Discord ha annunciato l’implementazione della crittografia end-to-end (E2EE) per le chiamate audio e video sulla sua piattaforma. Questa nuova funzionalità, denominata protocollo DAVE, mira a garantire maggiore privacy e sicurezza per i circa 200 milioni di utenti mensili del servizio.
L’introduzione della crittografia E2EE rappresenta un significativo miglioramento della sicurezza per gli utenti di Discord. Questa tecnologia assicura che solo i partecipanti alla chiamata possano accedere ai contenuti delle conversazioni audio e video, escludendo qualsiasi terza parte, inclusa la stessa Discord. Il protocollo DAVE è stato progettato per essere compatibile con tutte le piattaforme supportate da Discord e per mantenere l’alta qualità e le basse latenze delle chiamate.
Il protocollo DAVE si basa su quattro componenti principali:
1. WebRTC Encoded Transforms: Utilizzato per inserire una funzione di trasformazione dei frame sia sul lato di invio che di ricezione, permettendo la crittografia dopo la codifica e la decrittazione prima della decodifica.
2. Messaging Layer Security (MLS): Impiegato per lo scambio di chiavi di gruppo, consentendo un meccanismo scalabile per l’aggiornamento delle chiavi condivise.
3. Coppie di chiavi di identità: Ogni partecipante genera una coppia di chiavi ECDSA P256 per l’autenticazione.
4. Transizioni di versione del protocollo e di gruppo: Gestite per garantire un’esperienza audio e video ininterrotta durante i cambiamenti di protocollo o di partecipanti.
Discord ha collaborato con Trail of Bits, un’azienda di cybersicurezza indipendente, per condurre una revisione approfondita sia del design che dell’implementazione di DAVE. L’azienda ha inoltre reso pubblico il whitepaper del protocollo DAVE () e le librerie utilizzate dai client per implementarlo, garantendo trasparenza e permettendo audit pubblici.
Gli utenti potranno verificare quando le chiamate sono crittografate end-to-end e effettuare verifiche degli altri partecipanti. L’interfaccia utente è stata aggiornata per mostrare quando le chiamate audio e video sono crittografate end-to-end e per facilitare l’uso dei Codici di Verifica per le verifiche fuori banda dei partecipanti alle chiamate E2EE.
Impatto sulla moderazione dei contenuti
È importante notare che, mentre audio e video saranno crittografati end-to-end, i messaggi su Discord continueranno a seguire l’approccio di moderazione dei contenuti esistente e non saranno crittografati end-to-end. Il protocollo E2EE A/V è stato progettato fin dall’inizio per essere compatibile con funzionalità di sicurezza aggiuntive che supportano l’esperienza E2EE.
Prossimi passi
Discord ha dichiarato che continuerà a lavorare per proteggere la privacy dei suoi utenti, investendo allo stesso tempo in funzionalità di sicurezza, tecnologie e sistemi che mettano gli utenti in controllo della loro esperienza. L’azienda prevede di espandere il supporto ad altre superfici e di identificare opportunità di miglioramento del protocollo DAVE.
Per gli sviluppatori esterni, Discord ha reso disponibili il whitepaper del protocollo, la libreria open-source e la documentazione aggiornata del websocket vocale. Inoltre, il programma HackerOne di Discord ora include ricompense monetarie per segnalazioni di vulnerabilità relative al protocollo DAVE.