Alfonso Maruccia

Cifratura WhatsApp: niente buco, niente inganno

La società che ha sviluppato il sistema crittografico alla base dell'app di messaggistica risponde, e rispedisce al mittente l'accusa di aver creato intenzionalmente una "backdoor" all'interno di Signal

Roma - La storia messa in circolazione del Guardian a proposito di una backdoor all'interno di WhatsApp e "falsa", almeno stando al blog corporate di Open Whisper Systems: la società che ha sviluppato il protocollo crittografico di Signal - ora alla base anche della piattaforma di messaggistica di proprietà di Facebook - ha risposto ufficialmente alle polemiche di questi giorni spiegando che sì, la caratteristica individuata dal giornale britannico esiste ma è pensata solo per facilitare l'adozione di massa dell'IM cifrato.

Il "problema" di WhatsApp, la cui esistenza viene confermata da Open Whisper, consiste nel fatto che in alcune circostanze la coppia di chiavi usata per cifrare i messaggi end-to-end può cambiare - e che tale cambiamento non viene gestito all'utente con dovizia di particolari.

Quando qualcuno acquista un nuovo dispositivo mobile o reinstalla la app, dice la società, WhatsApp rigenera le chiavi crittografiche ripristinando le chat passate tra due utenti; le impostazioni di default non prevedono l'invio di notifiche per l'avvenuta procedura di "re-keying", ma l'utente può sempre modificare il comportamento di WhatsApp a tale riguardo.
Il modo in cui WhatsApp gestisce le chiavi non è affatto una backdoor ma una "funzionalità" adottata in maniera intenzionale, spiegano da Open Whisper, una concessione alle (molto?) ipotetiche velleità spionistiche di Facebook - i cui dipendenti potrebbero in teoria leggere e intercettare i messaggi intromettendosi nell'invio delle nuove chiavi - pensata per facilitare l'utilizzo di una piattaforma di messaggistica sicura e cifrata end-to-end.

"Date le dimensioni e la portata della base di utenza di WhatsApp - ha spiegato la società - crediamo che la scelta di visualizzare una notifica senza blocco sia appropriata. La procedura fornisce una fiducia trasparente e crittograficamente garantita nella privacy delle comunicazioni dell'utente, assieme a un'esperienza utente semplificata."

Alfonso Maruccia
Notizie collegate
20 Commenti alla Notizia Cifratura WhatsApp: niente buco, niente inganno
Ordina
  • Non c'è alcuna "backdoor" all'interno di Signal.
    La backdoor è l'implementazione che ne hanno fatto i furbastri di fakebook all'interno di uozzap.
    non+autenticato
  • La cifratura NON è END-TO-END .. punto e basta !
    non+autenticato
  • appunto, se la chiave di crittografia viene generata dal servizio (ed è così per poter rigenerare le chiavi) il servizio non è sicuro. telegram ad esempio da la possibilità di fare le "chat private", valide solo tra due device, e se cambi device la chat non può essere recuperata.
    non+autenticato
  • Le comunicazioni che non interessano a nessuno potrebbero pure non essere codificate. Invece quando si sviluppa l'interesse di qualcuno questo metodo consente, da un dato momento in avanti, di "vendere" a terzi l'accesso pieno nonostante la cifratura.
    La si può chiamare come si vuole, ma se la generazione delle chiavi può essere intercettata e conosciuta dai gestori del servizio questa "funzione" rientra nella definizione di backdoor.

    Quindi buco SI ed inganno PURE.
    non+autenticato
  • PI tutela le multinazionali non i suoi lettoriImbarazzato.
    non+autenticato
  • Non so se altre multinazionali raccontino balle quando asseriscono che le loro chiavi vengono generate localmente e non sono quindi accessibili agli amministratori del servizio, ma Facebook (e Open Whisper Systems) "ammette" tutta la dinamica per filo e per segno.
    Probabilmente qualcuno di PI avrebbe dovuto semplicemente andarsi a rileggere sul dizionario la definizione di backdoor prima di fare un figuraccia nei confronti di chi s'è tolto da tempo le proverbiali fette di salame ...
    non+autenticato
  • Ok, secondo te PI ha fatto una figuraccia, tieni conto però che una grossissima fetta di lettori con la smentita di oggi si sentono confortati.

    Media di regime.
    non+autenticato
  • - Scritto da: ...
    > una grossissima fetta di lettori
    > con la smentita di oggi si sentono
    > confortati.

    Da che esiste l'Homo (minimamente) sapiens esistono religiosi, politici e truffatori vari che campano su questo bisogno di conforto campato per aria ... ed è questa l'unica ragione per cui ha senso continuare a spiegare anche l'ABC che di per sé non andrebbe ripetuto così tante volte.
    non+autenticato
  • Ti fa onore, ciò non toglie che parlare alle pecore è una battaglia persa in partenza, fidati.
    non+autenticato
  • - Scritto da: ...
    > Ti fa onore, ciò non toglie che parlare alle
    > pecore è una battaglia persa in partenza,
    > fidati.

    Cosa sono allora quegli intelligentoni che sulle questioni di pecore ci sguazzano?
    non+autenticato
  • - Scritto da: 10713 quello vero
    > - Scritto da: ...
    > > Ti fa onore, ciò non toglie che parlare alle
    > > pecore è una battaglia persa in partenza,
    > > fidati.
    >
    > Cosa sono allora quegli intelligentoni che sulle
    > questioni di pecore ci
    > sguazzano?

    Diccelo tu visto che e' gente apple.
  • - Scritto da: panda rossa
    > - Scritto da: 10713 quello vero
    > > - Scritto da: ...
    > > > Ti fa onore, ciò non toglie che parlare
    > alle
    > > > pecore è una battaglia persa in
    > partenza,
    > > > fidati.
    > >
    > > Cosa sono allora quegli intelligentoni che
    > sulle
    > > questioni di pecore ci
    > > sguazzano?
    >
    > Diccelo tu visto che e' gente apple.

    Rivolgiti a questo qui sopra che ha postato alle 4.47 !
    non+autenticato
  • No, non è così.

    Il post del blog di OWS è condivisibile. Uso Signal, sono abituato ad "altra" (e -diciamo- più scomoda) gestione del cambio di keypair, ma il post è convincente.
    C'è un unico punto poco difendibile, su cui mi sembra si glissi "un po'": la scelta di rendere -se ho ben capito- opzionale la notifica di keypair-change. Questa dovrebbe essere SEMPRE visualizzata, insieme ad una spiegazione "user-friendly" sull'opportunità di riverificare di persone i "numeri sicuri" tra le due parti.

    Lungi da me volere difendere WhatsApp, da cui continuo a tenermi alla larga per diversi altri motivi, ma di Open Whisper Systems, e di Marlinspike in particolare, ci si può fidare.
    non+autenticato
  • - Scritto da: Andrea B.
    > C'è un unico punto poco difendibile,

    finchè non cacciano i sorgenti, hanno poco da difendere ed è lecito parlare di backdoor.
    non+autenticato

  • La storia messa in circolazione del Guardian a proposito di una backdoor all'interno di WhatsApp e "falsa"


    Ma il correttore ortografico ce lo avete in redazione ????? Ma avete imparato l'italiano su fessbukk dalle mammine pancine ignoranti come zucche ?????
    mura
    1717
  • Ma se uno si connette regolarmente da più devices, quache volta il PC, qualche volta lo smartphone etc.
    WhatsApp che fa? Mantiene più copie delle conversazioni con cifratura diversa? Non dovrebbe essere l'utente a gestirsi una situazione simile?
    non+autenticato
  • Non lo puoi fare , la procedura per passare da un device all' altro richiede la riattivazione tramite sms, il pc non e' proprio contemplato(*)!




    (*) La versione web richiede un interazione cosi stretta con il device registrato che non la considero per niente.
    non+autenticato
  • - Scritto da: Giulia
    > Non lo puoi fare , la procedura per passare da un
    > device all' altro richiede la riattivazione ...

    Grazie dell'informazione. Non avendolo mai usato non sapevo fosse tanto limitato.

    A questo punto però si rafforza l'idea che automatizzare il tutto per 'semplificare' la vita all'utente è una feature di troppo. Il lavoro di riregistrarsi gli utenti comunque lo devono fare.
    non+autenticato