La crittografia viene definita come la scienza che studia il modo di modificare un messaggio in maniera tale da renderlo comprensibile esclusivamente a chi conosce il metodo di cifratura. Si tratta di un sapere antico come il mondo il cui stato dell’arte è rappresentato attualmente dalla modalità end to end, un metodo di codifica decisamente efficace (tanto da essere utilizzato da popolari e diffusissime piattaforme di messaggistica istantanea come WhatsApp e Telegram), in quanto basato su algoritmi di crittografia asimmetrica e sulla decentralizzazione delle chiavi crittografiche.
Proprio perché si tratta di un argometo di viva attualità e particolarmente delicato, il team di Panda Security, multinazionale spagnola specializzata nello sviluppo di soluzioni di sicurezza IT, ha deciso di realizzare un vademecum sulla crittografia end to end, spiegandone i vantaggi e il funzionamento proprio su piattaforme estremamente diffuse come WhatsApp.
Nella crittografia asimmetrica, di cui quella end to end rappresenta un esempio più evoluto, due persone che comunicano non utilizzano una sola chiave, bensì due coppie di chiavi, di cui una pubblica e una privata. La coppia pubblica potrebbe non essere protetta, dal momento che la sicurezza dipende dalla coppia di chiavi private. Il funzionamento di un sistema di crittografia asimmetrica prevede una cifratura del messaggio con la chiave pubblica del destinatario, che riceve e decifra il messaggio con la propria chiave privata. I messaggi possono essere decifrati soltanto mediante la chiave privata corrispondente a quella pubblica che è stata utilizzata per la cifratura.
Con la crittografia end to end viene compiuto un ulteriore passo in avanti sul fronte della sicurezza delle comunicazioni: il sistema che si occupa di gestire il canale di comunicazione non ha alcun controllo sulla creazione delle chiavi private, visto che queste ultime vengono generate e archiviate direttamente sui dispositivi delle persone che comunicano. È proprio alla luce di questo meccanismo di funzionamento che questo metodo di crittografia prende il nome di end to end: solo le persone interessate hanno la possibilità di decifrare i messaggi e il flusso di comunicazione non coinvolge terze parti. La crittografia end to end, ricorda il team di Panda Security, è stata resa di dominio pubblico nel 2016, quando era stata introdotta da WhatsApp allo scopo di proteggere le conversazioni intercorrenti tra i propri utenti.
Nel momento in cui un utente aggiunge un nuovo contatto all’interno di applicazioni di messaggistica che sfruttano la crittografia end to end come Telegram e WhatsApp, le app installate sui dispositivi dei due utenti si occupano della creazione di due coppie di chiavi interdipendenti. Le chiavi private rimangono sui dispositivi stessi e risultano invisibili anche alle stesse WhatsApp e Telegram. Nel momento in cui viene inviato un messaggio, il server dell’azienda lo riceve e lo indirizza al destinatario, ma non ha la possibilità né di decifrarlo né di leggerlo. Alla luce di quanto detto è facile intuire come la crittografia end to end abbia una grande importanza soprattutto se applicata a sistemi di messaggistica istantanea, ma più in generale a tutte le comunicazioni che avvengono online. A questo proposito il team di Panda Security sottolinea come piattaforme pur popolari come Facebook Messenger, Google Hangouts, , Skype, Snapchat, Viber e Yahoo non facciano uso di questa tecnologia.
In sintesi, i vantaggi che l’impiego della crittografia end to end porta dal punto di vista degli utenti sono:
- Se un hacker attacca i server del servizio di messaggistica, ad esempio di WhatsApp, non potrà scoprire le chiavi private né accedere ai tuoi messaggi.
- I tuoi messaggi sono visibili solo sul tuo terminale e su quello del destinatario, per cui hai la sicurezza che WhatsApp non registra le tue conversazioni e non le condivide con altre organizzazioni (neanche con le forze dell’ordine).
Naturalmente la crittografia end to end, pur con tutti i suoi punti di forza, non è infallibile: un malintenzionato, sebbene impossibilitato ad accedere direttamente ai messaggi così codificati, potrebbe percorrere strade alternative come ad esempio usare tecniche di ingegneria sociale per riuscire ad accedere all’account di archiviazione online in cui l’utente salva il backup delle conversazioni, o ancora infettare il dispositivo con un keylogger, ossia un virus che registra gli input inseriti con la tastiera.