Prijavi se z GoogleID

» »

WhatsApp šifrira vso komunikacijo

strani: 1 2 »

A_A ::

MgpVa je izjavil:

WhatsApp s tem da je vključil E2E na žalost ni naredil popolnoma nič. Ker ščiti samo komunikacijo in popolnoma nobenega drugega aspekta. Daily backup sporočil na strežnike? Kaj se hecajo?
Kaj mi koristi ščitenje, če se čez par ur moja sporočila že lahko berejo od kogarkoli.. Še veliko drugih podobnih napak in-plain-sight.

Se pa tudi jaz strinjam z ostalimi Biokoda očitno nima $$ za PR. Njihov produkt pa uporabljamo s kolegi že nekaj časa in kar rečem je lahko samo kapo dol fantom. Očitno v slo še obstajajo kvalitetna podjetja.



Eno vprašanje glede Biokode oz. njihovega produkta. Če so ga povzeli po Signalu, ki naj bi ga financirala ameriška vlada, kot je povedal Matthai, kako ste lahko prepričani, da je tako varen. Ne napeljujem na nič, ker ne poznam zadeve, ampak me samo zanima to. Vrjetno se tudi na njihov strežnik kaj nalaga ali se motim?

metalc ::

Prvo vprašanje v Biocoded FAQ:
Why isn't Biocoded open source?

Biocoded source code, security protocols and implementations are audited by independent security agencies. Open source is not a guarantee or even an indicator of security. For sensitive governmental and corporate use, open source solutions are often dismissed outright.


Že res, da opensource sam po sebi ne garantira še nič, ampak kar tako na lepo besedo verjeti tistim neodvisnim ali "neodvisnim" neimenovanim varnostnim agencijam...

MgpVa ::

Jaz sem poslušal talk iz BSidesLjubljana
https://bsidesljubljana.si/beef-mobile-...
glede na povedano so algoritmi, ki jih uporabljajo trenutno najboljši in approvani s strani najbolj priznanih crypto imen.

@Metalc po mojem mnenju, če si potencialna on-premise stranka ti dovolijo kodo pogledat ali?

Matthai ::

Vseeno bi bilo fino, da bi vsaj del kode odprli. Ampak ja, poslovna odločitev...
All those moments will be lost in time, like tears in rain...
Time to die.

Furbo ::

MgpVa je izjavil:

WhatsApp s tem da je vključil E2E na žalost ni naredil popolnoma nič. Ker ščiti samo komunikacijo in popolnoma nobenega drugega aspekta. Daily backup sporočil na strežnike? Kaj se hecajo?
Kaj mi koristi ščitenje, če se čez par ur moja sporočila že lahko berejo od kogarkoli.. Še veliko drugih podobnih napak in-plain-sight.


Ne vem, meni se na iphonu tole shranjuje v ioblak, ki je tudi kodiran in nedostopen.
Lp,f

Matthai ::

Aja, kodiran je?

No, pol si pa vse rešil.

Kdo ima pa ključe... O, wait!
All those moments will be lost in time, like tears in rain...
Time to die.

Furbo ::

Očitno ne veš kaj preveč o novostih pri kodiranju na ios.
Lp,f

Matthai ::

Prvi problem je, da v resnic ne vemo ali Apple res nima ključev. Apple to pač trdi.

Drugi problem je, da so tvoji ključi zlomljivi v par urah na običajnem PCju. Ker za telefon verjetno nimaš 50+ mestnega gesla, kajne?
All those moments will be lost in time, like tears in rain...
Time to die.

Furbo ::

Ni tako preprosto to zakodirano, kot si ti očitno predstavljaš.
Lp,f

BlaY0 ::

??? Furbo, o čem ti to? Zapel si z doktorjem tega foha!!! Ne ga bixat no ;((

Matthai ::

Evo, ker Apple scene ne spremljam prav pogosto sem šel malo pogledat...

In našel tole:
http://9to5mac.com/2016/02/25/apple-wor...

V bistvu je še slabe, kot sem mislil:

Right now, although iCloud backups are encrypted, the keys for the encryption are also stored with Apple. This means that law enforcement can ask for this data to be provided from Apple's servers.


Busted!

Se pravi iCloud kopije so šifrirane, ampak Apple ima ključe. Ki jih seveda mora izročiti na zahtevo.

Zdaj, Apple sicer lahko naredi tako, da oni ne bodo imeli ključev, oziroma bo tvoj ključ v zaklenjeni obliki naložen v cloudu. V tem primeru je to sicer čisto OK, dokler je ta ključ zaklenjen z dovolj kompleksnim geslom. Oziroma PIN-om.

Ker pa ima večina uporabnikov pri mobilnih telefonih zaradi praktičnosti kratke PINe, je to geslo z bruteforce metodami mogoče odkleniti v nekaj urah na navadnem PCju. Konkretno, gesla velikosti 12 znakov je mogoče precej enostavno razbiti na navadnem PCju z GPUjem. Vprašanje je torej - kako dolgo geslo imaš? Več kot 12 znakov?

Ja, mogoče bi bilo narediti, da bi bilo geslo vezano na A7 čip oz. Secure Enclave - recimo, da bi bil master password za iCloud šifriran s ključem, ki bi se nahajal izključno v Secure Enclave, slednji pa bi se odklenil z vnosom PIN-a. Ampak to pomeni, da če izgubiš telefon (ali se ti uniči), ne moreš do podatkov.

V glavnem tukaj ima Apple resen problem. Sicer ga je relativno enostavno rešiti, ampak potem izgubiš na uporabnosti oz. enostavnosti sistema. Mogoče bi naredili tako, da bi si to geslo iz A7 izvozil na ekstra napravo, ali kaj podobnega. Čim je pa master geslo dostopno za branje brez omejitev, je pa mogoč brute force napad. In tam te rešuje samo dolžina PIN-a...
All those moments will be lost in time, like tears in rain...
Time to die.

BlaY0 ::

@Matthai: kje so spravljeni ključi za WhatsApp, kako jih lahko _bekapiram_ v primeru da menjam telefon.

Zgodovina sprememb…

  • spremenilo: BlaY0 ()

Furbo ::

Matthai je izjavil:

In našel tole:
http://9to5mac.com/2016/02/25/apple-wor...


Tisti 'right now' je bil pred updejtom, zdaj ključev nimajo več.

Je pa seveda vedno res, da če si nekdo nastavi enostavno geslo, da to ni težko zlomiti.

Še vedno je pa korak v pravo smer in bo težje vsak pohotnež, zaposlen v kaki 3 črkovni organizaciji gledal tvoje gole fotke.

Tisti z bolj pomembnimi podatki, bodo pa že vnesli komplicirana gesla, večino časa se pa iphone itak odklepa s prstom.

Ko bodo v kratkem dodali še možnost, da z določenim prstom še bolj zakleneš telefon, namesto odkleneš, bodo pa še odpadle razne variante, kjer so te razni organi lahko prislili v odklep s prstom.
Lp,f

Zgodovina sprememb…

  • spremenil: Furbo ()

Matthai ::

BlaY0 je izjavil:

@Matthai: kje so spravljeni ključi za WhatsApp, kako jih lahko _bekapiram_ v primeru da menjam telefon.

Na telefonu. Ne vem točno kje, Signal jih ima spravljene v bazi in se jih da z ADBjem prenesti na drugo napravo.
All those moments will be lost in time, like tears in rain...
Time to die.

BlaY0 ::

To je malo smotano ker za browsing po /data/data (Android) rabiš root. Po moje bodo morali slej kot prej montirati nek export mehanizem za ključe. Folk menjava telefone kot spodnje gate, malo bodo presenečeni, če kar naenkrat ne bodo mogli več do starih šifriranih pogovorov...

Zgodovina sprememb…

  • spremenilo: BlaY0 ()

čuhalev ::

BlaY0 je izjavil:

Folk menjava telefone kot spodnje gate, malo bodo presenečeni, če kar naenkrat ne bodo mogli več do starih šifriranih pogovorov...
Bo vsaj manj elektronskih smeti 8-) Zamenjati telefon na vsaki dve leti, le za afnanje, za drugega ne.
strani: 1 2 »


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

WhatsApp šifrira vso komunikacijo (strani: 1 2 )

Oddelek: Novice / Zasebnost
6513354 (10019) čuhalev
»

WhatsApp bo povsem brezplačen

Oddelek: Novice / Ostale najave
297513 (5498) smihael
»

WhatsApp umazano blokira konkurenta

Oddelek: Novice / Rezultati
124647 (3145) bluefish
»

WhatsApp prihaja na osebne računalnike, a kot polizdelek

Oddelek: Novice / Android
85506 (3879) crystal
»

WhatsApp sklenil partnerstvo z WhisperSystems za šifriranje sporočil

Oddelek: Novice / Varnost
96366 (4030) Jst

Več podobnih tem