Come utilizzare Telegram in modalità sicura

FelynX · 23 Dicembre 2015, 1:53pm

Avvio questo 3D prendendo spunto da un post del Disinformatico Paolo Attivissimo: Telegram tiene i messaggi in chiaro? I tweet degli esperti

Telegram è indicata da molti come un’applicazione di chat molto sicura. Ma oggi nel mio flusso di tweet ho notato questo scambio: “By default Telegram stores the PLAINTEXT of EVERY MESSAGE every user has ever sent or received on THEIR SERVER.”…

Anche Snowden conferma, invece Durov smentisce.

Il 3D su Twitter è qui: https://twitter.com/moxie/status/678219238394298372

Raccogliamo qualche info? Quale chat può essere ritenuta sicura per la privacy? Signal?

FelynX · 23 Dicembre 2015, 10:40am

Altra fonte: Is Telegram secure?

Cal · 23 Dicembre 2015, 12:38pm

Non lo è mai stato. Nessun servizio cloud sincronizzato in quel modo può essere sicuro come immaginano gli scriventi. Però è comodo, i messaggi sono su tutti i client contemporaneamente (cosa che con le chat segrete non avviene), eccetera.

FelynX · 23 Dicembre 2015, 1:38pm

Altro contributo dai social: Why Telegram is secure https://francesco.cc/why-telegram-is-secure/

lynX · 23 Dicembre 2015, 2:12pm

Chissà perchè avevo il presentimento che la battaglia delle opinioni non avrebbe cambiato nulla riguardo ai fatti. Il commento più azzeccato è di Snowden – l’utilizzo by default di Telegram non è sicuro – bisogna installare Telegram nel modo giusto e bisogna utilizzare la cosiddetta “chat segreta”. Tutto il resto potrebbe opportunisticamente essere all’oscuro da certi servizi segreti ed accessibile ad altri (per questo presumo che ci siano poteri interessati a smerdare Telegram altrettanto quanto quelli interessati a promuoverlo senza informare la gente dei dettagli).

Come utilizzare Telegram in modalità sicura

I dettagli sul come fare Telegram in modo sicuro li ho descritti qui: Così il tuo smartphone sa tutto di te, e del tuo futuro e qui: http://secushare.org/comparison – visto che questo è il mio ambito professionale primario.

Anche messaggeria criptata end-to-end può passare attraverso una cloud. L’idea che entrambe le parti debbano essere online allo stesso tempo fu messa al mondo dall’autore di OTR, ma in realtà è una limitazione di OTR che il professor Goldberg scelse per ragioni di eccessiva paranoia verso il device ospitante, l’idea che sia malvagio memorizzare una chiave effimera sul disco rigido. Ormai tutti gli sviluppatori di sistemi end-to-end hanno accettato questo trade-off considerando gli svantaggi bestiali che causa alla usability non farlo (non so se usi OTR… è abbastanza scrauso).

Cal · 23 Dicembre 2015, 2:38pm

Usi il cloud per sincronizzare i messaggi per una questione di comodità. Nessuno vuole tenersi in locale diversi GB di database di telegram, criptati o meno. È una cloud di archiviazione, non di instradamento.

lynX · 23 Dicembre 2015, 2:46pm

Esatto, ma i dati non sono per questo necessariamente memorizzati in chiaro.

Cal · 23 Dicembre 2015, 2:58pm

Perché non lo siano dovresti tenere la chiave. E gestirla, da un device all’altro.

Probabilmente non usarla per il login, per motivi di forward secrecy.

Eccetera, è un macello.

lynX · 23 Dicembre 2015, 8:26pm

Non c’è chiave identificante. I device generano chiavi effimere in uno scambio Diffie-Hellman. La garanzia che non ci sia un MITM si ottiene confrontando i grafi della chiave… cioè incontrandosi e guardando entrambi gli schermi dei device – va bene anche retroattivamente. Se usi un device nuovo si crea una chat segreta nuova… entrambe possono coesistere. Perciò non è necessaria gestione tra i device. La forward secrecy esiste solo in questa modalità E2E e il login non è segreto… anzi, Telegram s’impossessa della agenda contatti – per i metadati perciò è peggio di Facebook. In Facebook almeno è usuale di aggiungere molta gente che non sono veramente importanti nella tua vita… nell’agenda del telefonino invece…

Silvan · 21 Gennaio 2016, 12:27pm

Ho visto qualche ottima recensione di Telegram e un po’ di storia dell’autore, l’ho anche installato, molto bello. Però, mi sono fatto una domanda, se è gratuito e rispetta la privacy senza vendere i dati degli utenti a nessuno (senza fare indagini di mercato, rilevare tendenze, ecc.) c’è un bel lavoro dietro e soprattutto dei server da pagare, qual è il modello di business di Telegram? Come riesce ad avere delle entrate o non le ha??

Cal · 21 Gennaio 2016, 12:46pm

Beneficenza.

[quote]D: Come avete intenzione di ricavarci dei soldi?

Crediamo nella messaggistica veloce e sicura, e gratuita al 100%.

Le aziende commerciali si scontrano frequentemente con l’esigenza di compromettere i propri valori per avere una crescita finanziaria. Ecco perché abbiamo creato Telegram come progetto non commerciale. Telegram non è stato fatto per avere dei guadagni, non venderà mai spazi pubblicitari o accetterà investimenti esterni. Non può nemmeno essere venduto. Non ci stiamo costruendo una “base di utenti”, stiamo costruendo un messenger per la gente.

Pavel Durov, che condivide la nostra visione, ha supportato Telegram con una donazione molto generosa attraverso il suo fondo Digital Fortress, quindi per il momento abbiamo abbastanza denaro. Se Telegram terminerà i fondi, inviteremo i nostri utenti a donare, oppure aggiungeremo funzionalità non essenziali a pagamento. Ma fare profitti non sarà mai uno degli obiettivi di Telegram. [/quote]

Silvan · 21 Gennaio 2016, 2:43pm

Sarebbe utile fare un video di presentazione (pensato bene) e non troppo lungo su Telegram e invitare la gente a passare a questa app, magari suggerendo di avere pazienza: lo installo e invito i miei amici ad usarlo, se gli utenti sono troppo pochi, conservo quel leggero e veloce programma contribuendo alla diffusione. Questa potrebbe essere un’iniziativa ufficialmente promossa dal Partito Pirata per farsi conoscere e sensibilizzare sull’importanza della corrispodenza segreta e il rischio di un eccesso di potere e informazione sulle tendenze delle persone in mano ad aziende e probabilmente anche governi.

Che ne pensi @lynX ? ipotizzi ombre o falle su Telegram? Sarà pur sempre meglio e piú affidabile della concorrenza commerciale.

lynX · 21 Gennaio 2016, 4:25pm

L’ombra sta nella usability. L’unica funzione veramente sicura in senso costituzionale è la chat “segreta” che però devi selezionare consciamente. Se lo fanno solo i nerd alla fine non ci abbiamo guadagnato granché. La maggioranza delle persone mette tutti i suoi dati in mano agli admin di quella società… e il potere prima o poi corrompe o viene forzatamente corrotto…

Meglio raccomandare Bitmessage e Ricochet… probabilmente anche Tox, Tribler e Twister.

Silvan · 24 Gennaio 2016, 2:32am

Su Google Play non ho trovato nulla con questi nomi. Giusto qualche gioco o la possibilità di scambiarsi solo video…

L’usabilità è ottima di Telegram, tra l’altro è molto simile (quasi uguale) a whatsapp.

Meglio un app che ti concede la segretezza tramite chat criptata o comunque la fiducia dell’azienza che non vuole invadere la privacy di nessuno [ho formulato la frase meglio]. Penso che aziende, gruppi di lavoro, università, dovrebbero per primi preferire Telegram e poi si spera si diffonda anche tra utenti di tutti i tipi.

lynX · 23 Gennaio 2016, 6:56pm

Infatti sono tutti software che non hanno molto senso di utilizzare su un sistema insicuro come Android. Twister almeno mi pare esista in f-droid.org. Tutte le cose raccomandabili non sono nel Google Store ma in F-Droid.

Ma disincentiva l’utilizzo della chat sicura. Invita a usare quella sorvegliata – e la maggioranza degli utenti è incosciente abbastanza di farsi sorvegliare esponendo quelle persone che la chat sicura la usano per davvero. In questo senso l’usabilità è buona per l’azienda, ma non per i diritti civili.

Non ho capito il ragionamento. Io vorrei potere raccomandare un software che non puoi utilizzare nel modo sbagliato… che non ti frega sul più bello. Ma non esiste, perciò non credo ci sia alcuna cosa per la quale si possa fare pubblicità al momento. Se vuoi potresti aiutare a sviluppare un cliente Android per secushare.org – magari utilizzando i sorgenti di Telegram, cambiando solamente il backend… in tal caso si che si avrebbe qualcosa da raccomandare… Purtroppo i sistemi veramente sicuri non ricevono finanziamenti… sono sempre quelli a metà strada a raccogliere l’attenzione… perché sono meglio di niente. La mentalità del meno peggio invece dell’ottimale è incidente sulla capacità della società umana a progredire in modo sano.

Silvan · 24 Gennaio 2016, 3:24am

Telegram è disponibile anche su F-Droid: https://f-droid.org/repository/browse/?fdfilter=telegram&fdpage=1&page_id=0

Questo dispiace anche a me: ci sarebbe stato il necessario rispetto della corrispondenza segreta (Costituzione) e invece è opzionale :\ Almeno, se uno lo desidera ed è attento, può conversare con piú sicurezza su cose riservate, progetti di lavoro, idee aziendali… Leggono i metadati (chi parla con chi, ecc.), ma il contenuto è rispettato nella sua segretezza.

lynX · 24 Gennaio 2016, 10:32am

Infatti per questo lo uso, ma il fatto che quasi tutti gli utenti non lo usano in modalità sicura mi disturba. Io non ho Google Store sui miei droidi.

Fare questo tipo di distinguo significa già perdere una enorme quantità di informazioni quotidiane che inquadrano la tua personalità, il tuo modo di gestire amori ed amicizie, le tue opinioni politiche, i tuoi punti deboli per poterti ricattare… solo proteggendo tutte le comunicazioni si rispetta la costituzione, non lasciando alle persone di attivare la privacy solo quando serve perché ritengo comprovabile che le persone non sono cognitivamente in grado di riconoscere il momento nel quale avrebbero dovuto fare questo passo, e che questo passo è da farsi già quando parli del quotidiano.

Silvan · 24 Gennaio 2016, 11:36am

Comprendo hai ragione, però se è al momento questo è “il meglio” tra le app per smartphone si può raccomandare, magari precisando che si augura / si invita i programmatori di Telegram a veicolare sempre informazioni criptate. Anzi, non è possibile inoltrate questa richiesta, da parte del Partito Pirata, sotto forma di lettera, e consegnarla all’azienda di Telegram?

lynX · 24 Gennaio 2016, 11:50am

Se ti va di sollecitare una qualche strana scusa per la quale non lo faranno, vai pure…

Anzi, azzardo pure una probabile risposta… ti diranno che le chat non segrete sono più pratiche perché funzionano su tutti gli apparecchi in tutte le situazioni, perciò prevale la comodità sulla costituzione.

Silvan · 28 Gennaio 2016, 12:47am

“Le chat normali usano il cloud in modo piú pratico” anche io mi immagino questa risposta. Se hanno fatto questa scelta un motivo c’è.

In merito ai metadati io temo che oggi è impossibile non fornirli. Bisogna non avere Facebook, né GMail, né Hotmail; né Yahoo; né Google+, né Android o un suo account, né iPhone, né Whatsapp, ecc. ecc. Se i governi sono d’accordo con le grandi aziende nel fornire dati per ragioni di “sicurezza e difesa” hanno la mappa di tutte le persone con i loro legami e gruppi di interessi o contesti di frequentazione. Naturalmente il ‘se’ è un eufemismo.

Ma non solo, ammesso che faccio l’eroico e scomodissimo tentativo di avvalermi di soli software alternativi e criptati… ci saranno molti amici che mi mettono in Rubrica e che finisce sincronizzata con il loro account Google o altro…

Detto questo, io ritengo che è impossibile proteggere i metadati (solo teoricamente lo è, non praticamente). Inoltre, la corrispondenza segreta nella Costituzione riguarda i messaggi, ciò che si dice, non con chi si parla. Insomma, la riservatezza dei messaggi è ancora fattibile, è sensato proporla, il resto no… e direi che non è nemmeno necessario. Opinioni?