerberg a pagare più di 21 miliardi di dollari per il servizio di messaggistica.

Interessante anche la scelta di adottare TextSecure, tecnologia realizzata dalla Open Whisper di Moxie Marlinspike e rilasciata da Twitter con licenza open source: secondo il noto esperto di sicurezza, adattare la tecnologia di cifratura al codice di WhatsApp ha richiesto sei mesi di lavoro e non pochi sforzi da parte di WhatsApp stessa. Si tratta probabilmente della più vasta implementazione mai avvenuta per questa tecnologia.
Il lavoro, comunque, non è finito: iOS a parte, WhatsApp introdurrà prossimamente anche un meccanismo di verifica delle chiavi crittografiche tra i client, in modo tale da arginare qualsiasi tentativo di attacco man-in-the-middle che potrebbe consentire l'intercettazione dei messaggi scambiati. In questo modo si dovrebbe concretizzare uno degli obiettivi posto dal creatore di WhatsApp Jan Koum per quanto attiene la libertà di comunicazione a distanza degli utenti della sua app: di certo WhatsApp dovrà essere rivalutata da EFF per riclassificare la sua posizione nello studio sui servizi di messaggistica più sicuri in circolazione.

Alfonso Maruccia
Notizie collegate
54 Commenti alla Notizia WhatsApp cifra i messaggi dall'inizio alla fine
Ordina
  • è utilizzabile negli USA allora è per definizione non sicura a causa del Patriot Act Annoiato
    non+autenticato
  • or it didn't happen.
    Shiba
    3922
  • Ma hanno cambiato formato di criptazione?

    Io tutt'ora in pochi minuti decripto tutti i database whatsapp. Basta avere il file Key che si ottiene dopo il root del device con un root file manager.

    Dopo col file key e i file crypt7 ottieni ciò che vuoi.

    Comunque ok, qui si parla di messaggio che viaggia durante la trasmissione. Ma è un annuncio idiota, dato che il client appartiene a FB i server sono i suoi, ecc.
    Cioè è una annuncio presa-per-i-fondelli.
    iRoby
    8343
  • - Scritto da: iRoby
    > Ma hanno cambiato formato di criptazione?
    >
    > Io tutt'ora in pochi minuti decripto tutti i
    > database whatsapp. Basta avere il file Key che si
    > ottiene dopo il root del device con un root file
    > manager.
    >
    > Dopo col file key e i file crypt7 ottieni ciò che
    > vuoi.
    >
    > Comunque ok, qui si parla di messaggio che
    > viaggia durante la trasmissione. Ma è un annuncio
    > idiota, dato che il client appartiene a FB i
    > server sono i suoi, ecc.
    >
    > Cioè è una annuncio presa-per-i-fondelli.
    E se l'hai capito anche tu...A bocca aperta
    non+autenticato
  • - Scritto da: iRoby
    > Ma hanno cambiato formato di criptazione?
    >
    > Io tutt'ora in pochi minuti decripto tutti i
    > database whatsapp. Basta avere il file Key che si
    > ottiene dopo il root del device con un root file
    > manager.
    >
    > Dopo col file key e i file crypt7 ottieni ciò che
    > vuoi.
    >
    > Comunque ok, qui si parla di messaggio che
    > viaggia durante la trasmissione. Ma è un annuncio
    > idiota, dato che il client appartiene a FB i
    > server sono i suoi, ecc.
    >
    > Cioè è una annuncio presa-per-i-fondelli.

    Forse molti qui non sanno (o fanno finta di non sapere) cosa è la crittografia END-TO-END.

    END TO END significa che nessuno può leggere il messaggio tra i due client, nemmeno il server.

    Questo può essere fatto serverless, di solito sopra ad un sistema di messaggistica in chiaro, con uno scambio chiavi tipo DH o usando l'intermediazione di un keyserver che ospita le chiavi pubbliche dei due client che si tengono per se le chiavi private di decriptazione.

    In entrambi i casi il server non può decriptare i messaggi a meno che qualcuno non decripti le chiavi o semplicemente vi siano workaround e backdoors nei clients.

    Detto questo se mi chiedi se sono convinto che FB metterà su un valido sistema di crittografia END-TO-END, la mia risposta è NO.
    non+autenticato
  • - Scritto da: Luppolo
    > - Scritto da: iRoby

    > Detto questo se mi chiedi se sono convinto che
    > FB metterà su un valido sistema di crittografia
    > END-TO-END, la mia risposta è NO.

    Io chatto già in criptato su facebook usando PidGin + OTR.
    non+autenticato
  • - Scritto da: Passante
    > - Scritto da: Luppolo
    > > - Scritto da: iRoby
    >
    > > Detto questo se mi chiedi se sono convinto
    > che
    > > FB metterà su un valido sistema di
    > crittografia
    > > END-TO-END, la mia risposta è NO.
    >
    > Io chatto già in criptato su facebook usando
    > PidGin +
    > OTR.

    ... e io chatto con PidGin e OTR, anche senza Facebook.
    non+autenticato
  • Cifrati si, ma non credo serva anche per non essere spiati da FacebookPerplesso.
  • - Scritto da: Il Punto
    > Cifrati si, ma non credo serva anche per non
    > essere spiati da Facebook
    >Perplesso.

    Questo è impossibile in effetti, una volta iscritti
    a Facebook si viene sottoposto ad un impianto virtuale
    che succhia tutti i dettagli personali.
    non+autenticato
  • Non ho capito se poi sui server le conversazioni sono in chiaro o meno.
    In ogni caso se c'è una backdoor governativa nell'algoritmo, che sia criptato o no non cambia niente.
    E infine se anche la backdoor non ci fosse, se i soliti governativi vogliono spulciare i log, i gestori devono fornire l'accesso, secondo il patriot act (bel nome da presa per il c@lo ai loro stessi cittadini).
    non+autenticato
  • - Scritto da: Bito
    > Non ho capito se poi sui server le conversazioni
    > sono in chiaro o meno.
    > In ogni caso se c'è una backdoor governativa
    > nell'algoritmo, che sia criptato o no non cambia
    > niente.
    > E infine se anche la backdoor non ci fosse, se i
    > soliti governativi vogliono spulciare i log, i
    > gestori devono fornire l'accesso, secondo il
    > patriot act (bel nome da presa per il c@lo ai
    > loro stessi cittadini).

    Basta usare altro: PidGin + OTR e nessuno ti spia più.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 12 discussioni)