Come comunicare in modo sicuro e confidenziale con i tuoi interlocutori

Comunicare con gli altri

Le reti di telecomunicazione e Internet hanno reso la comunicazione con le persone più facile che mai, ma hanno anche reso più diffusa la sorveglianza. Senza prendere ulteriori misure per proteggere la tua privacy, ogni telefonata, messaggio di testo, e-mail, messaggio istantaneo, chat video e audio e messaggi di social media potrebbero essere vulnerabili agli intercettatori.

Spesso il modo più protettivo per la privacy di comunicare con gli altri è quello di farlo di persona, senza computer o telefoni coinvolti. Poiché questo non è sempre possibile, la cosa migliore da fare è utilizzare la crittografia end-to-end

Come funziona la crittografia end-to-end?

La crittografia end-to-end garantisce che le informazioni vengano trasformate in un messaggio segreto dal mittente originale (il primo "end") e decodificate solo dal suo destinatario finale (il secondo "end"). Ciò significa che nessuno può "ascoltare" e "origliare" la tua attività, compresi coloro che possono intercettare il traffico del Wi-Fi, il tuo fornitore di servizi Internet e persino il sito web o l'app che stai utilizzando. Un po' contro-intuitivamente, solo perché accedi ai messaggi in un'app sul tuo telefono o informazioni da un sito web sul tuo computer non significa che la stessa azienda o piattaforma web possano vederli. Questa è una caratteristica fondamentale della buona crittografia: anche le persone che la progettano e la distribuiscono non sono in grado di romperla e quindi di avere accesso ai dati in chiaro.

Tutti gli strumenti presi in considerazione nelle guide su questo sito utilizzano la crittografia end-to-end. È possibile utilizzare la crittografia end-to-end per qualsiasi tipo di comunicazione, incluse chiamate vocali e video, messaggistica e chat ed e-mail.

E' importante non confondere con la crittografia end-to-end e la crittografia a livello di trasporto. Sebbene la crittografia end-to-end protegga i messaggi, da tutti gli utenti fino al destinatario, la crittografia del livello di trasporto li protegge solo mentre viaggiano dal dispositivo ai server dell'applicazione e dai server dell'applicazione al dispositivo del destinatario. Nel mezzo, il tuo fornitore di servizi di messaggistica, o il sito web che stai navigando, o l'app che stai utilizzando, possono vedere copie non crittografate dei tuoi messaggi.

La crittografia end-to-end funziona in questo modo: quando due persone vogliono comunicare tramite crittografia end-to-end (ad esempio, Akiko e Boris) devono generare dei dati, chiamati chiavi. Queste chiavi possono essere utilizzate per trasformare i dati che chiunque può leggere in dati che possono essere letti solo da qualcuno che ha a sua volta una chiave. Prima che Akiko mandi un messaggio a Boris, lo cripta con la chiave di Boris in modo che solo Boris possa decifrare. Quindi invia questo messaggio crittografato su Internet. Se qualcuno sta intercettando Akiko e Boris, anche se hanno accesso al servizio che Akiko sta usando per inviare questo messaggio (come il suo account e-mail), vedranno solo i dati crittografati e non potranno leggere il messaggio. Quando Boris lo riceve, deve usare la sua chiave per decodificarlo in un messaggio leggibile.

Alcuni servizi, come Google Hangouts, pubblicizzano "crittografia", ma utilizzano chiavi create e controllate da Google, non il mittente e il destinatario finale del messaggio. Questa non è crittografia end-to-end. Per essere veramente sicuri, solo le parti terminali della conversazione dovrebbero avere le chiavi che consentono loro di crittografare/criptare/cifrare/crittare rendendo il messaggio illeggibile e decrittografare/decriptare/decifrare/decrittare tale messaggio per poterlo leggere in chiaro. Se il servizio che usi controlla le chiavi, siamo in presenza di crittografia a livello di trasporto.

La crittografia end-to-end significa che gli utenti devono mantenere le loro chiavi segrete. Questo fatto può anche significare dover fare del lavoro per assicurarsi che le chiavi usate per cifrare e decifrare appartengano alle persone giuste. L'utilizzo della crittografia end-to-end può richiedere un certo sforzo, dalla semplice scelta di scaricare un'app che offra questo servizio, ma è il modo migliore per gli utenti di verificare la sicurezza delle loro comunicazioni senza doversi fidare della piattaforma che loro entrambi usano.

Ulteriori informazioni sulla crittografia in Cosa devo sapere sulla crittografia?, Concetti chiave nella crittografia e diversi tipi di crittografia. Nella guida crittografia end-to-end spieghiamo questo particolare tipo di crittografia, chiamata anche "crittografia a chiave pubblica".

Confronto tra Chiamate telefoniche e messaggi in chiaro E crittografati

Quando si effettua una chiamata da rete fissa o da cellulare, la chiamata non è crittografata end-to-end. Quando si invia un messaggio di testo (noto anche come SMS) su un telefono, il testo non viene affatto crittografato. Entrambi consentono ai governi o a chiunque altro come la compagnia telefonica di poter leggere i tuoi messaggi o registrare le tue chiamate. Se la valutazione del rischio include intercettazioni governative, è preferibile utilizzare alternative criptate che operano su Internet. In aggiunta, molte di queste alternative criptate possibili offrono anche la video chiamata.

Alcuni esempi di servizi o software che offrono messaggi crittografati end-to-end e chiamate vocali e video includono:

• Signal (per iOS e Android)

• WhatsApp (per iOS e Android)

• wire

Alcuni esempi di servizi che non offrono la crittografia end-to-end  di default includono:

• Google Hangouts

• Kakao Talk

• Snapchat

• wechat

• QQ

• Yahoo Messenger

E alcuni servizi, come Facebook Messenger e Telegram, offrono solo la crittografia end-to-end se lo imposti deliberatamente. Altri, come iMessage, offrono solo la crittografia end-to-end quando entrambi gli utenti utilizzano un particolare dispositivo (nel caso di iMessage, entrambi gli utenti devono utilizzare un iPhone).

Quanto puoi fidarti del tuo servizio di messaggistica?

La crittografia end-to-end può difenderti dalla sorveglianza da parte di governi, hacker e il servizio di messaggistica stesso. Ma tutti questi gruppi potrebbero essere in grado di apportare modifiche segrete al software che utilizzi in modo tale che, anche se afferma di utilizzare la crittografia end-to-end, sta inviando i tuoi dati crittografati o con una crittografia indebolita.

Molti gruppi, tra cui EFF, trascorrono del tempo a guardare fornitori noti (come WhatsApp, di proprietà di Facebook o Signal) per assicurarsi che stiano davvero fornendo la crittografia end-to-end che promettono. Tuttavia, se si è preoccupati per questi rischi, è possibile utilizzare strumenti che utilizzano tecniche di crittografia pubblicamente note e riviste e progettati per essere indipendenti dai sistemi di trasporto che utilizzano. OTR e PGP sono due esempi. Questi sistemi si basano sulle competenze degli utenti per operare e per questo sono spesso meno user-friendly. Sono protocolli meno recenti che non utilizzano tutte le moderne migliori tecniche di crittografia ma comunque offrono flessibilità di utilizzo e un ulteriore livello di sicurezza.

In via confidenziale (OTR) è un protocollo di crittografia end-to-end  per conversazioni di testo in tempo reale che possono essere utilizzate su una diversa varietà di servizi di messaggistica istantanea. Alcuni strumenti che incorporano OTR includono:

• Pidgin (per Windows o Linux)

• Adium (per macOS)

• Jitsi (per Linux , Windows , macOS )

PGP (o Pretty Good Privacy) è lo standard per la crittografia end-to-end della posta elettronica. Per istruzioni dettagliate su come installare e utilizzare la crittografia PGP per la tua e-mail, vedi:

• Come: Usare PGP per macOS

• Come: Usare PGP per Windows

• Come: Usare PGP per Linux

PGP per la posta elettronica è la soluzione ideale per gli utenti con un poco di esperienza tecnica che comunicano con altri utenti tecnicamente esperti che conoscono bene le complessità e le limitazioni di PGP.

Che cos'è la crittografia end-to-end

La crittografia end-to-end protegge solo il contenuto della tua comunicazione e non il fatto che tu stia comunicando. Non protegge i tuoi metadati che includono ad esempio: l'oggetto di una email, con chi stai comunicando e quando lo stai facendo. Se stai effettuando una chiamata da un telefono cellulare, vi sono anche le informazioni sulla tua posizione e tutte queste sono metadati.

I metadati possono fornire informazioni estremamente rivelatrici su di te e sui tuoi comportamenti anche quando il contenuto della tua comunicazione rimane segreto.

I metadati relativi alle tue telefonate possono dare informazioni molto intime e sensibili. Per esempio:

• Sanno che hai telefonato ad un servizio erotico alle 2:24 del mattino e hai parlato per 18 minuti, ma non sanno di cosa hai parlato.

• Sanno che hai chiamato la linea diretta per la prevenzione dei suicidi della tua città, ma l'argomento della chiamata rimane un segreto.

• Sanno che hai parlato con un servizio di test dell'HIV, poi con il tuo dottore, poi con la tua compagnia di assicurazione sanitaria nell'arco della stessa ora, ma non sanno cosa è stato discusso.

• Sanno che hai ha chiamato un ginecologo, ha che parlato per mezz'ora, e poi ha chiamato il numero di una "associazione per madri sole", più tardi quel giorno, ma nessuno sa di cosa hai parlato.

Altre caratteristiche importanti della crittografia end-to-end

Crittografia end-to-end è solo una delle molte funzionalità che potrebbero essere importanti per te per avere una comunicazione sicura. Come descritto sopra, la crittografia end-to-end è ottima per impedire alle aziende e ai governi di accedere ai tuoi messaggi. Ma per molte persone, aziende e governi non sono la più grande minaccia  e quindi la crittografia end-to-end potrebbe non essere la priorità più grande.

Ad esempio, se qualcuno è preoccupato per un coniuge, un genitore o un datore di lavoro con accesso fisico al proprio dispositivo, la possibilità di inviare messaggi "con una data di scadenza" potrebbe essere il fattore decisivo nella scelta di un messaggio. Qualcun altro potrebbe essere preoccupato di fornire il proprio numero di telefono, quindi la possibilità di utilizzare un "alias" di numero non telefonico potrebbe essere importante.

Più in generale, le caratteristiche di sicurezza e privacy non sono le uniche variabili che contano nella scelta di un metodo di comunicazione sicuro. Un'app con grandi funzioni di sicurezza è inutile se nessuno dei tuoi amici e contatti lo usa, e le app più popolari e usate possono variare in modo significativo in base al paese e alla community. La scarsa qualità del servizio o il pagamento di un'app possono anche rendere un servizio inadatto per alcune persone.

Quanto più chiaramente comprendi ciò che vuoi e quello di cui hai bisogno tanto più il metodo di comunicazione sarà sicuro, e tanto più facile sarà navigare nella ricchezza di informazioni esistente, e disponibile anche in modo contrastante e talvolta obsoleta.