Comunicazione in Tempo Reale
Scopri tutti i modi sicuri e riservati per comunicare in gruppo online senza permettere a terzi di leggere i vostri messaggi.
Messaggistica Istantanea Criptata
Consigliamo solo programmi o app di messaggistica istantanea che supportano la crittografia end-to-end (E2EE). Quando si utilizza E2EE, tutte le trasmissioni (messaggi, voce, video, ecc.) sono criptate prima di essere inviati dal tuo dispositivo. E2EE protegge sia l'autenticità che la riservatezza della trasmissione attraverso qualsiasi parte della rete (server, ecc.).
Tutti i client (programmi/app) che scegliamo sono software libero ed open source a meno che non venga specificato altrimenti. Questo per assicurarsi che il codice possa essere indipendentemente verificato da degli esperti adesso e in futuro.
Abbiamo descritto i tre principali tipi di programmi di messaggistica esistenti: Centralizzati, Federati e Peer-to-Peer (P2P), con i vantaggi e svantaggi per ogni caso.
Centralizzati
Nella messaggistica centralizzata tutti i partecipanti si trovano sullo stesso server o rete controllati dalla stessa organizzazione.
Vantaggi
- Nuove funzionalità e cambiamenti possono essere implementate più rapidamente.
- Più semplice da utilizzare e trovare contatti.
Svantaggi
- I servizi centralizzati potrebbero essere più vulnerabili a normative che richiedono una backdoor.
- Possono avere controllo e accesso limitati. Questo include cose come:
- La connessione tramite client di terze parti alla rete centralizzata - che potrebbe dare una migliore personalizzazione o migliore esperienza - è proibita. Spesso definita nei Termini e Condizioni d'uso.
- Scarsa o nessuna documentazione per sviluppatori terzi.
- Possesso, privacy policy e le operazioni del servizio possono cambiare facilmente quando questi sono controllati da un'unica entità, potenzialmente compromettendo il servizio in futuro.
Signal
Signal è un'app mobile sviluppata da Open Whisper Systems. Oltre all'instant messaging, Signal permette anche di effettuare chiamate voce e video. Tutte le comunicazioni sono criptate end-to-end. Signal è gratuito ed open source.
Richiede un numero di telefono
VoIP
Keybase
Keybase mette a disposizione una chat di gruppo con crittografia end-to-end. È stato anche sottoposto ad un audit indipendente (PDF). Keybase ti aiuta a dimostrare che possiedi degli account sui social media tramite l'utilizzo di firme crittografiche "identity proof".
Attenzione
Federati
Nella messaggistica federata si utilizzano più server indipendenti che sono in grado di comunicare tra loro (la posta elettronica è un esempio di servizio federato). La federazione permette agli amministratori di sistema di controllare il proprio server ed essere comunque parte di una rete di comunicazione più ampia.
Vantaggi
- Permette un maggiore controllo sui tuoi dati quando si gestisce il proprio server.
- Ti permette di scegliere a chi affidare i tuoi dati scegliendo quale dei molteplici server "pubblico" utilizzare.
- Spesso permette l'utilizzo di client di terze parti che possono offrire un'esperienza più nativa, personalizzata o accessibile.
- Generalmente un bersaglio meno attraente per i governi che vogliono un accesso completo tramite backdoor poiché la fiducia è decentralizzata. Il server può essere hostato in modo indipendente dall'organizzazione che sviluppa il software.
- È possibile verificare che il software eseguito nel server corrisponda al codice sorgente pubblico, impotizzando che tu abbia accesso al server o ti fidi della persona a cui ha accesso (es: familiare)
- Sviluppatori terzi possono contribuire al codice ed aggiungere nuove funzionalità, invece di aspettare che un team di sviluppo privato lo faccia.
Svantaggi
- Aggiungere nuove funzionalità è più complesso, poiché quest'ultime debbono essere standardizzate e testate per assicurarsi che funzionino con tutti i server nella rete.
- Potrebbe rimanere traccia di alcuni metadati. Informazioni quali "chi sta parlando con chi" ma non i contenuti della conversazione se si utilizza E2EE.
- Utilizzare server federati generalmente richiedono la fiducia dell'amministratore del server scelto. Potrebbe gestire il server come hobby oppure potrebbe non essere un "esperto di sicurezza" e potrebbero non pubblicare documenti standard come una privacy policy o termini di servizio che descrivono in modo dettagliato come vengono utilizzati i tuoi dati.
- Qualche volta gli amministratori dei server scelgono di bloccare altri server che sono fonte di abusi non moderati o infrangono le regole dei comportamenti accettabili. Questo ostacolerà la tua capacità di comunicare con gli utenti in quei server.
Matrix
Matrix è un progetto open source che pubblica il protocollo aperto Matrix per comunicazioni sicure, decentralizzate ed in tempo reale.
Riot.im è il popolare client di riferimento creato dal team di Matrix.org. Offre E2EE facoltativa per le conversazioni 1:1 e di gruppo che deve essere attivata dall'utente. (La si può attivare cliccando l'interruttore accessibile cliccando il nome della stanza o il nome utente della chat → Sicurezza & Privacy → Criptato). In futuro sarà attivata per impostazione predefinita.
Vale la Pena Menzionare
- Altri client Matrix che però potrebbero avere meno funzionalità di Riot.im.
- XMPP (Extensible Messaging and Presence Protocol) è un protocollo open source per le comunicazioni il cui sviluppo è iniziato nel 1999. Da allora, XMPP è stato esteso dalla pubblicazione degli XEP (XMPP Extension Protocols). OMEMO è lo XEP (XMPP extension) più popolare per l'E2EE. I client sono sviluppati dalla community e non da XSF (XMPP Standards Foundation). E2EE Incoerente
- Gajim
- Conversations
- Siskin
- Altri client che supportano OMEMO.
- Kontalk è una rete di messaggistica istantanea basata su XMPP gestita dalla community.
Peer to Peer (P2P)
I messenger Peer-to-Peer si connettono direttamente tra loro senza l'ausilio di server terzi. I client (peer) solitamente si trovano tra loro attraverso l'utilizzo della rete a calcolo distribuito. Esempi di ciò includono DHT (distributed hash table, tabella di hash distribuita) (utilizzata, per esempio, con tecnologie come torrent e IPFS) od il protocollo Whisper di Ethereum (utilizzato con alcune DApp recenti). Un altro approccio sono le reti basate sulla prossimità, dove viene stabilita una connessione attraverso WiFi o Bluetooth (ad esempio Briar o il protocollo di social networking Scuttlebutt). Una volta che il peer avrà trovato una strada verso il suo contatto attraverso uno di questi metodi viene stabilita una connessione diretta.
Vantaggi
- La quantità di informazioni esposte a terzi è ridotta al minimo.
- Le piattaforme P2P moderne implementano di default la crittografia end-to-end. Non ci sono server che potrebbero potenzialmente intercettare e decriptare le tue trasmissioni, al contrario dei modelli centralizzati e federati.
Svantaggi
- Set di funzionalità ridotto:
- I messaggi possono essere spediti solo se entrambi i peer sono online, tuttavia, il client potrebbe conservare i messaggi in locale mentre attende che il contatto si riconnetta.
- L'utilizzo della batteria nei dispositivi mobile è generalmente maggiore, perché il client deve rimanere connesso alla rete distribuita per capire chi è online.
- Il tuo indirizzo IP e quello dei contatti con cui stai comunicando potrebbe essere visibile se non utilizzi il software assieme ad una rete autonoma, come ad esempio Tor o I2P. Molti paesi hanno qualche forma di sorveglianza di massa e/o conservazione di metadati.
Briar
Messaggistica instantanea che connette i contatti attraverso Wi-Fi, Bluetooth o Tor attraverso internet per sincronizzare i messaggi. Tecnologia di questo tipo si è dimostrata utile quando la connettività ad Internet è un problema, come ad esempio in tempi di crisi.
Jami
Software di messaggistica istantanea e chiamate video criptati. Utilizza Tox
Software di messaggistica istantanea e chiamate video criptati. Utilizza il proprio protocollo di crittografia che non è ancora stato ufficialmente sottoposto ad audit dai crittografi.
Experimental
VoIP
Vale la Pena Menzionare
- Status.im - Messaggisitca istantanea criptata con un wallet Ethereum (criptovaluta) integrato che include anche il supporto a DApps (Decentralized Apps) (web app in uno store curato). Utilizza il protocollo Whisper per le comunicazioni P2P. Sperimentale
- RetroShare - Client di messaggistica istantanea e chiamate audio/video criptate. RetroShare supporta sia Tor che I2P.
- Bitmessage è un protocollo di comunicazione decentralizzato, criptato e peer-to-peer che può essere usato da una persona per inviare messaggi criptati ad un'altra persona o più abbonati.
Recenti notizie in merito alla "rottura" dell'E2EE negli instant messenger centralizzati.
Novembre 2019
- Esclusiva: L'Interpol è intenzionato a condannare la diffusione della crittografia, citando i predatori, secondo le fonti (Reuters)
- Pensate ai bambini: L'FBI ha richiesto la dichiarazione dell'Interpol contro la crittografia end-to-end (ArsTechnica)
Ottobre 2019
- La Lettera Aperta dai Governi US, UK e Australia a Facebook è Un Grande Attacco alla Crittografia (EFF)
- Il disco rotto: Perché l'appello di Barr contro la crittografia end-to-end è folle (ArsTechnica)
- Gli US vogliono una backdoor su Facebook e WhatsApp e bloccare la crittografia (ArsTechnica)
Agosto 2019
Luglio 2019
- Il procuratore generale statunitense William Barr dice che gli americani dovrebbero accettare i rischi di sicurezza delle backdoor nella crittografia. (TechCrunch)
- Low Barr: Non raccontatemi queste idiozie sulla sicurezza, mettete le backdoor nella crittografia e basta, ruggisce il Procuratore Generale degli Stati Uniti. (The Register)
Maggio 2019
Gennaio 2019
Dicembre 2018
Comparazione Completa
- securemessagingapps.com - Comparazione App di Messaggistica Sicura.
- securechatguide.org - Guida alla Scelta di un Messenger.
Audit di sicurezza indipendenti
- Un'Analisi di Sicurezza Ufficiale del Protocollo di Messaggisitca Signal (2019) di Katriel Cohn-Gordon, Cas Cremers, Benjamin Dowling, Luke Garratt e Douglas Stebila
- Revisione del Protocollo di Sicurezza di Keybase (2019) dell'NCC Group
- Revisione Crittografica di Matrix Olm
- Briar - Il Messenger che si Appoggia Alla Darknet Rilascia la Beta, Passa l'Audit sulla Sicurezza
Chiamate Audio/Video
Linphone
Linphone è un telefono SIP open source ed un servizio VoIP, disponibile in ambienti desktop e browser web. Supporta ZRTP per criptare le comunicazioni audio e video end-to-end.
Mumble
Mumble è un software open source di chat vocale di alta qualità e a bassa latenza progettato principalmente per l'utilizzo durante il gaming. Anche se Mumble non conserva messaggi né registra di default, la crittografia end-to-end non è presente, quendi si raccomanda il self-hosting.
Vale la Pena Menzionare
- Jitsi Meet - Jitsi Meet è un'applicazione di messaggistica istantanea, video conferenza e voce (VoIP). Richiede WebRTC
Informazioni Correlate
- Ulteriori Informazioni su Mumble:
Piattaforme per Chat di Gruppo
Matrix
Matrix è un progetto open source che pubblica il protocollo aperto Matrix per comunicazioni sicure, decentralizzate ed in tempo reale.
Riot.im è il popolare client di riferimento creato dal team di Matrix.org. Offre E2EE facoltativa per le conversazioni 1:1 e di gruppo che deve essere attivata dall'utente. (La si può attivare cliccando l'interruttore accessibile cliccando il nome della stanza o il nome utente della chat → Sicurezza & Privacy → Criptato). In futuro sarà attivata per impostazione predefinita.
Rocket.chat
Rocket.chat è una piattaforma open source self-hostable per comunicazioni di gruppo. Federazione facoltativa e E2EE sperimentale.
E2EE Sperimentale
Keybase
Keybase mette a disposizione una chat di gruppo con crittografia end-to-end. È stato anche sottoposto ad un audit indipendente (PDF).
Attenzione