A seguito dell’arresto del CEO di Telegram Pavel Durov, l’attenzione dei singoli cittadini, dei media, degli stati nazionali si è concentrata sull’app e sulla natura della sua crittografia e privacy.
Telegram, che vanta quasi un miliardo di utenti, si autodefinisce un’app di messaggistica crittografata e, sebbene ciò sia vero, comprendere la privacy dell’app richiede un po ‘più di sfumatura, soprattutto in seguito all’arresto di Durov.
Il termine “crittografia ” è spesso usato in senso lato, ma nel regno dei servizi di messaggistica privati, di solito implica uno standard specifico: crittografia end-to-end predefinita.
Esistono due tipi principali di crittografia:
Crittografia non fine a fine (Cloud Encryption)
Nella crittografia non end-to-end, i messaggi vengono crittografati dal mittente, ma le chiavi di crittografia necessarie per decrittografare i messaggi sono accessibili al fornitore di servizi. Ciò significa che mentre i messaggi sono protetti durante la trasmissione (su Internet), una volta raggiunti i server del fornitore di servizi, il provider può decifrare e accedere al contenuto dei messaggi. Questa configurazione è comune nei servizi in cui il provider potrebbe dover accedere al contenuto dei messaggi per vari motivi, come l’indicizzazione per la ricerca, l’applicazione dei filtri antispam o il rispetto delle richieste legali.
Ad esempio, Gmail utilizza questo tipo di crittografia. Quando si invia un’e-mail via Gmail, viene crittografata durante il transito, assicurando che gli intercettori non possano leggerlo. Tuttavia, una volta che la tua e-mail raggiunge i server di Google, Google ha la capacità di decrittografare le e-mail. Questo perché Google controlla le chiavi di crittografia. Questa funzionalità consente a Google di scansionare e-mail per spam e malware, fornire funzionalità di ricerca tramite e-mail e soddisfare richieste legali come citazioni o warrant che richiedono l’accesso ai contenuti e-mail.
Crittografia end-to-end
Al contrario, con la crittografia end-to-end, i dati (come messaggi o chiamate) sono crittografati sul dispositivo del mittente e solo il destinatario previsto ha la chiave per decrittografarli. Ciò significa che nessun intermediario, nemmeno il fornitore di servizi, ha accesso alle chiavi di crittografia necessarie per decrittografare i dati. Il messaggio rimane crittografato durante il suo viaggio dal mittente al destinatario, diventando leggibile solo quando raggiunge la destinazione prevista.
Quando invii un messaggio tramite queste piattaforme, nessuno oltre a te e al destinatario — nemmeno le società che gestiscono questi servizi — possono leggere ciò che viene inviato. Ciò protegge la tua comunicazione sia dalle minacce informatiche sia da qualsiasi potenziale sorveglianza da parte dei fornitori di servizi o delle autorità governative, rendendola un’opzione più forte per proteggere la privacy.
Telegram utilizza un approccio ibrido alla crittografia, che incorpora sia la crittografia non end-to-end per i messaggi generali sia una funzione di crittografia end-to-end opzionale per coloro che cercano maggiore sicurezza.
Per la maggior parte delle sue interazioni utente, Telegram NON utilizza la crittografia end-to-end.
In questo sistema, i messaggi vengono crittografati sul dispositivo del mittente e inviati ai server di Telegram dove vengono memorizzati.
La crittografia non end-to-end di Telegram viene utilizzata in diverse sue funzionalità chiave:
Accesso multi-dispositivo: Gli utenti possono accedere ai loro messaggi da più dispositivi contemporaneamente. Poiché i messaggi vengono archiviati sui server di Telegram dopo essere stati crittografati, gli utenti possono sincronizzare senza problemi le loro cronologie di chat su qualsiasi numero di dispositivi, come smartphone, tablet o computer.
Backup chat: Telegram offre la possibilità di ripristinare la cronologia delle chat quando si passa a un nuovo dispositivo. Ciò è possibile perché i messaggi vengono memorizzati nel cloud, garantendo che non vengano persi dati anche se il dispositivo è in uso.
Chat e canali di grandi gruppi: La crittografia cloud di Telegram facilita la gestione di chat e canali di grandi gruppi, che possono includere migliaia di membri. Questa configurazione consente l’erogazione e l’archiviazione efficienti dei messaggi anche in grandi volumi.
Integrazione Bot: I robot su Telegram possono interagire con gli utenti in vari modi, ad esempio inviando notifiche personalizzate, facilitando le transazioni o fornendo servizi di informazione. Questi robot possono accedere ai messaggi inviati dagli utenti perché tali messaggi non sono crittografati end-to-end.
Queste funzionalità sono supportate dal fatto che Telegram può, in teoria, decifrare e gestire i messaggi secondo necessità, grazie alla società che ha accesso alle chiavi di crittografia.
In una dichiarazione che affronta le sue pratiche di crittografia, Telegram ha delineato il suo approccio unico. “I dati della chat cloud sono archiviati in più data center in tutto il mondo, controllati da diverse entità legali in varie giurisdizioni, ha spiegato Telegram ”. La società ha inoltre affermato che le chiavi di decrittazione sono suddivise in parti e tenute separate dai dati che proteggono, rendendo praticamente impossibile l’accesso non autorizzato da parte di ingegneri o intrusi locali. “Di conseguenza, gli intrusi o gli ingegneri locali non possono accedere a questi dati e sono necessari diversi ordini del tribunale di diverse giurisdizioni per costringerci a rinunciare a qualsiasi cosa, ” la dichiarazione è continuata.
In sintesi, quando avvii una chat standard o una chat di gruppo con qualcuno su Telegram, la tua chat NON è crittografata end-to-end e, in teoria, può essere decifrata da un’entità diversa da te e dal destinatario dei tuoi messaggi.
Quando segui un canale su Telegram, questo è più simile ai social media e anche i dati trasmessi NON sono crittografati end-to-end. In effetti, può anche essere visibile sul web aperto in questo modo.
Tuttavia, Telegram offre una funzione crittografata end-to-end con ciò che chiama “Chat segrete. ” Questa modalità di comunicazione è protetta dalla crittografia end-to-end, in teoria garantendo che solo le parti comunicanti — il mittente e il destinatario — possano leggere i messaggi. In questa modalità, Telegram afferma che nulla è memorizzato sui server di Telegram e che non ci sono chiavi disponibili per Telegram o terze parti. Le chat segrete includono anche funzionalità di sicurezza aggiuntive come messaggi autodistruggenti e notifiche di screenshot che ti consentono di sapere quando qualcuno ha proiettato un messaggio nella tua chat segreta.
Si noti che le chat segrete devono essere attivate manualmente per ogni conversazione e sono disponibili solo per le chat one-to-one. Ciò significa che se gli utenti non optano specificamente per le chat segrete, le loro comunicazioni non sono protette dalla crittografia end-to-end.
Mentre le chat segrete hanno un alto livello di sicurezza, sono meno convenienti delle chat standard perché entrambi i partecipanti devono essere online per le chat segrete per avviare e scambiare messaggi crittografati. Le chat segrete rimangono anche sui dispositivi da cui sono state avviate e non possono essere sincronizzate con gli utenti ’ altri dispositivi.
Diversi tipi di crittografia end-to-end
Per semplicità, ci sono due forme di base di crittografia end-to-end – open source e open source.
Crittografia open source
La crittografia open source è ampiamente considerata dagli esperti di sicurezza informatica come uno dei metodi di crittografia più sicuri. Questa preferenza è radicata nella trasparenza e nel controllo della comunità offerti dai progetti open source. Quando il software di crittografia è open source, il suo codice sorgente è disponibile al pubblico, consentendo a chiunque di esaminare come funziona il software e verificare la sicurezza dei suoi metodi di crittografia.
Audit di trasparenza e sicurezza: uno dei principali vantaggi della crittografia open source è il livello di trasparenza che offre. Poiché il codice sorgente è accessibile a tutti, esperti di sicurezza indipendenti, ricercatori e sviluppatori possono esaminarlo per vulnerabilità, difetti o backdoor. Questo processo di verifica continuo e aperto tende a tradursi in un software più sicuro, man mano che vengono identificati i problemi e, in teoria, rattoppati più rapidamente rispetto al software proprietario, dove il codice è accessibile solo al team interno dell’azienda.
Collaborazione comunitaria: i progetti open source beneficiano dell’esperienza collettiva di una comunità globale. Gli sviluppatori di tutto il mondo possono contribuire al progetto, migliorando il software con nuove funzionalità, miglioramenti della sicurezza e correzioni. Questo approccio collaborativo non solo accelera lo sviluppo e la fortificazione del software, ma promuove anche l’innovazione nel campo della crittografia.
Costruire la fiducia attraverso la trasparenza: per il software di crittografia, la fiducia è fondamentale. Gli utenti devono confidare che il software proteggerà i propri dati come richiesto. La crittografia open source crea fiducia attraverso la sua trasparenza — gli utenti non devono fare affidamento sui reclami di sicurezza di un fornitore; possono vedere da soli o fare affidamento sulla valutazione di esperti indipendenti che hanno esaminato il codice.
Crittografia a fonte chiusa
La maggior parte degli esperti mette in guardia dall’uso della crittografia a fonte chiusa a causa della sua mancanza di trasparenza, che può oscurare potenziali vulnerabilità e limitare la verifica esterna. A differenza della crittografia open source, in cui il codice è disponibile per la revisione pubblica, la crittografia a fonte chiusa mantiene nascosto il suo codice operativo, limitando la valutazione della sua sicurezza ai team interni dell’azienda che lo possiede. Questa segretezza può impedire agli esperti di sicurezza indipendenti di condurre audit approfonditi, rendendo più difficile fidarsi della solidità della crittografia. Inoltre, senza controllo esterno, è più difficile identificare e correggere i difetti di sicurezza, che potrebbero potenzialmente lasciare i dati dell’utente a rischio di accesso non autorizzato o violazioni.
Quando si utilizza la crittografia a fonte chiusa, è necessario maggiore fiducia in quanto le affermazioni sul grado in cui le comunicazioni sono crittografate non possono essere verificate in modo indipendente.
La crittografia end-to-end di Telegram è una fonte chiusa che ha sollevato scetticismo all’interno della comunità di sicurezza.
Telegram ha fornito diverse ragioni per il suo approccio. La società sottolinea l’equilibrio tra convenienza dell’utente e sicurezza. Il fondatore di Telegram, Pavel Durov, ha affermato che rendere l’intera piattaforma open source potrebbe potenzialmente esporla a maggiori rischi, poiché gli attori malintenzionati potrebbero trovare più facile individuare le vulnerabilità e sfruttarle.
Telegram ha anche sostenuto che i suoi processi di crittografia e sicurezza sviluppati internamente sono robusti e sicuri, anche senza il modello open source. Sostiene che il suo team di sicurezza interno lavora continuamente per migliorare le funzionalità di sicurezza, sostenendo che la sicurezza dei dati crittografati di Telegram — sia per le chat cloud che per le chat segrete — soddisfa standard elevati anche senza convalida esterna.
Quando si sceglie tra strumenti di crittografia open source e open source, è fondamentale che le persone prendano decisioni informate sulla base di una chiara comprensione delle differenze associate a ciascun approccio. La crittografia open source offre una maggiore trasparenza, consentendo a chiunque di controllare e verificare in modo indipendente la sicurezza del software e verificare che un’azienda stia facendo ciò che dice di essere, il che può portare a una maggiore fiducia e sicurezza attraverso miglioramenti collettivi. D’altra parte, la crittografia a fonte chiusa richiede più fiducia, non fornisce lo stesso livello di trasparenza e audit esterni e rende più difficile valutare la sicurezza dello strumento.
Comprendere queste differenze chiave è essenziale perché la scelta dello strumento di crittografia può avere un impatto significativo sulla sicurezza della comunicazione e dei dati.
Considera i metadati
Tuttavia, questa non è la storia completa. Un altro aspetto importante da considerare è ciò che viene fatto con i dati raccolti.
WhatsApp, Facebook Messenger e Telegram sono tra le app di messaggistica più utilizzate a livello globale, ognuna con il proprio approccio alla privacy degli utenti e alla sicurezza dei dati.
WhatsApp e Facebook Messenger, entrambi di proprietà del gigante di Big Tech Meta, offrono una crittografia end-to-end per le conversazioni tra utenti, garantendo che il contenuto dei messaggi sia protetto dall’intercettazione. Tuttavia, queste piattaforme raccolgono e memorizzano metadati, che includono informazioni su chi comunica con chi. Questi dati sono soggetti alla giurisdizione degli Stati Uniti e sono accessibili alle autorità governative attraverso canali legali, il che significa che mentre il contenuto dei messaggi rimane privato, i modelli di comunicazione non sono privati.
Alcune delle piattaforme Meta, come Facebook e Instagram, raccolgono anche enormi quantità di dati sugli utenti al di fuori di queste conversazioni crittografate end-to-end. Poiché le piattaforme Meta condividono i dati tra loro, Meta ha anche la capacità di creare e condividere profili utente rivelatori che si estendono oltre questi schemi di comunicazione.
Telegram, d’altra parte, con il suo modello misto in cui solo le chat segrete “” sono crittografate end-to-end, significa che i messaggi regolari sono crittografati ma non end-to-end, lasciandoli accessibili in determinate condizioni . Sebbene Telegram raccolga anche alcuni dati utente, ha una storia di resistenza alle richieste del governo per l’accesso ai dati e la censura dei contenuti, almeno per quanto a conoscenza del pubblico. Parte dell’arresto di Durov in Francia si basa sul rifiuto di Telegram di soddisfare le richieste del governo.
Sebbene ciò richieda molta fiducia, questa posizione è il motivo per cui alcuni vedono Telegram come una scelta forte per coloro che cercano più privacy dalla supervisione del governo, in particolare nelle regioni con un rigoroso controllo delle comunicazioni digitali.
L’arresto di Durov è particolarmente preoccupante in questo contesto. L’impegno di Durov a resistere alle intrusioni e alla censura del governo è stato una pietra miliare della politica di Telegram, rendendo il suo arresto un allarme significativo per i sostenitori della privacy digitale e della libertà di espressione.
Questo arresto solleva preoccupazioni per la direzione futura delle politiche sulla privacy di Telegram e la sua capacità di resistere alle pressioni esterne, influenzando potenzialmente la fiducia e facendo affidamento che gli utenti pongono sulla piattaforma per comunicazioni sicure.
Seguici sui nostri social
