Le chiamate VoIP viaggiano su internet come qualsiasi altro dato. Senza protezione, sia le informazioni sulla chiamata sia l'audio potrebbero essere intercettati su una rete non affidabile. La buona notizia è che il SIP prevede due strumenti pensati proprio per evitarlo: TLS e SRTP. Vediamo cosa fanno, come attivarli e — con onestà — cosa non coprono.
Le chiamate SIP sono cifrate di default?
No. Nella loro forma base, sia il protocollo SIP (che gestisce la chiamata) sia il flusso audio RTP (che trasporta la voce) viaggiano in chiaro. Su una rete affidabile — la tua linea di casa o dell'ufficio — il rischio è basso, ma su un Wi-Fi pubblico o una rete condivisa i dati non protetti sono più esposti. Per questo esistono le versioni cifrate: TLS per la segnalazione, SRTP per l'audio.
Se vuoi un ripasso su come funziona un account e la registrazione, vedi cos'è un account SIP.
Cosa rischi senza cifratura
Perché preoccuparsene? Su una rete affidabile il pericolo è remoto, ma quando il traffico non è cifrato — soprattutto su Wi-Fi pubblici o reti condivise — si aprono tre rischi concreti:
- Intercettazione dell'audio: senza SRTP, chi cattura il traffico può ricostruire e riascoltare la conversazione.
- Furto delle credenziali e "toll fraud": senza TLS, i dati di registrazione possono essere sottratti. Chi ottiene le tue credenziali SIP può usare la linea per fare chiamate a pagamento (spesso verso numeri esteri) addebitate a te: è il rischio più costoso in assoluto.
- Tracciamento dei metadati: anche senza ascoltare l'audio, la segnalazione in chiaro rivela chi chiami e quando.
Due cose da proteggere: segnalazione e audio
Ogni chiamata VoIP è fatta di due flussi distinti, e vanno protetti entrambi:
| Flusso | Cosa trasporta | Come si protegge |
|---|---|---|
| Segnalazione (SIP) | Chi chiami, quando, le credenziali di registrazione | TLS |
| Audio (RTP) | Il contenuto della conversazione | SRTP |
Cifrare solo uno dei due non basta: proteggere la segnalazione ma lasciare l'audio in chiaro (o viceversa) lascia comunque una porta aperta.
TLS: cifra la segnalazione
TLS (Transport Layer Security) è la stessa tecnologia del lucchetto https dei siti web, applicata al SIP. Cifra la segnalazione: nasconde chi stai chiamando, i numeri coinvolti e soprattutto le credenziali che l'app usa per registrarsi sul server. Senza TLS, chi intercetta la rete potrebbe leggere queste informazioni.
In pratica, TLS corrisponde di solito al transport "TLS" nelle impostazioni del softphone e alla porta 5061 (invece della 5060 in chiaro). L'indirizzo cifrato si scrive sips: anziché sip:.
SRTP: cifra l'audio
SRTP (Secure RTP) cifra il contenuto della conversazione. È la parte che protegge ciò che dici davvero: senza SRTP, il flusso audio RTP potrebbe essere catturato e riascoltato. Con SRTP l'audio diventa un flusso cifrato, inutilizzabile per chi lo intercetta.
Spesso SRTP si appoggia proprio a TLS per scambiare in modo sicuro le chiavi di cifratura: ecco perché i due si usano insieme.
TLS + SRTP: la combinazione che serve
Per parlare davvero di "chiamata sicura" servono entrambi: TLS mette al riparo il "chi/quando" e le credenziali, SRTP protegge il "cosa". Ecco la differenza in pratica:
| Scenario | Segnalazione | Audio |
|---|---|---|
| SIP + RTP (base) | In chiaro | In chiaro |
| Solo TLS | Cifrata | In chiaro |
| TLS + SRTP | Cifrata | Cifrato |
Un chiarimento onesto: non è "end-to-end"
È importante non confondere questa cifratura con quella end-to-end delle app di messaggistica. TLS e SRTP proteggono di norma il collegamento tra il tuo dispositivo e il server del provider (client-to-server). Il provider, che instrada la chiamata, resta un intermediario: la cifratura protegge la tratta di rete, non rende la conversazione invisibile all'infrastruttura che la gestisce. È comunque un enorme passo avanti rispetto al traffico in chiaro, ma è bene sapere cosa copre e cosa no.
Per completezza: esistono meccanismi come ZRTP pensati per una cifratura dell'audio più vicina all'end-to-end, in cui le chiavi vengono negoziate direttamente tra i due interlocutori. Sono però poco diffusi e richiedono il supporto di entrambe le app: nella pratica quotidiana, la coppia TLS + SRTP resta lo standard di riferimento.
Come attivare chiamate SIP sicure
La cifratura richiede il supporto di entrambi i lati: l'app e il provider. In pratica:
- Verifica col tuo provider (o centralino) che offra TLS e SRTP: è la condizione necessaria. Se non li supporta, l'app da sola non può cifrare.
- Nel softphone, imposta il transport su TLS e attiva la cifratura audio (SRTP), se disponibili tra le opzioni.
- Controlla di usare la porta corretta (spesso
5061per TLS) indicata dal provider.
Come capire se le chiamate sono cifrate
Qualche verifica pratica per sapere se la tua linea sta usando la cifratura:
- Controlla nelle impostazioni dell'account del softphone che il transport sia impostato su TLS (e non UDP/TCP) e che la cifratura audio (SRTP) sia attiva.
- Durante una chiamata, alcune app mostrano un'icona a forma di lucchetto o un'indicazione "cifrata": è il segnale che TLS/SRTP sono in uso.
- In caso di dubbio, chiedi conferma al provider: solo lui può dirti se la tua utenza è abilitata a TLS e SRTP.
Buone pratiche, oltre alla cifratura
La cifratura è fondamentale, ma la sicurezza di una linea VoIP passa anche da abitudini semplici:
- Usa una password SIP robusta e non riutilizzarla altrove; trattala come una qualsiasi password importante.
- Non condividere le credenziali: chi le possiede può usare (e far pagare) la tua linea.
- Tieni una sola app registrata alla volta sulla stessa utenza, per evitare comportamenti imprevisti.
- Fai attenzione ai Wi-Fi pubblici: se non usi TLS/SRTP, valuta una VPN.
- Mantieni app e sistema aggiornati: gli aggiornamenti chiudono vulnerabilità note.
Le sigle in breve
| Sigla | Cosa significa |
|---|---|
| SIP | Il protocollo che apre, gestisce e chiude le chiamate (la "segnalazione"). |
| RTP | Il flusso che trasporta l'audio della conversazione. |
| TLS | Cifra la segnalazione SIP (la stessa tecnologia dell'HTTPS dei siti web). |
| SRTP | La versione cifrata di RTP: protegge l'audio. |
| ZRTP | Metodo per negoziare le chiavi audio più vicino all'end-to-end, poco diffuso. |
| SBC | Il "confine" della rete del provider che instrada e protegge il traffico VoIP. |