La crittografia end-to-end è fondamentale per difendere la privacy e i diritti dei cittadini
La crittografia end-to-end è l'arma più potente a disposizione di chi vuole proteggere i propri dati sul web. I dati vengono cifrati sul dispositivo con una chiave crittografica che rimane in locale e che quindi non viene trasmessa attraverso internet. Quando i dati raggiungono il server che li ospita, non sono decifrabili in assenza della chiave con cui sono stati cifrati. Solo gli utenti possono decifrare i contenuti, dopo aver scaricato e decodificato i dati sul proprio dispositivo.
Alcuni servizi web e app che offrono la crittografia end-to-end
- Messaggistica istantanea: Whatsapp, Signal, Threema, iMessage, Wire e Wikr Me, usano di default la crittografia end-to-end, garantendo che i messaggi inviati siano accessibili solo dai dispositivi del mittente e del destinatario.
- Mail: ProtonMail, Tutanota e SkiffMail offrono servizi di mail cifrate end-to-end alla portata di ogni utente.
- Archiviazione cloud: Tresorit e ProtonDrive usano la crittografia end-to-end per cifrare i file degli utenti sul dispositivo in modo che non siano accessibili dal cloud. Ciò garantisce la massima protezione dei file personali o aziendali da data breach. Cryptomator consente, attraverso un'app da installare su smartphone, tablet o pc, di creare una cassaforte cifrata con crittografia end-to-end su uno spazio di archiviazione tradizionale, come GoogleDrive, OneDrive o iCloud Drive. Crypt.ee offre uno spazio di archiviazione di file e foto che usa la crittografia end-to-end.
- Testi: StandardNotes e Joplin sono app per scrivere note sincronizzate tra più dispositivi attraverso la crittografia end-to-end. Con Joplin è possibile sincronizzare le note attraverso un servizio cloud tradizionale, creando una cartella sul cloud, che contiene i file cifrati delle nostre note. Con SkiffPages è possibile collaborare su uno stesso documento protetto da crittografia end-to-end in un ambiente di lavoro simile a quello di Documenti di Google.
- Password manager: i password manager più diffusi e sicuri, come Bitwarden, 1Password o il Portachiavi di iCloud, usano la crittografia end-to-end per sincronizzare le nostre password in maniera sicura tra più dispositivi.
- Calendari: sono disponibili anche calendari digitali che usano la crittografia end-to-end, tra questi possiamo menzionare ProtonCalendar e Tutanota.
Qual è l'alternativa alla crittografia end-to-end?
Il metodo più diffuso per cifrare i file quando lasciano i dispositivi degli utenti è chiamato TLS (Transport Layer Security): consiste nel cifrare i file sul dispositivo dell'utente per poi decifrarli sul cloud, dove possono essere cifrati di nuovo con una chiave in possesso del proprietario del cloud. Questo è il metodo utilizzato dai servizi di archiviazione più diffusi e da tante app che usiamo quotidianamente. Attraverso questo metodo chi fornisce il servizio web può avere accesso diretto ai dati degli utenti. Solitamente nei prospetti informativi si fa riferimento al TLS, affermando che i dati sono cifrati in transito. Se vengono cifrati anche sul server, si utilizza l'espressione cifrati a riposo.
Perché la crittografia end-to-end è importante?
La crittografia end-to-end è l'unico mezzo che può garantire la segretezza delle comunicazioni private tra gli utenti, assicurando che solo il mittente e il destinatario del messaggio possano leggerne il contenuto. La crittografia end-to-end rende i contenuti degli utenti al sicuro dagli attacchi hacker. Infatti anche se il server che contiene i dati viene attaccato e diviene accessibile agli hacker, questi non possono accedere ai dati, in quanto cifrati con una chiave di crittografia non presente sul server stesso. Inoltre la crittografia end-to-end protegge gli utenti dalla profilazione dei dati a scopo pubblicitario. Se i dati sono cifrati sul dispositivo prima di raggiungere il server, non è possibile utilizzarli per produrre pubblicità mirata sulle caratteristiche dell'utente, in quanto chi ha accesso al server non può leggere i dati.
Perché la crittografia end-to-end non viene adottata universalmente?
La crittografia end-to-end richiede uno sforzo tecnico superiore a quello richiesto dalle altre forme di protezione dei dati, perciò è più conveniente per le grandi aziende offrire agli utenti standard di protezione inferiori, ma comunque considerati adeguati alla protezione dei dati.
Molte aziende hanno interesse ad avere accesso ai dati degli utenti che sono la loro vera fonte di guadagno. Multinazionali come Facebook e Google fondano i loro ingenti guadagni sulla pubblicità mirata; tutto ciò non sarebbe possibile senza l'accesso ai dati degli utenti, in quanto protetti dalla crittografia end-to-end.
I governi fanno pressione sulle multinazionali affinché non utilizzino la crittografia end-to-end. È noto che Facebook stia ritardando l'introduzione della crittografia end-to-end di default in Messenger a causa della pressione dei governi, in particolare quello britannico che ha finanziato una campagna pubblicitaria volta ad associare l'utilizzo della crittografia end-to-end alla diffusione delle immagini che violano i diritti dei minori (attualmente è possibile usare la crittografia end-to-end in Messenger attraverso le chat segrete). Anche Apple ha rinunciato al suo progetto di cifrare con crittografia end-to-end i backup su iCloud dei dati di iPhone e iPad a causa di pressioni da parte dell'FBI. L'FBI ricava un'ingente quantità di prove dei crimini indagati, proprio chiedendo ad Apple di rivelare i contenuti presenti sugli account iCloud degli utenti sospetti.