Signal (software)
applicazione di messaggistica istantanea focalizzata sulla privacy Da Wikipedia, l'enciclopedia libera
Signal è un'applicazione libera di messaggistica istantanea sviluppata, a partire dal 2018, dalla Fondazione Signal, un'organizzazione non a scopo di lucro.[1]
| Signal software | |
|---|---|
.svg){kind=logo} | |
| |
| Genere | Messaggistica istantanea |
| Sviluppatore | Fondazione Signal |
| Data prima versione | 29 luglio 2014 |
| Ultima versione |
|
| Sistema operativo | Multipiattaforma (Android, iOS, Windows, macOS, Linux, iPadOS) |
| Linguaggio | Objective C TypeScript Java Kotlin JavaScript C Swift |
| Licenza | GNU Affero General Public License, versione 3 (licenza libera) |
| Sito web | signal.org |
La natura non profit di Signal permette la continua attenzione alla privacy e alla sicurezza degli utenti. Ogni funzione (come messaggi, chiamate, foto, ecc.) utilizza infatti la crittografia end-to-end, garantendo che le informazioni condivise siano visibili unicamente al mittente e al destinatario.[2]
Signal può essere utilizzato per scambiare messaggi privati e di gruppo, chiamate audio e video, messaggi vocali, foto, video e documenti.
L'applicazione può essere utilizzata su smartphone con sistema operativo Android e iOS.[3] Inoltre è possibile collegare fino a 5 dispositivi tra cui tablet iPad e computer Windows, Linux e MacOS.[4][5]
Descrizione
Riepilogo
Prospettiva
Signal è un software libero e open source, sviluppato dalla fondazione Signal e da Signal Messenger (501c3 nonprofit) ed è distribuito con la licenza Affero General Public License v3. Impiega un protocollo di sicurezza denominato protocollo Signal[6], un algoritmo di crittografia end-to-end che garantisce che le informazioni condivise, quali audio, testo, documenti e video siano scambiate in modo sicuro.
Signal può essere utilizzato per inviare e ricevere messaggi individuali e di gruppo (fino a 1000 membri), chiamate, videochiamate individuali e di gruppo (fino a 50 persone), messaggi vocali, foto, video, documenti, posizione GPS, GIF animate e adesivi[7]. Tutte le informazioni condivise sono memorizzate sui dispositivi degli utenti, smartphone o computer, e non sono accessibili al server di Signal. A partire da maggio 2020 è possibile impostare un codice PIN che permette all'utente di memorizzare sul server, in forma crittografata, il profilo, i contatti e le impostazioni dell'app. Queste informazioni vengono utilizzate per funzioni di ripristino, ad esempio in caso di cambio telefono o re-installazione dell'applicazione.[8][9]
L'applicazione fornisce altre funzionalità come: conferme di lettura dei messaggi[10], reazioni ai messaggi con le emoji[11], personalizzazione del colore delle chat e dell'icona dell'app, storie che scompaiono dopo 24 ore[12], messaggi a scomparsa con timer personalizzabile[13], invio di messaggi programmati (solamente su Android), modifiche dei messaggi inviati, formattazione del testo[14] e invio di foto e video visualizzabili una volta[15].
Sono disponibili inoltre delle misure di sicurezza aggiuntive come: accesso tramite il blocco schermo, utilizzo di server proxy per raggirare la censura in paesi ostili[16], trasmissione delle chiamate attraverso i server di Signal per non rivelare l'indirizzo IP ai contatti e uno strumento per sfocare i volti delle persone prima di inviare una foto[17].
La costante cura per la privacy e la sicurezza, l'architettura generale e la solidità del protocollo utilizzato, la rendono l'app di messaggistica universalmente riconosciuta, da esperti ed addetti ai lavori, come la più sicura tra quelle centralizzate.[18] Nello sviluppo, infatti, viene usato il modello Zero Trust per cui anche se i computer che eseguono la parte server di Signal dovessero essere compromessi da attacchi hacker esterni o interni non ci sarebbe modo di decifrare i dati o risalire agli utenti.
A partire da febbraio 2024 è stata migliorata la privacy del numero di telefono con l'introduzione del nome utente. Questa funzione consente di iniziare una conversazione con un nuovo contatto condividendo il nome utente invece del proprio numero di telefono. Il numero di telefono, per impostazione predefinita, non è più visibile alle altre persone con cui si sta conversando, a meno che non sia già salvato nella loro rubrica. Il nome utente è opzionale e serve solamente per iniziare rapidamente una conversazione senza dover condividere il numero di telefono.[19]
Sicurezza e privacy
Riepilogo
Prospettiva
Protocollo Signal
Il protocollo Signal, in inglese Signal Protocol, è un protocollo di crittografia utilizzato per implementare la crittografia end-to-end per messaggi e chiamate. Inizialmente è stato sviluppato da Open Whisper Systems con il nome di Protocollo TextSecure e dal 2013 è sviluppato dalla Fondazione Signal e rinominato protocollo Signal.
Esso è distribuito con licenza libera AGPLv3[20] che ne permette l'utilizzo da parte di molte altre applicazioni di messaggistica istantanea come in: WhatsApp per messaggi e chiamate[21][22], Messaggi di Google nelle chat RCS individuali[23][24], Facebook Messenger per le conversazioni segrete[25] e Skype per le conversazioni private[26][27].
Gli utenti possono verificare l'identità dei loro corrispondenti confrontando, i rispettivi codici di sicurezza, anche scansionando un codice QR. Questo serve per scongiurare l'accesso alla conversazione da parte di utenti non autorizzati, noto come attacco man in the middle.
Il protocollo combina l'algoritmo di Double Rachet, una tripla curva ellittica di Diffie-Hellman per lo scambio delle chiavi X3DH, Extended Triple Diffie-Hellman, e utilizza Curve25519, AES-256, e HMAC-SHA256 come primitive.[2]
Nell'ottobre 2023 al protocollo di scambio delle chiavi (X3DH) è stato aggiunto un ulteriore livello di protezione contro i futuri computer quantistici. Il nuovo algoritmo è denominato PQXDH, Post-Quantum Extended Diffie-Hellman, e ha passato positivamente delle analisi formali, audit, da parte di ricercatori terzi.[28][29][30][31]
Ulteriori protezioni per la privacy
Oltre al protocollo Signal utilizzato per crittografare il contenuto di messaggi e chiamate l'applicazione utilizza ulteriori livelli di protezione per ridurre al minimo i dati disponibili al server di Signal. L'insieme di queste protezioni fa in modo che gli unici dati visibili al server di Signal sono il numero di telefono, il momento in cui viene registrato su Signal e l'ultimo accesso al servizio.[32][33]
Il profilo utente su Signal, che include il nome e la foto profilo dell'utente, viene condiviso in modo crittografato solamente con le persone con cui si sta conversando attraverso un'apposita chiave crittografica mentre il server non ha accesso a queste informazioni.[34][35]
A partire da settembre 2017 è disponibile il rilevamento dei contatti privato. Il server, in precedenza, per poter verificare se un contatto era registrato su Signal doveva avere accesso alla lista dei numeri di telefono dei contatti di ogni utente. Con la tecnologia private contact discovery l'utente vede chi tra i suoi contatti utilizza Signal senza che Signal sia a conoscenza di chi sono i contatti dell'utente.[36][37][38]
Da ottobre 2018 è disponibile la tecnologia del mittente sigillato, in inglese sealed sender, la quale permette di ridurre al minimo i metadati disponibili al server. I metadati includono l'identità del mittente, l'ora di invio, l'ora di ricezione, la dimensione del messaggio e se è stato letto o meno. Tutti questi dati sono protetti con un livello di crittografia ulteriore rispetto al protocollo Signal e sono accessibili solamente al destinatario.[39][40]
L'implementazione delle chat di gruppo è progettata in modo tale che il server sia a conoscenza del minor numero di informazioni possibili. Il nome del gruppo, la foto profilo, la descrizione, i partecipanti e i ruoli dei partecipanti sono condivisi unicamente con i membri del gruppo e non sono visibili al server di Signal. Questo è reso possibile utilizzando due chiavi distinte: una chiave di gruppo (Group Master Key) e una specifica di ogni utente per autenticazione (AuthCredential).[41][42]
Anche la ricerca delle GIF è sviluppata in modo privato. Invece di trasmettere direttamente la richiesta al motore di ricerca per le GIF, Giphy, le ricerche passano attravero il server di Signal. Con questo accorgimento Signal è a conoscenza che l'utente sta cercando una GIF ma non sa cosa sta cercando, allo stesso tempo il motore di ricerca vede la richiesta ma non sa da chi proviene.[43][44]
Storia
Riepilogo
Prospettiva
Signal è il successore di RedPhone un'applicazione per effettuare chiamate crittografate e TextSecure un'applicazione per l'invio di SMS crittografati. RedPhone e TextSecure erano sviluppate da Whisper Systems, una startup fondata da Moxie Marlinspike e Stuart Anderson nel 2010.[45] Nel novembre 2011 Whisper Systems è stata acquistata da Twitter, la quale intendeva assumere Marlinspike per migliorare la sicurezza del suo servizio.[46] Poco dopo l'acquisizione Twitter ha rimosso il servizio di RedPhone. Twitter ha successivamente pubblicato il codice sorgente delle due applicazioni con licenza GPLv3, nel dicembre 2011 per TextSecure e nel luglio 2012 per RedPhone.[47][48][49][50]
Nel gennaio 2013 Marlinspike ha lasciato Twitter e ha fondato Open Whisper Systems, un progetto open source collaborativo per continuare lo sviluppo delle due applicazioni.[51]
Icona di Signal
2015–2017
2015–2020
2020–2024
.svg){kind=logo}
2024
Nel luglio 2014 Open Whisper Systems annuncia l'intenzione di unire le due applicazioni sotto il nome di Signal. Inizialmente Signal era il nome dell'applicazione corrispondente a RedPhone per iOS, alla quale sono state successivamente integrate le funzionalità di TextSecure.[52]
Il 18 novembre 2014, Open Whisper Systems annuncia una patnership con Brian Acton, uno dei fondatori di WhatsApp per integrare su WhatsApp il sistema di crittografia end to end ideato per TexSecure.[53] Successivamente Acton lascia Facebook, alla quale aveva venduto WhatsApp per 19 miliardi di dollari, in contrasto con le politiche sulla privacy di Facebook.[54][55][56]
Nel novembre 2015 le funzionalità di RedPhone sono state integrate in TextSecure e l'app è stata rinominata Signal anche su Android.[57]
A partire dal 21 febbraio 2018 l'applicazione è sviluppata dalla fondazione Signal, un'organizzazione non a scopo di lucro presieduta da Acton e da lui finanziata con un prestito di 105 milioni di dollari a tasso zero; mentre Marlinspike è il primo l'amministratore delegato.[1][58]
Marlinspike ha chiarito in un'intervista a Anna Wiener del New Yorker che la natura non profit di Signal ne garantisce l'integrità: basandosi sulle donazioni e non sulla necessità di fare profitti, Signal può concentrarsi sui bisogni degli utenti, incluso il desiderio di privacy, e non sulla necessità di monetizzare gli stessi.[59]
Nel febbraio 2020, Politico riporta che l'Unione europea consiglia ai suoi funzionari di utilizzare Signal rispetto ad altre applicazioni di messaggistica, in quanto garantisce una maggiore riservatezza e sicurezza.[60]
Nel 2021, in vista dell'entrata in vigore della nuova informativa sulla privacy di WhatsApp che si appresta a condividere i dati dei suoi utenti con Meta, Signal riceve una nuova spinta nell'aumento dei download e degli utenti attivi. A tale crescita hanno contribuito in concomitanza alcuni tweet di Elon Musk, in cui consigliava di usare l'applicazione,[61] e nuove dichiarazioni di Edward Snowden.[62][63][64] In seguito a questa improvvisa crescita, nel primo pomeriggio del 15 gennaio 2021 il servizio di Signal si è interrotto a causa di un eccessivo flusso di dati.[65] Il 17 gennaio 2021, attraverso il proprio profilo ufficiale di Twitter, Signal ha annunciato il totale ripristino del servizio.[66]
Il 10 gennaio 2022 Moxie Marlinspike ha annunciato che lasciava il ruolo di amministratore delegato di Signal pur continuando a rimanere nel consiglio di amministrazione, Acton avrebbe svolto le veci di amministratore delegato mentre cercavano un nuovo sostituto.[67]
A partire dal 6 settembre 2022 Meredith Whittaker, ricercatrice sull'intelligenza artificiale e critica delle big tech, che già faceva parte del consiglio di amministrazione, ha preso il ruolo di presidente della fondazione Signal.[68]
Ad ottobre 2022 Signal ha annunciato che avrebbe rimosso il supporto per l'invio di SMS all'interno dell'app. Questa funzione, presente su Android fin dalla creazione di TextSecure permettava di scambiare SMS e MMS con persone che non utilizzavano Signal. Questa funzione è stata rimossa perchè gli SMS non possono essere crittografati come i messaggi Signal e dunque sono meno sicuri. Inoltre gli SMS hanno un costo maggiore per l'utente e rendevano l'applicazione più complessa da utilizzare.[69][70]
Cultura di massa
Signal viene spesso consigliata come la migliore applicazione in termini di privacy e sicurezza da personaggi quali Edward Snowden[71], Elon Musk[61], Jack Dorsey[72], e da istituzioni politiche come l'Unione europea[60] e dall'agenzia americana di sicurezza informatica.[73][74]
A giugno 2021 la trasmissione televisiva Report ha dedicato un'inchiesta delle giornaliste Lucina Paternesi e Alessia Marzi intitolata Fuga da Whatsapp.[75]
Nel marzo 2025 Jeffrey Goldberg, direttore della rivista The Atlantic, ha rivelato di essere stato erroneamente inserito da Michael Waltz in una chat di gruppo su Signal. Nel gruppo erano presenti membri dell'amministrazione Trump tra cui: il vicepresidente J. D. Vance, il segretario di Stato Marco Rubio e il segretario della difesa Pete Hegseth. La chat è stata utilizzata per discutere di un attacco militare degli USA in Yemen diretto contro gli Houti.[76][77][78][79] Questo fatto è diventato noto come Signalgate.[80][81]
Note
Voci correlate
Altri progetti
Collegamenti esterni
Wikiwand - on
Seamless Wikipedia browsing. On steroids.