Domande e risposte: in che modo la sessione prevede di superare Signal e Telegram

Solo un avvertimento: se acquisti qualcosa tramite i nostri link, potremmo ottenere una piccola quota della vendita. È uno dei modi in cui manteniamo le luci accese qui. Clicca qui per ulteriori informazioni.

All'inizio di questa settimana abbiamo scoperto Session, l'app di messaggistica a cui non importa chi sei, letteralmente. Nessun numero di telefono, nessun server centrale e routing Onion integrato, Big Tech non ti riconoscerebbe se ci provasse.

Oh, ho già detto che hanno già raccolto oltre un milione di utenti senza spendere un solo centesimo in pubblicità? Apparentemente, le persone apprezzano la loro privacy e desiderano un prodotto che mantenga quella promessa. Chi l'avrebbe mai detto, vero?

Ora portiamo la conversazione oltre. Nelle nostre esclusive domande e risposte, incontriamo il co-fondatore di Session, Kee Jefferys, per scoprire l'ispirazione dietro l'app, la tecnologia che la guida e le sfide che hanno dovuto affrontare.

Dai dettagli sulla crittografia all'esplorazione delle normative globali: questa intervista copre tutto.

La messaggistica incentrata sulla privacy è il futuro? Leggi le domande e risposte complete per vedere come funziona la sessione e gli aggiornamenti pianificati per gli utenti attenti alla privacy.

Inizia a leggere ora

La sessione è iniziata come una prova di concetto costruita su una rete decentralizzata chiamata Loki Service Node Network. All'epoca era conosciuto come "Loki Messenger" (successivamente rinominato Session).

L'idea era semplice: volevamo mostrare agli sviluppatori cosa è possibile fare sulla rete decentralizzata. Un'app di messaggistica sembrava l'esempio perfetto perché se potessimo mostrare alle persone come archiviare e trasmettere messaggi, ciò potrebbe essere generalizzato ad altre applicazioni e ispirare la creatività degli sviluppatori per costruire i propri progetti.

Ciò che non ci aspettavamo era la rapidità con cui la community si sarebbe agganciata a Loki Messenger.

Quasi dal momento del lancio, le persone hanno chiesto miglioramenti e nuove funzionalità. Hanno visto quello che abbiamo visto noi: Loki Messenger aveva qualcosa di speciale, qualcosa che altre app di messaggistica non offrivano.

C'erano tre cose fondamentali che lo distinguevano:

• Nessun numero di telefono : non è necessario un numero di telefono per registrarsi. Questo semplice cambiamento ha reso la messaggistica più privata e anonima.
• Nessun server centralizzato : eseguendo su una rete decentralizzata, non esisteva alcun server che raccogliesse i tuoi dati o creasse un honeypot per gli hacker.
• Routing Onion integrato : il routing Onion nasconde gli indirizzi IP degli utenti e aumenta ulteriormente la privacy.

Tutto è stato racchiuso in un'app multipiattaforma facile da usare, rendendo la privacy accessibile a chiunque.

Sin dai primi giorni, Session è rimasta focalizzata su questi principi e recentemente Session ha superato 1 milione di utenti attivi mensili.

Ciò che era iniziato come una prova di concetto si è trasformato in una piattaforma di messaggistica incentrata sulla privacy che sta davvero facendo la differenza ed è qualcosa in cui sono orgoglioso di essere stato coinvolto.

La sessione utilizza più livelli di crittografia durante l'invio e la ricezione dei messaggi. Quando un utente crea un account Session, genera una coppia di chiavi pubblica-privata Ed25519 casuale.

La chiave pubblica diventa l'ID account dell'utente, che può essere condiviso fuori banda tramite un codice QR o una stringa di numeri e lettere di 66 caratteri. Una volta ottenuto l'ID account di qualcuno, puoi firmare e crittografare i messaggi per quell'utente specifico.

Per inviare un messaggio valido in una chat individuale, il mittente inizia creando il messaggio. Il messaggio viene firmato utilizzando la chiave privata Ed25519 del mittente, seguendo l'algoritmo di firma Ed25519.

Questo passaggio garantisce l'autenticità del messaggio. Al messaggio vengono quindi allegate la chiave pubblica Ed25519 del mittente e la firma digitale.

Successivamente, il mittente genera una coppia di chiavi X25519 temporanea. Questa coppia di chiavi temporanee, insieme alla chiave pubblica X25519 del destinatario, viene utilizzata per creare una chiave di crittografia simmetrica condivisa.

Utilizzando questa chiave, il messaggio viene crittografato con l'algoritmo XSalsa20-Poly1305, garantendo sia riservatezza che integrità.

Il messaggio crittografato e i relativi metadati, come la chiave pubblica X25519 del destinatario e la chiave pubblica X25519 temporanea del mittente, vengono inseriti in una busta. Questa busta viene quindi nuovamente crittografata per una consegna sicura utilizzando il protocollo di routing Onion di Session, Onion Requests.

Il processo di routing Onion prevede la crittografia della busta tre volte, una per ogni hop nel percorso di rete. Ogni livello di crittografia si basa su chiavi simmetriche derivate dalle chiavi Ed25519 di ciascun hop e crittografate con AES o XChaCha20-Poly1305.

La busta con tripla crittografia viene inviata al primo salto e ogni salto successivo rimuove uno strato di crittografia, rivelando la destinazione successiva finché la busta non raggiunge lo sciame del destinatario. Una volta che la busta arriva allo sciame del destinatario, il destinatario la recupera e la decrittografa per recuperare il messaggio.

Il protocollo di crittografia della sessione fornisce crittografia end-to-end e un elevato livello di privacy dei metadati per ogni messaggio inviato.

Nonostante la sofisticata tecnologia dietro le quinte, gli utenti non devono preoccuparsi della complessità. Possono semplicemente inviare e ricevere messaggi come farebbero con qualsiasi altra app, il tutto beneficiando dell'elevato livello di privacy e sicurezza di Session.

La sessione è completamente open source. Ciò include tutte le applicazioni client, tra cui Session iOS, Android e Desktop, nonché tutto il software che alimenta la rete decentralizzata di nodi che archivia e instrada i messaggi.

Il codice sorgente è disponibile pubblicamente su GitHub all'indirizzo https://github.com/session-foundation

Per implementare una backdoor nell'applicazione, gli sviluppatori malintenzionati dovrebbero inviare modifiche al codice a questi repository e creare una nuova versione. Tali cambiamenti non passeranno inosservati alla comunità della Sessione o ai suoi contributori.

Se ciò dovesse accadere, i repository potrebbero essere facilmente sottratti allo sviluppatore dannoso e l’applicazione potrebbe essere ridistribuita senza il codice dannoso.

La sessione è stata inoltre sottoposta a controlli indipendenti di terze parti per garantirne la sicurezza e l'integrità. Uno di questi audit è stato condotto da Quarkslab, i cui risultati sono stati resi pubblici. Puoi rivedere il loro rapporto qui:

Questa apertura e trasparenza rendono difficile per una backdoor o una vulnerabilità trasformarsi in un rilascio.

Il modello a lungo termine per lo sviluppo sostenibile di Session prevede la monetizzazione attraverso una versione premium di Session, chiamata Session Pro.

Session Pro sarà un servizio in abbonamento progettato per utenti esperti, che offrirà funzionalità aggiuntive in modo simile a come Telegram Premium migliora l'esperienza per gli utenti di Telegram.

Tutti gli abbonamenti agli abbonamenti Session Pro rientrano nell'ecosistema Session. Questi pagamenti contribuiranno a sostenere e far crescere la rete Session Node, garantendone la scalabilità e l'affidabilità man mano che la base utenti di Session continua ad espandersi.

È importante sottolineare che Session manterrà sempre una versione gratuita che garantisce lo stesso elevato livello di privacy per tutti gli utenti. Questo impegno per la messaggistica incentrata sulla privacy rimane centrale nella missione di Session.

Tutta la crescita di Session finora è stata del tutto organica, guidata in gran parte dalle raccomandazioni di influenti esperti di privacy. Credo che questa crescita accelererà man mano che Session continua a posizionarsi come alternativa più sicura a WhatsApp, Telegram e Signal. Le squadre

lavorando su Session hanno profonde connessioni nello spazio delle ONG e tra i leader del pensiero sulla privacy, che continueranno a sostenere Session man mano che l'app cresce e migliora le sue funzionalità sottostanti.

C'è ancora del lavoro da fare dal punto di vista tecnico per migliorare la fidelizzazione degli utenti.

Nei prossimi 6-12 mesi, l’attenzione si concentrerà su aree chiave come il miglioramento della funzionalità del gruppo, l’aumento della velocità e dell’affidabilità e la semplificazione dell’onboarding. Ciò include la garanzia che gli utenti possano connettersi facilmente con amici e familiari e invitare nuove persone a iscriversi all'app.

Affrontando queste sfide tecniche pur mantenendo una forte difesa nello spazio della privacy, Session è ben posizionata per continuare la sua traiettoria ascendente come piattaforma di messaggistica leader incentrata sulla privacy.

Il panorama normativo sulla messaggistica privata sta ancora emergendo e diversi paesi stanno adottando approcci diversi per regolamentare la crittografia end-to-end e la privacy dei dati.

Session ha recentemente annunciato che la gestione del progetto si sarebbe spostata al di fuori dell’Australia, dall’amministratore originale del progetto (l’OPTF) alla Session Technology Foundation, una fondazione con sede in Svizzera dedicata alla promozione dell’innovazione digitale e dei diritti digitali.

Questa mossa è stata in gran parte in risposta alla recente legislazione e alle pressioni delle autorità di regolamentazione australiane, che hanno reso sempre più difficile per Session operare fuori dall’Australia mantenendo le garanzie di privacy e sicurezza che offre ai suoi utenti.

A differenza dell’Australia, la Svizzera ha forti tutele costituzionali che preservano la privacy e una lunga storia di sostegno ad applicazioni a favore della privacy come ProtonMail, Threema e Nym.

Per impostazione predefinita, le aziende e gli individui coinvolti nello sviluppo di Session non hanno accesso privilegiato ai dati dell'utente.

I messaggi crittografati end-to-end vengono archiviati e instradati attraverso una rete di oltre 2.100 nodi gestiti dalla comunità. Questo approccio è fondamentalmente diverso da altre piattaforme di messaggistica.

Storicamente, questa struttura ha fatto sì che quando si ricevono richieste di dati, non ci siano informazioni disponibili da condividere con la parte richiedente. L’OPTF, il precedente amministratore del progetto Session, ha pubblicato regolarmente rapporti sulla trasparenza a sostegno di questo fatto, che possono essere visualizzati qui.

Man mano che la Session Technology Foundation assume la gestione, continuerà questa tradizione, con rapporti sulla trasparenza pubblicati qui: https://session.foundation/transparency-reports

Nessuna delle aziende o degli individui coinvolti nello sviluppo di Session ha ricevuto richieste di implementare backdoor nell'applicazione.

Il trasferimento della gestione alla Session Technology Foundation con sede in Svizzera è un passo proattivo per garantire che Session possa continuare a proteggere la privacy e la sicurezza dei suoi utenti.

L'attuale roadmap della sessione si concentra sulla revisione delle funzionalità chiave per migliorare l'affidabilità e l'usabilità in tutta l'applicazione. Ecco le principali aree di interesse:

Gruppi : dal loro rilascio nel 2022, i gruppi hanno dovuto affrontare diverse sfide.

Gli utenti hanno segnalato di perdere occasionalmente l'accesso ai gruppi quando le chiavi di crittografia sottostanti vengono ruotate, cosa che si verifica quando i membri vengono rimossi da un gruppo.

Inoltre, i messaggi potrebbero andare perduti quando gli utenti si uniscono a un gruppo o rimangono offline per più di 14 giorni. Per risolvere questi problemi, l’architettura dei gruppi è stata completamente riprogettata per renderli più persistenti sulla rete dei nodi e migliorare l’affidabilità durante le rotazioni delle chiavi di crittografia.

Nell'ambito di questa revisione, sono stati implementati anche diversi miglioramenti dell'usabilità, incluso il supporto per più amministratori in gruppi, un nuovo sistema di invito di gruppo e un migliore supporto per le notifiche push.

Questi cambiamenti mirano a rendere i gruppi più affidabili e facili da usare.

Onboarding : gli utenti non tecnici a volte hanno avuto difficoltà con il processo di onboarding di Session.

Storicamente, Session ha introdotto concetti complessi di gestione delle chiavi private, come frasi seed mnemoniche, all'inizio dell'esperienza di onboarding. Questa complessità spesso portava a frustrazione e abbandono durante la registrazione.

Un recente aggiornamento ha semplificato il processo di onboarding rinviando questi concetti avanzati fino a dopo la creazione dell'account. Questa modifica ha migliorato la fidelizzazione durante l'onboarding.

Tuttavia, c'è ancora spazio per miglioramenti.

I piani futuri riguarderanno probabilmente l’integrazione di passkey per abbassare ulteriormente le barriere all’ingresso e semplificare il processo di invito di nuovi utenti sfruttando i deeplink.

Onion Routing : poco dopo il rilascio di Session, le Onion Requests sono state introdotte come implementazione semplificata di un protocollo Onion Routing.

Sebbene efficaci per le esigenze di base, le richieste Onion sono protocolli basati su HTTP non in streaming e sono intrinsecamente più lenti e meno capaci rispetto ai protocolli più avanzati.

L'invio dei messaggi richiede in genere 1-3 secondi, mentre il caricamento e il download dei file può richiedere molto più tempo. Inoltre, le richieste Onion impongono un limite di 10 MB sui file, limitando la funzionalità della sessione per trasferimenti di file più grandi.

Per superare queste limitazioni, il team di Session ha sviluppato Lokinet, un protocollo di routing Onion più avanzato. Lokinet supporta connessioni basate su stream ed è basato su UDP, consentendo prestazioni più veloci e flessibili.

Lokinet è attualmente sottoposto a un refactoring completo e si sta avvicinando alla maturità. Test interni mostrano che Lokinet è 3-10 volte più veloce di Onion Requests, il che significa che i tempi di consegna dei messaggi e di trasferimento dei file potrebbero essere drasticamente migliorati una volta implementato. Inoltre, Lokinet non impone le stesse limitazioni sulle dimensioni dei file, aprendo la strada a caricamenti di file molto più grandi su Session.

Un grande ringraziamento al co-fondatore di Session, Kee Jefferys, e al resto del team per aver dedicato del tempo per alzare il sipario su ciò che rende attiva la loro app e sul perché la privacy è più importante che mai.

Se sei pronto a portare il tuo gioco di messaggistica a un livello superiore (o dieci), puoi scaricare Session gratuitamente su App Store o Google Play ed è disponibile anche per PC, Mac e Linux. Vai a dare un'occhiata e vedi come si sente la vera privacy.

Cosa ne pensi dei potenziali aggiornamenti e sviluppi menzionati dal co-fondatore di Session? Condividi le tue intuizioni nei commenti qui sotto .