Novice » Zasebnost » WhatsApp šifrira vso komunikacijo
A_A ::
WhatsApp s tem da je vključil E2E na žalost ni naredil popolnoma nič. Ker ščiti samo komunikacijo in popolnoma nobenega drugega aspekta. Daily backup sporočil na strežnike? Kaj se hecajo?
Kaj mi koristi ščitenje, če se čez par ur moja sporočila že lahko berejo od kogarkoli.. Še veliko drugih podobnih napak in-plain-sight.
Se pa tudi jaz strinjam z ostalimi Biokoda očitno nima $$ za PR. Njihov produkt pa uporabljamo s kolegi že nekaj časa in kar rečem je lahko samo kapo dol fantom. Očitno v slo še obstajajo kvalitetna podjetja.
Eno vprašanje glede Biokode oz. njihovega produkta. Če so ga povzeli po Signalu, ki naj bi ga financirala ameriška vlada, kot je povedal Matthai, kako ste lahko prepričani, da je tako varen. Ne napeljujem na nič, ker ne poznam zadeve, ampak me samo zanima to. Vrjetno se tudi na njihov strežnik kaj nalaga ali se motim?
metalc ::
Prvo vprašanje v Biocoded FAQ:
Že res, da opensource sam po sebi ne garantira še nič, ampak kar tako na lepo besedo verjeti tistim neodvisnim ali "neodvisnim" neimenovanim varnostnim agencijam...
Why isn't Biocoded open source?
Biocoded source code, security protocols and implementations are audited by independent security agencies. Open source is not a guarantee or even an indicator of security. For sensitive governmental and corporate use, open source solutions are often dismissed outright.
Že res, da opensource sam po sebi ne garantira še nič, ampak kar tako na lepo besedo verjeti tistim neodvisnim ali "neodvisnim" neimenovanim varnostnim agencijam...
MgpVa ::
Jaz sem poslušal talk iz BSidesLjubljana
https://bsidesljubljana.si/beef-mobile-...
glede na povedano so algoritmi, ki jih uporabljajo trenutno najboljši in approvani s strani najbolj priznanih crypto imen.
@Metalc po mojem mnenju, če si potencialna on-premise stranka ti dovolijo kodo pogledat ali?
https://bsidesljubljana.si/beef-mobile-...
glede na povedano so algoritmi, ki jih uporabljajo trenutno najboljši in approvani s strani najbolj priznanih crypto imen.
@Metalc po mojem mnenju, če si potencialna on-premise stranka ti dovolijo kodo pogledat ali?
poweroff ::
Vseeno bi bilo fino, da bi vsaj del kode odprli. Ampak ja, poslovna odločitev...
sudo poweroff
Furbo ::
WhatsApp s tem da je vključil E2E na žalost ni naredil popolnoma nič. Ker ščiti samo komunikacijo in popolnoma nobenega drugega aspekta. Daily backup sporočil na strežnike? Kaj se hecajo?
Kaj mi koristi ščitenje, če se čez par ur moja sporočila že lahko berejo od kogarkoli.. Še veliko drugih podobnih napak in-plain-sight.
Ne vem, meni se na iphonu tole shranjuje v ioblak, ki je tudi kodiran in nedostopen.
i5-13600K, Noctua NH-D15, STRIX Z790-F, 32GB DDR5, 2TB Samsung 990PRO,
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC
Furbo ::
Očitno ne veš kaj preveč o novostih pri kodiranju na ios.
i5-13600K, Noctua NH-D15, STRIX Z790-F, 32GB DDR5, 2TB Samsung 990PRO,
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC
poweroff ::
Prvi problem je, da v resnic ne vemo ali Apple res nima ključev. Apple to pač trdi.
Drugi problem je, da so tvoji ključi zlomljivi v par urah na običajnem PCju. Ker za telefon verjetno nimaš 50+ mestnega gesla, kajne?
Drugi problem je, da so tvoji ključi zlomljivi v par urah na običajnem PCju. Ker za telefon verjetno nimaš 50+ mestnega gesla, kajne?
sudo poweroff
Furbo ::
Ni tako preprosto to zakodirano, kot si ti očitno predstavljaš.
i5-13600K, Noctua NH-D15, STRIX Z790-F, 32GB DDR5, 2TB Samsung 990PRO,
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC
poweroff ::
Evo, ker Apple scene ne spremljam prav pogosto sem šel malo pogledat...
In našel tole:
http://9to5mac.com/2016/02/25/apple-wor...
V bistvu je še slabe, kot sem mislil:
Busted!
Se pravi iCloud kopije so šifrirane, ampak Apple ima ključe. Ki jih seveda mora izročiti na zahtevo.
Zdaj, Apple sicer lahko naredi tako, da oni ne bodo imeli ključev, oziroma bo tvoj ključ v zaklenjeni obliki naložen v cloudu. V tem primeru je to sicer čisto OK, dokler je ta ključ zaklenjen z dovolj kompleksnim geslom. Oziroma PIN-om.
Ker pa ima večina uporabnikov pri mobilnih telefonih zaradi praktičnosti kratke PINe, je to geslo z bruteforce metodami mogoče odkleniti v nekaj urah na navadnem PCju. Konkretno, gesla velikosti 12 znakov je mogoče precej enostavno razbiti na navadnem PCju z GPUjem. Vprašanje je torej - kako dolgo geslo imaš? Več kot 12 znakov?
Ja, mogoče bi bilo narediti, da bi bilo geslo vezano na A7 čip oz. Secure Enclave - recimo, da bi bil master password za iCloud šifriran s ključem, ki bi se nahajal izključno v Secure Enclave, slednji pa bi se odklenil z vnosom PIN-a. Ampak to pomeni, da če izgubiš telefon (ali se ti uniči), ne moreš do podatkov.
V glavnem tukaj ima Apple resen problem. Sicer ga je relativno enostavno rešiti, ampak potem izgubiš na uporabnosti oz. enostavnosti sistema. Mogoče bi naredili tako, da bi si to geslo iz A7 izvozil na ekstra napravo, ali kaj podobnega. Čim je pa master geslo dostopno za branje brez omejitev, je pa mogoč brute force napad. In tam te rešuje samo dolžina PIN-a...
In našel tole:
http://9to5mac.com/2016/02/25/apple-wor...
V bistvu je še slabe, kot sem mislil:
Right now, although iCloud backups are encrypted, the keys for the encryption are also stored with Apple. This means that law enforcement can ask for this data to be provided from Apple's servers.
Busted!
Se pravi iCloud kopije so šifrirane, ampak Apple ima ključe. Ki jih seveda mora izročiti na zahtevo.
Zdaj, Apple sicer lahko naredi tako, da oni ne bodo imeli ključev, oziroma bo tvoj ključ v zaklenjeni obliki naložen v cloudu. V tem primeru je to sicer čisto OK, dokler je ta ključ zaklenjen z dovolj kompleksnim geslom. Oziroma PIN-om.
Ker pa ima večina uporabnikov pri mobilnih telefonih zaradi praktičnosti kratke PINe, je to geslo z bruteforce metodami mogoče odkleniti v nekaj urah na navadnem PCju. Konkretno, gesla velikosti 12 znakov je mogoče precej enostavno razbiti na navadnem PCju z GPUjem. Vprašanje je torej - kako dolgo geslo imaš? Več kot 12 znakov?
Ja, mogoče bi bilo narediti, da bi bilo geslo vezano na A7 čip oz. Secure Enclave - recimo, da bi bil master password za iCloud šifriran s ključem, ki bi se nahajal izključno v Secure Enclave, slednji pa bi se odklenil z vnosom PIN-a. Ampak to pomeni, da če izgubiš telefon (ali se ti uniči), ne moreš do podatkov.
V glavnem tukaj ima Apple resen problem. Sicer ga je relativno enostavno rešiti, ampak potem izgubiš na uporabnosti oz. enostavnosti sistema. Mogoče bi naredili tako, da bi si to geslo iz A7 izvozil na ekstra napravo, ali kaj podobnega. Čim je pa master geslo dostopno za branje brez omejitev, je pa mogoč brute force napad. In tam te rešuje samo dolžina PIN-a...
sudo poweroff
BlaY0 ::
@Matthai: kje so spravljeni ključi za WhatsApp, kako jih lahko _bekapiram_ v primeru da menjam telefon.
Zgodovina sprememb…
- spremenilo: BlaY0 ()
Furbo ::
In našel tole:
http://9to5mac.com/2016/02/25/apple-wor...
Tisti 'right now' je bil pred updejtom, zdaj ključev nimajo več.
Je pa seveda vedno res, da če si nekdo nastavi enostavno geslo, da to ni težko zlomiti.
Še vedno je pa korak v pravo smer in bo težje vsak pohotnež, zaposlen v kaki 3 črkovni organizaciji gledal tvoje gole fotke.
Tisti z bolj pomembnimi podatki, bodo pa že vnesli komplicirana gesla, večino časa se pa iphone itak odklepa s prstom.
Ko bodo v kratkem dodali še možnost, da z določenim prstom še bolj zakleneš telefon, namesto odkleneš, bodo pa še odpadle razne variante, kjer so te razni organi lahko prislili v odklep s prstom.
i5-13600K, Noctua NH-D15, STRIX Z790-F, 32GB DDR5, 2TB Samsung 990PRO,
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC
Zgodovina sprememb…
- spremenil: Furbo ()
poweroff ::
@Matthai: kje so spravljeni ključi za WhatsApp, kako jih lahko _bekapiram_ v primeru da menjam telefon.
Na telefonu. Ne vem točno kje, Signal jih ima spravljene v bazi in se jih da z ADBjem prenesti na drugo napravo.
sudo poweroff
BlaY0 ::
To je malo smotano ker za browsing po /data/data (Android) rabiš root. Po moje bodo morali slej kot prej montirati nek export mehanizem za ključe. Folk menjava telefone kot spodnje gate, malo bodo presenečeni, če kar naenkrat ne bodo mogli več do starih šifriranih pogovorov...
Zgodovina sprememb…
- spremenilo: BlaY0 ()
čuhalev ::
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | WhatsApp ima dve milijardi uporabnikovOddelek: Novice / Zasebnost | 8966 (1118) | KTr1sk |
» | Tudi Viber dobil šifriranje pogovorov (strani: 1 2 )Oddelek: Novice / Zasebnost | 25402 (20159) | matijadmin |
» | WhatsApp prispel na Windows in OS XOddelek: Novice / Omrežja / internet | 4070 (760) | poweroff |
» | WhatsApp šifrira vso komunikacijo (strani: 1 2 )Oddelek: Novice / Zasebnost | 26991 (23656) | čuhalev |
» | WhatsApp sklenil partnerstvo z WhisperSystems za šifriranje sporočilOddelek: Novice / Varnost | 9234 (1683) | Jst |