Vlákno názorů k článku Šifrování WhatsApp je lež, server umí klientům vyměnit klíče od hugochavez - Nicmene naraazime tady na zname pravdy ze "making...

Nicmene naraazime tady na zname pravdy ze "making a bullet-proof crypto ain't easy" a "convenience is the enemy of security"
Cili jak udelat spolehlive crypto pro siroke masy ktere nechapou ani zakladni pojmy?
Castecne se o tom zminuje i tvurce Signal protokolu
http://arstechnica.co.uk/security/2017/01/whatsapp-and-friends-take-umbrage-at-report-its-crypto-is-backdoored/
Osobne si myslim ze pokud clovek slibuje "bezpecne spojeni" (a uzivatel na to spoleha) tak to "obcas bude trochu bolet" =jestlize protistrana zacne kouzlit s klicema tak proste narazi a bude se muset znovu verifikovat, coz se da snadno zaridit budto hlasem anebo potvrzenim QR kodu pres kameru kde i user vidit kdo mu ten QR kod vnucuje. OPRAVDU 100%ni overeni protistrany pri asymetricke crypto zrejme nikdy nebude vylozene pohodlne/na 1 klik. Samozrejme ze CA a podobne nesmysly nepripadaji v uvahu ani vystaveni verejneho klice nekam na key-server taky nic nezarucuje.
Je to holt jako ockovani u doktora-neni to prijemne ale vime ze je to nutne :-)
"it's better be safe than sorry"

PS: kod Signalu auditoval Matthew Green=ten samej typek co auditoval TrueCrypt viz.https://www­.wired.com/2016/07­/meet-moxie-marlinspike-anarchist-bringing-encryption-us/

Problém signálu je potřeba sdělení telefonního čísla během aktivace. Kromě toho aplikace během aktivace posílá phonebook uživale na servery signálu.

Právě proto jsem zvolil Threema, které toto má volitelně. Navíc nepotřebuje přístup k mikrofónu, pokud nechci posílat hlasové zprávy (volat neumí).

Threema není opensource, takže je úplně stejně nedůvěryhodná jako WhatsApp (upřímně i tomu WhatsAppu bych důvěřoval více, protože alespoň používá Signal protokol, který je objektivně lepší - nicméně ve výsledku to je stejně jedno, do proprietární aplikace může kdykoliv někdo umístit backdoor).

Pokud nechcete sdělovat telefonní číslo, pak je nejlepší možností Wire (nevyžaduje tel. číslo, taktéž používá Signal protokol a je opensource).

"Kromě toho aplikace během aktivace posílá phonebook uživale na servery signálu."
seznam kontaktu potrebuje mozna proto aby k nim moh priradit prislusny verejny klic kterym zahaji sifrovani.... Navic komu ktere cislo volalo a kdy+jak dlouho jsou info ktery La Policia bez problemu dostane od telco, takze s tim moc tajnosti nenadelas....
Tady je clanek o tom jaky data od Signalu nedavno dostali frajeri z FBI kdyz nakraceli s prikazem od soudu.
http://thehackernews.com/2016/10/signal-messenger-fbi-subpoena.html
http://www.dailydot.com/layer8/signal-subpoena-privacy-gag-order