SEtelegram: Hardware-based Security for Messaging Applications

Buona parte del nostro vivere quotidiano si basa sui dispositivi elettronici e sulla rete: ogni giorno tutto il mondo pubblica online informazioni sulla propria vita e intrattiene conversazioni private attraverso internet e applicazioni di messaggistica istantanea; gran parte delle imprese e delle aziende, inoltre, affida ormai i propri dati a datacenter interconnessi fra loro e situati ovunque nel mondo. Ciò comporta una crescente presenza di informazioni sensibili memorizzate online e su sistemi informatici distribuiti, potenzialmente accessibili da utenti malevoli. Risulta quindi fondamentale proteggerne la memorizzazione e il trasferimento attraverso tecniche e hardware specifici. Negli ultimi anni tutti i servizi di messaggistica più utilizzati e conosciuti, fra cui Telegram e WhatsApp, si sono dotati di sistemi di crittografia end-to-end, in modo da rendere non intellegibili i messaggi in transito sulla rete agli utenti esterni alla comunicazione. Tali applicazioni presentano però un’importante problematica: attraverso la crittografia end-to-end le chiavi di cifratura vengono gestite in locale, quindi memorizzate direttamente sul disco dei dispositivi degli utenti finali. Ciò le rende soggette a possibili attacchi e fruibili da terze parti nel caso in cui il dispositivo fosse accessibile fisicamente o in remoto. È importante anche considerare che tutta la gestione dei dati e la scelta degli algoritmi utilizzati per cifrare i messaggi viene affidata a tali applicazioni, mentre in alcuni ambiti in cui la sicurezza diventa particolarmente cruciale, come nella gestione dei dati di grandi compagnie, si potrebbe aver bisogno di un livello di robustezza addizionale nella protezione delle informazioni, oltre ad avere la possibilità di scegliere gli algoritmi da utilizzare per ottenerla. Lo scopo di questa tesi consiste nello sviluppo di SEtelegram, un’applicazione di messaggistica sicura che punti a colmare le mancanze delle piattaforme attualmente presenti sul mercato. Per farlo è stata utilizzata l’infrastruttura di API open source di Telegram e si è sfruttata la piattaforma chiamata SEcube, un modulo di sicurezza hardware le cui API permettono di cifrare e decifrare dati nella sua memoria interna. Usando il SEcube per cifrare i messaggi in uscita e decifrare quelli in entrata si ottiene un livello di sicurezza aggiuntivo rispetto a quello offerto dalle applicazioni di messaggistica mainstream già presenti sul mercato, e si sfrutta la maggiore velocità e resistenza agli attacchi dei sistemi di crittografia hardware. Il SEcube gestisce e custodisce al suo interno le chiavi utilizzate nelle operazioni di codifica, senza memorizzarle all’interno del device dell’utente. Con SEtelegram risulta dunque impossibile visionare in chiaro i messaggi di una conversazione senza possedere il SEcube di uno degli utenti coinvolti e senza conoscerne il pin per accedervi. Con l’utilizzo del SEcube, inoltre, è possibile customizzare la protezione dei messaggi, scegliendo quale tipo di algoritmo utilizzare nella cifratura per ottenere una sicurezza robusta a piacimento. Sviluppando SEtelegram ho quindi ottenuto un’applicazione di messaggistica che permette di proteggere ulteriormente le informazioni, sia in transito sulla rete sia in locale sul dispositivo dell’utente, rispetto alle applicazioni attualmente diffuse.