Vlákno názorů k článku
NÚKIB vydal analýzu komunikačních aplikací, nejlépe dopadl Signal a Threema
od Michal Smrž - A Núkib viděl zdrojáky, nebo porovnávaj katalogové vlastnosti?
-
No keď tam čítam perly ako:
Dalším problémem je užívání vlastního šifrování. Šifrovací protokol MTProto není natolik důvěryhodný jako široce prověřené šifry formátu AES, a byly v něm nalezeny zranitelnosti.12
.V jednej vete a hneď:
- MTProto nie je šifra. Je to ekvivalent TLS, nie AES.
- MTProto používa na šifrovanie AES.
- Boli v ňom nájdené teoretické slabosti, ktoré sa nedali prakticky využiť. Tieto boli odstránené. MTProto si prešlo rovnakým kolečkom ako TLS, aj to malo kedysi slabiny, niektoré aj prakticky využiteľné, tiež boli updaty a je dnes tam, kde je. Napísať, že v ňom boli nájdené zraniteľnosti nie je intelektuálne poctivé.
Ďalej: pri Whatsapp nie je ani len spomenuté, že naguje používateľa do zálohovania. Takže síce end-to-end šifrovanie existuje, ale cleartext sa uloží do backupu. Okrem toho nie je možné overiť implementáciu -- napr. desktopová aplikácia vie čítať cleartext, takže zjavne šifrovanie kľúče niekde niekam pretečú.
Takže táto "analýza" to príde klasická práca podkarpatského typu, kde požadované výsledky zadania sú jasné a treba urobiť zdôvodnenie, na ktoré sa použijú všeobecné floskule, na ktoré sa prepožičajú ľudia bez akejkoľvek intelektuálnej nezávislosti. Vedľa analýzy to nešlo ani rýchlikom.
-
bez přezdívky
Ďalej: pri Whatsapp [...] síce end-to-end šifrovanie existuje [...]nevim jestli to stale plati, ale pred casem se provalilo, ze i do "sifrovaneho" privatniho chatu muze nepozorovane/bez_pozvani vstoupit kdokoliv z jejich site... a myslim ze i vychozi chat neni sifrovanej ale musis otevrit specialne "sifrovanej" chat...
-
S closed-source aplikacemi end-to-end šifrování v podstatě nemůže existovat, protože oba "endy" má pod totální kontrolou stejná strana, jako servery. V praxi je jedno jestli si Meta zprávy přečte na serveru (šifruje se jen transport) nebo si je vytěží už v klientech (end-to-end), v obou případech máte cleartext v doméně, kterou má pod kontrolou Meta a ne uživatel.
-
Filip JirsákStříbrný podporovatelU closed-source aplikací nemusí mít klienty pod kontrolou stejná strana, která má pod kontrolou servery (představte si třeba closed-source e-mailového klienta nebo Jabber klienta), nemusí ani žádné servery existovat (představte si třeba closed-source Torrent klienta, nebo z trochu jiného ranku closed-source Bitcoin peněženku).
Pokud jde o únik dat z klienta, pak byste se měl také ptát, zda máte open-source operační systém, zda máte open-source hardware… A také zda jste ty zdrojáky četl a zda víte, zda používáte skutečně software a hardware z těch zdrojáků přeložený.
-
Filip JirsákStříbrný podporovatel
Ten původní argument vyvrátilo už upozornění na to, že spojuje věci, které spolu nijak nesouvisí.
