Revisione del segnale

Segnale


ProPrivacy.com Punto
9 su 10

Sommario

Signal messenger è ampiamente considerato come il modo più sicuro e privato per comunicare a distanza e ancora concepito. Nato da un'idea della leggenda sulla privacy Moxie Marlinspike, Signal sostituisce la tua app di messaggistica SMS predefinita, rendendola quasi perfetta da usare.

Cos'è Signal?

Signal è principalmente un'app di messaggistica sicura e open source che sostituisce il tuo telefono Android o la normale app SMS di iPhone. I messaggi da e verso altri utenti di Signal vengono inviati su Internet e protetti da una crittografia end-to-end molto potente.

Usa Tor. Usa segnale. https://t.co/NSY36coKXJ

- Edward Snowden (@Snowden) 13 dicembre 2017

I messaggi da e verso i contatti non di segnale vengono inviati tramite normali messaggi di testo SMS e non sono sicuri. Quando si invia un messaggio di testo non sicuro, si viene avvisati che non è sicuro e si invita a invitare il proprio contatto a utilizzare Signal.

Questa configurazione garantisce che Signal sia perfettamente utilizzabile quando si inviano messaggi di testo ad altri utenti Signal e ai non utenti. Poiché è progettato per sostituire il normale client SMS, Signal richiede la registrazione con un numero di telefono valido. Discuterò di questo problema più avanti.

Il bello di questo sistema è che Signal è quasi trasparente nell'uso, il che dovrebbe rendere più semplice convincere amici, familiari e colleghi a usare l'app!

Oltre alla messaggistica di testo e SMS, Signal supporta anche chiamate vocali sicure (VoIP) e videochiamate tra utenti. Sebbene principalmente un'app mobile, esiste anche una versione desktop.

Il segnale è open source?

Il software open source è un software il cui codice sorgente è stato reso pubblicamente disponibile dal suo titolare del copyright. Ciò significa che può essere controllato in modo indipendente per verificare eventuali errori e per garantire che non stia facendo qualcosa che non dovrebbe. Il segnale è stato completamente controllato in modo indipendente nel 2016 ed è risultato sicuro dal punto di vista crittografico.

Con il codice sorgente chiuso non c'è modo di sapere cosa sta realmente facendo il codice, quindi non è possibile fidarsi del codice sorgente chiuso per proteggere le comunicazioni. Per questo motivo, dovresti fidarti solo di app open source come Signal per mantenere le tue comunicazioni sicure e private. Per ulteriori discussioni su questo argomento, consultare Perché l'Open Source è così importante.

Il segnale utilizza la crittografia end-to-end

Tutti i messaggi di segnale sicuri vengono crittografati sul telefono prima di essere inviati e possono essere decrittografati solo dal destinatario o dai destinatari previsti.

Ciò elimina la necessità di affidarsi a terze parti per proteggere i tuoi dati e nessuna terza parte può accedere ai messaggi in transito. L'unico modo per un avversario di accedere ai messaggi inviati da Signal è se ha accesso fisico diretto al tuo o al telefono del destinatario.

Anche allora, Signal include l'opzione per crittografare tutti i messaggi memorizzati, il che rende impossibile accedervi a meno che il proprietario del telefono non possa in qualche modo essere costretto a rivelare il loro passcode.

Ricorda solo che i messaggi inviati a utenti non Signal non sono sicuri!

Signal Private Messenger è sicuro?

I messaggi Secure Signal vengono crittografati utilizzando Signal Protocol, che è probabilmente il protocollo di messaggistica di testo più sicuro mai sviluppato. Combina il protocollo di accordo chiave Extended Triple Diffie-Hellman (X3DH), l'algoritmo Double Ratchet, le pre-chiavi e usa Curve25519, AES-256 e HMAC-SHA256 come primitive crittografiche.

Una grande suddivisione del significato di tutto ciò è disponibile qui e, come notato in precedenza, un audit formale ha riscontrato che il protocollo Signal è crittograficamente valido.

A partire da marzo 2017, le chiamate vocali e video di Signal sono crittografate utilizzando lo stesso Protocollo di segnale che protegge i messaggi di testo.

Funzionalità di sicurezza aggiuntive

I messaggi e le notifiche possono essere bloccati con una passphrase e puoi scegliere di utilizzare una "tastiera in incognito" che non imparerà dalla digitazione. Signal presenta anche messaggi scomparsi, che è simile alla funzione di definizione di Snapchat.

Funzionalità di sicurezza del segnale

È importante sottolineare che Signal fornisce un meccanismo per verificare l'identità dei tuoi contatti. Ogni conversazione ha un unico numero di sicurezza (impronta digitale) che puoi confrontare con altri partecipanti e contrassegnare come verificato quando sei sicuro della loro identità.

Problemi con Signal Private Messenger

Le seguenti decisioni progettuali di Signal sono state criticate, sebbene Signal abbia fatto molto per rispondere a queste domande.

Scoperta del contatto

Per sostituire senza problemi il messaggistica SMS del tuo telefono con l'app Signal, Signal utilizza numeri di telefono reali per abbinare i contatti. Questo è considerato da alcuni un rischio per la privacy, che preferirebbe un sistema di rilevazione dei contatti basato su indirizzi e-mail o nomi utente anonimi.

Esistono tuttavia due fattori attenuanti molto forti a favore di Signal su questo tema:

  1. Signal non può vedere i tuoi contatti e il tuo elenco di contatti non è accessibile a nessuno tranne te.
  2. È possibile registrarsi utilizzando un telefono "masterizzatore" o una carta SIM usa e getta. Una volta registrata, l'app Signal non deve essere eseguita sul telefono con cui è stata registrata.

Google Play Services

Fino allo scorso anno Signal per Android era disponibile solo dal Google Play Store e pertanto richiedeva l'esecuzione di Google Play Services. Sebbene Moxie Marlinspike abbia difeso con fermezza questa decisione, molti lo hanno considerato un grave problema di sicurezza in quanto questo software proprietario offre a Google la possibilità di eseguire una sorveglianza di basso livello sui dispositivi degli utenti.

Signal consiglia comunque di scaricare l'app tramite Google Play Store, ma ora è anche possibile scaricare un .apk gratuito di Google Signal direttamente dal sito Web ufficiale.

Il segnale mantiene i metadati

Il protocollo Signal non impedisce a un'azienda di conservare informazioni su quando e con chi gli utenti comunicano. Le uniche informazioni sui metadati che Signal stesso conserva sono "la data e l'ora in cui un utente si è registrato con Signal e l'ultima data della connettività di un utente al servizio Signal". Questa affermazione è stata dimostrata in tribunale.

Altre società che hanno incorporato il Protocollo di segnale nei loro prodotti, tuttavia, potrebbero non avere un atteggiamento così solido nei confronti della privacy degli utenti.

finanziamento

Come con altri progetti di privacy open source di alto profilo come LEAP (che viene utilizzato per eseguire RiseUp.net), GlobaLeaks (WikiLeaks-simili) (supportato da sviluppatori Tor come Jacob Applebaum), il Guardian Project (creatori di ChatSecure e Orbot) e il Tor Project stesso, la società madre di Signal, Whisper Systems, riceve generosa assistenza finanziaria da agenzie finanziate dal governo degli Stati Uniti.

Molti attivisti per la privacy e sviluppatori open source sostengono che la buona matematica è buona matematica indipendentemente da dove provengono i finanziamenti e che i finanziamenti necessari per sviluppare sistemi sicuri sono altrimenti molto difficili da trovare.

Questa domanda di finanziamento ha tuttavia portato alcuni a mettere in dubbio l'integrità di tali affermazioni. Per un'eccellente discussione su questo argomento, consultare la privacy su Internet, finanziata da spooks: una breve storia del BBG di Yasha Levine.

Nonostante queste preoccupazioni (che riguardano quasi tutti i principali progetti di sicurezza open source), Signal sembra essere tra le applicazioni più sicure attualmente disponibili. Paghi i tuoi soldi (o no in questo caso) e rischi ...

Il processore in banda base

All'interno di ogni telefono cellulare mai realizzato è presente un chip proprietario a sorgente chiuso chiamato processore in banda base. Data la natura di ciò che poco si sa su questo chip a sorgente chiuso, ci sono tutte le ragioni per credere che potrebbe consentire ai provider di telefonia mobile di bypassare qualsiasi crittografia utilizzata da qualsiasi app in esecuzione su un telefono cellulare.

Potrebbero facilmente accedere a tutti i contenuti di un telefono in chiaro e in tempo reale con il semplice espediente di accedervi nel momento in cui vengono crittografati / decrittografati.

O almeno questa è la teoria. Nessuna prova di ciò che sta realmente accadendo è mai stata segnalata. Va sottolineato che nulla di tutto ciò è colpa di Signal ed è un potenziale difetto in tutti i software di sicurezza mobile.

Va anche sottolineato che un avversario che utilizza tali metodi per spiare le comunicazioni crittografate degli utenti di smartphone dovrebbe essere molto potente (ad esempio l'NSA) e quasi certamente dovrebbe mirare specificamente al telefono di un individuo noto (quindi nessuna spionaggio generale).

Blocco

In risposta al blocco da parte dell'Egitto nel dicembre 2016, Signal ha introdotto il fronting del dominio. Ciò consente agli utenti di Signal in alcuni paesi di eludere la censura facendo sembrare che si stiano connettendo a un diverso servizio basato su Internet.

Il fronting del dominio è attualmente abilitato per impostazione predefinita in Egitto, Emirati Arabi Uniti, Oman e Qatar, quindi gli utenti di quei paesi possono accedere a Signal normalmente.

Sfortunatamente, gli utenti in Iran non sono così fortunati. La funzione di fronting del dominio di Signal si basa sul servizio Google App Engine che non è disponibile in Iran a causa della conformità di Google alle sanzioni statunitensi.

Come usare il segnale

Quando installi Signal sostituisce il tuo SMS predefinito. Per impostazione predefinita, tutti i vecchi messaggi e la cronologia dei messaggi vengono importati e Signal utilizza l'elenco dei contatti del dialer predefinito.

In uso si comporta esattamente come il tuo normale messenger SMS quando si tratta di utenti non Signal, ad eccezione della visualizzazione di un'opzione per invitarli a Signal. Come al solito, i messaggi SMs costano ogni volta che il tuo gestore di telefonia mobile e il piano di pagamento specificano.

Come usare il segnale

Quando si invia un messaggio ad altri utenti di Signal, si viene avvisati del fatto e i messaggi vengono crittografati in modo sicuro. Puoi anche avviare una chat vocale, video o di gruppo con loro. Le conversazioni del segnale sicuro vengono trasmesse su Internet e (a parte eventuali addebiti sulla larghezza di banda dell'ISP o del provider di telefonia mobile che potrebbero essere applicabili) sono gratuite.

Altre app che utilizzano il protocollo Signal

Grazie alla sua formidabile reputazione per la crittografia end-to-end sicura, numerose altre app di messaggistica di alto profilo ora utilizzano anche il protocollo Signal. Ciò include WhatsApp, Facebook Messenger e Skype.

In linea di massima, questo può essere considerato una grande vittoria per la privacy, in quanto porta messaggistica crittografata end-to-end sicura a milioni di utenti ordinari che altrimenti non si preoccuperebbero di problemi di privacy.

Tuttavia, tieni presente che, sebbene utilizzino lo stesso Protocollo di segnale sottostante, queste app di terze parti non sono così sicure o private come l'utilizzo dell'app stessa. Questo è perché:

  • Queste app sono di tipo chiuso, quindi non c'è modo di sapere con certezza cosa stanno facendo. Probabilmente è improbabile, ma potrebbero, ad esempio, inviare una copia delle chiavi di crittografia a Facebook o Microsoft.
  • Come già notato, sebbene le aziende non possano conoscere il contenuto delle comunicazioni quando sono crittografate con il protocollo Signal, possono raccogliere metadati ad esse correlati (chi, quando, dove). E ammettiamolo, Facebook (che possiede anche WhatsApp) e Microsoft sono noti per essere un anatema per la privacy.

Detto questo, probabilmente hai molti amici che usano già WhatsApp, Facebook Messenger e Skype, quindi è più probabile che crittografino effettivamente i loro messaggi utilizzando queste app ...

Signal Private Messenger: conclusione

Signal ha rivoluzionato la chat privata introducendo messaggi crittografati end-to-end open source altamente sicuri che sono facili e senza interruzioni da utilizzare come l'invio di normali messaggi di testo SMS. L'uso di numeri di telefono reali per la scoperta dei contatti riguarda alcuni, ma questo è fortemente mitigato.

Molto semplicemente, se vuoi conversazioni private sicure, allora non c'è vera competizione con Signal.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me