“I messaggi che invii in questa chat e le chiamate sono ora protetti con la crittografia end-to-end“: questo il messaggio che gli utenti WhatsApp – ve ne sono circa un miliardo attivi in tutto il mondo – stanno vedendo in queste ore apparire nelle chat con altri contatti e nelle chat di gruppo.
Come abbiamo accennato nell’articolo di ieri (WhatsApp supporta in pieno la crittografia end-to-end), WhatsApp ha deciso di passare all’utilizzo della crittografia end to end (E2E).
Qualche segnale era già arrivato nelle scorse settimane: gli ultimi aggiornamenti servivano a “preparare il terreno” ma ieri i tecnici di WhatsApp hanno “girato l’interruttore”.
Tutti coloro che hanno installato una versione di WhatsApp dopo il 31 marzo 2016 potranno scambiare messaggi in modo sicuro contando sulla crittografia end to end.
Cos’è la crittografia end to end
Con il termine crittografia end to end si fa riferimento a quella comunicazione sicura, cifrata, che viene instaurata da un capo all’altro, tra mittente e destinatario del messaggio (e viceversa).
La crittografia end to end, se correttamente implementata, consente di evitare che il messaggio scambiato utilizzando un mezzo intrinsecamente insicuro qual è la rete Internet, possa essere “intercettato” e letto da parte di soggetti terzi.
Viene così scongiurata l’eventualità di un attacco man-in-the-middle lungo tutto il tragitto compiuto dal messaggio.
In altre parole, solo il destinatario (ed il mittente) possono leggere il contenuto del messaggio impedendone automaticamente l’eventuale lettura o modifica da parte di altri utenti, agenzie investigative, enti governativi, operatori di rete e provider.
Nel caso della crittografia end to end di WhatsApp, i messaggi cifrati non possono essere esaminati neppure dai tecnici della società di proprietà di Facebook. Perché? Perché i messaggi inviati vengono crittografati usando la chiave pubblica del destinatario ed il destinatario potrà leggerli usando unicamente la sua chiave privata.
Si tratta dello schema osservato da tutti gli algoritmi che usano la cosiddetta crittografia asimmetrica o a chiave pubblica.
La crittografia è end to end, poi, perché le chiavi sono generate sui dispositivi degli utenti e, in particolare, la chiave privata non lascia mai tali device.
Quando è attiva la crittografia end to end in WhatsApp
Affinché WhatsApp utilizzi la crittografia end to end per l’invio di messaggi, video, registrazioni vocali, chiamate VoIP e così via, basterà installare l’ultima versione dell’applicazione. È però necessario che anche i propri contatti facciano altrettanto.
Avviando una chat con un contatto, la comparsa dell’avviso “I messaggi che invii in questa chat e le chiamate sono ora protetti con la crittografia end-to-end…” conferma l’abilitazione della crittografia end to end.
Toccando il nome del contatto, lo stesso messaggio sarà presente anche tra le informazioni del profilo. Accanto è presente un evidente lucchetto “chiuso”.
Diversamente, se il contatto non avesse ancora aggiornato WhatsApp, la frase “I messaggi che invii in questa chat e le chiamate sono ora protetti con la crittografia end-to-end…” non apparirà e, toccando il suo nome, si noterà la presenza di un lucchetto “aperto”.
Toccando “I messaggi che invii in questa chat e le chiamate sono ora protetti con la crittografia end-to-end…“, apparirà in WhatsApp la schermata Conferma codice sicurezza. Nell’angolo inferiore destro è presente l’indicazione Scannerizza codice.
La funzionalità è apparsa ostica per diversi utenti. In realtà, essa serve unicamente per verificare che il canale end to end stabilito tra mittente e destinatario sia davvero sicuro e che non vi siano soggetti interposti nel mezzo della comunicazione.
La verifica implica la vicinanza “fisica” tra i due soggetti che desiderano scambiarsi messaggi in modo sicuro: toccando Scannerizza codice su uno dei due dispositivi mobili e inquadrando il codice QR (vedere Come creare un codice QR, anche per i biglietti da visita) visualizzato sull’altro, si avrà la conferma che il canale di comunicazione è sicuro.
WhatsApp effettuerà infatti una verifica sulle chiavi crittografiche usate e confermerà che tutto funziona correttamente.
Di base, però, la crittografia end to end in WhatsApp è già attiva tra utenti che abbiano correttamente installato l’ultima versione dell’app di messaggistica. Non è necessario effettuare ulteriori operazioni.
Per la crittografia end to end WhatsApp usa il Signal Protocol
Signal è l’applicazione sviluppata dal team di Open Whisper Systems, guidato da Moxie Marlinspike, noto ed apprezzato crittografo ed è l’applicazione che Edward Snowden ha dichiarato di utilizzare da sempre (prima ancora, quando si chiamava TextSecure per inviare messaggi in modo sicuro; vedere Alternativa a WhatsApp sicura e con cifratura end-to-end).
Dopo l’accordo stipulato lo scorso anno con WhatsApp, Marlinspike ha collaborato con l’azienda controllata da Facebook per integrare il suo Signal Protocol.
Stando a quanto viene dichiarato, il protocollo – che non “reinventa la ruota” ma utilizza in larga parte algoritmi per noti ed apprezzati – è stato adottato in WhatsApp nella stessa forma in cui è utilizzato in Signal.
WhatsApp, nella sua stessa documentazione tecnica, dichiara di usare la libreria opensource del Signal Protocol, disponibile a questo indirizzo.
Nonostante WhatsApp non sia un prodotto opensource, la società mira ad acquisire la fiducia degli utenti garantendo di aver implementato la libreria Signal Protocol così com’è.
“Con la crittografia end to end non abbiamo più alcun accesso alle informazioni in chiaro sui messaggi scambiati dagli utenti di WhatsApp e sulle chiamate effettuate“, si dichiara. Specificando che “anche qualora le chiavi di codifica dovessero essere fisicamente estratte dal dispositivo di un utente, esse non potrebbero essere sfruttate per andare indietro nel tempo e leggero il contenuto dei vecchi messaggi“.
WhatsApp vuole così porre fine, da parte sua, alle continue richieste provenienti dai governi e dagli enti governativi di mezzo mondo. La società farà presente di non essere in grado di rispondere alle richieste pervenute non essendo tecnicamente possibile recuperare alcuna informazione in chiaro sul materiale scambiato dagli utenti del network.
Di recente Marlinspike ed altri noti crittografi, oltre allo stesso Snowden, avevano sparato a zero sull’approccio crittografico usato da Telegram (vedere questa discussione e il nuovo messaggio di ieri).
D’ora in avanti, anche considerata la platea di utenti che ha coinvolto la modifica appena apportata a WhatsApp, si susseguiranno di sicuro una serie di verifiche sull’implementazione del Signal Protocol. Ma WhatsApp ha fatto la cosa giusta, con una mossa che senza dubbio rilancia l’app di messaggistica.