Vlákno názorů k článku
Threema otevřela zdrojové kódy klientů, snížila dočasně cenu na polovinu
od Gregor Fefor - Na Slovensku je Threema veľmi dobre známa. Akurát...
-
Nepodařilo se rozšifrovat zabezpečenou komunikaci mezi telefony, jak se bohužel veřejnost chybně domnívá. Vyšetřovatelé měli k dispozici Kočnerův telefon, ve kterém byla uložená záloha Threemy, ve které veškeré konverzace byly. Ta záloha je šifrovaná uživatelsky zvolenou frází a úřady nezveřejnily podrobnosti o tom, jak se jim podařilo k obsahu dostat. Buď tam bylo slabé heslo a použil se útok hrubou silou nebo jim konkrétní heslo někdo prozradil.
-
To se nikdy spolehlivě nedozvíte. Pokud to dostali ze zálohy, může tam být slabina. Nebo nemusí, a heslo vymlátili. Nebo nevymlátili, ale trefili. Nebo trefili s nápovědou (věděli, že jinde používá stejné)... S tím se nikdo svěřovat nebude.
Ale taky se k tomu mohli dostat jinak, třeba i za spolupráce Threemy. Pokud by tomu tak bylo, tak se tím ani jedna strana nebude chlubit. Threema, aby neztratila důvěru, Policie, aby nepřišla o kanál.
U bezpečnosti to nejde jinak, než předpokládat všechna rizika a považovat je. Dá se usuzovat, že nikdo nebude vynakládat rozsáhlé úsilí, aby se dostal k Vašim zprávám o tom, jak jste stát ošidil o pár korun na daních; pokud jde o život, bezpečnost státu, nebo miliardy, pak už musíte předpokládat všechno. I kdybyste věděl, jak toho dosáhli, neposune Vás to ani o píď v tom, když budete řešit otázku bezpečnosti v dalším případě.
-
Já si nejsem jistý, jestli u aplikace s E2E šifrováním (myslím, že taky používají protokol Signal) může být její provozovatel (Threema) nějak nápomocný při prolamování. Jedinou možností je nějakej backdoor, ale ten zas do uzamčeného telefonu nemohli zpětně doinstalovat. Takže spíš bych to viděl na ten nejslabší článek v řetězu - člověka. Buď Kočnera s triviálním heslem (od zálohy atd.) a nebo nějakýho kumpána, z kterýho to vymlátili.
23. 12. 2020, 22:46 editováno autorem komentáře
-
Ale jistěže může. Pokud instalujete klienta přes obchod, tak stačí _jen_vám_ poslat patřičnou aktualizaci (s tím určitě umí Google i Apple orgánům pomoct) - takže ani komunita v tom nepomůže.
Dále, threema má stále dostatek metadat - mj. IP adresy každého konce.
Telefonní operátor má zase IMEI přístroje (pokud je v mobilní síti) a může přístroj fingerprintovat....
Rizik najdete neomezené množství, a vždy dojdete jen k tomu, jestli to druhé straně stojí za to.
-
K čemu vám jsou metadata a fingerprinting, když potřebujete rozšifrovat komunikaci? Algoritmu je jedno, jestli víte to nebo tamto, pokud nemáte klíč, tak smůla.
S tou automatickou aktualizací - to je pravda, to už by člověk musel mít aplikaci z vlastního buildu na telefonu, který je očištěn od Googlích pařátů.
