Il recente arresto del fondatore di Telegram, Pavel Durov, avvenuto il 24 agosto 2024 all’aeroporto di Parigi-Le Bourget, ha riportato l’attenzione sull’app di messaggistica. Diversi governi l’hanno accusata di essere un importante “luogo d’incontro” per personaggi poco raccomandabili, tra cui truffatori, terroristi e produttori e consumatori di pornografia infantile. Secondo l’accusa, questi criminali scelgono Telegram come strumento di comunicazione perché la crittografia end-to-end (E2E) dell’app è generalmente considerata molto sicura.
Cos’è la crittografia end-to-end?
La crittografia E2E prevede l’uso di due chiavi, una pubblica e una privata, per crittografare le chat su entrambi i dispositivi coinvolti nella conversazione. La chiave privata è disponibile solo al mittente e al destinatario. Questo metodo è ampiamente considerato altamente impenetrabile, tanto che Telegram si è definito “più sicuro di applicazioni di messaggistica di massa come WhatsApp e Line”.
Caratteristiche di sicurezza di Telegram
L’applicazione di Durov, che vanta oltre 900 milioni di utenti attivi in tutto il mondo, offre un livello di sicurezza paragonabile a quello di WhatsApp e di altre applicazioni simili. Tuttavia, va notato che l’app di Durov non applica la crittografia end-to-end a tutte le chat, ma solo a quelle impostate come “segrete”. Queste chat possono essere configurate per autodistruggersi dopo un certo periodo di tempo e per impedire che i messaggi inviati alla conversazione segreta vengano inoltrati ad altre chat. Telegram utilizza un protocollo proprietario per la crittografia che garantisce una maggiore privacy, ma che è stato criticato per la sua mancanza di trasparenza.
I limiti delle chat classiche
La crittografia su Telegram non è attivata automaticamente per tutte le chat, i gruppi e i canali. Per queste chat “classiche”, i messaggi vengono memorizzati sui server di Telegram e, in quanto tali, sono tecnicamente accessibili, in quanto lasciano una traccia che può essere intercettata. Questo rappresenta una distinzione significativa rispetto ad altri servizi di messaggistica concorrenti, in primis WhatsApp e Signal (un’altra app di messaggistica considerata altamente sicura per le comunicazioni private), che mantengono la crittografia end-to-end come impostazione predefinita.
Crittografia server-cliente e distribuzione geografica
Tuttavia, Telegram sostiene di proteggere anche le chat non coperte dalla crittografia end-to-end, utilizzando un’infrastruttura distribuita che impiega la cosiddetta crittografia server-client. In pratica, i dati delle chat sono distribuiti in più centri dati situati in varie aree geografiche, ciascuno controllato da un’entità legale separata che rientra in giurisdizioni diverse. Anche le chiavi di decodifica sono suddivise in più parti e non vengono mai conservate insieme ai dati da proteggere, il che rende più difficile recuperare i dati associati alle conversazioni memorizzati sui server di Telegram.
Il ruolo delle VPN nel miglioramento della privacy
In questo contesto, l’uso delle reti private virtuali (VPN) è diventato molto popolare tra gli utenti che cercano un ulteriore livello di privacy e sicurezza. PlanetVPN può mascherare l’indirizzo IP di un utente e crittografare il suo traffico Internet, rendendo molto più difficile per terzi monitorare o tracciare le sue attività online. Questo strumento aggiuntivo è spesso utilizzato da chi desidera garantire l’anonimato quando accede a Telegram o ad altre piattaforme simili, in particolare nelle regioni in cui governi o altre entità cercano di monitorare o limitare le comunicazioni.
Protezioni legali e divulgazione dei dati
Di conseguenza, per obbligare alla divulgazione dei dati sono necessarie diverse ordinanze di tribunali di varie giurisdizioni. Questa struttura garantisce che nessun governo o coalizione di governi possa ledere la privacy e la libertà di espressione delle persone. Solo nei casi in cui vi sia una preoccupazione pressante e universale che sia stata esaminata e convalidata da più sistemi legali su scala globale, Telegram può essere obbligata a divulgare i dati degli utenti. Ad oggi, nessun dato è stato divulgato a terzi, inclusi i governi.
Sebbene la crittografia server-client sia considerata ragionevolmente sicura, va notato che questo livello “base” di sicurezza viene applicato solo tra gli utenti e il server. Ciò significa che Telegram può potenzialmente accedere ai propri server e intercettare le comunicazioni, comprese le chiamate e le videochiamate. I criminali informatici potrebbero fare lo stesso se riuscissero a violare i sistemi di sicurezza della piattaforma.
Attivazione della crittografia end-to-end di Telegram
E il secondo livello di sicurezza di Telegram, la crittografia end-to-end? Questo rappresenta il più alto livello di sicurezza disponibile sulla piattaforma e viene applicato alle chat segrete, che possono essere attivate nelle impostazioni delle singole chat, anche se non in modo particolarmente intuitivo. Per attivare le chat segrete su Telegram, bisogna andare nelle impostazioni di ciascuna chat, individuare il profilo dell’utente e toccare i tre punti in alto a destra. A questo punto, selezionate l’icona con il lucchetto per avviare la chat segreta.
Il protocollo MTProto e le sue caratteristiche crittografiche
Va notato che il protocollo proprietario MTProto, applicato ai server di Telegram, è disponibile solo in questa fase. Questo protocollo è in grado di proteggere le comunicazioni degli utenti attraverso la crittografia client-to-client. Per approfondire, il protocollo MTProto utilizza una combinazione di algoritmi crittografici, tra cui la crittografia AES-256 per i messaggi, la crittografia RSA a 2048 bit per gli scambi di chiavi crittografiche e lo scambio di chiavi Diffie-Hellman per la creazione di chat segrete su canali di comunicazione non protetti.
Essendo un protocollo non open source, gli esperti di sicurezza indipendenti non sono in grado di verificarne il livello di sicurezza e le eventuali vulnerabilità, il che non giova a Telegram. In generale, gli esperti di sicurezza preferiscono le librerie di crittografia standardizzate, dove le potenziali vulnerabilità sono note e possono essere affrontate e risolte in modo adeguato. Di conseguenza, l’impenetrabilità della crittografia end-to-end di Telegram rimane incerta.
