iPhone e Android, sms a prova di NSA
Un’app per smartphone e tablet permette di
inviare e ricevere messaggi di testo crittografati
e leggibili solo dal destinatario
e leggibili solo dal destinatario
Nell’anno del Datagate e del monitoraggio onnipresente della NSA ogni idea
che serve a donare un po’ più di privacy ai cittadini è ben accetta. Un
ricercatore di sicurezza ha messo a punto una tecnica che potrebbe migliorare, e
di parecchio, la segretezza dei messaggi di testo inviati su iPhone. L’app
TextSecure debutterà a settembre su App Store e riceverà un importante aggiornamento su Google Play in versione Android. Il supporto
di cui gode TextSecure non è affatto sconosciuto agli addetti ai lavori. Si
tratta di utilizzare la proprietà crittografica chiamata Perfect Forward
Secrecy (PFS) che permette di ridefinire il concetto di chiave segreta.
Quando si utilizza la crittografia a chiave pubblica (PKC), come ad esempio
quella che permette di navigare sui siti che cominciano per “HTTPS” come Amazon,
l’utente ha sia una chiave pubblica che una privata. Se si
acquista qualcosa sul sito, la chiave pubblica è nel browser dell’utente, la
privata è nel server di Amazon. Nel caso la NSA potesse accedere al traffico web
cifrato di una persona (e quindi alla chiave pubblica specifica di Amazon),
potrebbe ottenere dalla stessa Amazon la chiave privata e vedere così tutta la
storia degli acquisti di un utente sul sito di e-commerce.
Stesso discorso per chi voglia leggere i dati criptati del servizio email di Microsoft. Outlook.com utilizza, come tutti i servizi di Redmond, una Master Key che permetterebbe al possessore di leggere le pagine HTTPS criptate dall’azienda. Questo vuol dire che ogni singola pagina web che è stata inviata da Microsoft a milioni di utenti può essere “tradotta” con una singola Master Key.
L’utilizzo del sistema di crittografia “Perfect Forward Secrecy” non pecca di questo difetto perché utilizza chiavi diverse per ogni tipo di conversazione. Di per sé l’utilizzo della speciale crittografia necessita che due interlocutori siano attivi nello stesso momento. Questo perché, a differenza dei comuni SMS, email e messaggi di chat, la comunicazione crittografata da PFS utilizza chiavi segrete che si attivano solo quando sia il mittente che il destinatario sono online. Con tale premessa anche un’app per dispositivi mobili avrebbe perso il suo appeal se per funzionare c’era bisogno di tenerla sempre aperta e attiva, con un conseguente dispendio di dati e batteria.
Qui l’idea di Moxie Marlinspike, il ricercatore di sicurezza che ha sviluppato TextSecure. La tecnica per far si che i messaggi viaggino su iPhone anche ad applicazione spenta prevede l’utilizzo di “prekeys”, ovvero di chiavi, generate e inviate solo per dirci che è arrivato un messaggio. Il destinatario riceve una notifica push sulla schermata di blocco dell’iPhone; allo slide la chiave temporanea, che porta solo le informazioni di notifica e non il messaggio vero e proprio, si traduce in chiave definitiva pronta a tradurre l’intero testo inviato dal mittente.
TextSecure crittografa anche i messaggi già presenti sul telefono per assicurare che possano essere letti solo quando viene inserita una password. L’app ha fatto il suo debutto qualche anno fa su Android; Marlinspike prevede di lanciare la versione iOS entro fine settembre con la contemporanea aggiunta della tecnica prekey sul sistema operativo mobile di Google.
Via lastampa.it
Stesso discorso per chi voglia leggere i dati criptati del servizio email di Microsoft. Outlook.com utilizza, come tutti i servizi di Redmond, una Master Key che permetterebbe al possessore di leggere le pagine HTTPS criptate dall’azienda. Questo vuol dire che ogni singola pagina web che è stata inviata da Microsoft a milioni di utenti può essere “tradotta” con una singola Master Key.
L’utilizzo del sistema di crittografia “Perfect Forward Secrecy” non pecca di questo difetto perché utilizza chiavi diverse per ogni tipo di conversazione. Di per sé l’utilizzo della speciale crittografia necessita che due interlocutori siano attivi nello stesso momento. Questo perché, a differenza dei comuni SMS, email e messaggi di chat, la comunicazione crittografata da PFS utilizza chiavi segrete che si attivano solo quando sia il mittente che il destinatario sono online. Con tale premessa anche un’app per dispositivi mobili avrebbe perso il suo appeal se per funzionare c’era bisogno di tenerla sempre aperta e attiva, con un conseguente dispendio di dati e batteria.
Qui l’idea di Moxie Marlinspike, il ricercatore di sicurezza che ha sviluppato TextSecure. La tecnica per far si che i messaggi viaggino su iPhone anche ad applicazione spenta prevede l’utilizzo di “prekeys”, ovvero di chiavi, generate e inviate solo per dirci che è arrivato un messaggio. Il destinatario riceve una notifica push sulla schermata di blocco dell’iPhone; allo slide la chiave temporanea, che porta solo le informazioni di notifica e non il messaggio vero e proprio, si traduce in chiave definitiva pronta a tradurre l’intero testo inviato dal mittente.
TextSecure crittografa anche i messaggi già presenti sul telefono per assicurare che possano essere letti solo quando viene inserita una password. L’app ha fatto il suo debutto qualche anno fa su Android; Marlinspike prevede di lanciare la versione iOS entro fine settembre con la contemporanea aggiunta della tecnica prekey sul sistema operativo mobile di Google.
Via lastampa.it
Nessun commento