Cos’è l’ app Signal? Come utilizzare l’applicazione di messaggistica criptata e sicura (recensione completa)

signal app
Condividi questo articolo:


L’applicazione di messaggistica criptata Signal esiste dal 2015, ma ha visto una rinascita sulla scia delle proteste per l’uccisione di George Floyd, un uomo di colore morto in custodia della polizia. Alcuni manifestanti e attivisti preferiscono l’app rispetto ad altri metodi di comunicazione per via del sistema di messaggistica privata e sicura di Signal.

Se non avete familiarità con l’app e con il suo funzionamento, abbiamo suddiviso cosa è Signal e come usarlo.

Che cos’è e come funziona l’app Signal?

Signal consente di inviare gratuitamente testi, telefonate, video, file, video telefonate e la vostra posizione utilizzando la crittografia end-to-end. Ciò significa che le vostre conversazioni possono essere lette o ascoltate solo da voi e dalle persone con cui state parlando.

Ha l’aspetto e il funzionamento di qualsiasi altra applicazione di messaggistica, e utilizza il vostro nome e il vostro numero di telefono reale per cercare e contattare persone che già conoscete.

Signal è una app sicura ? E la privacy?

Signal tiene nascosti i messaggi delle persone se i loro telefoni vengono rubati, hackerati o confiscati dalla polizia. Anche se terzi dovessero avere accesso in qualche modo, i vostri messaggi appariranno in un codice che non saranno in grado di decifrare.

Il mese scorso c’è stata una vulnerabilità di sicurezza che avrebbe potuto permettere ai cattivi attori di rintracciare la posizione di un utente, ma Signal ha riferito che il problema è stato risolto.

Come si confronta Signal con WhatsApp, Telegram e altri?

Mentre WhatsApp e Facebook Messenger hanno anche una messaggistica di crittografia end-to-end, queste applicazioni raccolgono ancora alcuni dei tuoi dati per scopi pubblicitari. Signal non consente agli inserzionisti, e soprattutto al governo, di accedere ai tuoi messaggi.

Signal è anche un’applicazione open-source gestita da un’organizzazione no-profit indipendente, il che significa che chiunque abbia le conoscenze e le competenze necessarie può rivedere il programma di Signal per assicurarsi che non ci siano difetti nel sistema.

Come usare l’ app Signal su iOS e Android

Signal funziona sia su dispositivi iOS e Android, sia su desktop, ed è scaricabile gratuitamente.

Come parte del processo di configurazione, dovrete inserire il vostro numero di telefono e un codice inviato al vostro numero di telefono per verificare la vostra identità. Sarà inoltre richiesto di creare un codice pin a quattro cifre per un’ulteriore verifica di sicurezza.

Una volta impostati, potrete inviare e ricevere liberamente messaggi agli altri utenti di Signal. Signal si sincronizzerà con l’elenco dei contatti del vostro telefono e vi mostrerà altre persone nei vostri contatti che utilizzano Signal.

Una caratteristica unica dell’applicazione di messaggistica è la possibilità di cancellare le singole conversazioni dopo un determinato periodo di tempo. Per attivare questa funzione, è sufficiente fare clic sul profilo di un utente e assicurarsi che la funzione “Disappearing Messages” sia attivata.

E la crittografia? Signal VS Telegram

Come accennato in precedenza, Signal utilizza la crittografia end-to-end per tutti i suoi messaggi.

Più specificamente, Signal protegge tutti i messaggi degli utenti criptandoli prima di inviarli al destinatario.

Inoltre, solo il destinatario del messaggio ha il privilegio di decifrare il messaggio dal mittente.

Questo metodo di invio dei messaggi elimina essenzialmente qualsiasi necessità da parte dell’utente di fidarsi di qualsiasi tipo di applicazione di terze parti per mantenere i propri dati non solo al sicuro e/o protetti.

Inoltre, ciò significa anche che nessuna applicazione o servizio di terze parti ha la possibilità di accedere ai messaggi dell’utente mentre sono in transito.

Infatti, molti ritengono che l’unico modo in cui un determinato avversario ha la possibilità di accedere ai messaggi dell’utente (che vengono inviati tramite il Segnale) è se l’avversario è riuscito ad avere un accesso diretto e fisico allo smartphone dell’utente o del destinatario.

E anche in questo caso, l’app ufficiale Signal ha la possibilità di criptare tutti i messaggi che l’utente ha memorizzato sul suo dispositivo.

In sostanza, questo rende impossibile a chiunque accedere a qualsiasi messaggio dell’utente a meno che e fino a quando un cattivo attore non riesca in qualche modo a costringere il proprietario del dispositivo smartphone a rivelare il suo codice di accesso.

Tutto quello che dovete ricordare qui è che anche se Signal si occupa dei messaggi che vengono inviati tramite la propria applicazione, non fa lo stesso per i messaggi che si inviano a utenti non-Signal.

Quanto è sicura l’applicazione Signal? Signal rispetta la privacy?

L’app ufficiale Signal cripta e quindi protegge tutti i messaggi Signal con l’aiuto del nuovo Signal Protocol.

La nostra ricerca mostra che il protocollo Signal è probabilmente quello più sicuro.

Alcuni ritengono che, per quanto riguarda i protocolli di messaggistica di testo, il protocollo di segnale sia il più sicuro mai sviluppato da nessuno.

Su una nota più tecnica, il Protocollo di Segnale si amalgama fondamentalmente,

Pre-chiavi
Algoritmo a doppio cricchetto
Il protocollo di sicurezza X3DH o il protocollo di sicurezza Extended Triple Diffie-Hellman Key Agreement
E si avvale di

HMAC-SHA 256 bit
AES 256-bit

Abbiamo già notato il fatto che varie verifiche formali e indipendenti hanno confermato che il protocollo Signal è valido, crittograficamente parlando.

Signal utilizza gli stessi standard di crittografia anche quando si tratta di video e chiamate vocali.

Funzioni di sicurezza extra di Signal

 

Gli utenti hanno la possibilità di bloccare le notifiche e i messaggi.

Inoltre, l’app Signal permette all’utente di scegliere di utilizzare una tastiera in incognito. Si tratta di una tastiera normale, ma si differenzia dalle tastiere standard nel senso che non cerca di imparare nulla dalle cose che l’utente digita su di essa.

L’app ufficiale Signal ha anche una funzione che permette di far sparire i messaggi.

Pensatela più come la caratteristica che definisce la Snapchat.

Un’altra importante caratteristica che l’app ufficiale Signal fornisce agli utenti è un meccanismo attraverso il quale gli utenti possono effettivamente verificare l’identità di un dato contatto.

Infatti, ogni conversazione di un utente con un altro utente può avere un’impronta digitale o un numero di sicurezza.

Gli utenti hanno la possibilità di confrontare quel numero con tutti gli altri partecipanti e poi contrassegnarli come partecipanti verificati.

Questo è molto utile quando si vuole essere sicuri che il contatto sia davvero chi dice di essere.

Alcuni problemi con l’applicazione ufficiale Signal

Recentemente Signal ha preso alcune decisioni di design che hanno spinto alcuni media a criticare l’app.

E per essere giusti nei confronti dello staff di Signal, ha cercato di rispondere a queste critiche.

Diamo un’occhiata solo ad alcune di esse.

Il problema della scoperta dei contatti

Ricordate quando vi abbiamo detto che l’app Signal sostituisce senza problemi il messaggero SMS predefinito del vostro telefono?

Lo sostituisce con, ovviamente, l’app ufficiale Signal.

Beh, è venuto fuori che, per poterlo fare, l’app ufficiale Signal deve utilizzare numeri di telefono reali per poterli abbinare a contatti reali.

Alcuni considerano questa situazione come un legittimo rischio per la privacy.

Forse ci sono persone là fuori che non preferirebbero un sistema in cui la scoperta di un numero sufficiente di contatti avvenga sulla base di nomi utente anonimi e/o indirizzi e-mail.

Ma forse c’è qualcuno che lo preferirebbe.

Tuttavia, la nostra ricerca mostra che ci sono alcuni fattori attenuanti ragionevolmente solidi che vanno direttamente a favore dell’applicazione ufficiale Signal.

Il primo fattore è che l’app ufficiale Signal non ha la possibilità di vedere i contatti dell’utente.

Inoltre, nessuno può accedere alla tua vera e propria lista di contatti a parte te.

Il secondo fattore è che Signal permette agli utenti di registrarsi con l’aiuto di una carta SIM e/o telefono usa e getta o masterizzatore.

Una volta che l’utente è riuscito a registrare l’applicazione ufficiale Signal, l’applicazione stessa non ha realmente bisogno del numero di telefono per funzionare correttamente.

Il problema di Google Play Store

È vero che quando Signal è arrivato per la prima volta sulla scena non c’era modo per nessuno di scaricare l’app ufficiale se non su Google Play Store.A causa di ciò, gli utenti hanno dovuto eseguire Google Play Services sui loro dispositivi smartphone per far funzionare l’applicazione ufficiale Signal.

Non ci sono dubbi anche sul fatto che Moxie Marlinspike abbia effettivamente difeso, in maniera decisa, la decisione di rendere l’app disponibile solo su Google Play Store.

Tuttavia, molti consumatori online attenti alla privacy e le pubblicazioni dei media hanno considerato la mossa come un serio problema di privacy e sicurezza, poiché qualsiasi software proprietario disponibile su Google Play Store non ha altra scelta se non quella di garantire a Google la possibilità di andare avanti e di effettuare una sorveglianza piuttosto profonda e di basso livello sui dispositivi smartphone degli utenti Android.

E anche ora, Signal raccomanda a tutti gli utenti di scaricare l’applicazione ufficiale Signal attraverso il Google Play Store.

Tuttavia, ora l’azienda ha reso possibile agli utenti di scaricare l’app ufficiale con l’aiuto di un file .apk privo di Google.

È disponibile gratuitamente sul sito ufficiale di Signal.

È vero che l’app Signal conserva i metadati?

Ora, la cosa che dovreste capire del protocollo ufficiale di Signal è che non fa alcun tentativo di fermare una data azienda dal cercare di conservare varie informazioni su chi e quando l’utente di Signal comunica.

Tuttavia, la nostra ricerca mostra che le uniche informazioni o metadati che Signal, come servizio, conserva sono l’ultima data di connessione di un dato utente con l’app ufficiale Signal e l’ora e la data in cui l’utente si è registrato al servizio.

Ora, tenete presente che, anche se molti altri servizi online sono riusciti a incorporare il Protocollo di Segnale ufficiale direttamente nelle loro offerte, non c’è alcuna garanzia che abbiano un atteggiamento robusto nei confronti della privacy dei loro utenti.

Chi finanzia Signal?

Whisper Systems.

In altre parole, è la società madre di Signal.

E riceve varie forme di assistenza finanziaria da diverse agenzie finanziate dal governo degli Stati Uniti.

Prendete nota del fatto che ci sono altri progetti open source e privacy-first che hanno un profilo piuttosto alto e fanno la stessa cosa.

Naturalmente, stiamo parlando di progetti come,

Il progetto Tor
I progetti Guardian con prodotti come Orbot e ChatSecure
GlobalLeaks (che ha ricevuto l’approvazione di sviluppatori di Tor come Jacob Appelbaum)
LEAP (è il progetto di cui RiseUp.net si avvale per i propri servizi)
Ci sono quegli attivisti della privacy insieme agli sviluppatori di software open source che sostengono con forza che una buona matematica è in realtà una buona matematica, indipendentemente dalla sua provenienza o dal suo finanziamento.

L’altra cosa che i lettori dovrebbero capire è che le applicazioni e i protocolli sicuri hanno bisogno di molti finanziamenti.

E che i finanziamenti devono provenire da qualche parte.

Se non ci sono grandi organizzazioni che finanziano progetti open source, questi morirebbero piuttosto rapidamente.

Naturalmente, questa semplice ma fondamentale questione del finanziamento dei progetti ha portato molti ad interrogarsi sull’integrità di tali progetti e sulle loro rivendicazioni di privacy.

Ci sono molti posti su internet che parlano di come funzionano i progetti finanziati dagli spioni stessi.

Ora, senza che questo sia fuori discussione, vorremmo ricordarvi che, nonostante tutte queste preoccupazioni, Signal è praticamente il più sicuro e più sicuro di tutti i progetti open source tradizionali.

Processore baseband

Molti dei nostri lettori potrebbero ancora non sapere che all’interno di ogni singolo dispositivo per smartphone che un produttore abbia mai costruito, c’è il processore a banda base, un chip proprietario a sorgente chiusa.

Bisogna capire che in realtà si sa molto poco del processore a banda base perché, ovviamente, si tratta di un chip a sorgente chiusa.

E non c’è ragione di non credere che i fornitori di telefonia mobile potrebbero usare questo processore a banda base per bypassare qualsiasi tecnologia di crittografia che qualsiasi applicazione potrebbe utilizzare mentre si trova su un telefono cellulare.

Inoltre, alcuni hanno la capacità di accedere facilmente e prontamente a qualsiasi contenuto esistente su un determinato dispositivo smartphone in tempo reale e in chiaro, semplicemente accedendo al contenuto nel punto esatto in cui un’applicazione lo sta criptando o decriptando.

Ma questa è solo teoria.

In pratica, nessuno ha ancora trovato una prova che un hacker o chiunque altro sia riuscito a farlo.

Forse dovremmo sottolineare ulteriormente il punto che nessuno dei problemi che abbiamo menzionato sopra è intrinsecamente colpa di Signal.

Ciò di cui abbiamo parlato in questa sede sono potenziali difetti che potrebbero, e anzi, riguardano tutti i software relativi alla sicurezza mobile.

Ciò che i lettori dovrebbero anche capire è che ogni avversario che fa uso di tali metodi per spiare un dispositivo smartphone e le comunicazioni dell’utente che sono criptate deve avere molte risorse a portata di mano.

L’unico avversario che ha le risorse necessarie per fare tutto questo è l’NSA.

Ma l’NSA ha generalmente un obiettivo molto specifico in mente prima di decidere di spendere una grande quantità di risorse per un’operazione di spionaggio.

Non abbiamo motivo di credere che l’NSA sprecherebbe le sue già limitate risorse per operazioni di spionaggio a tappeto.

Paesi che hanno bloccato l’app Signal

Signal ha introdotto misure come il fronte del dominio quando nel dicembre del 2016 il governo egiziano ha deciso di bloccare l’applicazione.

Tali misure hanno permesso agli utenti di segnale esistenti in vari paesi restrittivi di avere la possibilità di aggirare e aggirare la censura di Internet.

In sostanza, Signal ha fatto sembrare che l’utente si fosse connesso a un altro servizio online basato su Internet non denominato Signal.

Attualmente, Signal ha abilitato funzionalità come il Fronting di dominio in paesi come,

Qatar
Oman
EMIRATI ARABI UNITI
Egitto
Quindi gli utenti di questi paesi non dovrebbero avere problemi ad accedere al Segnale come utenti normali.

La cosa spiacevole è che gli utenti di Signal che vivono in Iran non possono ancora utilizzare questa funzione.

Quello che non abbiamo menzionato finora in questa sezione è che Signal deve fare affidamento sul motore ufficiale di Google App Engine e sui servizi che porta in tavola per abilitare funzionalità come il fronting del dominio.

Il Google App Engine non è attualmente disponibile in paesi come l’Iran.

In ottemperanza alle sanzioni provenienti dagli Stati Uniti d’America, Google non ha altra scelta se non quella di non offrire il Google App Engine in Iran.

Come utilizzare l’app ufficiale Signal

Abbiamo già accennato al fatto che una volta terminata l’installazione dell’applicazione ufficiale Signal sul dispositivo smartphone, essa diventa la vostra applicazione SMS predefinita.

E le stesse impostazioni predefinite impongono di importare tutti i vecchi messaggi dell’utente insieme alla cronologia dei messaggi.

Oltre a questo, Signal fa anche pieno uso del dialer predefinito dell’utente e della lista dei contatti.

Se parliamo di utilizzo nel mondo reale, non si noterà molta differenza nell’utilizzo di Signal come applicazione predefinita per la messaggistica SMS.

Soprattutto quando si ha a che fare con utenti che non utilizzano l’app Signal.

L’unica cosa che noterete come qualcosa di nuovo è la notifica che Signal vi mostrerà ricordandovi di invitare i vostri contatti a Signal.

Allo stesso modo, i vostri costi relativi ai messaggi SMS rimarranno gli stessi a seconda del vostro operatore di telefonia mobile e del vostro piano di pagamento mobile.

Quando arriva il momento di inviare un messaggio a un contatto che utilizza l’applicazione ufficiale Signal, l’applicazione Signal ti avvisa del fatto stesso.

Ti dice che tutti i messaggi sono protetti con l’aiuto della crittografia, in altre parole.

Come già detto, Signal offre anche una funzione di chiamata vocale.

Ha anche una funzione di chat di gruppo e una funzione di video chat.

Tutte le conversazioni di Signal vengono trasmesse in modo sicuro attraverso la connessione internet dell’utente.

E sono tutte gratuite.

Naturalmente, dovete comunque fare attenzione alle spese per la larghezza di banda che il vostro fornitore di telefonia mobile o il vostro fornitore di servizi Internet potrebbero farvi pagare.

Applicazioni che utilizzano il protocollo Signal

Facebook Messenger
WhatsApp
Skype
In generale, il fatto che così tante applicazioni di messaggistica popolare utilizzino il protocollo Signal è un enorme vantaggio per la privacy.

Il protocollo ufficiale Signal è riuscito a portare funzionalità come la crittografia end-to-end a milioni e milioni di utenti mobili che si scambiano quotidianamente messaggi con i loro contatti.

È vero che una buona parte di questi utenti non si è mai preoccupata veramente della privacy, ma questo non ha avuto importanza per le persone che lavorano dietro a Signal.

Ancora una volta, vorremmo ricordarvi che anche se alcune delle applicazioni più popolari nella categoria dei messaggi fanno uso del protocollo Signal, ciò non significa che queste applicazioni di messaggistica di terze parti siano sicure come l’applicazione ufficiale Signal.

Alcune di queste applicazioni non sono nemmeno lontanamente in grado di offrire agli utenti il tipo di privacy che Signal offre.

Inoltre, bisogna anche capire che, anche se queste applicazioni fanno uso del Protocollo Segnale, sono comunque una fonte chiusa.

Non esiste quindi un metodo che consenta a chiunque di sapere con assoluta certezza cosa queste app stiano cercando di fare.

Naturalmente è improbabile, ma c’è la possibilità che queste applicazioni di messaggistica siano coinvolte nell’invio delle chiavi crittografate dell’utente a Microsoft o Facebook.


Per ulteriori informazioni visita il sito: immagi.net

Condividi questo articolo: