Session (software)

Session (software)
software
Logo
Logo
Schermata di esempio
Schermata di esempio
GenereMessaggistica istantanea
SviluppatoreThe Oxen Project
Sistema operativoMultipiattaforma
LinguaggioC++
ToolkitEGL
LicenzaGNU General Public License
(licenza libera)
Sito webgetsession.org/

Session è un'applicazione di messaggistica istantanea crittografata end-to-end e multipiattaforma che mira alla tutela della privacy grazie ad una rete decentralizzata sulla base dell'onion routing.

Descrizione

Session è un software libero e open source, sviluppato da The Oxen Project sotto la guida della Oxen Privacy Tech Foundation che è senza scopo di lucro. L'applicazione permette agli utenti di inviare messaggi individuali e di gruppo, che possono includere file, note vocali, immagini e video.[1]

La comunicazione (messaggi, clip vocali, foto e file) tra gli utenti è crittografata end-to-end utilizzando il protocollo Session, un derivato del protocollo Libsodium.[2] La trasmissione dei dati avviene attraverso una rete di server decentralizzata simile a Tor, chiamata Oxen Network.[3] Il progetto Oxen afferma che Session non memorizza, tiene traccia o raccoglie i metadati dei messaggi degli utenti e tantomeno gli indirizzi IP.[4]

Nel 2021 c'è stata una revisione indipendente da parte di Quarkslab che ha verificato la veridicità delle affermazioni.[5][6]

Caratteristiche

Chat

Le chat in Session sono crittografate end-to-end utilizzando Session Protocol. Messaggi e file vengono inviati attraverso un sistema di onion routing basato sulla rete decentralizzata di Oxen Network[7] e sono temporaneamente conservati finché il ricevente non riceve il messaggio.[8]

Session ha la peculiarità di minimizzare i metadati dei file allegati ai messaggi in quanto spesso questi contengono informazioni che possono identificare l'utente.

Account

La creazione di un account, anziché richiedere un numero di telefono o un indirizzo e-mail, utilizza una chiave pubblica ovvero un numero alfanumerico generato casualmente di 66 cifre per la creazione e identificazione univoca dell'utente.[9] La totale assenza di informazioni personali permette un alto grado di anonimato grazie al quale l'utente non può essere ricondotto ad una reale identità.

L'accesso e il recupero dell'account può avvenire solamente tramite l'utilizzo di una frase di recupero, sostanzialmente una chiave privata in una forma leggibile per una persona. La frase di recupero non deve essere scambiata né conosciuta da nessuno che non sia il legittimo proprietario. La chiave è fondamentale per la criptazione dei messaggi inviati e la decriptazione dei messaggi ricevuti a loro volta criptati dalla chiave pubblica dell'utente.

Protocollo

Session utilizza Session Protocol, un protocollo derivato da Signal Protocol costruito sulla libreria crittografica libsodium. Tuttavia Signal Protocol non era adeguato per gli scopi di Session in quanto era stato pensato la sicurezza e per essere usato sulla base di server centrali. Session invece utilizza una rete decentralizzata che tutela l'anonimato.[8]

Session Protocol non supporta PFS tuttavia quest'ultimo è compensato dalle altre misure di sicurezza e privacy.

Rete decentralizzata

Session per fornire onion routing utilizza i 1000 nodi di servizio di Oxen Network[10]. Di fatto il meccanismo di base è onion routing. In una rete onion, i messaggi sono incapsulati in "strati" di crittografia per ogni nodo che passano. Dunque il mittente rimane anonimo perché ciascun intermediario conosce solo la posizione del nodo immediatamente precedente e di quello immediatamente successivo rendendo molto più difficile tracciare o intercettare l'attività dell'utente. Session grazie ad onion routing assicura la resistenza alla censura e la tutela dell'indirizzo IP degli utenti.[7]

Limitazioni

Attualmente Session non supporta l'autenticazione a due fattori sebbene la tecnologia dietro Session non preveda nient'altro che la propria chiave privata per l'accesso all'account. Inoltre ad oggi le chiamate non sono pienamente supportate dalla rete decentralizzata perciò l'indirizzo IP viene esposto al ricevente della chiamata.[11]

Note

  1. ^ (EN) NDTV Gadgets 360, https://gadgets.ndtv.com/cryptocurrency/news/session-private-blockchain-messenger-decentralised-nodes-2568208. URL consultato l'11 ottobre 2021.
  2. ^ (EN) Frequently Asked Questions - Session Private Messenger, su Session. URL consultato il 22 maggio 2023.
  3. ^ (EN) Fossbytes, https://fossbytes.com/open-source-messenger-session-doesnt-even-need-your-phone-number/. URL consultato il 17 maggio 2022.
  4. ^ (EN) TheNextWeb, https://thenextweb.com/news/this-messenger-app-doesnt-use-a-phone-number-to-keep-your-data-private. URL consultato l'8 dicembre 2022.
  5. ^ (EN) RestorePrivacy, https://restoreprivacy.com/secure-encrypted-messaging-apps/session/. URL consultato l'11 ottobre 2021.
  6. ^ 2021, https://blog.quarkslab.com/resources/2021-05-04_audit-of-session-secure-messaging-application/20-08-Oxen-REP-v1.4.pdf.
  7. ^ a b (EN) Frequently Asked Questions - Session Private Messenger, su Session. URL consultato il 4 giugno 2023.
  8. ^ a b (EN) The Session Protocol: What’s changing — and why - Session Private Messenger, su Session, 16 dicembre 2020. URL consultato il 4 giugno 2023.
  9. ^ (EN) MakeUseOf, https://www.makeuseof.com/why-try-session-private-messenger/. URL consultato l'8 dicembre 2022.
  10. ^ "Oxen Service Nodes provide the underlying support for the Oxen Network", su docs.oxen.io.
  11. ^ (EN) Frequently Asked Questions - Session Private Messenger, su Session. URL consultato il 22 maggio 2023.

Altri progetti

Collegamenti esterni