Skip to main content

Конференции

Просмотр конференции fido7.ru.security:

Предыдущее Следующее

Дата: 01 May 2018, 16:01:09
От: Victor Sudakov @ 2:5005/49.0
Кому: Nickita A Startcev
Тема: pop3/smtp/imap


Dear Nickita,

01 May 18 14:01, you wrote to me:

 NS>>> pps: любопытно. а есть ли доказательства того, что в
 NS>>> нынескандальном елеграмме шифрование, декларируемое как
 NS>>> 'точка-точка' идет от клиента к клиенту, а не по принципу
 NS>>> трехточки - клиент-"цру"-клиент, где на месте "цру" может сидеть
 NS>>> хоть мосад, хоть кгб-фсб, хоть вообще икея или еще кто? :)

 VS>> Да пусть хоть через 30 точек идёт, если твоё сообщение зашифровано
 VS>> только открытым ключом получателя и ничьим иным вдобавок.

 NS> я и намекаю, что моё сообщение может шифроваться ключом не получателя,
 NS> а посредника (ключ получателя я получал через посредника, да?), а
 NS> потом уже посредник шифрует ключом получателя. прозрачно.

Telegram и WhatsApp дают возможность сверить отпечаток ключа собеседника, ты можешь сделать это по отдельному и независимому от мессенджера каналу связи. Впрочем, нельзя полностью исключать
параноидальный вариант, что показываемй отпечаток собеседника - лишь имитация, либо что переписка шифруется, кроме настоящего ключа собеседника, еще каким-то ключом, например заранее зашитым в
мессенджер ключом АНБ.

Ответ на этот вопрос IMHO может дать только независимый аудит исходного кода мессенджера. Кто знает, доступны ли исходники Telegram и проводил ли кто-нибудь аудит?

В WhatsApp меня смущает то, что несмотря на уверения о шифровании end-to-end, каким-то образом работает Web-версия. Как, спрашивается, якобы зашифрованные end-to-end сообщения транслируются
(дублируются) в веб? Я не понимаю.

 NS> еще, как вариант, слив нешифрованный бэкап в облако, я заодно сливаю
 NS> все ключи в руки товарищмаёрам.

Если идти по такому варианту, то для товарища майора проще затроянить телефон каким-нибудь кейлоггером. Либо (уговорить производителя) встроить кейлоггер изначально в ОС. Тогда не придётся хакать
(или договариваться) с каждым мессенджером отдельно, получаешь универсальный шпион.

 VS>> А не
 VS>> шифруются ли сообщения ещё чьим-нибудь ключом параллельно - на
 VS>> этот вопрос мог бы дать ответ, наверное, только независимый аудит
 VS>> кода Телеграма.

Да, точно, я уже это говорил ранее.

Victor Sudakov, VAS4-RIPE, VAS47-RIPN

--- GoldED+/BSD 1.1.5-b20160322-b20160322
Origin: Ulthar (2:5005/49)

Предыдущее Следующее

К списку сообщений
К списку конференций