Recupera qui il Capitolo 1.
Colmare il divario
Il protocollo Matrix supporta anche l’interoperabilità non nativa attraverso una tecnica chiamata “bridging”, che introduce il supporto per le app non Matrix, tra cui WhatsApp, Telegram e Signal. Element stesso offre il bridging come parte di un prodotto in abbonamento incentrato sul consumatore chiamato Element One, in cui gli utenti pagano $5 al mese per riunire tutti i loro amici in un’unica interfaccia, indipendentemente dall’app che utilizzano.
Ciò è abilitato tramite API pubblicamente disponibili create dalle stesse società tecnologiche. Tuttavia, i termini di utilizzo sono in genere restrittivi per quanto riguarda il modo in cui possono essere utilizzati da app concorrenti, mentre possono anche imporre limiti di velocità o costi di utilizzo.
Il bridging così com’è si trova da qualche parte in un’area grigia da un “è consentito?” prospettiva. Ma con gli occhi normativi del mondo focalizzati al laser sulla stretta mortale di Big Tech sulle comunicazioni online, le aziende forse non applicano tutti i loro termini e condizioni in modo troppo rigoroso.
Il DMA è entrato in vigore in Europa il mese scorso, anche se non diventerà ufficialmente applicabile fino al prossimo maggio, e contiene disposizioni specifiche per l’interoperabilità e la portabilità dei dati. A quel punto, forse inizieremo a vedere come i “guardiani” della Big Tech del mondo intendono supportare le nuove normative.
In realtà, ciò di cui stiamo parlando sono API aperte che “formalmente” consentono a terze parti più piccole di integrarsi e comunicare con i loro fratelli Big Tech. Tuttavia, ciò non significa necessariamente che tali API saranno fluide e facili da usare con una documentazione chiara, e probabilmente possiamo aspettarci qualche problema lungo il percorso.
Matrix e conformità
Le popolari app di messaggistica come WhatsApp, pur offrendo la crittografia end-to-end, non sono state progettate per casi d’uso aziendali o governativi in quanto non consentono alle organizzazioni di gestire facilmente i propri dati di messaggistica, tuttavia tali app sono ampiamente utilizzate in tali scenari.
A luglio, l’Information Commissioner’s Office (ICO) del Regno Unito ha chiesto una revisione del governo sui rischi relativi ai “canali di corrispondenza privata” come account di posta elettronica personali e WhatsApp, osservando che tale utilizzo mancava di “controlli chiari” e avrebbe potuto portare alla perdita di informazioni chiave “perse o gestite in modo non sicuro”.
“Capisco il valore della comunicazione istantanea che qualcosa come WhatsApp può portare, in particolare durante la pandemia in cui i funzionari sono stati costretti a prendere decisioni rapide e lavorare per soddisfare le diverse richieste”, ha dichiarato all’epoca il commissario per l’informazione del Regno Unito John Edwards.
“Tuttavia, il prezzo dell’utilizzo di questi metodi, sebbene non contro la legge, non deve comportare una mancanza di trasparenza e una sicurezza dei dati inadeguata. I funzionari pubblici dovrebbero essere in grado di mostrare i loro lavori, sia per scopi di tenuta dei registri che per mantenere la fiducia del pubblico. È così che si assicura la fiducia in queste decisioni e si imparano le lezioni per il futuro”.
Nel regno degli affari, nel frattempo, la Securities and Exchange Commission (SEC) degli Stati Uniti ha recentemente concordato con 16 aziende di Wall Street per $1,1 miliardi per “diffusi errori di tenuta dei registri” relativi al loro utilizzo di app di messaggistica private come WhatsApp.
“La finanza, in ultima analisi, dipende dalla fiducia”, ha detto all’epoca il presidente della SEC Gary Gensler.
“Dagli anni ’30, tale tenuta dei registri è stata fondamentale per preservare l’integrità del mercato. Man mano che la tecnologia cambia, è ancora più importante che i dichiaranti conducano in modo appropriato le loro comunicazioni su questioni commerciali solo all’interno di canali ufficiali e devono mantenere e preservare tali comunicazioni.”
Mantenere un’accurata traccia cartacea e garantire che i politici e le imprese siano responsabili delle loro azioni, è l’obiettivo primario: un livello di controllo che promette qualcosa come il protocollo Matrix.
Tuttavia, imporre che ogni azienda di una certa dimensione, come fa il regolamento DMA, debba rendere il proprio software interoperabile con altri solleva una serie di domande sulla privacy, la sicurezza e l’esperienza utente più ampia.
L’elefante (della crittografia) nella stanza
Come ha notato Casey Newton su The Platformer in più di un’occasione, le nuove normative europee sull’interoperabilità comportano diverse insidie, la principale delle quali, forse, sono gli ostacoli che creeranno per la crittografia end-to-end, ovvero garantire che i dati rimangano crittografati e impossibili da decodificare durante il transito.
La crittografia end-to-end è un enorme punto di forza per le grandi aziende tecnologiche di oggi, uno che WhatsApp urla ai quattro venti. Ma farlo funzionare tra diverse piattaforme create da aziende diverse non è esattamente facile e molti, se non la maggior parte, esperti in materia affermano che non è possibile applicare un’infrastruttura di messaggistica veramente sicura e interoperabile che non comprometta in qualche modo la crittografia.
WhatsApp può controllare, e quindi promettere, la crittografia end-to-end sulla propria piattaforma. Ma se miliardi di messaggi volano tra WhatsApp e innumerevoli altre applicazioni gestite da altre società, WhatsApp non può davvero sapere cosa sta succedendo a questi messaggi una volta che lasciano la sua piattaforma di controllo.
In definitiva, non esistono due servizi che implementino la crittografia in modo identico, una sfida che Hodgson riconosce. “Le piattaforme crittografate end-to-end devono parlare la stessa lingua da un capo all’altro”, ha affermato.
In un post sul blog pubblicato all’inizio di quest’anno per affrontare i problemi di crittografia, la Matrix Foundation ha suggerito alcune soluzioni alternative, incluso il passaggio di tutti i grandi gatekeeper allo stesso “protocollo end-to-end decentralizzato” (ovvero Matrix, non sorprende) che, secondo stessa ammissione della Fondazione, sarebbe una grande impresa, ma “non dovremmo escluderla”, ha detto.
Per illustrare questo punto, Hodgson ha indicato l’acquisizione di Gitter da parte di Element nel 2020, una community incentrata sugli sviluppatori e una piattaforma di chat acquistata da GitLab e utilizzata da grandi aziende tra cui Google, Microsoft e Amazon. Entro due mesi dalla chiusura dell’accordo, Element aveva introdotto la connettività Matrix nativa a Gitter.
Coordinare una tale transizione su scala Facebook, Google o Apple sarebbe una proposta completamente diversa, ovviamente, che potrebbe causare ogni sorta di caos a catena. In un post sul blog all’inizio di quest’anno, l’esperto di crittografia e sicurezza Alec Muffett ha suggerito che le app di messaggistica e i social network che aderiscono allo stesso protocollo standard porterebbero a “nessuna differenziazione pratica” tra servizi diversi.
“Immagina un mondo in cui Signal e Snapchat dovrebbero interagire: come sarebbe?” Muffett ha chiesto retoricamente in una sessione di domande e risposte per questa storia. “In particolare, quali caratteristiche di una devono essere presentate sull’altra e quali sono le differenziazioni che circondano queste caratteristiche? E come si conciliano i conflitti di funzionalità?”
Questo è il motivo per cui Matrix Foundation ha proposto altre potenziali soluzioni, come l’adozione di un avviso in stile certificato TLS, in cui l’utente viene avvisato del fatto che la sua conversazione tra servizi non è completamente protetta.
Questo è forse paragonabile al modo in cui l’app Messaggi di Apple supporta sia i testi iMessage crittografati che gli SMS (non crittografati). Ma secondo Muffett, porterebbe un’inutile complessità al mix.
“A parte qualsiasi altra ragione che potrei citare, c’è una quantità di ricerche sull’interfaccia utente che spiega che gli avvisi pop-up di sicurezza generalmente non sono compresi e non vengono ascoltati”, ha affermato Muffett. “Ci sono tonnellate di ricerche a sostegno di ciò: gli avvisi popup sono un ‘anti-pattern'”.
La Matrix Foundation ha anche proposto di convertire il traffico di comunicazione tra i linguaggi di crittografia in un “ponte”, sebbene ciò significherebbe effettivamente dover violare la crittografia e crittografare nuovamente il traffico in modo sicuro da qualche parte.
“Questi bridge potrebbero essere eseguiti lato client ad esempio, il bridge Matrix iMessage viene eseguito lato client su iPhone o Mac, o utilizzando API aperte lato client per collegare le app localmente all’interno del telefono stesso”, ha affermato Hodgson.
“In alternativa, potrebbero essere eseguiti lato server su hardware controllato dall’utente in modo decentralizzato, assicurando che la nuova crittografia avvenga in un ambiente il più sicuro possibile, piuttosto che su un server centralizzato vulnerabile”.
Non si può sfuggire al fatto che violare la crittografia è tutt’altro che ideale, indipendentemente da come una soluzione si proponga di riconciliare tuttoquesto. Ma forse ancora più importante, non esiste ancora una soluzione solida per affrontare i veri problemi di crittografia introdotti dall’interoperabilità forzata.
Nonostante ciò, Hodgson ha affermato in passato che i vantaggi dei nuovi regolamenti UE sono maggiori degli svantaggi.
“A conti fatti, riteniamo che i vantaggi dell’imposizione di API aperte superino i rischi che qualcuno possa gestire un ponte vulnerabile su larga scala e minare l’E2EE di tutti”, ha scritto a maggio. “È meglio avere la possibilità di accedere ai propri dati in primo luogo, piuttosto che essere tenuti in ostaggio in un giardino recintato.”
Vale la pena notare che il protocollo Matrix, sebbene noto principalmente per la sua presenza nel regno della messaggistica oggi, ha anche altre potenziali applicazioni.
La Matrix Foundation ha recentemente annunciato Third Room, una piattaforma metaverse decentralizzata e interoperabile costruita su Matrix. Ciò è contrario a un potenziale metaverso futuro controllato da una manciata di pionieri come Meta, la società madre di Facebook.
Per ora, Element rimane il fiore all’occhiello di come potrebbe essere un mondo basato su Matrix. La società si è già assicurata alcuni clienti famosi come Mozilla, che utilizza Element come servizio completamente gestito, mentre Element ha affermato di aver firmato un accordo quadriennale da 18 milioni di dollari con un’altra società (senza nome) quest’anno.
Nel frattempo, ha anche sostenitori strategici, tra cui la casa madre di WordPress.com (da cui sto scrivendo) Automattic, che ha investito per la prima volta $4,6 milioni in Element nel 2020, e poi passare a $30 milioni l’anno scorso.
Per molti versi, il terreno non è mai stato così fertile per far prosperare Matrix: è nel posto giusto al momento giusto, mentre il mondo cerca una via d’uscita dalle grinfie di Big Tech supportata almeno da un po’ di regolamentazione.
E anche Twitter ha svolto un ruolo non trascurabile nell’evidenziare gli svantaggi del controllo centralizzato, facendo il gioco di tutte le aziende che suonano il tamburo dell’interoperabilità.
“La situazione su Twitter è stata assolutamente sorprendente in termini di sensibilizzazione sui pericoli della centralizzazione, fornendo un momento cruciale per aiutare gli utenti a scoprire che stiamo entrando in un’età d’oro del decentramento”, ha affermato Hodgson.
“Proprio come molti utenti hanno scoperto che Mastodon è un’alternativa decentralizzata sempre più praticabile a Twitter, abbiamo visto un enorme effetto alone di utenti che scoprono Matrix come un modo per rivendicare la loro indipendenza sulle comunicazioni in tempo reale, come messaggistica e VoIP. La base di utenti a lungo termine, in particolare, sta crescendo al ritmo più veloce di sempre”.
