Session, l’applicazione di messaggistica che punta tutto su privacy e anonimato, ha annunciato i piani per una revisione importante del suo protocollo di base. Come riporta il blog ufficiale, il Protocol v2 introdurrà tre novità che la comunità chiede da tempo: la Perfect Forward Secrecy, la protezione contro i computer quantistici e una gestione più chiara dei dispositivi collegati all’account.

L’annuncio arriva dopo mesi di feedback da parte degli utenti più esperti e della comunità della sicurezza informatica. Session doveva colmare alcune lacune tecniche senza però complicare l’esperienza d’uso che l’ha resa popolare tra chi cerca alternative davvero private a WhatsApp o Telegram.

Il problema del protocollo attuale

Oggi Session funziona con una chiave crittografica principale che resta sempre la stessa per tutta la vita dell’account. Questo rende tutto più semplice: recuperare l’account è facile, sincronizzare i messaggi tra più dispositivi funziona senza intoppi e l’affidabilità è garantita.

Il rovescio della medaglia? Se qualcuno riuscisse a mettere le mani sul tuo dispositivo e ottenere quella chiave, potrebbe teoricamente decifrare anche i messaggi passati che erano stati conservati sui server della rete. Uno scenario non banale da realizzare, ma che comunque rappresenta un punto debole per chi ha davvero bisogno del massimo livello di protezione.

C’è poi la questione dei computer quantistici. Anche se oggi non esistono macchine abbastanza potenti da rompere la crittografia tradizionale, qualcuno potrebbe già star conservando messaggi cifrati nella speranza di decifrarli in futuro con questa tecnologia.

Cosa cambierà con il v2

La soluzione che Session ha in mente parte da un principio: invece di usare un’unica chiave per tutto, ogni dispositivo avrà le proprie chiavi che ruotano nel tempo. Dopo un po’, le vecchie chiavi vengono cancellate definitivamente. Risultato: anche se qualcuno compromette il tuo telefono oggi, non può più decifrare i messaggi di ieri.

Per la crittografia post-quantistica, gli sviluppatori puntano su ML-KEM (l’evoluzione di CRYSTALS-Kyber), un algoritmo già utilizzato da Signal e da Apple in iMessage. L’idea è blindare i messaggi contro minacce che ancora non esistono ma che potrebbero diventare reali nei prossimi anni.

Un altro vantaggio di questo sistema è la trasparenza sui dispositivi collegati. Dato che ogni dispositivo avrà una sua identità unica, potrai vedere esattamente quali apparecchi hanno accesso al tuo account. E se qualcuno prova a collegarne uno nuovo senza il tuo permesso, riceverai una notifica.

Il precedente tentativo fallito

In realtà Session aveva già provato a implementare la Perfect Forward Secrecy in passato, usando il protocollo di Signal. Ma l’esperimento si era rivelato un disastro: messaggi che non si sincronizzavano tra dispositivi, notifiche di “impossibile decifrare” ovunque e account recuperati che perdevano la cronologia.

Il problema di fondo era che il Signal Protocol non è stato pensato per funzionare in una rete decentralizzata e ha limiti evidenti con i dispositivi multipli (Signal stesso ne permette al massimo cinque). Session, invece, vuole offrire totale libertà sul numero di dispositivi collegati.

Da allora però gli sviluppatori hanno fatto passi avanti importanti sull’infrastruttura, in particolare con i “Config Messages” che tengono sincronizzati i dati tra dispositivi. Questa base tecnica dovrebbe evitare che si ripetano i problemi del passato.

Tempi di rilascio

Al momento il Protocol v2 è ancora in fase di progettazione. Le specifiche tecniche complete arriveranno nel corso del 2026, e ci vorrà tempo prima che tutto sia sviluppato e integrato nell’app. Gli sviluppatori hanno scelto di annunciarlo ora per coinvolgere la comunità fin dalle prime fasi: ricercatori, esperti di sicurezza e utenti potranno dare il loro contributo per perfezionare il protocollo prima del lancio definitivo.

L’obiettivo dichiarato è mantenere ciò che già funziona bene in Session, come ad esempio l’anonimato, la protezione dei metadati e la decentralizzazione, aggiungendo quelle garanzie crittografiche che fino a oggi mancavano.