Crittografia end-to-end

“I messaggi e le chiamate sono crittografati end-to-end. Nessuno al di fuori di questa chat, può leggerne o ascoltarne il contenuto. Tocca per saperne di più.”

Vi sarà sicuramente capitato di leggere questo messaggio ogni volta che avviate una nuova chat con un nuovo utente, magari usando un app di messaggistica digitale. Si tratta della crittografia end-to-end. In tempi in cui la sicurezza dei dati e della privacy è necessaria e considerando il continuo aggiornamento delle norme che la governano, abbiamo pensato fosse il momento di entrare nel dettaglio.

La crittografia end-to-end o E2E è un metodo di protezione dati e contenuti che garantisce la comunicazione “a senso unico”: solo chi scrive e chi riceve un messaggio, può leggerne il contenuto, entrambi sicuri che questo non verrà compreso e divulgato al di fuori di quella relazione.

In gergo, “i dati vengono crittografati sul dispositivo del mittente e decrittografati solo sul dispositivo del destinatario, senza che nessun intermediario abbia accesso alle chiavi di decrittazione”. Nessuno potrà mai venire a conoscenza di quella conversazione, anche se la intercetta, volontariamente. Questo avviene perché, senza usare tecnicismi, le informazioni intelligibili che vengono scambiate da un punto A a un punto B, sono illeggibili durante tutto il loro viaggio prima di arrivare a destinazione. Si tratta ovviamente di millesimi di secondo.

Illeggibili anche dal proprietario del server che permette lo spostamento del messaggio, come ad esempio WhatsApp: neppure lui può comprendere, salvare e divulgare a terzi il contenuto delle chat che ogni giorno ci scambiamo.

Anche se WhatsApp integra questo tipo di crittografia solo nel 2016, la end-to-end trova la sua applicazione nel 1976, quando due studiosi statunitensi, Whitfield Diffie e Martin Hellman, implementano la lineare e simmetrica trasmissione delle informazioni con la “crittografia asimmetrica”.

Non essendo noi degli informatici, ma volendo capire come davvero funziona, ci siamo affidati a diverse fonti per scrivere questo articolo. Riportiamo alcuni estratti dalle nostre ricerche bibliografiche, per vederci chiaro:

“La crittografia è la scienza che studia il modo di modificare un messaggio per renderlo comprensibile solo a chi conosce il metodo di cifratura (…). Il metodo più antico e semplice di crittografia viene chiamato crittografia simmetrica: due persone utilizzano lo stesso codice, in gergo “chiave”, per cifrare e decifrare i messaggi che si scambiano. (…). La crittografia asimmetrica invece si basa sulla comunicazione di due coppie di chiavi: una pubblica e una privata. La coppia pubblica può non essere protetta, perché la sicurezza dipende dalla coppia di chiavi private.”

Ma siamo sicuri che questo sistema sia infallibile? Per rispondere a questa domanda, abbiamo capito che no, non esiste sistema infallibile, perché fino ad ora abbiamo sempre e solo parlato di “dati”. E cosa ne è dei metadati?

I metadati sono informazioni più specifiche sui dati; consentono di ricercare e recuperare un documento dal nostro archivio informatico, nel momento in cui ne abbiamo bisogno. Sebbene utilizzi la crittografia E2E, WhatsApp conserva metadati non criptati sui propri server, come orario di invio del messaggio, numeri di telefono dei partecipanti alla conversazione, e in alcuni casi, dettagli relativi alla posizione.

Abbiamo scampo? Sembra che Signal sia l’app di messaggistica più sicura: memorizza solo le informazioni minime: l’orario di ultima connessione o il numero di telefono e no, non salva metadati dei messaggi sui propri server.

Tutto questo per dirvi che quando vogliamo proprio essere sicuri e sicure che il nostro messaggio non venga recuperato da nessun’altro al di fuori del destinatario per cui era stato pensato, cerchiamo di verificare come l’applicazione che stiamo usando gestisce i metadati, oppure evitiamo di fare troppi backup delle nostre chat, per preservarle in qualche posto a noi sconosciuto.

Partecipa alla discussione su LinkedIn
Torna su

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *