Wikipedia

Protocollo Signal: differenze tra le versioni

Naviga nella cronologia in modo interattivo
← Differenza precedenteDifferenza successiva →
Contenuto cancellato Contenuto aggiunto
VisualeWikitesto
mNessun oggetto della modifica
Sistemate alcune note
Riga 1:
[[File:Double Ratchet Algorithm.png|miniatura|289x289px]]
Il '''protocollo Signal''', in [[Lingua inglese|inglese]] ''Signal Protocol'', (precedentemente noto come '''protocollo TextSecure''') è un [[protocollo crittografico]] non federato che fornisce la [[crittografia end-to-end]] per i messaggi e le chiamate di [[messaggistica istantanea]]. Il protocollo è stato sviluppato da [[Open Whisper Systems]] nel 2013 ed è stato introdotto nell'app [[open source]] [[TextSecure]], che in seguito è stata rinominata [[Signal (software)|Signal]]..Diverse applicazioni con [[Software proprietario|codice proprietario]] hanno implementato questo protocollo, come [[WhatsApp]], che crittografa le conversazioni di "oltre un miliardo di persone in tutto il mondo"<ref>{{Cita web|url=https://signal.org/blog/whatsapp-complete/|sitotitolo=WhatsApp's Signal Protocol integration is now complete|annosito=2016Signal|dataaccessoaccesso=5 Aprilaprile 2016}}</ref> o [[Google (azienda)|Google]] che fornisce la crittografia end-to-end per impostazione predefinita a tutte le conversazioni [[Rich Communication Services|RCS]] individuali tra gli utenti dell'app Google Messages.<ref name=":0">{{Cita web|url=https://www.theverge.com/platform/amp/2020/11/19/21574451/android-rcs-encryption-message-end-to-end-beta|titolo=Google is rolling out end-to-end encryption for RCS in Android Messages beta|sito=The Verge|dataaccessoaccesso=28 Novembernovembre 2020|urlarchivio=https://web.archive.org/web/20201119174803/https://www.theverge.com/platform/amp/2020/11/19/21574451/android-rcs-encryption-message-end-to-end-beta}}</ref> Anche [[Facebook Messenger]] offre il protocollo per le "Conversazioni segrete", così come [[Skype]] per le sue "Conversazioni private".
 
Il protocollo combina l'algoritmo di [[Double Ratchet (algoritmo)|Double Ratchet]], le prechiavi (le chiavi pubbliche effimere monouso che sono state caricate in anticipo su un server centrale) e un [[handshake]] [[Scambio di chiavi Diffie-Hellman|Diffie–Hellman a tripla curva ellittica]] (3-DH),<ref>{{Harvnbcita|Unger|, Dechand|, Bonneau|, Fahl|241|2015|p=241}}</ref> e utilizza [[Curve25519]], [[Advanced Encryption Standard|AES-256]] e [[HMAC|HMAC-SHA256]] come primitive crittografiche.<ref name="Frosch 2016">{{Harvnbcita|Frosch|Mainka|Bader|Bergsma|2016}}</ref>
 
== Storia ==
Lo sviluppo del Protocollo Signal è iniziato nel 2013 grazie a [[Trevor Perrin]] e [[Moxie Marlinspike]] (Open Whisper Systems). La prima versione del protocollo, TextSecure v1, era basata sul protocollo di [[Off-the-Record Messaging|messaggistica Off-the-record]] (OTR).<ref name="Cohn-Gordon-2016-p2">{{Harvnbcita|Cohn-Gordon|Cremers|Dowling|Garratt|2016}}</ref><ref>{{Cita web|url=https://github.com/WhisperSystems/TextSecure/wiki/Protocol|dataaccessotitolo=Protocol|accesso=28 Octoberottobre 2016}}</ref>
 
Il 24 febbraio 2014, Open Whisper Systems ha introdotto TextSecure v2,<ref name="Donohue-2014">{{Cita web|url=https://threatpost.com/textsecure-sheds-sms-in-latest-version/104456|titolo=TextSecure Sheds SMS in Latest Version|sito=Threatpost|dataaccessoaccesso=14 Julyluglio 2016}}</ref> la seconda versione del protocollo che è basata su Axolotl Ratchet.<ref name="Cohn-Gordon-2016-p2">{{Harvnbcita|Cohn-Gordon|Cremers|Dowling|Garratt|2016}}</ref><ref>{{Cita web|url=https://github.com/WhisperSystems/TextSecure/wiki/ProtocolV2|dataaccessotitolo=Protocol V2|accesso=28 Octoberottobre 2016|dataaccesso=}}</ref> Il design dell'Axolotl Ratchet si basa sullo scambio di chiavi effimere introdotto da OTR e lo combina con un ''ratchet'' a chiave simmetrica basato sul protocollo di messaggistica instantanea Silent Circle (SCIMP).<ref name="advanced-ratcheting">{{Cita web|url=https://whispersystems.org/blog/advanced-ratcheting/|dataaccessotitolo=Advanced cryptographic ratcheting|accesso=23 Septembersettembre 2016|dataaccesso=}}</ref> Ha introdotto il supporto per la comunicazione asincrona come sua principale nuova caratteristica, così come una migliore resilienza con un ordine distorto dei messaggi e un supporto più semplice per le conversazioni con più partecipanti.<ref>{{Harvnbcita|Unger|Dechand|Bonneau|Fahl|2015}}</ref> L'Axolotl Ratchet prende il nome da una salamandra acquatica, l'[[Ambystoma mexicanum|Axolotl]], in grave pericolo di estinzione, dotata di straordinarie capacità di autoguarigione. Gli sviluppatori si riferiscono all'algoritmo come auto-riparante perché disabilita automaticamente un aggressore dall'accesso ai messaggi successivi dopo aver compromesso una [[chiave di sessione]].<ref name="advanced-ratcheting" />
 
La terza versione del protocollo, TextSecure v3, ha apportato alcune modifiche alle primitive crittografiche e al protocollo wire.<ref name="Cohn-Gordon-2016-p2">{{Harvnbcita|Cohn-Gordon|Cremers|Dowling|Garratt|2016}}</ref> Nell'ottobre 2014, i ricercatori dell'[[Università della Ruhr a Bochum|università della Ruhr a Bochym]] hanno pubblicato un'analisi di TextSecure v3.<ref name="Frosch 2016">{{Harvnbcita|Frosch|Mainka|Bader|Bergsma|2016}}</ref><ref name="Cohn-Gordon-2016-p2" /> Tra le altre scoperte, hanno presentato un attacco di condivisione delle chiavi sconosciuto, ma in generale, hanno concluso che era sicuro.<ref name="Pauli-2014-11-03">{{Cita web|url=https://www.theregister.co.uk/2014/11/03/how_secure_is_textsecure_pretty_well_secure/|titolo=Auditors find encrypted chat client TextSecure is secure|sito=[[The Register]]|dataaccessoaccesso=4 Novembernovembre 2014}}</ref>
 
Nel marzo 2016, gli sviluppatori hanno rinominato il protocollo TextSecure in Protocollo Signal. Hanno inoltre rinominato l'algoritmo Axolotl Ratchet in [[Double Ratchet (algoritmo)|Double Ratchet]] per differenziare meglio il ''ratchet'' dal protocollo completo<ref name="signal-inside-and-out" /> perché alcune persone avevano utilizzato il nome Axolotl riferendosi al protocollo completo.<ref name="signal-inside-and-out">{{Cita web|url=https://whispersystems.org/blog/signal-inside-and-out/|titolo=Signal on the outside, Signal on the inside|sito=Signal Blog|dataaccessoaccesso=9 Aprilaprile 2016}}</ref>!
 
Nell'ottobre 2016, alcuni ricercatori dell'[[università di Oxford]] nel regno unito, dell'università Queensland in Australia e dell'università McMaster in Canada hanno pubblicato un'analisi formale del protocollo concludendo che è crittograficamente solido.<ref name="Brook-2016-11-10">{{Cita web|url=https://threatpost.com/signal-audit-reveals-protocol-cryptographically-sound/121892/|titolo=Signal Audit Reveals Protocol Cryptographically Sound|sito=Threatpost|dataaccessoaccesso=11 Novembernovembre 2016}}</ref><ref name="Cohn-Gordon-2016">{{Harvnbcita|Cohn-Gordon|Cremers|Dowling|Garratt|2016}}</ref>
 
Un altro [[audit]] del protocollo è stato pubblicato nel 2017.<ref>{{Cita libro|cognome=N. Kobeissi|cognome2=K. Bhargavan|cognome3=B. Blanchet|titolo=2017 IEEE European Symposium on Security and Privacy (EuroS&P)|url=https://hal.inria.fr/hal-01575923/file/KobeissiBhargavanBlanchetEuroSP17.pdf|anno=2017|pp=435–450|ISBN=978-1-5090-5762-7|DOI=10.1109/EuroSP.2017.38}}</ref>
 
== Proprietà ==
Il protocollo fornisce: riservatezza, integrità, [[Cifratura autenticata|autenticazione]], coerenza dei partecipanti, convalida della destinazione, [[Forward secrecy|segretezza in avanti]], sicurezza post-compromesso (nota anche come segretezza futura), preservazione della causalità, non collegabilità del messaggio, ripudio del messaggio, ripudio della partecipazione e asincronicità.<ref name="Unger-2015-p239" /> Non garantisce la conservazione dell'anonimato e richiede server per la trasmissione dei messaggi e l'archiviazione della chiave pubblica.<ref name="Unger-2015-p239">{{Harvnbcita|Unger|Dechand|Bonneau|Fahl|2015}}</ref>!
 
Il protocollo Signal supporta anche chat di gruppo crittografate end-to-end. Il protocollo di chat di gruppo è una combinazione di crittografia [[Double Ratchet (algoritmo)|Double Ratchet]] a coppie e [[crittografia multicast]].<ref name="Unger-2015-p239">{{Harvnbcita|Unger|Dechand|Bonneau|Fahl|2015}}</ref> Oltre alle proprietà fornite dal protocollo per le chat individuali, il protocollo di chat di gruppo fornisce coerenza dell'oratore, resilienza fuori ordine, resilienza dei messaggi eliminati, uguaglianza computazionale, uguaglianza di fiducia, messaggistica di sottogruppi, nonché appartenenza contrattabile ed espandibile. <ref name="Unger-2015-p239" />
 
=== Autenticazione ===
Per l'autenticazione, gli utenti possono confrontare manualmente le impronte delle chiavi pubbliche attraverso un canale esterno.<ref name="Rottermanner-2015-p5">{{Harvnbcita|Rottermanner|Kieseberg|Huber|Schmiedecker|2015}}</ref> Ciò consente agli utenti di verificare reciprocamente le proprie identità ed evitare un [[attacco man in the middle]].<ref name="Rottermanner-2015-p5" /> Un'implementazione può anche scegliere di impiegare un meccanismo di fiducia al primo utilizzo per notificare agli utenti se la chiave di un corrispondente cambia.<ref name="Rottermanner-2015-p5" />
 
=== Metadati ===
Il protocollo Signal non impedisce ad un'azienda di conservare informazioni su quando e con chi gli utenti comunicano, ossia i metadati.<ref name="Rottermanner-2015-p4">{{Harvnbcita|Rottermanner|Kieseberg|Huber|Schmiedecker|2015}}</ref>!<ref name="Lee-2016-06-22" /> Possono quindi esserci differenze nel modo in cui i vari fornitori di messaggistica scelgono di gestire queste informazioni. L'[[Privacy policy|informativa sulla privacy]] di Signal stabilisce che gli identificativi dei destinatari vengono conservati sui [[server]] Signal solo per il tempo necessario alla trasmissione di ciascun messaggio.<ref name="privacy-policy">{{Cita web|url=https://whispersystems.org/signal/privacy/|dataaccessotitolo=Privacy|accesso=8 Octoberottobre 2016}}</ref> Nel giugno 2016, Moxie Marlinspike ha dichiarato a ''[[The Intercept]]'': "Gli unici metadati che il server Signal memorizza sono l'ultima volta che ogni utente si è connesso al server, e la precisione di questa informazione è limitata al giorno, piuttosto che all'ora, minuto e secondo".<ref name="Lee-2016-06-22">{{Cita web|url=https://theintercept.com/2016/06/22/battle-of-the-secure-messaging-apps-how-signal-beats-whatsapp/|titolo=Battle of the Secure Messaging Apps: How Signal Beats WhatsApp|sito=[[The Intercept]]|dataaccessoaccesso=8 Octoberottobre 2016|dataaccesso=}}</ref>Controlla
 
Nell'ottobre 2018, Signal ha annunciato di aver implementato nell'app la funzionalità "mittente sigillato", in inglese ''sealed sender''. Questa funzione riduce la quantità di metadati a cui i server Signal hanno accesso nascondendo l'identificativo del mittente.<ref name="ars2018">{{Cita web|autore=Dan Goodin|url=https://arstechnica.com/information-technology/2018/10/new-signal-privacy-feature-removes-sender-id-from-metadata/|dataaccessotitolo=New Signal privacy feature removes sender ID from metadata|accesso=2019-03-28 marzo 2019}}</ref><ref name="sealed-sender">{{Cita web|url=https://signal.org/blog/sealed-sender/|titolo=Sealed sender|sito=signal.org|dataaccessoaccesso=16 Aprilaprile 2019}}</ref> L'identità del mittente viene trasmessa al destinatario nel messaggio, ma è crittografata con una [[Chiave (crittografia)|chiave]] che il server non possiede.<ref name="sealed-sender" /> Questo avviene automaticamente se il mittente è nei contatti del destinatario o ha accesso al suo profilo Signal.<ref name="sealed-sender" /> Gli utenti possono anche abilitare un'opzione per ricevere messaggi con il "mittente sigillato" anche da persone non nella rubrica e che non hanno accesso al loro profilo Signal.<ref name="sealed-sender" /> Un'intercettazione telefonica contemporanea del dispositivo dell'utente e/o dei server Signal potrebbe comunque rivelare che l'[[indirizzo IP]] del dispositivo ha avuto accesso al server Signal per inviare o ricevere messaggi in determinati momenti.<ref name="ars2018" />
 
== Implementazioni ==
Riga 39:
* [https://github.com/signalapp/libsignal-protocol-javascript libsignal-protocol-javascript] : una libreria scritta in [[JavaScript|Javascript]].
 
Esistono anche librerie alternative scritte da terze parti in altri linguaggi, come [[TypeScript]].<ref>{{Cita web|url=https://github.com/privacyresearchgroup/libsignal-protocol-typescript|titolo=Signal Protocol Typescript Library (libsignal-protocol-typescript)|sito=github.com|dataaccessoaccesso=28 Novembernovembre 2020}}</ref>
 
== Vedi anche ==
Riga 49:
 
== Bibliografia ==
 *{{Cita rivista|autore=Katriel Cohn-Gordon|autore2=Cas Cremers|autore3=Benijamin Dowling|coautori=Garratt Luke, Stebila Douglas|data=25 ottobre 2016|titolo=A Formal Security Analysis of the Signal Messaging Protocol|rivista=International Association for Cryptologic Research (IACR)|accesso=27 ottobre 2016|url=https://eprint.iacr.org/2016/1013|urlarchivio=https://web.archive.org/web/20161228222451/http://eprint.iacr.org/2016/1013|urlmorto=no}}
 
 
<nowiki>{{</nowiki>
 
* {{cite conference|last1=Ermoshina|first1=Ksenia|last2=Musiani|first2=Francesca|last3=Halpin|first3=Harry|title=Internet Science|editor=Bagnoli, Franco|display-editors=etal|pages=244–254|chapter=End-to-End Encrypted Messaging Protocols: An Overview|series=Lecture Notes in Computer Science|book-title=Internet Science|publisher=Springer|___location=Florence, Italy|conference=INSCI 2016|doi=10.1007/978-3-319-45982-0_22|isbn=978-3-319-45982-0|date=September 2016|volume=9934}}
* {{Cite conference|last1=Frosch|first1=Tilman|last2=Mainka|first2=Christian|last3=Bader|first3=Christoph|last4=Bergsma|first4=Florian|last5=Schwenk|first5=Jörg|last6=Holz|first6=Thorsten|title=2016 IEEE European Symposium on Security and Privacy (EuroS&P)|chapter=How Secure is TextSecure?|conference=2016 IEEE European Symposium on Security and Privacy (EuroS&P)|publisher=IEEE|___location=Saarbrücken, Germany|date=March 2016|pages=457–472|doi=10.1109/EuroSP.2016.41|isbn=978-1-5090-1752-2|citeseerx=10.1.1.689.6003}}
* {{Cite conference|last1=Rottermanner|first1=Christoph|last2=Kieseberg|first2=Peter|last3=Huber|first3=Markus|last4=Schmiedecker|first4=Martin|last5=Schrittwieser|first5=Sebastian|title=Privacy and Data Protection in Smartphone Messengers|url=https://www.sba-research.org/wp-content/uploads/publications/paper_drafthp.pdf|conference=Proceedings of the 17th International Conference on Information Integration and Web-based Applications & Services (iiWAS2015)|publisher=ACM International Conference Proceedings Series|isbn=978-1-4503-3491-4|date=December 2015|access-date=25 September 2016|archive-date=27 March 2016|archive-url=https://web.archive.org/web/20160327011416/https://www.sba-research.org/wp-content/uploads/publications/paper_drafthp.pdf|url-status=live}}
* {{cite conference|first1=Nik|last1=Unger|first2=Sergej|last2=Dechand|first3=Joseph|last3=Bonneau|first4=Sascha|last4=Fahl|first5=Henning|last5=Perl|first6=Ian Avrum|last6=Goldberg|first7=Matthew|last7=Smith|title=2015 IEEE Symposium on Security and Privacy|chapter=SoK: Secure Messaging|publisher=IEEE Computer Society's Technical Committee on Security and Privacy|conference=Proceedings of the 2015 IEEE Symposium on Security and Privacy|year=2015|pages=232–249|doi=10.1109/SP.2015.22|isbn=978-1-4673-6949-7|chapter-url=http://ieee-security.org/TC/SP2015/papers-archived/6949a232.pdf|access-date=23 September 2016|archive-date=4 March 2016|archive-url=https://web.archive.org/web/20160304002758/http://ieee-security.org/TC/SP2015/papers-archived/6949a232.pdf|url-status=live}}
* {{cite conference|last1=Rösler|first1=Paul|last2=Mainka|first2=Christian|last3=Schwenk|first3=Jörg|date=2017|title=More is Less: On the End-to-End Security of Group Chats in Signal, WhatsApp, and Threema|url=https://eprint.iacr.org/2017/713|website=Cryptology ePrint Archive|publisher=International Association for Cryptologic Research (IACR)|access-date=26 June 2019|archive-date=3 February 2019|archive-url=https://web.archive.org/web/20190203132148/https://eprint.iacr.org/2017/713|url-status=live}}
 
== Collegamenti esterni ==
Estratto da "https://it.wikipedia.org/wiki/Protocollo_Signal"