WIRE app
Kudelski X41 Wire Report phase1 2017-02-08 (.pdf)
(Общая информация, информация по проблемам и изменениям)
Бегло:
1) Я удивляюсь, почему они часть вещей называют LOW, хотя, как мне кажется, это просто CRITICAL (например, первые две) [да вообще и с рядом других тоже очень странная классификация].
2) Уровень найденных "ошибок" говорит о полной некомпетентности разработчиков, как в плане культуры [безопасной] разработки вообще (проверки ошибок, NULL-term strings, NULL-pointer checks и т.п.), так и понимания базовых (!) принципов разработки криптографического ПО (специальные функции зануления sensitive data и т.п.). Т.е. сколько ты ни делай библиотек, которыми могут пользоваться даже полные макаки, к сожалению, макаки остаются макаками, и итог всегда один - "мартышка и очки". Т.е. это опять в стиле какого-то Cryptocat.
3) Криптографическая часть фактически не анализировалась (в силу отсылки на другие библиотеки).
Еще вот на это стоит обратить внимание (здесь по всем: Whatsapp, Signal, Telegram, Wire, Allo):
https://medium.com/@pepelephew/a-look-at-how-private-messengers-handle-key-changes-5fd4334b809a
Это я увидел на практике и без статьи - в Wire адовая тема (так же при подключении нового девайса - частичный диалог на этот счет).
(Справочно) (Про это уже писал ранее):
"[...] It’s worth noting that while Signal’s protocol is not the same as Wire’s Proteus protocol, Wire did use some open source components written by the Signal Protocol’s creator, Open Whisper Systems - and as a result its Proteus protocol code displays a copyright attribution reflecting this reuse.
Wire, which was founded in 2012 and is based in Switzerland, is backed by Skype co-founder Janus Friis. Although it started with more of a general communications focus, it has since shifted to billing itself as a “private messenger” with a “focus on privacy” - expanding end-to-end encryption across all messaging types on its platform (not just calls) in March last year. [...]"
"[...] Update: OWS has objected to Wire’s claim that it is built on the Signal protocol, and Wire has since clarified that its crypto is built upon the Axolotl protocol - a forerunner to the Signal protocol. “At the time of Wire introducing E2EE (March 2016) Signal used Axolotl protocol which they later renamed to Signal Protocol,” says a Wire spokesman. However OWS’ Moxie Marlinspike, who authored the Signal protocol, maintains that Axolotl is just a part of it. “The Signal protocol is composed of many pieces that we developed, one of which was called the Axolotl Ratchet,” he tells TechCrunch. “That has since been updated and renamed to the Double Ratchet, which is specified here. So they are correct that Wire is using an (old, outdated, and incorrectly applied) implementation of the Double Ratchet as part of Proteus, but that is only one small sliver of Signal Protocol. Proteus is not a Signal Protocol implementation.” [...]"
1) При регистрации через браузер (app.wire.com, "Create an account"), достаточно иметь e-mail (не надо светить/привязывать телефон) - потом просто на телефоне/планшете/десктопе использовать e-mail + пароль. (Новость буквально 4 месяца назад)
2) Оффлайн сообщения работают (шифруются, доставляются) - не как в Tox.
3) Контакты можно не шарить совсем (просто запретить к ним доступ) (справочно: защита контактов хэшированием - это полная туфта, как в Signal, так и тут - нет проблем их "восстановить", поэтому их не надо передавать вообще).
4) Проблемой может быть лишь возможная платность в будущем (причем платность чего именно - еще неясно; может, каких-то ненужных фич).
5) Минус: не работает через TOR (из коробки).
Пожалуй, на сегодняшний день, если учитывать важными пп. 1-3 - это лучшее, что может быть сейчас после Signal для мобильных девайсов. Если есть другие кандидаты - я готов их рассматривать.
(Общая информация, информация по проблемам и изменениям)
Бегло:
1) Я удивляюсь, почему они часть вещей называют LOW, хотя, как мне кажется, это просто CRITICAL (например, первые две) [да вообще и с рядом других тоже очень странная классификация].
2) Уровень найденных "ошибок" говорит о полной некомпетентности разработчиков, как в плане культуры [безопасной] разработки вообще (проверки ошибок, NULL-term strings, NULL-pointer checks и т.п.), так и понимания базовых (!) принципов разработки криптографического ПО (специальные функции зануления sensitive data и т.п.). Т.е. сколько ты ни делай библиотек, которыми могут пользоваться даже полные макаки, к сожалению, макаки остаются макаками, и итог всегда один - "мартышка и очки". Т.е. это опять в стиле какого-то Cryptocat.
3) Криптографическая часть фактически не анализировалась (в силу отсылки на другие библиотеки).
Еще вот на это стоит обратить внимание (здесь по всем: Whatsapp, Signal, Telegram, Wire, Allo):
https://medium.com/@pepelephew/a-look-at-how-private-messengers-handle-key-changes-5fd4334b809a
Это я увидел на практике и без статьи - в Wire адовая тема (так же при подключении нового девайса - частичный диалог на этот счет).
(Справочно) (Про это уже писал ранее):
"[...] It’s worth noting that while Signal’s protocol is not the same as Wire’s Proteus protocol, Wire did use some open source components written by the Signal Protocol’s creator, Open Whisper Systems - and as a result its Proteus protocol code displays a copyright attribution reflecting this reuse.
Wire, which was founded in 2012 and is based in Switzerland, is backed by Skype co-founder Janus Friis. Although it started with more of a general communications focus, it has since shifted to billing itself as a “private messenger” with a “focus on privacy” - expanding end-to-end encryption across all messaging types on its platform (not just calls) in March last year. [...]"
"[...] Update: OWS has objected to Wire’s claim that it is built on the Signal protocol, and Wire has since clarified that its crypto is built upon the Axolotl protocol - a forerunner to the Signal protocol. “At the time of Wire introducing E2EE (March 2016) Signal used Axolotl protocol which they later renamed to Signal Protocol,” says a Wire spokesman. However OWS’ Moxie Marlinspike, who authored the Signal protocol, maintains that Axolotl is just a part of it. “The Signal protocol is composed of many pieces that we developed, one of which was called the Axolotl Ratchet,” he tells TechCrunch. “That has since been updated and renamed to the Double Ratchet, which is specified here. So they are correct that Wire is using an (old, outdated, and incorrectly applied) implementation of the Double Ratchet as part of Proteus, but that is only one small sliver of Signal Protocol. Proteus is not a Signal Protocol implementation.” [...]"
1) При регистрации через браузер (app.wire.com, "Create an account"), достаточно иметь e-mail (не надо светить/привязывать телефон) - потом просто на телефоне/планшете/десктопе использовать e-mail + пароль. (Новость буквально 4 месяца назад)
2) Оффлайн сообщения работают (шифруются, доставляются) - не как в Tox.
3) Контакты можно не шарить совсем (просто запретить к ним доступ) (справочно: защита контактов хэшированием - это полная туфта, как в Signal, так и тут - нет проблем их "восстановить", поэтому их не надо передавать вообще).
4) Проблемой может быть лишь возможная платность в будущем (причем платность чего именно - еще неясно; может, каких-то ненужных фич).
5) Минус: не работает через TOR (из коробки).
Пожалуй, на сегодняшний день, если учитывать важными пп. 1-3 - это лучшее, что может быть сейчас после Signal для мобильных девайсов. Если есть другие кандидаты - я готов их рассматривать.