Vlákno názorů k článku
Dočasné „mizející zprávy“ Signalu zůstávají uloženy v macOS
od Jiří Eischmann - Proto se mi víc líbí přístup Telegramu, který...
-
Proto se mi víc líbí přístup Telegramu, který nabízí pohodlné chaty, které nejsou e2e šifrované, a potom secret chaty, které jsou e2e šifrované, dost nepohodlné, ale zase nedělají kompromisy (zálohování chatů ke třetím stranám, leakování zpráv do systému přes notifikace atd.). U secret chatů do notifikace pošle akorát informaci o tom, že mi došla zpráva (není tam obsah, není tam od koho).
-
Jediny produkt, ktery v teto oblasti skutecne nedelal zadne kompromisy byl (mozna jeste je) BBM. Sice tam jsou problemy v jine rovine, ale u BBM se trvalo na jednoznacne a unikatni identite zarizeni prijemce/odesilatele, coz spoustu lidi zlobilo - neslo tak napriklad provozovat jeden ucet na vice zarizenich, protoze vice zarizeni znamena i moznost tvorby (potencialnich) klonu.
-
Ustanovení slyšet samozřejmě můžou. Požádám o vytvoření secret chatu a protistrana to může přijmout na kterémkoliv připojeném klientu (který podporuje secret chaty), tedy i na případném "klonu". Nicméně pak musí následovat ta fáze, kdy si musím s protistranou po ověřeném důvěrném kanálu nebo osobně porovnat ten ověřovací hash, jinak nebudu mít jistotu, že si píšu s tím, s kým si myslím, že si píšu, a celé e2e šifrování je k ničemu.
-
To je sice pravda, ale jejich odpověď zde je poměrně důvěryhodná:
How does Threema audit its code?Ensuring security and privacy is our biggest mission. Therefore, we review our code internally on a regular basis and with the greatest care. Furthermore, Threema's encryption code is open to independent audits as it uses the Open Source NaCl library. Anyone can validate Threema's correct application of the encryption: https://threema.ch/validation.
In August 2015, Threema was subjected to an external security audit. The result confirms that Threema's concepts fully meet the requirements for secure and trustworthy instant messaging. Furthermore it attests that the implementation of all components relevant for security and privacy was performed properly as specified.
Read a summary of the audit report here.
A comprehensive Cryptography Whitepaper describing the algorithms and protocols used in Threema can be found here.
A co se týče open-source... Ani to ti nezaručuje, že z Appstore si stáhneš do mobilu to, co si najdeš za zdrojáky na webu firmy. Je to více o důvěře (tak jako důvěřuješ třeba Googlu, že bez tvého svolení neposílá tvá data do tramptárie) a vzhledem k tomu, jak je Threema transparentní (viz jejich Cryptography Whitepaper), jsou to švýcaři (mimo jurisdikci EU a jejich jurisdikce není typu Rusku nebo Čína), dosud nebyl znám důvod (ani náznak podezření), že by bylo u nich něco v nepořádku, tak u mě požívají velmi vysoké důvěry.
-
Hroch (neregistrovaný)
E2E šifrování snad nabízí BBM Protected, standardní BBM však nikoliv https://help.blackberry.com/en/bbm-enterprise-for-android/current/help/bmc1476467731840.html . Navíc je BBM closed source.
-
Hroch (neregistrovaný)
U Signalu jde aktuálně o lokální ukládání zpráv na jedné konkrétní platformě při jednom konkrétním nastavení notifikací v důsledku chyby, která může být pravděpodobně snadno opravena.
V ostatních případech to vypadá, že (Signal) nabízí pohodlné, vždy aktivní a důvěryhodně vyhlížející koncové šifrování všech zpráv ( https://www.schneier.com/blog/archives/2016/06/comparing_messa.html ).
Zálohy do cloudu nejsou podporované, jen šifrované zálohy na lokální úložiště. ( https://support.signal.org/hc/en-us/articles/360001890291 )Telegram nejenže neumožňuje pohodlné šifrování všech zpráv by default, ale současně k šifrování "tajných" chatů využívá vlastní protokol, o jehož bezpečnosti se toho, kromě faktu, že nasazovat vlastní nevyzkoušené šifrování tam, kde existují uznávané a vyzkoušené alternativy, je velmi špatný nápad ( https://www.schneier.com/blog/archives/2014/08/the_security_of_9.html) , nic moc neví.
-
mato (neregistrovaný)
Aj Signal protokol nejako začal a trvalo kým bol dôslednejšie preverený. Telegram už vypísal viaceré odmeny za nájdenie chýb a napriek vysokým čiastkam sa zatiaľ nič moc nenašlo, afaik. Každopádne, myslím, že Telegram práve ponúka dobrý mix bezpečnosti a použiteľnosti. Bežné diskusie sú šifrované pri prenose aj na serveroch a kľúč je uložený rozdelene vo viacerých datacentrách. Užívateľ môže byť aktívny na viacerých zariadeniach a všetko je krásne synchronizované, pritom aj médiá / súbory sú uložené v cloude. V prípade potreby sa ľahko vytvorí end-to-end šifrovaný rozhovor, ktorý je lokálny. Rovnako fungujú volania a krásne jednoduché majú aj ich overenie. Pre väčšinu použití je to myslím dostatočné a veľmi príjemné na používanie. Tomu pomáhajú aj dobre spravené appky a mnohé ďalšie vlastnosti a funkcie.
