Android System Key Verifier: cos'è e come funziona la verifica delle chiavi

Insieme con Android System SafetyCore, Google ha avviato la distribuzione su larga scala di un altro componente annunciato a novembre 2024. Si tratta di Android System Key Verifier, servizio di sistema progettato per migliorare la sicurezza delle app di messaggistica che integrano il supporto per la crittografia end-to-end (E2EE). L’obiettivo è quello di fornire un sistema unificato per la verifica delle chiavi pubbliche associate a ciascun contatto.

Il servizio si fa carico di gestire le chiavi necessarie per la crittografia end-to-end nelle comunicazioni, garantendo che i messaggi rimangano sicuri e protetti. La crittografia end-to-end è un metodo di protezione dei dati che assicura che solo il mittente e il destinatario possano leggere i messaggi scambiati. Funziona attraverso l’uso di chiavi crittografiche: il mittente cifra il messaggio con una chiave pubblica, mentre solo il destinatario può decifrarlo con la sua chiave privata. Le chiavi sono generate sui dispositivi dei partecipanti alla comunicazione e quelle private sono conservate in locale.

Perché c’era davvero bisogno di Android System Key Verifier? Le app di messaggistica integrano già una funzione simile

WhatsApp e altre applicazioni di messaggistica istantanea gestiscono autonomamente le chiavi crittografiche e integrano un meccanismo basato sullo scambio di codici QR che aiuta a verificare, in caso di dubbi, che la persona con cui si sta colloquiando sia davvero quella che dice di essere.

L’approccio seguito da Android System Key Verifier è sostanzialmente identico, con la differenza che Google – forte del numero di dispositivi basati su Android – mira a proporre agli sviluppatori una soluzione standardizzata per la gestione e la verifica delle chiavi crittografiche.

Android System Key Verifier agisce a un livello più ampio, integrandosi direttamente nel sistema operativo. In questo modo, Google può:

• Fornire un meccanismo unificato e coerente per tutte le app che desiderano implementare la verifica delle chiavi pubbliche.
• Ridurre la dipendenza da soluzioni specifiche delle singole applicazioni, creando uno standard che può essere adottato da sviluppatori terzi.

Come nel caso di Android System SafetyCore, anche Android System Key Verifier comincia quindi con il supporto di Google Messaggi, anche se nelle mire dell’azienda di Mountain View vi è l’integrazione con quante più app possibile.

Sicurezza avanzata contro attacchi sofisticati

Android System Key Verifier trae palesemente ispirazione dalla verifica delle chiavi dei contatti su iPhone. Così come la soluzione Apple, anche il sistema Google aggiunge un ulteriore livello di protezione centralizzato. Uno schema particolarmente utile per mitigare attacchi mirati e sofisticati che potrebbero sfruttare vulnerabilità specifiche delle singole app.

Con l’aumento delle truffe online, Google mira a fornire strumenti che rafforzino la fiducia nelle comunicazioni digitali. Android System Key Verifier può aiutare a prevenire attacchi basati sull’impersonificazione, offrendo un metodo universale per verificare le identità dei contatti.

Servendosi di Android System Key Verifier, gli utenti possono verificare l’identità dei contatti in modo indipendente dall’app utilizzata. Possono ad esempio scansionare codici QR o confrontare manualmente le chiavi pubbliche senza dover accedere a funzionalità specifiche dell’app.