TextSecure

TextSecure
software
Logo
Schermata di esempio
GenereMessaggistica istantanea
SviluppatoreOpen Whisper Systems
Ultima versione5.31 (17 febbraio 2021)
Sistema operativoAndroid
LinguaggioJava
LicenzaGNU GPL v3
(licenza libera)
Sito websignal.org/

TextSecure è un avanzato protocollo di crittografia end-to-end, gratuito e a codice sorgente aperto, adottato da varie applicazioni di messaggistica istantanea per terminali mobili con sistema operativo Android.

TextSecure permette la trasmissione sicura di messaggi, chat, allegati e messaggi multimediali ad altri utenti TextSecure, tramite il protocollo di crittografia OTR. Gli utenti possono verificare autonomamente l'identità dei loro corrispondenti confrontando le impronte digitali ovvero con la scansione dei codici QR personali. L'applicazione Android può essere usato sia in sostituzione dei programmi di messaggistica nativi di Android, che per l'invio di SMS e MMS non cifrati. Il database dei messaggi locale può essere anch'esso criptato con una password scelta dall'utente.

L'applicazione è stata sviluppata da TextSecure Whisper Systems e pubblicata sotto la licenza GPLv3.

StoriaModifica

Whisper Systems e Twitter (2010-2011)Modifica

TextSecure iniziato come applicazione per l'invio e la ricezione di messaggi SMS criptati. La sua versione beta è stata lanciata nel maggio 2010 dal Whisper Systems, una startup co-fondata da ricercatore di sicurezza Moxie Marlinspike e robotica Stuart Anderson. Oltre al lancio di TextSecure, Whisper Sistemi ha prodotto un firewall, strumenti per la crittografia altre forme di dati, e RedPhone, un'applicazione che ha fornito le chiamate vocali crittografate. Tutti questi erano software proprietari aziendali di sicurezza mobile.

Nel novembre del 2011, Whisper Systems ha annunciato di essere stata acquisita da Twitter. I termini finanziari dell'accordo non sono stati resi noti da entrambe le società. L'acquisizione è stata fatta "in primo luogo in modo che il signor Marlinspike potesse aiutare l'allora startup a migliorare il suo standard di sicurezza". Poco dopo l'acquisizione, il servizio RedPhone Whisper Systems ' non era più attivo. Alcuni hanno criticato la rimozione, sostenendo che il software è stato "specificamente mirato [per aiutare] persone che vivono in regimi repressivi", e che ha lasciato la gente come gli egiziani in "una posizione pericolosa" durante gli eventi del 2011.

Twitter ha rilasciato TextSecure come software libero e open-source sotto la licenza GPLv3nel dicembre 2011. RedPhone è stato rilasciato anche sotto la stessa licenza nel luglio 2012. Marlinspike in seguito lasciò Twitter e fondò Open Whisper Systems come un progetto di collaborazione open source per lo sviluppo di TextSecure e RedPhone.

Open Whysper SystemsModifica

Open Whisper Systems è stato lanciato nel gennaio 2013, ed ha iniziato a lavorare per portare TextSecure su sistemi iOS a partire da Marzo 2013.

Nel mese di febbraio 2014, Open Whysper ha aggiornato il protocollo alla versione 2, con il supporto alla di chat di gruppo e a maggiori funzionalità di messaggistica. Verso la fine di luglio 2014, la società ha annunciato l'intenzione di unificare le sue applicazioni RedPhone e TextSecure in un'unica app chiamata Signal. Questo annuncio ha coinciso con la versione iniziale di Signal come contropartita RedPhone per iOS. Gli sviluppatori hanno detto che i loro prossimi passi sarebbero quelli di fornire TextSecure con funzionalità di messaggistica istantanea per iOS, di unificare le applicazioni RedPhone e TextSecure su Android, e lanciare un client Web. Signal è stata la prima applicazione iOS che offriva gratuitamente chiamate vocali con un elevato livello di cifratura.

Nel mese di marzo 2015, Whisper ha rilasciato la versione 2.0 di Signal con il supporto per messaggistica privata fra utenti TextSecure su sistemi iOS. Nello stesso mese, Open Whisper ha terminato il supporto per l'invio e la ricezione di SMS / MMS crittografati su Android. A partire dalla versione 2.7.0, TextSecure supporta invio e ricezione di messaggi crittografati esclusivamente tramite il canale dati. Le ragioni di questa scelta tecnica sono:

  • Complicazioni con il metodo di codifica SMS: gli utenti necessari per avviare manualmente un "scambio di chiavi", che ha richiesto un giro completo prima di eventuali messaggi potessero essere scambiati. Oltre a questo, gli utenti non potevano essere sempre sicuri che il destinatario fosse in grado di ricevere SMS o MMS cifrati.
  • Problemi di compatibilità con iOS: non è possibile inviare o ricevere SMS o MMS cifrati su iOS, a causa della mancanza di API.
  • Le grandi quantità di metadati che inevitabilmente sorgono e sono incontrollabili quando si utilizza SMS / MMS per il trasporto di messaggi.
  • Focus su sviluppo del software: Il mantenimento della crittografia di SMS / MMS crittografia occupa risorse preziose e rallenta fortemente lo sviluppo del software.

Dopoché Whisper ha abbandonato la cifratura di SMS/ MMS, in aggiunta alla dipendenza da Google Cloud Messaging (GCM) e l'indisponibilità da F-Droid, alcuni utenti hanno deciso di creare una variante del programma chiamata SMSSecure, progettata e dedicata esclusivamente per la crittografia di SMS e MMS.

Nel mese di novembre 2015, TextSecure si è fusa con RedPhone, per diventare una nuova unica applicazione per Android, Signal.

CaratteristicheModifica

TextSecure ha permesso agli utenti di inviare messaggi di testo crittografati, messaggi audio, foto, video, informazioni di contatto, e una vasta selezione di emoticon attraverso una connessione dati (ad esempio, la connessione Wi-Fi, 3G o 4G) ad altri utenti TextSecure in possesso di smartphone con sistema operativo Android. TextSecure ha anche permesso agli utenti di scambiare in chiaro SMS e MMS con quanti non avevano installato TextSecure.

I messaggi inviati con TextSecure ad altri utenti TextSecure sono stati automaticamente sottoposti a crittografia di tipo end-to-end, il che significava che potevano essere letti solo dai destinatari. I tasti che sono stati utilizzati per crittografare i messaggi degli utenti sono state memorizzate esclusivamente sul dispositivo mittente, e sono stati protetti da un ulteriore strato di crittografia se l'utente aveva abilitato e registrato una password personale. Nell'interfaccia utente, i messaggi cifrati sono contrassegnati dal simbolo di un lucchetto.

TextSecure aveva una funzione nativa per verificare che l'utente stava comunicando con la persona giusta e prevenire attacchi del tipo man-in-the-middle. Tale verifica potrebbe essere fatto confrontando le impronte digitali. Gli utenti possono anche eseguire la scansione dei propri codici QR personali.

TextSecure ha permesso agli utenti di chattare con più persone contemporaneamente.I messaggi diretti alle Chat di gruppo vengono automaticamente cifrati col metodo end-to-end, mantenendo una connessione dati disponibile se tutti i partecipanti si sono registrati come utenti TextSecure. Gli utenti possono creare gruppi identificati con un'icona e un avatar, possono aggiungere i propri amici, partecipare o lasciare gruppi, e scambiare messaggi / file multimediali, tutti con le stesse proprietà di crittografia che TextSecure fornisce. I server non hanno accesso ai metadati né all'elenco dei membri del gruppo, al titolo del gruppo, o all'avatar.

AuditModifica

Nel mese di ottobre 2013 iSEC Partners ha pubblicato un post sul blog in cui riferisce di aver verificato molti dei progetti sostenuti dal Open Technology Fund durante lo scorso anno, tra cui TextSecure.

Nel mese di ottobre 2014, i ricercatori della Ruhr University Bochum hanno pubblicato una analisi del protocollo di TextSecure. Tra gli altri risultati, hanno presentato un unknown key-share attack sul protocollo, ma in generale, hanno trovato che il client di chat cifrata è sicuro.

SviluppatoriModifica

TextSecure è stato sviluppato da Open Whisper Systems, un no-profit. Gruppo software che sviluppa in collaborazione Open Source progetti con la missione di "rendere la comunicazione privata semplice". Il gruppo è costituito da una vasta comunità di volontari, così come daun ristretto team di sviluppatori dedicati e retribuiti. Open Whisper Systems è finanziato da una combinazione di donazioni e sovvenzioni, e tutti i suoi prodotti sono pubblicati come software libero e open-source sotto i termini della GNU General Public License (GPL) versione 3.

Open Whisper Systems ha ricevuto un sostegno finanziario, tra gli altri, dalla Freedom of the Press Foundation, the Knight Foundation,Shuttleworth Foundation, e dall'Open Technology Fund, un programma governativo degli Stati Uniti che ha anche finanziato anche altri progetti a tutela della privacy, come il software di anonimato Tor e il sito web di messaggistica istantanea crittografata Cryptocat.

Lo sviluppatore Moxie Marlinspike ha affermato che con i loro server è vietato usare client non ufficiali[1], facendo così terminare il progetto LibreSignal.

NoteModifica

Altri progettiModifica

Collegamenti esterniModifica