Cos’è e come funziona (e cosa non protegge) la crittografia end-to-end
Negli ultimi anni i servizi di comunicazione che vanno da WhatsApp a Zoom hanno annunciato l’implementazione della cifratura end-to-end, grazie alla quale i dati vengono trasformati in qualcosa che non può essere letto dall’esterno. Ma cosa significa esattamente end-to-end? Quali sono i pro e i contro? Questo approfondimento di Kaspersky lo spiega nel dettaglio.
Che cos’è la crittografia end-to-end e quali sono le alternative?
La crittografia end-to-end è l’atto di cifrare i messaggi su un dispositivo in modo tale che solo il dispositivo di destinazione possa decifrarli. Il messaggio viaggia dal mittente al destinatario in forma cifrata. Quali sono le alternative? Una consiste nel trasferire i dati in chiaro, cioè senza cifrare affatto il messaggio. Questa è l’opzione meno sicura. Ad esempio, i dati inviati via SMS non sono cifrati, il che significa che in teoria chiunque può intercettarli.
Un’altra opzione è la cifratura in transito, dove i messaggi vengono cifrati dalla parte del mittente, consegnati al server, decifrati, poi di nuovo cifrati e consegnati al destinatario e decifrati. La cifratura in transito protegge le informazioni durante la trasmissione, ma il loro utilizzo consente all’anello intermedio della catena, il server, di visualizzarne il contenuto. A seconda di quanto siano affidabili i proprietari del server, questo può essere un problema.
Allo stesso tempo, l’utilizzo della cifratura in transito include il server nella comunicazione, il che apre una gamma di servizi che vanno oltre il semplice trasferimento dei dati. Ad esempio, un server può memorizzare la cronologia dei messaggi, connettere altri partecipanti a una conversazione utilizzando canali alternativi (ad esempio, per partecipare a una videoconferenza telefonica), utilizzare la moderazione automatica e altro ancora.
La cifratura in transito risolve il problema più importante: l’intercettazione dei dati in movimento da utente a server e da server a utente, che è la parte più pericolosa del processo di trasmissione di un messaggio. Ecco perché non tutti i servizi adottano immediatamente la cifratura end-to-end: per gli utenti che badano più alla comodità e ai servizi aggiuntivi offerti, questi aspetti possono avere la priorità rispetto alla sicurezza dei dati.
Cifratura end-to-end: da cosa ci protegge?
Il vantaggio principale della cifratura end-to-end è il non poter inviare dati a chiunque non sia il destinatario. È come se, quando si spedisce una lettera, la si mettesse in una scatola fisicamente impossibile da aprire da chiunque altro (che resiste a qualsiasi martello, sega, scalpello e così via), eccetto il destinatario. La cifratura end-to-end garantisce la privacy delle vostre comunicazioni.
Creare una scatola indistruttibile non è davvero possibile nel mondo fisico, ma nel mondo dell’informatica sì. I matematici più esperti sviluppano costantemente nuovi sistemi di cifratura e irrobustiscono quelli vecchi.
Un altro vantaggio deriva dal fatto che i messaggi con cifratura end-to-end possono essere decifrati solo dal destinatario: nessuno può cambiare il messaggio. I moderni metodi di cifratura funzionano in modo tale che se qualcuno cambia i dati cifrati, il messaggio diventa confuso quando vengono decifrati, rendendo il problema immediatamente chiaro. Non c’è modo di apportare modifiche prevedibili a un messaggio cifrato: sostituire il testo è insomma impossibile.
Questo garantisce l’integrità delle vostre comunicazioni. Se ricevete un messaggio decifrato con successo, potete essere sicuri che si tratta dello stesso messaggio che vi è stato inviato e che non è stato manomesso in qualche modo durante il processo (di fatto, un’applicazione di messaggistica lo farà automaticamente per voi).
Cifratura end-to-end: da cosa non ci protegge?
Dopo aver visto i vantaggi della cifratura end-to-end, potreste avere l’impressione che sia la soluzione a ogni problema di trasferimento di informazioni. Ma non è così: la cifratura end-to-end ha infatti i suoi limiti.
In primo luogo, anche se il suo uso consente di nascondere il contenuto del messaggio, sarà evidente che avrete inviato un messaggio a una certa persona (o se ne avete ricevuto uno). Il server non può leggere i messaggi, ma è sicuramente consapevole del fatto che vi siete scambiati messaggi in un certo giorno e a una determinata ora. In alcuni casi, la semplice comunicazione con determinate persone può attirare un’attenzione indesiderata.
In secondo luogo, se qualcuno ottiene l’accesso al dispositivo che utilizzate per comunicare, sarà in grado di leggere tutti i vostri messaggi, oltre a scrivere e inviare messaggi per vostro conto. Pertanto, la cifratura end-to-end richiede la protezione dei dispositivi e dell’accesso alle applicazioni, anche se solo con un codice PIN, in modo che se il dispositivo venisse smarrito o rubato, i vostri messaggi non cadrebbero nelle mani sbagliate e nessuno potrebbe spacciarsi per voi.
Per questo motivo, i dispositivi devono essere protetti da un software antivirus. Un malware su uno smartphone può leggere i messaggi scambiati proprio come se una persona in carne ed ossa avesse avesse tra le mani il vostro telefono, e avviene indipendentemente dal tipo di cifratura che si utilizza per inviare e ricevere messaggi.
Infine, anche se vi preoccupate di proteggere tutti i vostri dispositivi e sapete per certo che nessuno possa avere accesso ai messaggi che contiene, non potete mettere la mano sul fuoco per quanto riguarda quello che avviene sul dispositivo del vostro interlocutore. La cifratura end-to-end non è di aiuto in questo senso. Nonostante i propri limiti, attualmente la cifratura end-to-end è però il modo più sicuro per trasferire dati riservati ed è per questo che sempre più servizi di comunicazione se ne stanno avvalendo.