Vlákno názorů k článku Méně důvěry, více soukromí: šifrování dává Signalu výhodu před Telegramem od MTi_sk - O jakém End-to-end šifrování se tu bavíme?!? Jeden...

O jakém End-to-end šifrování se tu bavíme?!?
Jeden END Vám přečte přímo Windows( M$) nebo MAC (Apple). A druhý END Vám přečte přímo Android (Google) , nebo iOS (Apple).
Proč se trápit dešifrováním zpráv, když si je můžu přečíst v plain textu přímo na zažízení ??
‍
Ještě pořád si myslíte, že Signal, nebo Matrix je bezpečný ?🤫
Vše to začína a končí u toho slova END...

Samozřejmě, že je to šifrované od aplikace k aplikaci. Ta zpráva pak putuje minimálně ještě na plochu, displej a pak do uživatelových očí. Tam už to běží jako prostý text, takže si to může přečíst systém, člověk vedle uživatele, kamera za ramenem a podobně. Tohle víme.

Taky ovšem víme, že některé komunikační aplikace nešifrují ani tímhle způsobem a třeba provozovatel serveru si může ty zprávy číst, protože jsou šifrované jen od aplikace k serveru a pak zase znovu od serveru k cílové aplikaci.

A kde beriete tu istotu, ze end-to-end komunikaciu nevie server precitat?

Spravy sa sifruju vzdy nahodnym klucom; tento nahodny kluc je potom zasifrovany verejnym klucom prijemcu a pribaleny k sprave. Kde beriete istotu, ze iba jednym? Ked sa pribali dalsi "kontrolny", tak to nikdy nezistite, ani z velkosti odoslanej spravy. Ktora aplikacia umoznuje pouzivatelovi kontrolu nad klucmi?[1] Vacsina kecalkov je closed-source, tam to neoveri nikto. Signal klient je sice open-source, ale nemozno pouzit svoj build, treba pouzit oficialny, takze sme tam, kde sme boli s closed source.

[1] Threema ma identitu napojenu na ID kluca. Telegram zobrazuje kluc v profile e2e konverzacie. Ostatni neumoznuju absolutne ziadnu kontrolu.

1) Signal zobrazuje klíč v profilu konverzace také.
2) Signal můžete používat s klientem, který si sám sestavíte ze zdrojáků. Dokonce si můžete napsat vlastní.
3) Ani to nemusíte dělat, protože Signal má reprodukovatelné buildy, takže si můžete ověřit, že daná binárka byla opravdu sestavená ze zdrojáků, které vám předkládají.

> Signal můžete používat s klientem, který si sám sestavíte ze zdrojáků. Dokonce si můžete napsat vlastní.

A Signal vas iba nepusti do svojej siete. Mate si urobit vlastnu.

> Ani to nemusíte dělat, protože Signal má reprodukovatelné buildy, takže si můžete ověřit, že daná binárka byla opravdu sestavená ze zdrojáků, které vám předkládají.

Vratane tych blobov, co tam pouzivaju?

Apple, Google, M$ jsou třetí strany, které mají k našim zprávám přístup, a je jedno, zda jsou E-2-E šifrované nebo ne.
I u nešifrovaných zpráv se většinou používá alespoň základní zabezpečený přenos.
Ani tyto zprávy si nebude číst Váš soused, ale minimálně AI, která na tom trénuje.
Rozebíráme tady něco mimo mísu. No a co, že je aplikace E2E šifrovaná. Tato informace má nulovou hodnotu.
Je potřeba ze zaměriť na END zařízení samotná.
Prodali jsme naší důvěru nekomu, kdo si ji nezaslouží.

Myslím, že pointa byla v tom, že v případě proprietárního softwaru je jakékoli další snažení zbytečné, protože ten proprietární OS má nad těmi aplikacemi kontrolu a není šance, že by se tomu jako celku dalo věřit (byť některé jeho části mohou být otevřené a samy o sobě bezpečné).

Jestli mi někdo kouká přes rameno, to už je věc jiná, a dá se na to poměrně snadno přijít i se proti tomu bránit.

Pořád ještě existuje možnost nepoužívat spyware (Windows, Android, a nejspíš i ten zbytek), ale třeba Linux, že...

Na desktopu Linux áno, na mobile ale tá možnosť skutočne nie je... ak potrebujete prístup k bankovému účtu, musíte mať GMS (Google Mobile Services). Takže vlastne zas a znova to končí u Googlu. Ani s LineageOS nie si úplne bez Google, a o Linux phonoch asi nemá ani zmysel debatovať, keď tam polovica aplikácií z Google Store ani nefunguje.

Záleží na bance, aspoň tedy v ČR, Fio, mBank a ČS jde používat i bez mobilní appky, jen na úkor toho, že při přihlašování do IB v prohlížeči se používají ověřovací kódy přes SMS. No ale vyhnout se tomu nedá, když někdo chce mobilem platit, ať už rychlou platbou přes QR kódy nebo pomocí NFC ty různé Pay (Apple Pay, Google Pay apod.)

Minimálně KB a ČSOB (zatím) umožňují i přihlášení pomocí čipové karty, ale tam je omezení pouze na Windows. (A u ČSOB to asi brzy skončí...)
Aplikaci (stačí ...Klíč) potřebujete na potvrzování plateb (3D-Secure...) a komunikaci s bankou (telefon...).

Z jakeho duvodu ocekavate, ze budou Androidi aplikace fungovat na linuxovem mobilu? Je to chyba linuxoveho mobilu, ze to neumi? Co si pamatuju, tak jeden z duvodu je, ze legalne nelze distribuovat google play services mimo Android. Viz https://en.m.wikipedia.org/wiki/Google_Play_Services stezovat si, ze OSS projekty neumi obchazet vendor lockin mi prijde uplne mimo