Comments | sporaw: Paranoia: Signal

sporaw

Paranoia: Signal

Apr 30, 2018 05:43

Когда Signal Protol распространяется в Whatsapp, Facebook Messenger, Google Allo, Viber, а потом и в Skype... Это начинает очень конкретно напрягать. Почему? Ну потому что так не бывает в нашем мире. Дело в том, что это около 100% покрытия основных мессенджеров в США, Европе, СНГ. (В общем, это что-то типа теста утки. Если кажется по куче косвенных ( Read more... )

мобильные мессенджеры, мессенджеры, facebook, nsa, signal, whatsapp, skype, cryptography, telegram, weak cryptography, мобильный телефон, google, США, paranoia

Comments 45

sash_kan April 30 2018, 10:17:09 UTC

какие-то бури в стакане воды.
наверно, я чего-то понимаю во всех этих попытках не пользоваться примитивнейшими банальнейшими древнейшими повсюду-распространёнными электронной почтой и асинхронным шифрованием.

sash_kan May 1 2018, 08:26:51 UTC

Реальные революционеры (ну, назовем их так) - именно так и делают. Обычному юзеру нужно чтобы добрый ДядяСтепа не слил его жене переписку с его любовницей, но чтобы с ней было удобно общаться. Для этого достаточно того же вотсапа с отключенным бэкапом в облако.

sporaw May 1 2018, 20:19:07 UTC

См. ниже ответ.

sporaw May 1 2018, 20:18:52 UTC

Не понимаете. Потому что то, как выглядит ваше сообщение для меня, для вас могло бы выглядеть вот это:

===
какие-то бури в стакане воды.
наверно, я чего-то понимаю во всех этих попытках не пользоваться примитивнейшими банальнейшими древнейшими повсюду-распространёнными голубиной почтой с использованием шифра Вернама с бесконечным шифроблокнотом.
===

Теперь ответ по существу, если не понятно. Мир изменился. Скорость реакций изменилась. Необходимо живое общение (минимум чат, максимум - голос) для оперативного и всестороннего решения вопросов.

Thread 5

sergey_cheban April 30 2018, 14:47:05 UTC

А вариант "Все внедряют один и тот же протокол, чтобы быть не хуже других" - не годится? (Ни в коем случае не собираюсь утверждать, что мессенджеры безопасны).

sporaw May 1 2018, 20:21:50 UTC

Он годится, но только в мире розовых единорогов. Настоящий защищенный протокол не дадут без способов (любым путем, даже через бэкапы если будет) обхода внедрить в мессенджеры с аудиторией в миллиард (сцуко, миллиард!) пользователей.

sergey_cheban May 1 2018, 22:23:13 UTC

С таким подходом можно сразу делать более сильное утверждение: все массовые мессенджеры априори небезопасны. У меня эта мысль, кстати, отторжения не вызывает.
А если так: появился signal, джинн выпущен из бутылки, и мы не умеем его ломать (из этого, впрочем, не следует, что его не умеет ломать кто-то другой). Ок, клепаем кучу мессенджеров "с сигналом", но в них встраиваем бекдоры. Все довольны. Одни (может быть) умеют ломать сигнал, другие - умеют ломать 95% используемых мессенджеров.

sporaw May 1 2018, 22:39:21 UTC

> С таким подходом можно сразу делать более сильное утверждение: все массовые мессенджеры априори небезопасны.

Так и есть.

> А если так: появился signal, джинн выпущен из бутылки, и мы не умеем его ломать (из этого, впрочем, не следует, что его не умеет ломать кто-то другой). Ок, клепаем кучу мессенджеров "с сигналом", но в них встраиваем бекдоры. Все довольны. Одни (может быть) умеют ломать сигнал, другие - умеют ломать 95% используемых мессенджеров.Как только есть замазанность с массовостью - это плохо. Сразу тень бросает. И непонятно, это в исходном есть какие-то проблемы, и поэтому можно спокойно засовывать куда угодно, или во всех остальных сделали что-то, что без проблем позволяет использовать "сильное". И вот тут ключевое: как проще договориться или сделать - в одном месте или в 5 разных, пусть и крупных, и подконтрольных (особенно, после скандалов)? Вот считайте: Whatsapp (формально Facebook, но еще несколько дней назад не был полностью подконтролен), Facebook Messenger (Facebook), Google Allo (Google), Viber (Viber), Skype ( ... )

Thread 6

anonymous April 30 2018, 16:11:09 UTC

IMHO с начала было очевидно, что доверять им можно куда меньше чем Tox или Jabber.

sporaw April 30 2018, 19:25:13 UTC

Tox я бы вообще доверял в последнюю очередь.
+ Он еще кривее, чем Jabber.

anonymous May 1 2018, 08:29:06 UTC

По идее, если даже включен бэкап в облако то при удалении переписки с девайса, в облако забэкапится уже очищенный лог. Вряд ли там инкрементный бэкап, скорее тупо копируется файл с только актуальными сообщениями.

sporaw May 1 2018, 08:40:53 UTC

Да, но кого это спасает?

anonymous May 1 2018, 09:09:34 UTC

Ну как. Товарищ майор может тупо не успеть забрать из облака всю переписку.
А тех кто конкретно и длительное время под наблюдением - конечно ничто не спасет.

sporaw May 1 2018, 09:25:11 UTC

Так о длительном времени речи не идет. Тот же и whatsapp, и viber предлагают делать бэкап ежедневно.

Thread 7

anonymous May 1 2018, 19:39:44 UTC

>>>настойчиво требовать backup в облако без шифрации на уникальном ключе устройства

как минимум сам сигнал этого не требует. если верить документации на signal messenger, история там хранится локально, бэкап тоже локальный. бэкап, судя по описанию, предназначен в основном для миграции на другое устройство, закрыт случайным 30-значным passphrase.

вообще говоря, если какая-то реализация сигнала, который as is коммуникационный протокол, вдруг начинает передавать в эфир приватный ключ абонента, то я не уверен что это вина именно протокола.

забавно, что сегодня мелькнула новость про Кума, который уходит из фейсбука в том числе из-за разногласий по крипто.

sporaw May 1 2018, 20:00:07 UTC

Я писал про реализации Signal Protocol в других продуктах.

Что же касается Signal, как раз еще одним опасным звоночком было то, что в апреле месяце вышла обновленная версия под Android, где было написано что-то типа "мы существенно переработали бэкап и убрали архаичный". И где теперь этот бэкап? Раньше был единственный мессенджер с крутой темой: можно было выгрузить в xml (экспортировать) и все удалить на девайсе. А если надо, на другом девайсе загрузить (импортировать) из xml. (ПодробнееИ что теперь я вижу? "Разговоры и медиа" - "Резервные копии" - "Резервные копии чата On/Off (Резервное копирование чатов во внешнее хранилище)". Приехали. Это полный п-ц. У меня нет слов. Где оффлайн экспортирование на устройстве? Как теперь на нерутованном девайсе: а) забрать данные, б) (после этого) удалить данные ( ... )

anonymous May 1 2018, 22:53:08 UTC

Signal по видимости пытается в массовость. А массы слишком тупы чтобы понять смысл выражения "выгрузить в xml". Да что там, для них понятие "файл" - высшая математика. Зато абстрактное "хранилище", где каким-то магическим образом хранятся переписки как сущность, фото как сущность (а не как файлы) и т.п. - это им понятно. Эппл к примеру изначально пилил свою айось с закрытой ФС именно из этого принципа.
Но да, для нормальных людей могли бы и оставить оффлайн экспорт, пусть и глубоко в меню.

sporaw May 1 2018, 23:00:04 UTC

Я в итоге все равно не понимаю, как сейчас работает (надо разобраться). Проверять на реальной переписке не охота. А то окажется какой-нибудь Signal Cloud ;)

Чтобы в массовость - пусть скопируют интерфейс Telegram, как Павел скопировал интерфейс Whatsapp. Вот и будет массовость. А они Reply прикрутили неделю назад. Да и то, в своем же Signal-совок-стиле. Никаких жестов типа влево-вправо. Нужно выделить и нажать Reply. Середина 2018 года. Смех.