Ciao a tutti, Ho un po' di dubbi anch'io, non lo stesso tuo tuttavia. I dettagli crittografici li metto per ultimi, quelli invece più politici li metto qua sotto, e alla fine sono 9 :) Whatsapp ha fatta una grandissima operazione di protezione dei propri dati in transito, che tradotto, significa zero collaborazione con stati esteri e nazionale. si è messa nella condizione di non poter collaborare, ne davanti a richieste di giudici da parte degli stati MLAT, ne davanti a pressioni dell'NSA con national security letter. In generale, si è tolta una patata bollente e costosa dalle mani, in aggiunta: 1) ha usato una tecnologia FLOSS, quella di Signal, skippando le critiche che son state mosse al suo copetitor cifrato: http://unhandledexpression.com/2013/12/17/telegram-stand-back-we-know-maths/ poi Telegram è pure migliorato, ma quello che conta è l'imprinting iniziale, che hai avendo un po' di personaggi influenti nella security/crittografia dalla tua parte 2) non deve sopperire ai costi legali/tecnologici per fornire l'assistenza di cui sopra 3) può diminuire i costi di verifica interna sull'accesso ai dati, il rieschio di avere un dipendente che si scarica messaggi è annullato 4) ha comunque molti meta dati della comuncazione, che in un ottica di profilazione degli utenti sono di poco più limitati, ma neutri, più convenienti e più stabili che il risultato dell'analisi dei dati inseriti dagli utenti. 5) ha fatto un passo in avanti nel confltto corporation vs stati, nelle quali le convenzoni di collaborazione tra fornitori di servizio cessano di essere garanzie. Questo di certo è un bene verso stati non democratici in cui la sorveglianza è uno strumento di repressione, ed è un interferenza con la separazione dei poteri degli stati democratici. 6) ha fatto prendere un sacco di importanza in più alle aziende, tipo hackingteam, che producono malware per cellulari: se non puoi andare dal provider, devi andare dall'end point 7) ha fornito un precedente fantastico per far si che anche altre app adottino la stessa tecnologia, con la differenza che non essendo facebook non avranno la stessa capacità di monetizzare dai meta-dati (ad esempio: tindr e grindr, potrebbero diventare E2E ? i dati che transitano sul loro cloud sono più sensibili, ma probabilmente per il loro business model non è sacrificabile perdersi quelle informazioni) 8) ha fornito un ulteriore lavata di volto dopo le rivelazioni di snowden: nonostante whatsapp+facebook siano un grande panopticon, i dati non vanno all'NSA. 9) nell'articolo di wired è stato fatto framing come "smettiamola di pensare a FBI apple, hanno appena cambiato le carte in tavola della partita globale, non succederà più perchè ora le platform sono impossibilitatate a collaborare"... si come no. piattaforma closed source, è possibile che il sistema di update dica solo ad una persona "aggiorna whatsapp" e solo a quella persona fornica una versione diversa, e questa versione prende tutti i tuoi messaggi e li manda ad un server dell'FBI ? sì. finchè c'è closed source, questo può succedere. Per l'aspetto crittografico, la chiave di sessione è negoziata con un sistema chiamato diffie hellman a curve ellittiche ( https://en.wikipedia.org/wiki/Curve25519 ) e whatsapp non ne è a conoscenza, è spiegato sul whitepaper pubblicato da loro: https://www.whatsapp.com/security/WhatsApp-Security-Whitepaper.pdf 2016-04-05 22:59 GMT+02:00 Francesco Mecca <me@francescomecca.eu>:

Vorrei fare due precisazioni un pò pedanti. La chiave crittografica che permette l'accesso al database delle chat di whatsapp è archiviata in modo non sicuro nella memoria del telefono. Inoltre la cosa più importante è che essendo un client closed source non abbiamo alcuna sicurezza e alcun controllo sulla chiave crittografica che il client usa per crittografare i messaggi. Questo significa che nulla blocca facebook ad inserire la propria chiave e poter leggere ogni messaggio.

Buona serata.

On April 5, 2016 6:43:24 PM GMT+02:00, Giovanni Testa <g.testa@avvnet.it> wrote:

...

https://whispersystems.org/blog/whatsapp-complete/

Con tecnologia open source peraltro.

Saluti

_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa

-- Claudio Agosti, http://www.journalismfestival.com/news/guilty-by-proximity-ijf16-hackers-cor...