Sicurezza

WhatsApp attiva la crittografia end-to-end per tutti

Whatsapp ha attivato ieri la crittografia end-to-end per tutti i suoi utenti, all'incirca un miliardo di persone in tutto il mondo. Ciò significa che i messaggi scambiati, siano essi testo, immagini, video o chiamate vocali, sono protetti e nemmeno la stessa Whatsapp ha modo di leggerli a insaputa dell'utente. La protezione si applica anche ai gruppi, se tutti i membri usano una versione aggiornata dell'applicazione. Con quest'ultimo aggiornamento l'applicazione completa un percorso avviato un anno e mezzo fa.

Whatsapp si accoda quindi ad altri strumenti che già da tempo offrono questo tipo di protezione, come il concorrente Telegram o iMessage di Apple – a tal proposito vale la pena almeno menzionare la recente contrapposizione tra l'azienda di Cupertino e il governo USA.

473a30f963907d31045d48701dad8f38b5b67fc3
whatsapp screenshot 01
whatsapp screenshot 02

Per criminali e spioni sarà quindi più difficile farsi gli affari nostri, ma sarà più complicato anche il lavoro delle forze dell'ordine in tutto il mondo. Ai fini delle indagini infatti la crittografia end-to-end rappresenta un ostacolo duro da superare, e su questo tema il dibattito è intenso in tutto il mondo – tranne dove comandano regimi totalitari che non permettono l'esistenza di strumenti di comunicazione non controllabili.

È tuttavia un falso problema: criminali e terroristi hanno una vasta scelta di strumenti e tecniche per comunicare senza farsi individuare o intercettare. Per il privato (e onesto) cittadino, invece, questa novità può essere solo positiva proprio perché dà una maggiore protezione dai crimini informatici.

Come funziona la crittografia di Whatsapp?

Se l'applicazione è aggiornata vedremo in ogni chat un avviso che ci informa riguardo la possibilità di scambiarsi messaggi cifrati. "Tutto questo avviene automaticamente: non c'è bisogno di attivare alcuna impostazione o creare speciali chat segrete per proteggere i messaggi", si legge sul sito di Whatsapp.

1436695407 whatsapp

Cliccando sulle informazioni del contatto e del gruppo, inoltre, potremo verificare se i messaggi sono protetti: se è presente il lucchetto allora la crittografia è attiva.

Dal documento tecnico, poi, scopriamo che Whataspp usa un sistema a doppia autenticazione con algoritmi molto solidi (chiave pubblica e privata, RSA) e cifratura AES 256 e HMAC-SHA256. In concreto, solo il legittimo destinatario può leggere il messaggio.  

Leggi anche: Breve storia della crittografia

A cosa serve il codice QR nella crittografia di Whatsapp?

Diversi lettori avranno notato che è possibile cliccare su "Conferma" e leggere il codice QR sul telefono dell'altra persona. Questa operazione non serve ad attivare la crittografia, che come abbiamo visto è attivata di default in modo del tutto automatico.

La lettura del codice QR è un'operazione di verifica e controllo. Uno strumento "per paranoici" se vogliamo, che serve per verificare che tutti e due i telefoni abbiano effettivamente la stessa chiave crittografica per la chat utilizzata (ogni chat ha una sua chiave).

Se la verifica dovesse rivelare due codici diversi significherebbe che qualcuno si è intromessa nella comunicazione, e quindi quest'ultima non è più sicura. A meno che non si sia fatto qualche errore, come per esempio leggere il codice di un'altra chat.

whatsapp2

Gli aspetti tecnici sono complicati, ma quello che conta, a conti fatti, è che potremo scambiare messaggi più serenamente usando Whatsapp, senza temere che un criminale li intercetti. La prossima volta che quel vostro parente distratto vi chiede la sua password email (che voi per generosità conservate in un database protetto) potrete mandarla con Whatsapp senza troppe preoccupazioni.

Ancora più importante, però, è che saranno più protette quelle persone che vivono in paesi controllati da regimi totalitari e violenti. Luoghi dove se ti intercettano un messaggio non gradito rischi la vita o l'incarcerazione.

È anonimato totale?

No, per niente. Whatsapp ora protegge i messaggi, ma se le autorità lo richiedono può dire chi ha comunicato con chi, e quando. Non può (più) svelare i contenuti dei messaggi, nemmeno volendo (al netto di backdoor e vulnerabilità sconosciute). L'accesso ai messaggi resta possibile tramite i file di backup (su iCloud o Google Drive), oppure tramite l'accesso fisico al telefono (se non crittografato a sua volta).