Citiraj:
Autor Libertus
Meni samo upada u oči kako novinari prenose "poruke u WA su kriptirane, WA ih ne može čitati". A što misle kako ih prikazuje na ekranu ako ih ne može čitati?
Naravno da ih aplikacija može čitati, ima ključeve za dekripciju u sebi. Samo je pitanje da li ih šalje dalje kao takve na WA servere i izvlači ključne riječi ih njih ili ne.
Kriptiranje služi da ih treća strana tipa isp ne može pročitati, ne WA ili korisnik.
|
Ključno kod end-to-end enkripcije je da se ona, kao i dekripcija događa isključivo na krajnjim točkama, odnosno uređajima korisnika. Također privatni ključ smije biti pohranjen isključivo u uređaju korisnika, nikako na serveru. Signal tako radi, ali mislim da i Wapp radi isto, samo što Wapp šalje još gomilu metadate serveru, dok Signal ne šalje ništa osim broja telefona koji je jedini ID korisnika.
S obzirom da je E2E postao buzzword koji bi trebao implicirati sigurnost mnogi su ga počeli zlouptrebljavati. Pa primjerice neki implementiraju enkripciju između korisnika i servera, ali server onda dekriptira i vidi podatke prije nego ih ponovno kriptira i šalje odredišnom korisniku. To nije E2E nego se samo tako naziva kako bi zvučalo bolje (marketing). Kod E2E komunikacije ISKLJUČIVO krajnje točke rade enkripciju i dekripciju, dok je server samo posrednik i on smije vidjeti jedino podatke u kriptiranom obliku.
Prednost Signala u odnosu na većinu drugih messengera je što je open-source, to možda nekome tko ne zna čitati kod ništa ne znači, ali je bitno jer se onda može napraviti sigurnosni audit i reći "ok, vi tvrdite da imate e2e, a vaš kod pokazuje da nije tako". Odnosno uočila bi se vrlo brzo greška u implementaciji ako je ima. Kod closed source je to puno teže pa se može jedino vjerovati na riječ autoru programa ili ići u komplicirane reverse engineering procese.