I NOSTRI SERVIZISERVIZISeguiciAREA PREMIUMWhitepaperEventiWebinarCANALICybersecurity nazionaleMalware e attacchiNorme e adeguamentiSoluzioni aziendaliCultura cyberL'esperto rispondeNews analysisChi siamoLA GUIDA PRATICAHomeSoluzioni aziendaliCondividi questo articolo
Threema è un’app di messaggistica istantanea che si differenzia delle altre in quanto permette di comunicare via chat, chiamate e videochiamate in maniera completamente anonima e protetta grazie ad efficaci algoritmi crittografici. Ecco come funziona e come usarla al meglio
08 Mar 2021Giorgio SbaragliaConsulente aziendale Cyber Security, membro del Comitato Scientifico CLUSITIn questi giorni WhatsApp sta ricordando ai suoi utenti che il prossimo 15 maggio procederà con l’aggiornamento dei termini d’uso e dell’informativa privacy, che è necessario accettare per continuare ad utilizzare l’app anche dopo questa data: per questo motivo, sono numerosi gli utenti che stanno migrando (o stanno pensando di farlo) su piattaforme alternative come Signal e Wickr: oltre a queste, però, esistono altre applicazioni di messaggistica istantanea altrettanto valide e sicure tra cui c’è da segnalare Threema.
L’app è dotata di numerose funzionalità che ne rendono semplice l’utilizzo, ma anche di alcune misure di sicurezza che consentono di proteggere le chat e che, quindi, è utile analizzare in dettaglio in modo da avere tutti gli elementi utili per scegliere l’alternativa a WhatsApp più utile ai nostri scopi.
Indice degli argomentiThreema: l’app di messaggistica per chat anonime
Threema (nata nel 2012 in Svizzera) è considerata una delle applicazioni di messaggistica istantanea più sicure disponibili al momento sui vari app store: come le altre principali concorrenti, infatti, è disponibile sia per Android sia per iOS. Esiste anche una versione desktop per Windows e macOS, chiamata Threema.Web, che però è una web application attivabile scannerizzando il QR Code mediante l’app installata sullo smartphone.
WHITEPAPERTecnologie di storage per modernizzare l'infrastruttura IT: scopri i vantaggi per gli Operatori IT!StorageBackupScarica il WhitepaperA proposito della sicurezza delle chat su Threema, è importante segnalare che i server utilizzati dall’app si trovano in Svizzera e quindi sottostanno alle rigide regole di protezione dei dati vigenti sul territorio svizzero (non è sottoposta alle leggi di sicurezza degli Stati Uniti).
Per questo motivo, Threema dichiara di essere “completamente conforme al GDPR”.
È possibile registrarsi in modo anonimo
Threema non richiede un indirizzo e-mail o un numero di telefono per creare un account: ci si può registrare in modo anonimo, perché è sufficiente indicare un nickname.
In fase di registrazione viene creato un Threema ID casuale, composto da 8 caratteri compresi tra A-Z/0-9. Questo rappresenta il codice che identifica l’utente e che viene usato nella crittografia. Questo ID è l’identificativo unico in Threema, non dipende da un numero di telefono e rende possibile utilizzare Threema in modo completamente anonimo, senza rivelare alcuna informazione personale.
E-mail o numero di telefono possono comunque essere aggiunti anche in un secondo momento, a discrezione dell’utente.
Threema, inoltre, non salva metadati e non comunica le informazioni relative ai messaggi scambiati con altri utenti (mittente, destinatario, ora di invio e ricezione ecc.).
Come funziona il backup delle impostazioni
Su Threema è anche possibile effettuare il backup (da attivare accedendo alle impostazioni dell’app) dei dati importanti quali: chat, chiavi, lista contatti e via dicendo utilizzando la funzione Threema Safe.
Questa crea un backup automatico crittografato (protetto da una password impostata dall’utente e conosciuta solo da questi) che è archiviato solo sul dispositivo (non su server esterni).
Anche per questo motivo, Threema ci avvisa che in caso di perdita della password o di smarrimento del dispositivo non potrà aiutarci a recuperare questo backup.
Anche chiamate e videochiamate sono anonime
Infine, l’applicazione permette di fare chiamate e videochiamate senza rivelare il proprio numero di telefono. Le chiamate Threema sono criptate end-to-end e quindi a prova di intercettazione.
La qualità è ottima (tra le migliori) e può essere impostata dall’utente su tre livelli (equilibrata, bassa, massima) a seconda della banda che si ha a disposizione.
Crittografia e sicurezza su Threema
La crittografia E2E impiegata da Threema utilizza componenti open source ed è dettagliatamente illustrata in questo whitepaper, dove vengono spiegati gli algoritmi e la progettazione della crittografia.
Viene impiegato l’algoritmo asimmetrico Elliptic Curve Diffie-Hellman (ECDH) e la cifratura simmetrica con XSalsa20. L’applicazione memorizza i dati locali (come la cronologia dei messaggi in entrata e in uscita e l’elenco dei contatti) in forma criptata sul dispositivo stesso.
Threema, inoltre, dichiara di essere sottoposta ad audit di sicurezza completi. Gli audit più recenti sono elencati sul sito:
Threema utilizza due diversi livelli di crittografia per proteggere i messaggi tra il mittente e il destinatario:
- livello di crittografia end-to-end (e2E): questo livello si trova tra il mittente e il destinatario;
- livello di trasporto: ogni messaggio crittografato end-to-end viene nuovamente cifrato per il trasporto tra il client ed il server, al fine di proteggere le informazioni dell’header del messaggio.
Chat al sicuro sempre con la crittografia end-to-end
Tutti i messaggi (che siano semplici messaggi di testo o che contengano media come immagini, video o registrazioni audio) sono criptati end-to-end.
A questo scopo, ogni utente di Threema ha un’unica coppia di chiavi asimmetriche composta da una chiave pubblica e una privata basata sulla crittografia a curve ellittiche (Curve25519). Quando un utente di Threema imposta l’applicazione per la prima volta, viene eseguito il seguente processo:
- L’app genera una nuova coppia di chiavi scegliendo una chiave privata a caso, memorizzandola in modo sicuro sul dispositivo, e calcolando la chiave pubblica corrispondente sulla Curve25519.
- L’app invia la chiave pubblica al server.
- Il server memorizza la chiave pubblica e assegna un nuovo Threema ID casuale, composto da 8 caratteri tra A-Z/0-9.
- L’app memorizza il Threema ID ricevuto insieme alla chiave pubblica e privata in una memoria sicura sul dispositivo.
L’applicazione mostra un’impronta digitale della chiave (key fingerprint) per ogni contatto e per l’identità dell’utente stesso. Questo può essere usato per confrontare manualmente le chiavi pubbliche, tra utenti diversi, scansionando il QR Code dell’altro utente. Se viene eseguito questo passaggio, l’utente risulterà “verificato” e sarà identificato con tre pallini verdi.
Per la crittografia dei messaggi Threema usa il modello “Box” della NaCl Networking and Cryptography Library, sviluppato da Daniel J. Bernstein (University of Illinois) per criptare e autenticare i messaggi.
Threema è progettato per gestire la minor quantità possibile di metadati sui server. I gruppi e le liste di contatti sono gestiti esclusivamente sui dispositivi degli utenti, non sul server, i messaggi vengono cancellati immediatamente dopo la consegna, non vengono creati file di log e non vengono raccolte informazioni personali identificabili.
Massima attenzione alla privacy degli utenti
Questo è confermato anche dall’esame dell’etichetta privacy esposta nell’App Store di iOS (figura sottostante): i “Dati collegati a te” sono in minima quantità, solo email e numero di telefono: ma saranno presenti solo se l’utente avrà deciso – a sua discrezione – di comunicarli, in quanto, come abbiamo spiegato, non sono necessari per la registrazione.
Tutte le versioni di Threema
L’app Threema è a pagamento (3,99 € per l’app per smartphone), non è disponibile nessuna versione gratuita.
A livello Enterprise viene offerta la soluzione Threema.Work, con costi che partono da 1,40 CHF/utente/mese. Viene offerta per questa soluzione una free-trial di 60 giorni.
Con questa versione viene fornita all’amministratore di sistema una dashboard di gestione attraverso la quale si possono vedere l’elenco completo di tutte le licenze attive e gli utenti, gestirne i privilegi e le credenziali di accesso, revocare l’accesso all’app e alle chat.