Nove anni fa nasceva Signal, un’app che gli utenti conoscono poco ma il cui algoritmo crittografico end-to-end è utilizzato da WhatsApp.
Oggi, secondo quanto rivelato da Politico, la Commissione Europea avrebbe prescritto ai suoi dipendenti di abbandonare WhatsApp per abbracciare proprio Signal.
Cenni sull’app di messaggistica scelta anche da Edward Snowden
Un tempo tutti i messaggi inviati e ricevuti tramite WhatsApp venivano veicolati in chiaro: un utente collegato alla stessa rete poteva sniffare i pacchetti dati in transito e accedere al contenuto delle conversazioni altrui (con la possibilità di modificarle).
Nel 2015 i vertici di WhatsApp hanno siglato un accordo con Marlinspike (alias Matthew Rosenfeld), crittografo, esperto di sicurezza informatica e imprenditore statunitense, e la sua Open Whisper Systems affinché l’applicazione di messaggistica già allora di proprietà di Facebook potesse utilizzare il Signal Protocol e attivare il meccanismo di cifratura da un capo all’altro della conversazione per tutti i messaggi (“allegati” compresi) scambiati all’interno del network.
WhatsApp non è mai stato e probabilmente mai sarà un’applicazione opensource: con la “mossa” del 2015, probabilmente, l’azienda mirava anche ad acquisire la fiducia degli utenti garantendo di aver implementato la libreria Signal Protocol senza alcuna modifica.
Esattamente due anni fa Marlinspike annunciò la nascita di Signal Foundation, organizzazione senza scopo di lucro che ha come compito anche quello di seguire lo sviluppo dell’app di messaggistica Signal.
Dopo aver abbandonato WhatsApp, in forza delle sue posizioni divergenti rispetto alla guida di Mark Zuckerberg, il cofondatore dell’app Brian Acton versò 50 milioni di dollari per sostenere Signal e il suo sviluppo (Il cofondatore di WhatsApp finanzia Signal con 50 milioni di dollari) continuando poi la polemica a distanza con Facebook (Brian Acton continua a promuovere la campagna DeleteFacebook).
Acton è poi diventato presidente esecutivo di Signal Foundation.
Da allora Marlinspike ha utilizzato i milioni di Acton – e la sua esperienza nel costruire applicazioni di successo – per far crescere Signal. Dopo anni di lavoro con soli 3 dipendenti a tempo pieno (peraltro sovraccarichi di lavoro), Signal Foundation conta oggi 20 dipendenti.
In soli tre mesi, Signal ha aggiunto il supporto per iPad, il supporto per immagini e video che scompaiono automaticamente dopo una sola visualizzazione, “adesivi” scaricabili e personalizzabili ed emoji. Marlinspike ha inoltre annunciato l’intenzione di lanciare un nuovo sistema per la messaggistica di gruppo e un metodo sperimentale per l’archiviazione dei contatti sul cloud (in forma crittografata, ovviamente).
La nuova messaggistica di gruppo su Signal permetterà agli amministratori dei gruppi di aggiungere e rimuovere persone senza che un server Signal conosca mai l’elenco dei membri di quel gruppo. Con la collaborazione di Microsoft Research, Marlinspike e i suoi hanno ideato un sistema di “credenziali anonime” che permette al server di sapere chi appartiene a un gruppo senza possibilità di risalire alla sua identità.
Signal sta ripensando anche il modo col quale viene tenuta traccia anche dei grafici sociali dei suoi utenti: una nuova funzionalità in corso di sperimentazione è stata battezzata secure value recovery e consente di creare una rubrica dei contatti e di memorizzarli su un server Signal invece di dipendere semplicemente dall’elenco dei contatti conservati nel proprio smartphone. Tale lista di contatti memorizzata lato server verrebbe conservata (in forma crittografata) anche quando si passasse a un nuovo telefono.
La chiave crittografica sarebbe conservata nell’enclave sicura SGX che serve appunto a nascondere certi dati anche dal resto del sistema operativo lato server.
Questa caratteristica potrebbe un giorno permettere a Signal di abbandonare il suo attuale sistema di identificazione degli utenti in base ai loro numeri di telefono, aspetto che molti sostenitori della privacy hanno criticato poiché costringe chiunque voglia essere contattato tramite l’app di Marlinspike a dare un numero di telefono cellulare, spesso a sconosciuti.
Lo stesso Edward Snowden, collaboratore di un’azienda consulente della NSA e conosciuto ai più per aver rivelato pubblicamente dettagli riservati su diversi programmi di sorveglianza di massa promossi dai governi statunitense e britannico, ha più volte messo il suo cappello sopra Signal asserendo di utilizzare proprio l’app di Marlinspike per tutte le sue comunicazioni.
L’endorsement della Commissione Europea
Fa riflettere, sempre se quanto riportato da Politico venisse confermato, quello che è più di un suggerimento di passare a Signal proveniente dalla Commissione Europea e diretto a tutti i suoi dipendenti.
“Signal è stata selezionata come applicazione consigliata per la messaggistica istantanea“, è il messaggio che sarebbe apparso nei sistemi di comunicazione interni della Commissione.
La decisione potrebbe essere arrivata dopo la scoperta di diversi smartphone appartenenti a diplomatici e persone di spicco “spiati” da soggetti terzi.
È un po’ il succo della “denuncia” avanzata da Pavel Durov, ideatore di un’altra popolarissima app di messaggistica – Telegram -, che ha platealmente accusato WhatsApp e Facebook di “giocare sporco”: WhatsApp non è sicuro: Pavel Durov accusa di nuovo l’app di Facebook. Secondo l’imprenditore russo la scelta di mantenere il sorgente chiuso e addirittura offuscare il codice dell’applicazione, non sono un bel segnale per WhatsApp. La periodica scoperta di vulnerabilità in WhatsApp che in alcuni casi sono state sfruttate per monitorare i terminali di alcuni utenti (si pensi a quanto accaduto al numero uno di Amazon, Jeff Bezos) è secondo Durov motivo per abbandonare l’applicazione.
Per non parlare delle pressioni che i governi di Stati Uniti, Regno Unito e Australia stanno facendo su Facebook per “aprire” gli algoritmi crittografici usati dalle varie app: USA, Regno Unito e Australia chiedono a Facebook di non usare la crittografia end-to-end.
Se la posizione della Commissione Europea dovesse essere confermata, sarebbe palese trovarsi di fronte a un segnale evidente. La spia che nella gestione di un’app come WhatsApp qualcosa sta da tempo cambiando.
Maggiori informazioni su Signal e i link per il download sono disponibili sul sito ufficiale del progetto.