Ars Technica - Signal, ki ga razvija podjetje Open Whisper Systems velja za eno najbolj uporabnih aplikacij za varno komuniciranje preko mobilnih telefonov. Na voljo je tako za Android, kot tudi iOS (in trenutno še kot namizna (Google Chrome) aplikacija), omogoča pa močno šifriranje sporočil in pogovorov.
Podjetje Open Whisper Systems oziroma njegovi ustanovitelji so namreč pred časom razvili šifrirni protokol Signal, ki ga poleg aplikacije Signal uporabljajo tudi nekatere druge aplikacije za varno komunikacijo, med drugim tudi WhatsApp, Alo, Facebook Messenger in (deloma) Viber.
Ker aplikacija uporablja šifriranje med končnimi točkami (tim. end-to-end šifriranje) in ker beleži le minimalno število metapodatkov, je komuniciranje z uporabo te aplikacije načeloma zelo varno.
Ena izmed telefonskih številk ni imela registriranega Signal računa, za drugo pa so zaposleni pri Open Whisper Systems FBI posredovali vse podatke, ki so jih imeli. To pa so bili: datum in čas ustvarjanja Signal računa ter datum in čas, ko je bil uporabnik z danim računom nazadnje povezan na Signalove strežnike.
Ostalih podatkov o uporabnikih Open Whisper Systems nima in jih zato tudi ne more posredovati.
Ker je bila sodna odredba tajna oziroma je naslovniku prepovedovala govoriti o njenem obstoju, so se pri Open Whisper Systems obrnili na ACLU in z njihovo pomočjo pred sodiščem sprožili pritožbeni postopek zaradi zahteve o tajnosti. 29. septembra so s pritožbo uspeli in nato podatke o tem objavili na internetu.
Vsekakor je omenjena novica za Signal uporabnike dober znak, da ne rečemo signal, da je aplikacija zasnovana na način, da čim bolje ščiti zasebnost svojih uporabnikov...
Ma, a mi kdo razloži, o čem je fora teh dnevnih novic o "kripto aplikacijah in protokolih" ter "podjetij, ki stojijo za njimi". Sigurno obstaja ducat open source chat aplikacij, ki uporabljajo, ne vem, jabber za protokol in neko asimetrično enkripcijo. Ni variante, da NSA/FBI zlomijo tisti 2048-bitni ključ in glede na to, da je koda odprta, veš, da je komunikacija res point to point in se nikamor ne beleži. WTF? V čem taka znanost?! Tehnično gledano se mi zdi vse skupaj en zeh, pa fakin tolk gonje okoli tega vsak drugi dan.
Sigurno obstaja ducat open source chat aplikacij, ki uporabljajo, ne vem, jabber za protokol in neko asimetrično enkripcijo.
Točno to. NE VEŠ.
Torej, ne, ne obstaja ducat open source aplikacij, ki bi bile primerljive s Signalom. Kot prvo ima Signal bistveno boljši security model kot ostale aplikacije (forward secrecy za začetek). Kot drugo ima zelo dobro rešitev za asinhrono komunikacijo (prekeys). Kot tretje so se zelo poidrufili pri UX designu - uoraba aplikacije je zelo enostavna, od uporabnika ne zahteva zapletenega podpisovanja, izmenjave ključev,... In predvsem - ima zelo veliko število uporabnikov.
Tako da to ni "kar ena aplikacija", ampak je ena najpomembnejših aplikacij za varno komuniciranje.
Ni variante, da NSA/FBI zlomijo tisti 2048-bitni ključ in glede na to, da je koda odprta, veš, da je komunikacija res point to point in se nikamor ne beleži. WTF? V čem taka znanost?!
Spet kažeš nerazumevanje problema.
Ni problem lomljenje komunikacije. Problem so metapodatki. Facebruh Messenger recimo precej dobro šifrira vsebino, metapodatki pa letijo naokrog na polno.
Signal tudi v tem primeru prednjači. In ta novica je pomembna, ker sedaj točno vemo katere podatke lahko dejansko dajo "državnim terorističnim organizacijam". Ker za ZDA se bo v vrsto kmalu pojavila še kakšna Kitajska ali Rusija.
In to, da je aplikacija opensource ne garantira ničesar. Je zelo pomemben predpogoj,, ampak samo po sebi ni to nikakršno zagotovilo za varnost.
Nisem prej vedel, v novici pa tudi ni bilo tega omenjenega - Signal client in server za chat sta odprta in lahko postaviš doma lasten strežnik, če ne zaupaš firmi. Tako da ja, Signal JE ena izmed ducat opensource aplikacij za chat, kjer veš, da podatki ne odtekajo nikamor. Thumbs up
No, naslednja odredba lahko zahteva vgradnjo kakšnih varnostnih pomankljivosti in objavo v play+itunes store. Vse lepo na tajnem branchu opensource projekta. Zelo pomembno je da zaupaš tudi tistemu ki aplikacijo objavi. V najboljšem primeru moraš biti to sam, ali pa moraš decompile-ati vsak update in preveriti vsebino aplikacije.
No, naslednja odredba lahko zahteva vgradnjo kakšnih varnostnih pomankljivosti in objavo v play+itunes store. Vse lepo na tajnem branchu opensource projekta. Zelo pomembno je da zaupaš tudi tistemu ki aplikacijo objavi. V najboljšem primeru moraš biti to sam, ali pa moraš decompile-ati vsak update in preveriti vsebino aplikacije.
Pa saj imaš objavlen source, lahko sam compailaš in preveriš hash vrednost, da vidiš če se ujemata.
Korak naprej ni vedno ustrezen...sploh če si na robu prepada!
Če ti nimaš podatkov, jih tudi oni ne morejo dobit.
Anarhist je nekdo, ki ne spoštuje nobenih pravil igre. Zanje pravila ne obstajajo. Samo zakon močnejšega. Res pa sami sebi lažejo, da bi se brez zakonov držali za roke, peli kumbaja in sadili rožice.
Tile fantje postavljajo pravico do zasebnosti na piedestal. Ne glede na to, ali se strinjamo s tem ali ne, je ta pravica zapisana v vseh ustavah (ali sorodnih dokumentih) zahodnega sveta. Ergo, niso anarhisti.
No, naslednja odredba lahko zahteva vgradnjo kakšnih varnostnih pomankljivosti in objavo v play+itunes store. Vse lepo na tajnem branchu opensource projekta. Zelo pomembno je da zaupaš tudi tistemu ki aplikacijo objavi. V najboljšem primeru moraš biti to sam, ali pa moraš decompile-ati vsak update in preveriti vsebino aplikacije.
Odredba ni zakon, od tebe ne morejo zahtevati compliance z nečim, kar si ni izmislila zakonodajna oblast, temveč izvršilna. Take zahteve morajo najprej v zakonodajo, a ti postopki so javni, varuhov človekovih pravic pa ne srečo še vedno precej. Tajne odredbe so zagotovo del zakonodaje dežele svobodnih, sicer jih nobeno sodišče ne bi požegnalo.
Seveda, kar se gredo tričrkovne agencije MIMO sodišč, je druga zadeva. A preko tistih postopkov lahko zastrašujejo in grozijo (in dronirajo, če smem citirati Killary Killton), ne morejo pa te spraviti na sodišče.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
No, naslednja odredba lahko zahteva vgradnjo kakšnih varnostnih pomankljivosti in objavo v play+itunes store. Vse lepo na tajnem branchu opensource projekta. Zelo pomembno je da zaupaš tudi tistemu ki aplikacijo objavi. V najboljšem primeru moraš biti to sam, ali pa moraš decompile-ati vsak update in preveriti vsebino aplikacije.
Da, to je resnično (lahko) problem. Ugiba se, da je že pri več razvijalcih bilo na sledeč način podtaknjene kar nekaj kode. Tudi take, ki zgleda kot hrošč. Mimogrede, celo tekmovanja v pisanju kode, ki ob pregledu, da vtis, da naredi nekaj, pa zelo zahrbtno skriva še kaj manj preglednega, kar je za povrh še nemogoče dokazati, da je nastalo namenoma, poznamo. O takih možnosti podtikanja kode na podlagi odredb tajnega sodišča je tudi Schneier že pisal, a se mi ne da poiskati njegovega zapisa. Naravnost grozno je, da lahko nekaj takega naložijo (kar je tudi zelo logično) zgolj omejenemu št. ljudi, ki so zato potrebni in ti o tem ne smejo niti črhniti nadrejenim. Taka kukavičja jaca lahko zato valijo vse velike firme od Googla do Appla, pa naj se izvršni direktorji in zaposleni še tako trkajo po prsih, kaj vse so naredili za varnost.
Prav zato so manjši odprtokodni projekti, kakršen je Signal z OWS (oba se namreč financirata na zelo poseben način, prvi iz sredstev, namenjenih neprofitnim projektom, drugi pa prek svetovanja velikim tehnološkim podjetjem), veliko bolj odporni na tale problem. Še posebej, če je razvijalcev malo, kjer ni verjeti (na podlagi njihovega angažmaja v določeni sredini zanesenjakov), da si česa podobnega med seboj ne bi zaupali in najmanj ugasnili projekt (če ne zaradi drugega, ker so se preselili na drug konec planeta in pustili dosedanje življenje za seboj) ter imajo izjemnega vodjo Moxieja, ki je gonilo vsega tega.
Nenazadnje, prav to, kar sem opisal, so s to potezo le potrdili.
Če ti nimaš podatkov, jih tudi oni ne morejo dobit.
Anarhist je nekdo, ki ne spoštuje nobenih pravil igre. Zanje pravila ne obstajajo. Samo zakon močnejšega. Res pa sami sebi lažejo, da bi se brez zakonov držali za roke, peli kumbaja in sadili rožice.
Tile fantje postavljajo pravico do zasebnosti na piedestal. Ne glede na to, ali se strinjamo s tem ali ne, je ta pravica zapisana v vseh ustavah (ali sorodnih dokumentih) zahodnega sveta. Ergo, niso anarhisti.
No, naslednja odredba lahko zahteva vgradnjo kakšnih varnostnih pomankljivosti in objavo v play+itunes store. Vse lepo na tajnem branchu opensource projekta. Zelo pomembno je da zaupaš tudi tistemu ki aplikacijo objavi. V najboljšem primeru moraš biti to sam, ali pa moraš decompile-ati vsak update in preveriti vsebino aplikacije.
Odredba ni zakon, od tebe ne morejo zahtevati compliance z nečim, kar si ni izmislila zakonodajna oblast, temveč izvršilna. Take zahteve morajo najprej v zakonodajo, a ti postopki so javni, varuhov človekovih pravic pa ne srečo še vedno precej. Tajne odredbe so zagotovo del zakonodaje dežele svobodnih, sicer jih nobeno sodišče ne bi požegnalo.
Seveda, kar se gredo tričrkovne agencije MIMO sodišč, je druga zadeva. A preko tistih postopkov lahko zastrašujejo in grozijo (in dronirajo, če smem citirati Killary Killton), ne morejo pa te spraviti na sodišče.
Te razne agencije se med drugim poslužujejo tudi sodišč(a) in žal čez lužo poznajo celo tajno zakonodajo, vsaj ta procesni del, ker je njihov pravni sistem pač precedenčni. Tako da marsikaj, kar bi kdo tako lahkotno pripisal kršenju zakonodaje tričrkovnih pošasti v resnici sodno požegnano.
Zanimivo mi je bilo poslušati Moxija, ko je razlagal, kako so naredili svoj protokol. Pozabil kateri podcast.
Ampak v času implementiranja in testiranja so prišli do neke točke, kjer je nekaj delovalo, a niso razumeli zakaj deluje. Nekaj je o tem govoril tudi Steve Gibson v Security Now podcastu. Škoda, ker sem od takrat preposlušal toliko podcastov, da bi rabil vsaj kakšen da, ali teden, da bi našel.
Po tem, ko so videli, da SIGNAL v neki točki razvoja dela nekaj, kar ga dela tako odpornega, so potem razvijali naprej in šele kasneje so ugotovili zakaj. V smislu "matematično se izide, a pojma nimamo zakaj."
Sedaj pa, ko sem malo iskal, nisem nikjer našel te "anekdote", ki jo je povedal Moxi.
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|
