Chatbots e dati sensibili

Click to edit the title text format

Click to edit the outline text formatSecond Outline LevelThird Outline LevelFourth Outline LevelFifth Outline LevelSixth Outline LevelSeventh Outline Level

Milano Chatbots Meetup

Chatbot e dati sensibili

Milano Chatbos Meetup
2017-01-26

Paolo Montrasio @pmontrasio
[email protected]

possibile trasmettere dati sensibili in una chat? possibile farlo quando linterlocutore un chatbot?

https://commons.wikimedia.org/wiki/File:TopSecretFile.jpg
Creative Commons Attribution-Share Alike 3.0 Unported
Author Bigwillyoliver

Alice Bob

Le chat sono protette con cifratura end to end. Cosa significa?Ad ognuno di noi lapp d una coppia di chiavi. Quello che si cifra con una pu essere decifrato solo dallaltra.

https://commons.wikimedia.org/wiki/File:Alice-bob-mallory.jpg
Author Didia, Creative Commons Attribution-Share Alike 4.0 International

https://commons.wikimedia.org/wiki/File:Ancient_warded_lock_key_transparent.png Author Pethrus, Creative Commons Attribution-Share Alike 3.0 Unported

https://www.flickr.com/photos/brenda-starr/4407416750 and https://www.flickr.com/photos/brenda-starr/3509344100
Author Brenda Clarke, CCBY 2.0

Alice Bob

Alice tiene una delle sue chiavi, che chiamiamo privata, e d una copia dellaltra a tutte le persone con cui vuole chattare. Questa la chiamiamo chiave pubblica.

Bob fa lo stesso.

lapp che si occupa di fare arrivare la chiave pubblica alle persone a cui inviamo messaggi, ma come ci possiamo fidare?




Verificadelle chiavi

https://www.whatsapp.com/faq/en/general/28030015

Con Whatsapp c un modo per verificare le chiavi: bisogna trovarsi di persona e usare lapp per controllare le due chiavi sul telefono di Alice e su quello di Bob.




Verificadelle chiavi

Lo stesso si pu fare con Telegram

https://core.telegram.org/api/end-to-end

E con Facebook

https://www.facebook.com/help/messenger-app/147596532316790?helpref=faq_content




Cosa succede quando Alice manda un messaggio a Bob?




Lapp lo cifra usando la chiave privata di Alice e poi di nuovo con quella pubblica di Bob.

Per leggerlo Bob deve decifrarlo con la propria chiave privata, che solo lui possiede, e con la chiave pubblica di Alice.

Se ci riesce significa che il messaggio era davvero destinato a lui, altrimenti la sua chiave privata non avrebbe funzionato, e che lha davvero mandato Alice, altrimenti la chiave pubblica di Alice non lavrebbe decifrato.

In questo modo siamo sicuri che nessuno pu leggere il messaggio. I server della chat si limitano a passare il messaggio crittografato da Alice a Bob. Non lo possono decifrare perch non hanno le chiavi. Ovviamente ci dobbiamo fidare delle app, che non mandino le chiavi private ai server.




Cosa succede se linterlocutore un bot? Ai bot non viene data nessuna chiave, quindi i messaggi che si scambiano con loro non possono essere cifrati come abbiamo visto.




Lapp protegge i messagginella tratta da Alice al server della chat, e manda i messaggi al bot via https. Lo stesso avviene per i messaggi dal bot ad Alice: https fino al server della chat e app fino ad Alice.




?

!

Ci sono due punti dove poter intercettare i messaggi:1) Forse nella tratta dal server ad Alice2) Sicuramente sui server della chat




Di solito quel che passa nelle chat con i bot non particolarmente confidenziale ma se ci fossero dei requisiti molto forti sulla confidenzialit dei dati (segreti aziendali, dati sensibili, requisiti legali, certificazioni) usare un bot non consigliato.

https://commons.wikimedia.org/wiki/File:TopSecretFile.jpg
Creative Commons Attribution-Share Alike 3.0 Unported
Author Bigwillyoliver




@[email protected]

Software

Chatbots e dati sensibili