Názory k článku
Threema otevřela zdrojové kódy klientů, snížila dočasně cenu na polovinu
-
Tak pravdepodobne predpokladajú zvýšenie popularity. Ono je docela nezlučiteľné mať closed-source kecálkovskú aplikáciu a tvrdiť o nej, že je bezpečná, bez akejkoľvek možnosťi audiu. Obzvlášť s image Švajčiarska po prúseroch typu Crypto AG.
Ono to navyše urobené tak. že bežný user aj tak bude musieť mať aplikáciu z Play Store, t.j. platenú. Nebude si každý release kompilovať sám a inštalovať cez adb.
-
Z tych zdrojakov na GitHube vies urobit buildy:
Google build nevie vytvorit nove ID pretoze pouziva LVL license verification token na overovanie licencie. Musis si ID najprv vytvorit v klientovi z GooglePlay, vytvorit backup a ten potom naimportovat do tvojho vlastneho buildu zo zdrojakov.
Potom maju store_threema build, kde si kupis licenciu v ich shope takze klienta z Google Play nepotrebujes na nic.
A este maju work build, ten iez nemusis stahovat z GP lebo si vo vlastnom builde vies zadat subscription udaje. -
Nepodařilo se rozšifrovat zabezpečenou komunikaci mezi telefony, jak se bohužel veřejnost chybně domnívá. Vyšetřovatelé měli k dispozici Kočnerův telefon, ve kterém byla uložená záloha Threemy, ve které veškeré konverzace byly. Ta záloha je šifrovaná uživatelsky zvolenou frází a úřady nezveřejnily podrobnosti o tom, jak se jim podařilo k obsahu dostat. Buď tam bylo slabé heslo a použil se útok hrubou silou nebo jim konkrétní heslo někdo prozradil.
-
To se nikdy spolehlivě nedozvíte. Pokud to dostali ze zálohy, může tam být slabina. Nebo nemusí, a heslo vymlátili. Nebo nevymlátili, ale trefili. Nebo trefili s nápovědou (věděli, že jinde používá stejné)... S tím se nikdo svěřovat nebude.
Ale taky se k tomu mohli dostat jinak, třeba i za spolupráce Threemy. Pokud by tomu tak bylo, tak se tím ani jedna strana nebude chlubit. Threema, aby neztratila důvěru, Policie, aby nepřišla o kanál.
U bezpečnosti to nejde jinak, než předpokládat všechna rizika a považovat je. Dá se usuzovat, že nikdo nebude vynakládat rozsáhlé úsilí, aby se dostal k Vašim zprávám o tom, jak jste stát ošidil o pár korun na daních; pokud jde o život, bezpečnost státu, nebo miliardy, pak už musíte předpokládat všechno. I kdybyste věděl, jak toho dosáhli, neposune Vás to ani o píď v tom, když budete řešit otázku bezpečnosti v dalším případě.
-
Já si nejsem jistý, jestli u aplikace s E2E šifrováním (myslím, že taky používají protokol Signal) může být její provozovatel (Threema) nějak nápomocný při prolamování. Jedinou možností je nějakej backdoor, ale ten zas do uzamčeného telefonu nemohli zpětně doinstalovat. Takže spíš bych to viděl na ten nejslabší článek v řetězu - člověka. Buď Kočnera s triviálním heslem (od zálohy atd.) a nebo nějakýho kumpána, z kterýho to vymlátili.
23. 12. 2020, 22:46 editováno autorem komentáře
-
Ale jistěže může. Pokud instalujete klienta přes obchod, tak stačí _jen_vám_ poslat patřičnou aktualizaci (s tím určitě umí Google i Apple orgánům pomoct) - takže ani komunita v tom nepomůže.
Dále, threema má stále dostatek metadat - mj. IP adresy každého konce.
Telefonní operátor má zase IMEI přístroje (pokud je v mobilní síti) a může přístroj fingerprintovat....
Rizik najdete neomezené množství, a vždy dojdete jen k tomu, jestli to druhé straně stojí za to.
-
K čemu vám jsou metadata a fingerprinting, když potřebujete rozšifrovat komunikaci? Algoritmu je jedno, jestli víte to nebo tamto, pokud nemáte klíč, tak smůla.
S tou automatickou aktualizací - to je pravda, to už by člověk musel mít aplikaci z vlastního buildu na telefonu, který je očištěn od Googlích pařátů.
-
KateStříbrný podporovatel
Telegram má otevřený jen klient, takže stejně jako teď Threema.
Ze jmenovaných se za opravdu svobodné dá považovat jen Matrix, Jami a XMPP. Teoreticky i Signal, ale fakt že je centralizovaný a tvůrce je nepřátelský vůči alternativním klientům to dost kazí.
-
Asi je bude živit Threema Work, který používá např. BOSCH.
Někdo zde psal, že Threema je placený program. To je pro vás opravdu finanční nebo duševní bariéra, přispět autorům jednou na 2 kafe? :-)Threema je obdoba WhatsApp (i Web client je řešen podobně) jen od počátku využívala šifrování a nesbírala žádná data. Nepotřebuje vaše telefonní číslo, nejlepší je se s protistranou setkat osobně a vyfotit si vzájemně otisky klíčů. Takto ověřený kontakt je pak indikován jinou ikonkou než ty přidané bez ověření. Od počátku vyžadovala i minimálůní oprávnění. Kdo chtěl využívat foťák, musel si stáhnout doplněk a tím ji k foťáku umožnit přístup. Od Androidu 6 už toto lze ovládat v systému, tak se to zjednodušilo.
Heslem lze chránit nejen vstup do programu, ale i odemčení šifrovacího klíče (např. po restartu mobilu).
Program lze stáhnout i přímo z jejich webu a tedy není nutné využívat GooglePlay.
Záloha dat je klasický ZIP s AES, ten si pak každý může zálohovat na své bezpečné místo a ne někam do cloudu.
Používám několik let a je to prostě jednoduchý program na psaní s prioritou ochrany soukromí.
