Signal nasconde il mittente dei messaggi

Open Whisper Systems ha annunciato un’interessante novità per Signal che incrementa ulteriormente la sicurezza delle conversazioni. Nella versione beta dell’app è stata attivata la funzionalità Sealed Sender che permette di nascondere il mittente del messaggio, garantendo allo stesso tempo la verifica del contatto.

Signal protegge ogni messaggio attraverso la crittografia end-to-end (la stessa utilizzata da WhatsApp) e non conserva contatti, grafo sociale, conversazioni, avatar, posizione, nome utente e altre informazioni personali. È invece necessario conoscere mittente e destinazione per gestire la consegna asincrona dei messaggi. In realtà, il servizio può funzionare anche senza mittente, ma viene comunque richiesto per prevenire lo spam e dare al destinatario la certezza che il messaggio è stato inviato da un utente noto.

La software house ha quindi implementato un workaround. Per prevenire lo spoofing (falsificazione dell’identità), i client recuperano un certificato che contiene il numero di telefono, la chiave pubblica e la scadenza. Per prevenire invece lo spam, i client derivano un token a 96 bit dalla chiave del profilo. Dato che i profili sono condivisi solo tra contatti fidati, lo stesso vale per lo scambio dei messaggi con mittente nascosto. Ciò non è invece possibile con i contatti sconosciuti o quelli bloccati. Un eventuale malintenzionato vedrà solo un messaggio cifrato e la destinazione, non il mittente.

La “busta” con il messaggio cifrato e il certificato del mittente è a sua volta cifrata con le chiavi del mittente e del destinatario. La funzionalità “Sealed Sender” verrà automaticamente attivata nelle prossime versioni di Signal, ma può essere disattivata. Un’icona (opzionale) indica che si tratta di un messaggio con mittente nascosto. Il prossimo step prevede l’applicazione della crittografia agli indirizzi IP. Gli utenti che vogliono testare la versione beta devono seguire queste indicazioni.