Comunicare con gli altri

Come funziona la crittografia end-to-end Lavoro?

La crittografia end-to-end garantisce che le informazioni vengano trasformate in un messaggio segreto dal mittente originale (la prima "fine") e decodificate solo dal suo destinatario finale (la seconda "fine"). Ciò significa che nessuno può "ascoltare" e origliare la tua attività, compresi i snoop del WiFi, il tuo fornitore di servizi Internet e persino il sito web o l'app che stai utilizzando. Un po 'contro-intuitivamente, solo perché accedi ai messaggi in un'app sul tuo telefono o informazioni da un sito web sul tuo computer non significa che la stessa azienda o piattaforma web può vederli. Questa è una caratteristica fondamentale della buona crittografia : anche le persone che progettano e distribuiscono non possono romperle.

Tutti gli strumenti che dispongono di guide sul sito SSD utilizzano la crittografia end-to-end. È possibile utilizzare la crittografia end-to-end per qualsiasi tipo di comunicazione, incluse chiamate vocali e video, messaggistica e chat ed e-mail.

(Da non confondere con la crittografia end-to-end è la crittografia a livello di trasporto . Sebbene la crittografia end-to-end protegga i messaggi, ad esempio, da tutti gli utenti fino al destinatario, la crittografia del livello di trasporto li protegge solo mentre viaggiano dal dispositivo ai server dell'applicazione e dai server dell'applicazione al dispositivo del destinatario. Nel mezzo, il tuo fornitore di servizi di messaggistica, o il sito web che stai navigando, o l'app che stai utilizzando, possono vedere copie non crittografate dei tuoi messaggi.)

Sotto la cappa, la crittografia end-to-end funziona in questo modo: quando due persone vogliono comunicare tramite crittografia end-to-end (ad esempio, Akiko e Boris) devono generare dati , chiamato chiavi. Queste chiavi possono essere utilizzate per trasformare i dati che chiunque può leggere in dati che possono essere letti solo da qualcuno che ha una chiave corrispondente . Prima che Akiko mandi un messaggio a Boris, lo cripta sulla chiave di Boris in modo che solo Boris possa decifrare esso. Quindi invia questo messaggio crittografato su Internet. Se qualcuno sta intercettando Akiko e Boris, anche se hanno accesso al servizio che Akiko sta usando per inviare questo messaggio (come il suo account e-mail), vedranno solo i dati crittografati e non potranno leggere il messaggio. Quando Boris lo riceve, deve usare la sua chiave per decodificarlo in un messaggio leggibile.

Alcuni servizi, come Google Hangouts, pubblicizzano "crittografia", ma utilizzano chiavi create e controllate da Google, non il mittente e il destinatario finale del messaggio. Questa non è crittografia end-to-end. Per essere veramente sicuri, solo i "fini" della conversazione dovrebbero avere le chiavi che consentono loro di crittografare e decifrare. Se il servizio che usi controlla le chiavi, è invece la crittografia del livello di trasporto.

La crittografia end-to-end significa che gli utenti devono mantenere le loro chiavi segrete. Può anche significare fare del lavoro per assicurarsi che le chiavi usate per cifrare e decifrare appartengano allepersone giuste . L'utilizzo della crittografia end-to-end può richiedere un certo sforzo, dalla semplice scelta di scaricare un'app che lo offra per verificare proattivamente le chiavi, ma è il modo migliore per gli utenti di verificare la sicurezza delle loro comunicazioni senza doversi fidare della piattaforma che loro " entrambi usano.

Ulteriori informazioni sulla crittografia in Cosa devo sapere sulla crittografia? , Concetti chiave nella crittografia e diversi tipi di crittografia . Spieghiamo anche un particolare tipo di crittografia end-to-end, chiamata " crittografia a chiave pubblica "-In maggior dettaglio in A Deep Dive su Encryption end-to-end .

Telefonate e messaggi di testo contro messaggi Internet crittografati

Quando si effettua una chiamata da rete fissa o da cellulare, la chiamata non è crittografata end-to-end. Quando si invia un messaggio di testo (noto anche come SMS) su un telefono, il testo non viene affatto crittografato. Entrambi consentono ai governi o a chiunque altro di potere sulla compagnia telefonica di leggere i tuoi messaggi o registrare le tue chiamate. Se la valutazione del rischio include intercettazioni governative, è preferibile utilizzare alternative criptate che operano su Internet. Come bonus, molte di queste alternative criptate offrono anche video.

Alcuni esempi di servizi o software che offrono messaggi crittografati end-to-end e chiamate vocali e video includono:

• Segnale (per iOS e Android )
• WhatsApp (per iOS e Android )
• Filo

Alcuni esempi di servizi che non offrono la crittografia end-to-end di default includono:

• Google Hangouts
• Kakao Talk
• Linea
• Snapchat
• wechat
• QQ
• Yahoo Messenger

E alcuni servizi, come Facebook Messenger e Telegram, offrono solo la crittografia end-to-end se lo accendi deliberatamente. Altri, come iMessage, offrono solo la crittografia end-to-end quando entrambi gli utenti utilizzano un particolare dispositivo (nel caso di iMessage, entrambi gli utenti devono utilizzare un iPhone).

Quanto puoi fidarti del tuo servizio di messaggistica?

La crittografia end-to-end può difenderti dalla sorveglianza da parte di governi, hacker e il servizio di messaggistica stesso. Ma tutti questi gruppi potrebbero essere in grado di apportare modifiche segrete al software che utilizzi in modo tale che, anche se afferma di utilizzare la crittografia end-to-end, sta davvero inviando i tuoi dati crittografato o con crittografia indebolita .

Molti gruppi, tra cui EFF, trascorrono del tempo a guardare fornitori noti (come WhatsApp, di proprietà di Facebook o Signal) per assicurarsi che stiano davvero fornendo la crittografia end-to-end che promettono. Tuttavia, se si è preoccupati per questi rischi, è possibile utilizzare strumenti che utilizzano tecniche di crittografia pubblicamente note e riviste e progettati per essere indipendenti dai sistemi di trasporto che utilizzano. OTR e PGP sono due esempi. Questi sistemi si basano sulle competenze degli utenti per operare, sono spesso meno user-friendly e sono protocolli meno recenti che non utilizzano tutte le moderne migliori tecniche di crittografia.

In via confidenziale (OTR) è un protocollo di crittografia end-to-end per conversazioni di testo in tempo reale che possono essere utilizzate su una varietà di servizi di messaggistica istantanea. Alcuni strumenti che incorporano OTR includono:

• Pidgin (per Windows o Linux)
• Adium (per macOS)
• Jitsi (per Linux , Windows , macOS )

PGP (o Pretty Good Privacy ) è lo standard per la crittografia end-to-end della posta elettronica.Per istruzioni dettagliate su come installare e utilizzare la crittografia PGP per la tua e-mail, vedi:

• Come: Utilizzare PGP per macOS
• Procedura: utilizzare PGP per Windows
• Come: Usare PGP per Linux

PGP per le e-mail è la soluzione ideale per gli utenti con esperienza tecnica che comunicano con altri utenti tecnicamente esperti che conoscono bene le complessità e le limitazioni di PGP.

COSA NON PROTEGGE LA crittografia end-to-end

La crittografia end-to-end protegge solo il contenuto della tua comunicazione, non il fatto che tu stia comunicando in primo luogo. Non protegge i tuoi metadati , che include, ad esempio, l'oggetto di una email, con chi stai comunicando e quando. Se stai effettuando una chiamata da un telefono cellulare, anche le informazioni sulla tua posizione sono metadati.

I metadati possono fornire informazioni estremamente rivelatrici su di te anche quando il contenuto della tua comunicazione rimane segreto.

I metadati relativi alle tue telefonate possono dare informazioni molto intime e sensibili. Per esempio:

• Sanno che hai telefonato al servizio del sesso alle 2:24 del mattino e hai parlato per 18 minuti, ma non sanno di cosa hai parlato.
• Sanno che hai chiamato la linea diretta per la prevenzione dei suicidi dal Golden Gate Bridge, ma l'argomento della chiamata rimane un segreto.
• Sanno che hai parlato con un servizio di test dell'HIV, poi il tuo dottore, poi la tua compagnia di assicurazione sanitaria nella stessa ora, ma non sanno cosa è stato discusso.
• Sanno che hai ricevuto una telefonata dall'ufficio locale della NRA mentre stava conducendo una campagna contro la legislazione sulle armi da fuoco, e poi hai chiamato i tuoi senatori e i rappresentanti del Congresso subito dopo, ma il contenuto di quelle chiamate rimane al riparo dall'intrusione del governo.
• Sanno che lei ha chiamato un ginecologo, ha parlato per mezz'ora, e poi ha chiamato il numero di Planned Parenthood locale più tardi quel giorno, ma nessuno sa di cosa hai parlato.

Altre caratteristiche importanti

Crittografia end-to-end è solo una delle molte funzionalità che potrebbero essere importanti per tenella comunicazione sicura . Come descritto sopra, la crittografia end-to-end è ottima per impedire alle aziende e ai governi di accedere ai tuoi messaggi. Ma per molte persone, aziende e governi non sono la più grande minaccia e quindi la crittografia end-to-end potrebbe non essere la priorità più grande.

Ad esempio, se qualcuno è preoccupato per un coniuge, un genitore o un datore di lavoro con accesso fisico al proprio dispositivo , la possibilità di inviare messaggi effimeri e "in via di estinzione" potrebbe essere il fattore decisivo nella scelta di un messaggio . Qualcun altro potrebbe essere preoccupato di fornire il proprio numero di telefono , quindi la possibilità di utilizzare un "alias" di numero non telefonico potrebbe essere importante.

Più in generale, le caratteristiche di sicurezza e privacy non sono le uniche variabili che contano nella scelta di un metodo di comunicazione sicuro. Un'app con grandi funzioni di sicurezza è inutile se nessuno dei tuoi amici e contatti lo usa, e le app più popolari e usate possono variare in modo significativo in base al paese e alla community. La scarsa qualità del servizio o il pagamento di un'app possono anche rendere un messenger inadatto per alcune persone.

Quanto più chiaramente comprendi ciò che vuoi e hai bisogno di un metodo di comunicazione sicuro, tanto più facile sarà navigare nella ricchezza di informazioni estese, contrastanti e talvolta obsolete disponibili.