Signal

Signal, caratteristiche principali

per Android
per iOS
per Windows, Linux e macOS
Open source
Crittografia end-to-end
gratuita
app di messaggistica con ottima grafica e buona esperienza di utilizzo. Decisamente poco traumatico il passaggio da WhatsApp
si può spedire e ricevere denaro con la criptovaluta MobileCoin
ignorate alcune istanze, sicuramente minoritarie, della comunità come non utilizzare Google Maps, non richiedere un numero di telefono e permettere le notifiche senza i Google Play Services
audit di sicurezza

Continuiamo la rassegna di recensioni delle applicazioni di messaggistica. Dopo avervi parlato di Matrix e delle applicazioni a lui connesse e dopo avervi meravigliato con la bellissima Delta Chat è arrivato il momento di dire due parole su Signal, l’alternativa, con Crittografia end-to-end, più conosciuta a WhatsApp.

Se ben ricordate abbiamo già fatto un articolo sulle differenze tra WhatsApp, Signal e Telegram dove abbiamo cercato di spiegare per esempio che non c’è bisogno necessariamente di scegliere tra Telegram e Signal perché queste due applicazioni sono complementari e non del tutto interscambiabili.

Signal, l’alternativa Open source a WhatsApp

È sbagliato infatti secondo noi contrapporre Signal a Telegram e non si arriverà mai a un “vincitore” perché le due applicazioni hanno obiettivi differenti e sono davvero molto diverse tra di loro. Discorso diverso invece se mettiamo Signal in paragone con WhatsApp. Signal infatti nasce proprio dall’incontro tra Moxie Marlinspike e Brian Acton, uno dei fondatori di WhatsApp ¹ ed è in tutto e per tutto un’ottima alternativa a quest’ultimo.

Su Signal si trovano più o meno tutte le caratteristiche utilizzate dalla maggior parte delle persone come le chat singole, i gruppi, le videochiamate, gli sticker le GIF animate. Così come WhatsApp anche Signal utilizza la Crittografia end-to-end. Non solo, non tutti sanno infatti che in realtà utilizzano anche lo stesso protocollo di crittografia, ovvero il Signal Protocol (adottato nel 2014).

Questo però non significa che le due applicazioni siano identiche, per esempio mentre Signal non mantiene, e siamo sicuri sia così, alcun metadata sui propri server ^{2 3 4}, WhatsApp invece sembra farci un po’ quel che gli pare ⁵. Se volete approfondire sulle controversie su WhatsApp vi giriamo questa pagina su Wikipedia è sicuramente molto interessante.

Inoltre Signal è un’applicazione Open source e anche il codice lato server lo è (anche se in passato ha avuto qualche problema su questo perché non ha aggiornato il codice per quasi un anno ⁶).

Al di là di questo comunque e dell’impossibilità di sapere se WhatsApp sia realmente sicuro come viene venduto, la sua collezione di metadati basta per poter dire di starne alla larga. Vi lasciamo qualche articolo, tra cui uno scritto da noi, per capire perché i metadati siano importanti tanto quanto il contenuto del messaggio stesso.

• Why Metadata Matters, EFF
• ‘We Kill People Based on Metadata’, The New York Review
• L’importanza dei metadati, Le Alternative

Come registrarsi a Signal

Signal non è un’applicazione pensata per garantire l’anonimato bensì per garantire la privacy di chi la utilizza. Dunque per registrarsi è necessario dare il proprio numero di telefono che verrà associato al vostro account. Una volta che vi iscriverete a Signal, così come accade per Telegram, i vostri contatti sapranno che avete installato Signal e ne verranno notificati.

C’è stata però un’importante novità a partire da Signal 7.0 ⁷: per aggiungere un contatto ora è possibile dare un nickname e non necessariamente il proprio numero di telefono. Una novità fondamentale secondo noi che ci ha anche portato a creare un gruppo di Le Alternative su Signal.

Le funzionalità

Come detto, Signal offre più o meno tutte le caratteristiche che ci si può aspettare da un’applicazione di messaggistica oggigiorno (anche se di recente WhatsApp ha messo il turbo sulle nuove funzionalità ^{8 9}). Forse l’unica vera opzione mancante, ma che prima o poi forse verrà introdotta ¹⁰, è la possibilità di condividere la propria posizione in tempo reale. Mentre è possibile inviare l’attuale propria posizione e basta.

Le altre caratteristiche all’interno della chat sono la possibilità di inviare fotografie e video, sticker animati, note vocali, file e GIF animate. A proposito di GIF animate, ci teniamo a dirvi che seppur le GIF provengono tutte da Giphy (che ha ricevuto più di una avance da Meta ¹¹ ed ora appartiene a Shutterstock ¹²) la vostra privacy non è a rischio perché Signal farà da scudo per voi ¹³ facendo in sostanza le richieste al posto vostro.

Sono inoltre disponibili i messaggi a scomparsa, cioè messaggi che scompaiono dopo un tot di secondi/minuti/ore/giorni, si possono programmare messaggi ed è possibile anche modificare il colore e gli sfondi delle singole chat.

Le videochiamate e le storie

È possibile fare sia chiamate che videochiamate crittografate end-to-end singole e di gruppo (fino a 40 persone). Durante le videochiamate è possibile anche condividere lo schermo (su Signal Desktop).

Da non molto tempo è anche presente una sezione dedicata alle storie dove potete condividere aggiornamenti con foto e brevi video con tutti i vostri contatti esattamente come WhatsApp.

Backup ed altro

A differenza di WhatsApp non si possono fare backup su soluzioni esterne come Google Drive ma verranno fatti backup crittografati solamente in locale. Nel momento in cui li attiverete vi verrà data una password numerica (lunghissima) da non perdere e da usare per ripristinare il backup. Vi consigliamo di salvarla in un luogo sicuro tramite Cryptomator, Bitwarden o blocchi note end-to-end come Standard Notes oppure ancora stamparla fisicamente. I backup sono automatici e potete decidere a che ora del giorno devono essere fatti.

Come abbiamo detto prima tutte le conversazioni, compresi i metadata, sono crittografati end-to-end e non vengono mai salvati sul server. Cosa significa esattamente? Che WhatsApp sa a che ora avete mandato un messaggio a qualcuno, se gli avete mandato una GIF (e probabilmente anche quale) e quanto parlate con una persona mentre Signal assolutamente no. Come detto prima nonostante questo possa sembrare poco non è assolutamente così e vi rimandiamo alle letture di prima: Why Metadata Matters, ‘We Kill People Based on Metadata’ e L’importanza dei metadati.

Come guadagna Signal

Signal è gratuito e accetta donazioni.

Le critiche a Signal

Come ogni applicazione famosa che si rispetti anche Signal è un buon bersaglio di critiche per qualsiasi cosa faccia. Lasciamo a voi, come spesso facciamo, il giudizio finale.

Oltre alle classiche critiche generali sul fatto che Signal non sia federato come lo è invece ad esempio Matrix (e quindi si finisce sempre per dipendere da qualcuno), ci sono state critiche anche durante l’implementazione della criptovaluta MobileCoin ¹⁴ e sul fatto che sia necessario avere un numero di telefono per potersi iscrivere e per poterlo utilizzare. Tra le altre cose si sono mosse critiche anche relative al fatto che qualche tempo fa per mesi il codice sorgente su GitHub non è stato aggiornato ¹⁵.

Altre critiche sono mosse dalla comunità e riguardano un po’ la troppa leggerezza con cui vengono utilizzati i servizi di Google per le notifiche e le API di Google Maps per la condivisione della propria posizione. Per questo infatti l’invio della posizione rischia di non funzionare se non avete i servizi di Google installati.

L’utilizzo di Amazon Web Services e non solo

Un’altra critica che si legge spesso nei confronti di Signal è l’utilizzo di AWS (Amazon Web Services) per ospitare la sua infrastruttura e distribuire i messaggi. Qui secondo noi non è tanto un problema di sicurezza (ricordiamo la crittografia e la quasi totale assenza di metadati), tuttavia se Signal non ha pronto un “piano B” affidarsi esclusivamente ad Amazon non la rende resiliente in caso di chiusura dei rubinetti da parte di Amazon per qualsiasi ragione. Ricordiamo per esempio quando AWS chiuse i rubinetti a Parler ¹⁶, siamo su questo mondo da abbastanza tempo da sapere che una scusa per rendere un eventuale blocco su Signal in qualche modo digeribile ai più la si trova sempre.

Lo sviluppatore di DivestOS tuttavia fa notare che non viene utilizzato solo AWS ma sono diversi i servizi che vengono utilizzati per far funzionare Signal attualmente: oltre ad Amazon c’è Akamai, Google, Cloudflare e Microsoft Azure. Il discorso precedente tuttavia non cambia: possono permettersi di farlo in quanto è tutto criptato.

Intel SGX

Come riporteremo anche più sotto e in relazione al paragrafo precedente, Signal adotta tecnologia SVR basata su Intel SGX e poiché Signal non gestisce i propri server, ma come detto utilizza AWS, tecnicamente Amazon potrebbe sfruttare le falle di SGX accedendo ad alcuni dati (non le chat salvate ma ad esempio i contatti).

Il Fork FOSS di Signal

Se proprio non vi trovate a vostro agio con alcune parti di Google inserite nel codice di Signal allora potreste provare Molly, una versione completamente FOSS di Signal dove non esiste la condivisione della posizione e non è presente il codice che dà priorità alle notifiche tramite i Play Services.

Oltre a questo Molly ha eliminato tutta l’implementazione di MobileCoin e ha fatto altre implementazioni di sicurezza interessanti che trovate a questo indirizzo.

Trovate una bella discussione, in inglese, sulle differenze tra Signal, Molly e Molly-FOSS a questo indirizzo: Signal vs Molly vs Molly-FOSS (archive).

Trovate Molly su F-Droid.

Come configurare Signal

Tendenzialmente non c’è molto da fare su Signal, è già un’ottima applicazione per l’utilizzo quotidiano di una persona con un modello di minaccia non eccessivamente esigente. Tuttavia su PrivacyGuides trovate una guida di configurazione per migliorarne la sicurezza come l’utilizzo costante dei messaggi effimeri o la disabilitazione della preview nei link. Tutte cose che, tuttavia, non sono realmente pericolose a meno che appunto il vostro modello di minaccia non sia particolarmente elevato e possono avere un’influenza negativa sull’esperienza quotidiana.

Le vostre domande su Signal

Per questo articolo abbiamo sperimentato una novità: vi abbiamo anticipato su Mastodon e su Twitter l’arrivo di questo articolo e vi abbiamo chiesto se avevate domande in particolare. Ecco qui dunque le risposte a quello che ci avete chiesto.

I messaggi sono crittografati end-to-end?

Sì, come scritto la cifratura di Signal non è messa in discussione e i metadati sono ridotti all’osso.

Come avviene lo scambio delle chiavi?

Quando inviate un messaggio a un contatto viene creata una chiave segreta condivisa che viene utilizzata per crittografare e decrittografare il messaggio. Il sistema di chiavi temporanee del protocollo Signal consente di generare una nuova chiave condivisa dopo ogni messaggio ¹⁷. Qui trovate invece la spiegazione tecnica completa.

È possibile avere un account senza un numero di telefono?

Purtroppo ad oggi non è possibile.

C’è interoperabilità con altri sistemi, come ad esempio IFTTT? Ci sono API aperte?

Non ci si risulta sia compatibile con IFTTT né che ci siano API da poter utilizzare per eventuali automatismi.

Esistono dei ponti tra Signal e Telegram?

Non conosciamo ponti tra Signal e Telegram. Si può utilizzare Element One o il bridge proposto gratuitamente da Tchncs per leggere tutti i messaggi su Matrix. Tuttavia tenete presente che questa operazione annullerà la crittografia di Signal.

Approfondire il modulo SGX di Intel che viene usato

Difficile riassumere un argomento simile in un articolo e un sito volutamente poco tecnico come il nostro, ci sono diversi link su cui approfondire come ad esempio il white paper ufficiale o il blog di Signal.

Ci sono tra l’altro dubbi, anche etici e non solo tecnici, sul fatto che Signal sia così dipendente da questo. Come il fatto che SGX sia l’esatto contrario di libero e Open source dato che è una tecnologia proprietaria. Questo post su Reddit (Teddit) di qualche anno fa è per esempio interessante.

Scaricare e usare Signal

Come abbiamo visto dunque Signal è davvero un’applicazione ottima e con pochi difetti. Tuttavia noi preferiamo sempre la federazione quando si parla di applicazioni di messaggistica (e di social) per evitare proprio il lock-in all’interno dell’ennesima società. Per questo tendenzialmente consigliamo l’utilizzo di Matrix, XMPP o Delta Chat ma questo non significa che Signal sia insicura, il motivo è appunto un altro.

1. La storia su Wikipedia[↩]
2. Battle of the Secure Messaging Apps: How Signal Beats WhatsApp[↩]
3. Grand jury subpoena for Signal user data, Eastern District of Virginia[↩]
4. Government requests[↩]
5. How Facebook Undermines Privacy Protections for Its 2 Billion WhatsApp Users e FBI Document Says the Feds Can Get Your WhatsApp Data — in Real Time[↩]
6. Signal updates open-source server code after it failed to for nearly a year[↩]
7. Keep your phone number private with Signal usernames[↩]
8. WhatsApp lancia oggi i Canali, ecco cosa sono e come funzionano[↩]
9. Ora puoi modificare i tuoi messaggi di WhatsApp[↩]
10. Live location sharing[↩]
11. Attempted acquisition by Meta Platforms[↩]
12. Following UK antitrust order, Meta sells Giphy to Shutterstock for $53M after buying it for $400M[↩]
13. Expanding Signal GIF search[↩]
14. MobileCoin closes on $66 million in equity in Series B round[↩]
15. Signal finally updates public server code after months of silence[↩]
16. Why Amazon’s Move to Drop Parler Is a Big Deal for the Future of the Internet[↩]
17. Hacker Lexicon: What Is the Signal Encryption Protocol?[↩]

Unisciti alle comunità