Poiché Session è un fork di Signal, ha ereditato la forte sicurezza di Signal. Da qui, il team di Session ha costruito un sistema anonimo e decentralizzato che offre privacy e anonimato superiori ai suoi utenti. Siete pronti a saperne di più su questo sfidante per il trono di migliore app di messaggistica sicura e privata? Allora tuffatevi in questa recensione di Session.
Nozioni di base di Session messenger.
Dietro le quinte, Session è fondamentalmente diverso dalla maggior parte degli altri servizi di messaggistica sicura. Per rendere più comprensibile il resto di questa recensione di Session, è necessario esaminare alcune nozioni di base.
Le conversazioni in Session sono protette dalla crittografia E2E lato client. Solo il mittente e il destinatario di un messaggio possono leggerlo. Ma Session va oltre la sicurezza dei messaggi. Session protegge anche l'identità degli utenti. Rende le comunicazioni private e anonime, oltre che sicure.
Session è in grado di farlo perché connette gli utenti attraverso una rete simile a Tor, composta da migliaia di nodi di servizio. I nodi di servizio sono server che passano messaggi avanti e indietro attraverso la rete e forniscono servizi aggiuntivi. Il sistema di richiesta a cipolla utilizzato da Session per proteggere i messaggi assicura che nessun Service Node della rete conosca l'origine (il vostro indirizzo IP) e la destinazione (l'indirizzo IP del destinatario) di un messaggio. Ciò consente di nascondere il proprio IP per impostazione predefinita.
Session adotta una serie di misure aggiuntive per proteggere la vostra identità:
Non è richiesto un numero di telefono per la registrazione
Non è richiesta l'email per la registrazione
Non vengono raccolti dati di geolocalizzazione, dati del dispositivo o metadati.
I nodi di servizio sono raggruppati in sciami. Gli sciami forniscono ridondanza alla rete e un'archiviazione temporanea quando i messaggi non possono essere consegnati a destinazione. Ogni client di sessione si connette a uno sciame per inviare e ricevere messaggi in tempo reale e per recuperare i messaggi pertinenti che sono memorizzati nello sciame in attesa di essere consegnati.
Si noterà che non abbiamo parlato di alcun tipo di server centrale. La rete Session è decentralizzata, senza un singolo punto di guasto e senza un server principale che i malintenzionati possano hackerare. Session sposta i messaggi utilizzando un sistema di routing a cipolla.
In un sistema di routing a cipolla, i messaggi sono circondati da più livelli di crittografia e passano attraverso più nodi del sistema. Ogni nodo decifra uno strato di crittografia prima di passare il messaggio. Grazie al modo in cui i messaggi sono crittografati, nessun nodo può conoscere sia l'origine del messaggio che la sua destinazione. Inoltre, l'indirizzo IP dell'utente non è mai visibile a destinazione, il che significa che chiunque stia conversando con l'utente non ha modo di identificarlo quando utilizza Session. Il servizio Session dovrebbe dimostrarsi molto resiliente e continuare a funzionare anche quando singoli nodi di servizio si uniscono o abbandonano la rete.
Il sistema di routing a cipolla di Session funziona sulla rete di nodi di servizio Oxen. Questa rete (precedentemente nota come Lokinet) è anche parte dell'infrastruttura della criptovaluta $OXEN. Per saperne di più su OXEN, visitate il sito web Oxen.io.
Sebbene Session gestisca molto bene le funzioni di messaggistica di base, non dispone di alcune delle caratteristiche offerte da concorrenti come Signal o Telegram. Tra le altre cose, non è ancora in grado di effettuare chiamate vocali o video. Se avete bisogno di queste funzionalità specifiche, potreste voler guardare a un'altra app di messaggistica.
Ecco i pro e i contro che abbiamo individuato in questa recensione di Session:
+ Pro
La crittografia end-to-end (E2E) protegge i messaggi di testo e vocali e gli allegati.
Crittografia: Protocollo di sessione
Non richiede un numero di telefono o un indirizzo e-mail per l'iscrizione
Open source
Il sistema di routing a cipolla garantisce decentralizzazione e anonimato
Non registra gli indirizzi IP né i metadati
Gruppi chiusi criptati (ora fino a 100 persone) e gruppi aperti (senza limiti di dimensione)
Completato con successo l'audit del codice di sicurezza delle applicazioni per desktop, Android e iOS.
- Contro
Non supporta l'autenticazione a due fattori (2FA)
Sincronizzazione multidispositivo ridisegnata (beta iniziale)
Rimosso il Perfect Forward Secrecy
Importante: il fatto che Session non raccolga metadati è un enorme vantaggio. Riteniamo che il problema dei metadati sia il tallone d'Achille di molti servizi di messaggistica e di posta elettronica sicuri. Anche i più popolari servizi di posta elettronica sicura, come ProtonMail, non hanno una buona soluzione al problema dei metadati.
Ora esamineremo le caratteristiche principali di Session messenger.
Riassunto delle caratteristiche di Session.
Ecco le caratteristiche da considerare quando si valuta Session:
Utilizza il protocollo Session, ispirato a Signal, su un sistema di routing a cipolla distribuito per una comunicazione anonima e decentralizzata.
Codice 100% open-source (il codice è disponibile su GitHub).
Client per Android, iOS, macOS, Windows e Linux.
Il sistema è molto più stabile dopo diversi mesi di riprogettazione e refactoring.
Informazioni sulla società Session.
Session è un progetto della Loki Foundation. La Loki Foundation (registrata come LAG Foundation, LTD) è una fondazione di beneficenza con sede a Victoria, in Australia. La fondazione dichiara che il suo scopo è quello di "... costruire strumenti e applicazioni di comunicazione open-source e privi di metadati che difendano la privacy nel mondo digitale".
Nota: i prodotti Loki stanno cambiando nome in Oxen. È probabile che per un lungo periodo di tempo Loki e Oxen vengano utilizzati in modo intercambiabile.
Dove vengono memorizzati i dati della sessione?
I messaggi inviati all'utente vengono effettivamente inviati allo sciame. I messaggi sono temporaneamente memorizzati su più nodi di servizio all'interno dello sciame per garantire la ridondanza. Una volta che il vostro dispositivo raccoglie i messaggi dallo swarm, questi vengono automaticamente eliminati dai Service Node che li avevano temporaneamente memorizzati.
Nota: questa non è la stessa cosa di un'architettura peer-to-peer. Si veda la FAQ sulla sessione qui,
I client di Session non agiscono come nodi della rete e non trasmettono o memorizzano messaggi per la rete. L'architettura di rete di Session è più vicina a un modello client-server, in cui l'applicazione Session funge da client e lo sciame di Service Node da server. L'architettura client-server di Session consente una messaggistica asincrona più semplice (messaggistica quando una delle parti è offline) e l'offuscamento dell'indirizzo IP basato sul routing a cipolla, rispetto alle architetture di rete peer-to-peer.
Test e verifiche di terze parti su Session.
Session utilizza ora la sua rete di routing a cipolla. L'anno scorso ha commissionato a Quarkslab una verifica della sicurezza delle applicazioni Session Desktop, Android e iOS. L'audit è stato completato e fornisce buone notizie per Session e i suoi utenti. Il rapporto di verifica si conclude in parte con quanto segue:
Oxen Session migliora realmente la privacy e la resilienza del segnale grazie all'utilizzo di una rete sovrapposta alla soluzione di messaggistica istantanea con crittografia end-to-end esistente. I meccanismi di instradamento a cipolla fanno uso degli Snodes di Oxen per memorizzare e scambiare i messaggi. Tuttavia, ci sono altri servizi web standard centralizzati che vengono ancora utilizzati attraverso la rete overlay (per il servizio push e per la consegna di file allegati). Tutti i problemi principali sono stati rapidamente risolti.
Audit di Quarkslab Oxen Session, relazione tecnica
La sessione è ora adatta all'uso in casi in cui la sicurezza comprovata e verificata in modo indipendente è un prerequisito.
Quanto è sicura e privata la Sessione?
Una volta completata e sviluppata, la sessione dovrebbe essere super sicura, estremamente privata, anonima e in generale eccellente. Tuttavia, non è chiaro quanto il prodotto sia realmente vicino al completamento.
Il sistema di routing a cipolla è ora funzionante, il che rappresenta un grande passo avanti per la sicurezza e la privacy. La verifica della sicurezza di Quarkslab mostra che le applicazioni per desktop, Android e iOS sono tutte sicure.
Preoccupazioni per l'Australia e la sicurezza dei dati.
Per quanto riguarda la privacy e la sicurezza dei dati, dobbiamo parlare della sede di Session. Come già detto, Session ha sede in Australia. Purtroppo, l'Australia non è una giurisdizione perfetta per la tutela della privacy per alcuni motivi.
Come abbiamo recentemente discusso nella nostra guida sulle migliori VPN per l'Australia, nel 2018 il Paese ha approvato una legge che mina la crittografia e la sicurezza dei dati. Ecco una rapida panoramica di questa legge:
Il Parlamento australiano ha approvato giovedì una controversa legge sulla crittografia per richiedere alle aziende tecnologiche di fornire alle forze dell'ordine e alle agenzie di sicurezza l'accesso alle comunicazioni crittografate. I difensori della privacy, le aziende tecnologiche e altre imprese si erano opposti con forza alla legge, ma il governo del Primo Ministro Scott Morrison ha affermato che era necessaria per contrastare criminali e terroristi che utilizzano programmi di messaggistica criptati per comunicare.
Negli ambienti della privacy, la "legge sull'assistenza e l'accesso" è talvolta chiamata "legge che distrugge la crittografia" o "legge anti-crittografia" per ciò che consente. Questa legge avrebbe un impatto fondamentale sulle aziende che forniscono servizi di comunicazione criptati, tra cui Session, servizi VPN e altre aziende che si occupano di privacy. Questo argomento continua a suscitare critiche da parte dei sostenitori della privacy di tutto il mondo.
Prendendo spunto dall'Australia, le autorità di regolamentazione statunitensi hanno proposto di obbligare le aziende tecnologiche a violare la crittografia, facilitando così la sorveglianza.
La Loki Foundation, che sta dietro a Session, ha affrontato questa spinosa questione in un post sul blog:
Ovviamente siamo rimasti terrorizzati quando abbiamo visto questa proposta di legge. La possibilità che il progetto venga completamente compromesso da questa legge non è passata inosservata. Avevamo iniziato a pensare a come impostare dei failsafes per consentire alle persone di individuare il codice difettoso iniettato nella nostra base di codice, o per pagare qualcuno esterno a Loki che effettuasse ispezioni regolari dei nostri binari che rilasciamo e si assicurasse che non trapelassero informazioni extra o che non corrispondessero in qualche modo alla base di codice. Se ci venisse rilasciato un TCN [Technical Capability Notice], non potremmo dirlo a nessuno. Se avessimo creato una sorta di sistema di segnalazione, avremmo potuto essere imprigionati. Quindi, qualsiasi sistema di sicurezza che abbiamo creato dovrebbe essere esterno a Loki e dovrebbe essere sottoposto a controlli regolari per assicurarsi che non sia stato compromesso prima che venga emesso un TCN.
In definitiva, la Loki Foundation ritiene di poter continuare a gestire un servizio di messaggistica sicuro in questo pericoloso ambiente legale. Il loro blog post sull'argomento si addentra in dettagli tecnici e legali, che potete approfondire se avete tempo e voglia. Inoltre, l'azienda affronta la questione nell'argomento FAQ intitolato "La posizione anti-crittografia del governo australiano rappresenta un rischio per Session?" e in questo aggiornamento del post originale.
Quindi, i vostri dati sono sicuri e protetti con Session messenger?
Ho i miei dubbi dopo aver fatto ricerche sul Telecommunications and Other Legal Amendment (Assistance and Access) Bill 2018, comunemente noto come AA bill o TOLA, ma potete giungere alle vostre conclusioni.
Altri problemi di privacy in Australia.
Vale la pena notare che la legislazione anti-crittografia non è l'unico problema di privacy che affligge l'Australia. Considerate questo:
Conservazione obbligatoria dei dati - Nel 2017, l'Australia ha implementato un quadro di conservazione obbligatoria dei dati. Questo obbliga tutti i provider di Internet e le compagnie telefoniche a conservare i dati di connessione per le agenzie governative per ben due anni.
Five Eyes - Abbiamo anche notato in precedenza che l'Australia è un membro dell'alleanza di sorveglianza Five Eyes. Questa alleanza collabora per raccogliere e condividere dati di sorveglianza di massa.
Se pensate che varie agenzie non stiano sfruttando queste leggi per raccogliere dati sugli australiani, ripensateci. Ecco un recente titolo del Guardian:
Session Messenger FAQ.
Ecco alcune domande che sono emerse frequentemente durante la ricerca e la stesura di questo aggiornamento.
Session Messenger è sicuro?
L'audit di sicurezza recentemente completato da Quarkslab ha confermato ciò che credevamo da tempo: Session è sicuro. Tuttavia, le azioni del governo australiano per aggirare le protezioni della privacy su quasi tutte le app o i servizi (non solo su Session) ci fanno pensare che la vostra privacy non possa essere garantita se utilizzate Session.
Che cos'è il protocollo Session?
Il protocollo Session è un nuovo protocollo di messaggistica sviluppato da Session. Il passaggio dal protocollo Signal al protocollo Session consente di mantenere la sicurezza di quest'ultimo, fornendo al contempo caratteristiche di privacy/anonimato e decentralizzazione. Il risultato è un protocollo che funziona bene con l'architettura unica di Session.
Conclusione della recensione di Session.
Session è un prodotto promettente, ma presenta pro e contro. Una volta completato, dovrebbe essere sicuro come Signal, ancora più privato di Signal e anonimo. Ma ci sono ancora dubbi sull'Australia, sulla privacy dei dati e sulla capacità della Loki Foundation di mantenere i dati degli utenti al sicuro in questo ambiente.
Last edited by a moderator:
