A to nije gore od čitanja mojih poruka na vacapu?

Ok, referirao sam se na nekakvo davanje osobnih podataka trećim stranama, koje nisi dužan/trebao dati.

Eh, da, nema borbe sa sustavom, ili se praviš pametan ili pustiš blesaF:roller:

osobno ≠ privatno

Sent from my 23078PND5G using Tapatalk

Ne pravim se niti pametan niti blesav nego ti miješaš kruške i jabuke. Ako je tebi svejedno čega se odričeš, meni to ne predstavlja nikakav problem. Samo daj gas.

Mi moze netko pliz odgovoriti, ozbiljno? Koja je razlika dal saljem slike ili pisem preko signala ili whatsappa? Kolko znam ni jedno ni drugo ne bude nitko izmedju citao.

:chears:

Pa poanta bi bila u "master key" za otkuljučavanje komunikacije. Ali budu isto nametnuli i signalu kako su krenuli. Nije problem u samoj tehonologiji, nego u tome što 99.9% sveusrdno vjeruje da te neke budalaštine koje imbecilii u partiji škrabaju po papiru imaju težinu u stvarnosti. Bez da ikada i pročitaju naškrabano.

Ne znam dal netko ozbiljno misli da ce se nesto aplicirati samo na whatsapp, a ne na signal i sve ostale aplikacije, naravno da ce navesti whatsapp jer ljudi to koriste.
Uglavnom, pokusavam skuziti zasto ljudi opsjednuti prisluskivanjem misle da su sigurniji na signalu, i da nam na whatsappu Bubba cita poruke uz flasu malvazije.

Ne mogu ovo niti potvrditi niti opovrgnuti, blagodarim.

Rješenje problema je već bilo navedeno i nadasve se slažem da je implementacija trivijalna.

Jednostavna chat aplikacija s enkripcijom van standarda po volji, testiram na svoja dva pametna telefona, stvar fercera.

Ono što nikako nije trivijalno jesu retorička pitanja poput:
Tko će meni vjerovati da ću poštovati privatnost?
Aplikacija bude pravo dobra, skupi se kritična masa korisnika. Hoće li fokus interesnih grupa, tzv. boraca za pravo na privatnost, prijeći na mene, prisiljavajući ekspoziciju podataka?
Prihvaćam li prisilu ili gasim servis?
Gubim li svoje životno vrijeme loveći Godota?
Je li Godot u cijeloj toj priči EU koja nam je direktivama obećala, kao što to političari uobičajeno čine prije izbora?

:chears:

Signal je open-source projekt gdje ljudi koji se malo bolje razumiju u implementacije sigurne e2e komunikacije mogu pogledati programski kod i vidjeti je li sve napravljeno po pravilima struke.
Whatsapp je Facebookova aplikacija zatvorenog koda gdje ako se dogodi da se sazna da se private key dijeli sa Metom ćemo imati Marka kako po 985-i put kaže "we're sorry" i idemo dalje. Zato preferiram Signal. Iako moguće je da i Whatsapp ima pravilno implementiranu e2e enkripciju.



Yup, to je problem. Uzmimo najjednostavniji primjer, dopisivanje e-mailom preko PGP enkripcije korištenjem privatnog i javnog ključa. To je lagano za implementirati, a ključ nije lagano (vjerojatno i nemoguće) za probiti. Ali ti napraviš aplikaciju po svim pravilima enkripcije, ta se aplikacija opet vrti na Androidu koji ako Google tako hoće može jednostavno tvoj privatni ključ sa mobitela dostaviti nekoj trećoj strani. Sve sa tvoje strane napravljeno kako treba, enkripcija trivijalno razbijena. Zato se custom implementacija Androida ne može smatrati sigurnom jer ne možeš znati kakve sve backdoorove ima i kako ti može degradirati enkripciju. Jednostavno prosječan mobitel nije uređaj visoke sigurnosti i to je to. Sve što developer napravi po svim pravilima opet može Google zaobići svojim backdoorima. Isto vrijedi i za Windowse, posebno od desetke nadalje.


Naravno da je moguće i da ti neka zainteresirana strana priđe i iznudi backdoor u tvom softveru (znamo što se Yahoo-u dogodilo kad su to odbili), ali to donekle umanjuje korištenje open-source softvera koji je prošao brojne provjere.

A ako instaliraš Signal app na laptop sa linuxom :D ?? Ima li onda sigurnosti :D ?

EU želi imati pristup vašem Whatsappu
 

Očito brine tvrtke koje se bave securityjem čak i u ‘rvackoj. Oni komuniciraju preko Signala. I poruke i voice.

A zašto je Slatkaplanina iskrcao 19 milijardi $USD za vacap prije 10 godina kada je generirao samo gubitke u stotinama milijuna $USD godišnje? App je još uvijek ad-free, a koristimo ga besplatno. Gdje je tu povrat te kolosalne investicije? ;)

Tjah, ako je tako jednostavno složiti nešto tako sigurno, uboli ste zlatni rudnik, i možete zaraditi milijune.





Serveri (ako išta prolazi preko njih) ne smiju biti u nekoj civiliziranoj zemlji, nego idealno negdje ala Djevičanski otoci, ili neke zemlje gdje mozes novcem kupiti zaštitu od ovih drugih.
U tvom hipotetskom scenariju, fokus sigurno prelazi na tebe i prije ili poslje tražit će se otkrivanje podataka.



Data?

Ako imaš osjetljive informacije za podijeliti, još uvijek možeš to osobno uživo odraditi, vjerovao ili ne.


Ja se nemam čega odreći, jer ne dijelim ništa osobno ni tajno

Ali upravo smisao end-2-end enkripcije je da te nije briga za infrastrukturu između dvije strane koje komuniciraju, može biti ne znam kako kompromitirani server, on nema načina da vidi promet budući da se ključevi za enkripciju i dekripciju nalaze kod tebe i strane s kojom komuniciraš. Server može vidjeti samo da nešto enkriptirano kroz njega prolazi, ali ne i što prolazi.
Isto kao VPN, ako ga pravilno složiš tvoja dva ureda mogu komunicirati kroz bilo kakav komunikacijski kanal od bilo kojeg operatera, nije uopće bitno, bitno je samo da se ključevi nalaze isključivo u ta dva ureda.

Hvala na pojašenjenju. :chears:

Znači po tome ispada da recimo SKYeec nije koristio end to end enkripciju, jer bi u tom slučaju vlasti kada su zapljenile servere vidjele ništa, a ne milijardu i pol poruka :D

Ma ti appovi napravljeni specifično "za krimose" su ionako uglavnom policijski honeypotovi. :D

Jasno :D
A nije pomoglo ni što dotični jako vole piskarati, bez brisanja poruka.

Sto je jako simpaticno, ali i dalje vjerojatno koristis taj isti Signal na njihovoj infrastrukturi, a nesto se sve bojim kako su dali uvid u svoju infrastrukturu za napraviti neovisni security audit.

I ponovno si na prvom koraku.

U drugim vijestima, bilijuni muha jedu govna. Pa sad...

Postovanje takvih drustava nekada, na njihovu zalost, ne ovisi o jednostavnom odnosu prihoda i rashoda. Mislis li da Meta ne bi bila sretna da sutra napravi rm -rf na Facebooku, Instagramu i WhatsAppu?

Pa ne moraš ni napraviti audit svih ISPova da bi utvrdio da je OpenVPN ili Wireguard sigurnosno ispravan. Infrastruktura nema veze ako poruka na nju dolazi u već enkriptiranom obliku. Auditom programskog koda možeš vidjeti je li poruka pravilno enkriptirana kad napušta uređaj i dolazi u komunikacijski kanal. Da ponovim po neki put, cijeli smisao e2e enkripcije je da može koristiti nesigurnu infrastrukturu za prijenos sigurnih poruka.

Kao što rekoh veći je problem underlying Android koji može vidjeti enkripcijske ključeve.

EU želi imati pristup vašem Whatsappu
 

Do not feed the trolls.

BTW: ovisi gdje se ključevi nalaze i gdje se radi enkripcija i dekripcija. Ako se i jedno i drugo radi u nekoj sigurnosnoj enklavi/procesoru onda jako teško ako ne i nemoguće.

U pravilu ako ti netko owna mobitel ili računalo izvući će poruke odnosno ako u appu i/ili OSu postoji backdoor.


Kao i Tor ;)

Pri tome ne mislim na forumskog kolegu :D

Pa neznam baš da bi se Tor moglo nazvati honeypot-om.
Šerif se u svim dosadašnjim slučajevima morao svojski pomučiti da pohapsi crne ovce iz mračnih zakutaka toga tora.
Većinu je do sada pohvatao ne zbog manjkavosti Tor-a nego zbog manjkavosti samih ovaca.
Ako i imaju backdoor za Tor, ne dijele ga s murjačkom/fbi/interpolskom stokom sitnog zuba, nego ga u nekom NSA sefu čuvaju za neku uber-ovcu.
IMHO :)

Nije lako ali ako isti entitet ima exit node i jedan od relaya preko kojih komuniciraš onda te se može naći.

Relay i exit node može dići svatko. A tko ima dovoljno resursa da ih besplatno diže samo za nas? ;)

Vjerovao ili ne, kada zađe sunce na zapadu, dođe noć.


Što se tiče teme nesigurne infrastrukture, teoretski bi netko moga gomilati enkriptirani sadržaja i čekati povoljan trenutak za dektriptiranje sadžaja. Bilo putem exploita ili "kvantnog računala" koje bi teoretski bilo kraj enkripcije kakva je poznata. Pretpostavljam da to nije pretjerano vjerojatno, ali mogućnost veseli represivne birokrate :D

Kakvi serveri? :D

Može se i tome doskočiti :)
https://en.wikipedia.org/wiki/Forward_secrecy


Ali svejedno srećom većini tajnih podataka s vremenom opada vrijednost pa ako netko danas krekira informacije o tome tko je ubio JFKa vjerojatno ne bi nikoga bilo previše ni briga.

Oh, baš si ubo kao prstom u pekmez. Mislim da bi to ipak bilo ljudima dosta zanimljivo. Iako nema se tu šta krekirat, informacije su u vjetru.

Ali kriptografija je baš prokletno zanimljiva, šta je je.