»

Zoom uporabnikom brezplačne verzije ne bo ponudil pravega šifriranja

Slo-Tech - Zoom je sprva trdil, da ima urejeno šifriranje od pošiljatelja do prejemnika (end-to-end), a smo kasneje izvedeli, da ga v resnici šele pripravlja. V obstoječi verziji ima namreč tudi Zoom ključe, zato bi lahko teoretično prisluškovali pogovorom, kar bi razveselilo zlasti organe pregona. In to bo tudi glavni razlog, da bo za uporabnike brezplačne verzije tako tudi ostalo.

Izvršni direktor Eric Yuan je potrdil, da bo pravo šifriranje na voljo le naročnikom plačljive verzije. Brezplačnim uporabnikom ga ne bodo ponudili, da bo podjetje laže sodelovalo s policijo v primeru zlorab aplikacije. Z drugimi besedami: Zoom bo imel tehnično možnost predati vsebino komunikacije. To odpira stare debate o primernosti šifriranja end-to-end, kjer prestrezanje prometa niti teoretično ni mogoče. Tako organi pregona sodnih odredb o prisluškovanju ne morejo izvesti, ker to tehnično ni možno. Rešitev te zagate je seveda bodisi namerna ošibitev šifrirnih algoritmov bodisi ukinitev šifriranja end-to-end,...

6 komentarjev

Zoom kupil Keybase in bo šele sedaj dobil pravo šifriranje

Slo-Tech - Iz Zooma, priljubljene aplikacije za videoklice in videokonference, ki jo je trenutna pandemija izstrelila med zvezde, so sporočili, da kupujejo podjetje Keybase. Posebej ob utemeljitvi te novice pa pozorni bralci dosedanjih novic malce zastrižejo z ušesi, saj Zoom trdi, da bodo s tem omogočili šifriranje od pošiljatelja do prejemnika (end-to-end). To je dobrodošla praksa na področju zasebnosti. Problem je, da je Zoom v preteklosti že oglaševal, kot da jo ima, čeprav je podrobna analiza že tedaj kazala, da izvedba ni takšna, kot si jo pod izrazom end-to-end običajno predstavljamo.

Kot pojasnjujejo sedaj, so komunikacija med odjemalci šifrirana na vsaki napravi in se potem odšifrira pri prejemniku. Toda ključi (256-bitni AES-GCM) se ustvarijo na Zoomovih strežnikih, zato tehnično tako šifriranje ni varno, ker lahko Zoom prisluškuje. Ob tem dodajajo, da bo za nekatere storitve še vedno nujno, da bodo ključi dostopni v oblaku (npr. za klicanje na telefon). V prihodnosti bodo...

25 komentarjev

WhatsApp ima dve milijardi uporabnikov

[dodaj]

Slo-Tech - Po Facebooku je druga aplikacija, ki je presegla mejo dveh milijard uporabnikov, postal WhatsApp. Lahko bi dejali, da je to spet uspelo Facebooku, saj je WhatsApp od leta 2014 v Facebookovi lasti. Za podjetje je odštel 22 milijard dolarjev. Po eni strani je aplikacija priljubljena zaradi brezplačnosti in odsotnosti reklam, naročnine ali drugih motečih elementov. Realisti pa bodo ob tem seveda jadrno dodali, da je to možno, ker je njen lastnik Facebook, ki služi debele milijarde z oglasi in osebnimi podatki, ki mu jih ljudje prostovoljno zaupajo.

Ena izmed pomembnih tem, ko govorimo o aplikacijah za hipno sporočanje, je varnost komunikacije. WhatsApp že dlje časa poudarja, da uporablja šifriranje od pošiljatelja do prejemnika (end-to-end encryption), ki onemogoča prisluškovanje katerikoli tretji stranki (vključi s Facebookom). Facebook vztraja, da se ne bo uklonil pritiskom nekaterih držav - ZDA, Indije, Avstralije, Velike Britanije in drugih - naj vgradi stranska vrata ali vsaj...

19 komentarjev

Bo Facebook z WhatsAppom ubil šifriranje?

Slo-Tech - V WhatsAppu je podobno kot v še nekaj drugih aplikacijah za hipno sporočanje vgrajeno šifriranje od pošiljatelja do prejemnika (end-to-end), s čimer se tehnično preprečuje prisluškovanje. Facebook ne more prestrezati komunikacije niti je izročiti na primer organom pregona, ker to ni tehnično izvedljivo. Lahko pa bi seveda komunikacijo prestrezali na samem viru, ugotavlja Facebook.

Facebook želi v WhatsApp uvesti sistem za avtomatiziran nadzor komunikacije, ki bi iskal in filtriral neprimerne vsebine. Šlo bi za sistem, ki bi bil sicer lokalno nameščen na napravi (denimo na pametnem telefonu), a bi se ves čas posodabljal z novimi ključnimi besedami in algoritmi, in sproti pregledoval vse, kar bi uporabnik napisal, še preden se to šifrira. Če bi zaznal kakšne...

43 komentarjev

Razkrita huda ranljivost v WhatsAppu

vir: Max Pixel

Slo-Tech - Ranljivost je omogočala oddaljeno nameščanje vohunske programske opreme na telefone z iOS in Andorid operacijskim sistemom in sicer s preprostim klicem na VoIP pogovor. Gre za spyware po imenu Pegasus, ki ga je za prodajo vladam in državnim organom pregona razvilo izraelsko podjetje NSO. Vohunska koda se namesti, tudi če klic ni bil sprejet, sam klic pa čez nekaj časa preprosto izgine iz zgodovine pogovorov. Ko je spyware enkrat nameščen, omogoča spremljanje lokacije uporabnika, oddaljeni vklop kamere in telefona, brskanje po elektronski pošti in WhatsApp sporočilih.

WhatsApp, sicer v lasti Facebooka, zato poziva svoje uporabnike, teh je poldruga milijarda, da čimprej namestijo popravek, ki je na voljo že od konca...

9 komentarjev

"Matematični zakoni so lepi, a v Avstraliji veljajo samo avstralski zakoni"

Slo-Tech - Nekoč v davnih časih, med letoma 1992 in 2000, je bil izvoz programske opreme za šifriranje iz ZDA močno reguliran in omejen, zaradi česar se je kdo celo odpovedal ameriškemu državljanstvu. Toda sčasoma so spoznali nesmiselnost tovrstnega omejevanja in danes je v večini razvitega sveta šifriranje in orodja za šifriranje prosto dostopno. Toda ko čedalje več aplikacij za sporočanje uporablja šifriranja od pošiljatelja do prejemnika (end-to-end), države ugotavljajo, da temu ne morejo prisluškovati, niti če bi hotele. Avstralski premier pa tega še ne razume.

Avstralija je konec minulega meseca napovedala, da bo z zakonodajo zahtevala, da podjetja, kot sta WhatsApp ali Apple, po sodni...

44 komentarjev

Nemški parlament dovolil uporabo državnega trojanca

Frankfurter Allgemeine Zeitung - Nemški parlament je včeraj sprejel zakonodajo, ki dovoljuje uporabo državnega trojanskega konja (Bundestrojaner), s čimer želijo rešiti problem, ki ga organom pregona predstavlja naraščajoče število mobilnih aplikacij za šifrirano komuniciranje. WhatsApp, Signal in podobni programi namreč vso komunikacijo tako učinkovito zašifrirajo med pošiljateljem in prejemnikom (end-to-end), da je ni mogoče dešifrirati. Tega ne moreta storiti niti ponudnik infrastrukture ali ponudnik storitve, ker nimata ustreznih ključev. Edina možnost za prisluškovanje je zato zajem podatkov neposredno na napravi, še preden jih aplikacija šifrira (postopek imenujejo prisluškovanje na viru oziroma Quellen-Telekommunikationsüberwachung). Zato potrebujejo trojanskega konja, ki ga pritajeno...

26 komentarjev

WhatsApp šifrira vso komunikacijo

Slo-Tech - WhatsApp je pred poldrugim letom napovedal, da bodo uvedli popolno šifriranja sporočil uporabnikov (end-to-end), in besedo so držali. Tako so včeraj sporočili, da je tehnični del storitve dokončan, tako da so odslej vse oblike komunikacije šifrirane. Potrebujemo le najnovejše verzijo njihove aplikacije in to zadostuje, saj ni treba nikjer ničesar dodatno vključiti. Tehnične podrobnosti pojasnjujejo, katere algoritme uporabljajo - AES-256 in HMAC-SHA256 v sklopu protokola Signal. Šifriranje je izvedeno tako, da tudi s prestreženim ključem ni mogoče odšifrirati starejših pogovorov.

Ker WhatsApp vso komunikacijo šifrira že na viru in ker je nikjer ne shranjuje, je v teoriji dostop do nje -...

65 komentarjev

WhatsApp sklenil partnerstvo z WhisperSystems za šifriranje sporočil

Slo-Tech - WhatsApp, ki ga poznamo po priljubljeni aplikaciji za pošiljanje sporočil po mobilnih telefonih prek podatkovne povezave, sicer pa ga je letos kupil Facebook, je napovedal partnerstvo z WhisperSystems. Sporočila bodo šifrirana od pošiljatelja do prejemnika, tako da jih ne bo mogel prestreči in prebrati nihče, niti WhatsApp sam. To pomeni, da tudi organi pregona ne bodo mogli dobiti sporočil, ker WhatsApp šifrirnega ključa ne bo imel. To pomeni, da 600 milijonom uporabnikov WhatsAppa ne bo treba storiti ničesar, pa se bodo pomenkovali šifrirano.

WhisperSystems je partner pri projektu, ki je razvil protokol TextSecure, katerega bo WhatsApp uporabljal za dostavo sporočil. Odjemalec za Android že podpira šifrirano izmenjavo besedilnih sporočil, medtem ko...

9 komentarjev