Nell’era dello spionaggio via Internet, inviare messaggi in forma sicura e privata è una grande necessità. The Electronic Frontier Foundation EFF ha di recente pubblicato un’analisi approfondita dove valuta il livello di sicurezza e privacy di diversi servizi di messaggistica mobile e per computer.
Alcuni provider hanno riscosso un grande successo, altri lottano per farcela e alcuni non hanno raggiunto buoni risultati. Oggi parleremo dei migliori, mentre la prossima settimana parleremo di quelli che hanno riscosso i peggiori risultati.
L’EFF ha dato un voto ad ogni servizio in base a sette criteri. Nella nostra lista compaiono i servizi che hanno risposto positivamente ad almeno sei delle seguenti domande (nonostante vi garantiamo che sono ottimi anche quelli che rispondono bene a quattro o più quesiti).
1. I dati vengono criptati in transit?
2. I dati vengono criptati in modo tale che il service provider non possa leggerli?
3. È possibile identificare la vera identità dei contatti?
4. Il provider mette in pratica quello che è conosciuto come perfect forward secrecy, in italiano “segretezza in avanti” (il che significa che le crypto-chiavi sono temporanee e una chiave rubata non decritterà le comunicazioni esistenti)?
5. Il codice del service provider è open-source e disponibile ad un’analisi pubblica?
6. Le procedure di implementazione crittografiche ed i processi sono documentati?
7. È stato sottoposto ad un audit indipendente negli ultimi 12 mesi?
Which messaging technologies are truly safe & secure? See EFF’s
'Secure Messaging Scorecard' https://t.co/eBVIY9xgGB pic.twitter.com/sBeF0QquAx— EFF (@EFF) November 4, 2014
Nove servizi di messaggistica offrono alti livelli di #sicurezza e #privacy secondo la #EFF
Tweet
Nel loro insieme questi 7 quesiti sono stati disegnati per misurare quali servizi offrono la migliore protezione dalla sorveglianza governativa, la raccolta di informazioni ad opera delle grandi aziende o da quei criminali che ci spiano per ottenere dati. Detto questo, aggiungiamo che né EFF né Kaspersky Daily stanno promuovendo i seguenti programmi. La lista vuole solo indicare quali applicazioni seguono le best practices.
La medaglia d’oro: sette criteri
EFF ha annunciato che 6 applicazioni sono riuscite a compiere tutti e 7 i criteri.
Chatsecure è un’app gratuita open source, disponibile per iPhone e Android, capace di critpare le chat. Sviluppata da Guardian Project, compie tutti i requisiti di EFF, ma solo quando usata in associazione con Orbot, il plugin per la privacy che si serve della rete Tor.
CryptoCat è un servizio di messaggistica criptata open source disponibile per Chrome, FireFox, Safari e Opera così come il sistema operativo Mac OS X e l’iPhone. Gli sviluppatori di CryptoCat stavano cercando finanziamenti per disegnare una versione Android e abilitare la video chat criptata.
Signal, RedPhone e Textsecure sono le rispettive piattaforme di messaggistica sicura create da WhisperSystem per iOS e Android (telefonate sicure e piattaforma di messaggistica). Sono tutte gratuite ed open-source e, e offrono una criptografia end-to-end e uno storage sicuro.
Silent Phone e Silent Text sono due servizi per inviare messaggi e realizzare in forma sicura, entrambi sviluppati da Silent Circle. Sono servizi a pagamento, ma compatibili sia con iOS che Android e funzionano anche sui computer tradizionali. Inoltre, Silent Circle ha prodotto il suo proprio smartphone con un sistema operativo per Android modificato chiamato Blackphone; l’azienda offre inoltre supporto aziendale.
Medaglia d’argento: sei criteri
Jitsi è un servizio di videoconferenza, VoIP e messaggistica instantanea sicura open source per Windows, Linux, Mac OS X; è compatibile con vari protocolli di messaggistica instantanea e di telefonia. Tuttavia, se associato con il servizio di chiamate criptate Ostel, perde uno dei criteri di EFF: nell’ultimo anno non è stato analizzato da enti indipendenti.
Mailvelope è un’estensione per browser per l’invio di mail in formato criptato sotto la crittografia standard OpenPGP. Il servizio è stato preconfigurato di modo da essere compatibile con Yahoo, Gmail, Outlook e GMX. Si sarebbe guadagnato un posto d’onore nel gruppo della medaglia d’oro, se avesse adottato il PFS (perfect forward secrecy).
Adium, il servizio di messaggistica con protocollo OTR per Mac e Pidgin, la sua versione per Windows, sono essenzialmente plugin che supportano il protocollo di messaggistca OTR. OTR sta per off the record ed è un protocollo crittografico per i servizi di messaggistica. Entrambi i servizi sono stati valutati positivamente da EFF, ma nessuno è stato analizzato da un organismo indipendente lo scorso anno.
RetroShare si auto-proclama come un servizio open-source, multi-piattaforma e decentralizzato. Gli utenti possono chattare e condividere file in forma sicura, e autenticarsi con l’identità reale di un altro. Tuttavia, come molti altri servizi di questa categoria, non è stato soggetto ad un audit esterno.
Subrosa è un’altra piattaforma di comunicazione end-to-edn criptata. Anche questo servizio avrebbe ricevuto il punteggio massimo se solo avesse applicato il perfect forward secrecy. Le vecchie comunicazioni sarebbero al sicuro, se le loro chiavi crittografiche diventassero pubbliche.
Menzione di merito (ma medaglia di bronzo)
Infine, ci piacerebbe offrivi una breve panoramica anche su quei servizi che hanno superato positivamente più della metà dei quesiti sollevati da EFF. FaceTime e iMessange di Apple sono fedeli alle migliori best practices di sicurezza; iPGMail, PGP for Mac (GPGTools), PGP per Windows (Gpg4win) sono altrettanto solidi; il messenger per iOS e Android SureSpot ha risposto bene a cinque quesiti; lo stesso si può dire di Telegram, il servizio di messaggistica privato basato sul cloud, e di Threema, l’app di messagistica con criptografia end-to-end.
Non cambiate canale, la prossima settimana pubblicheremo una recensione con le app di messaggistica meno sicure. Sul sito di EFF, potete leggere il report completo e verificare il voto assegnato alla vostra app preferita.