EU želi imati pristup vašem Whatsappu

[lowrider]

Citiraj:

Autor mkey

Dokumenti i privatnost ne idu u isti koš. Dokumente i brojeve nisi stekao ni na koji način, nego su ti dodijeljeni, još si za njih platio i maltretirat će te ako ih nemaš. Naravno, to je bitna stavka za eventualnu krađu (digitalnog) identiteta i na kraju je samo pitanje povjerenja prema datoj "instituciji".

A to nije gore od čitanja mojih poruka na vacapu?

Ok, referirao sam se na nekakvo davanje osobnih podataka trećim stranama, koje nisi dužan/trebao dati.

Eh, da, nema borbe sa sustavom, ili se praviš pametan ili pustiš blesaF

[kasko]

Citiraj:

Autor Neo-ST

Anonimnost ≠ privatnost

osobno ≠ privatno

Sent from my 23078PND5G using Tapatalk

[mkey]

Citiraj:

Autor lowrider

A to nije gore od čitanja mojih poruka na vacapu?

Ok, referirao sam se na nekakvo davanje osobnih podataka trećim stranama, koje nisi dužan/trebao dati.

Eh, da, nema borbe sa sustavom, ili se praviš pametan ili pustiš blesaF

Ne pravim se niti pametan niti blesav nego ti miješaš kruške i jabuke. Ako je tebi svejedno čega se odričeš, meni to ne predstavlja nikakav problem. Samo daj gas.

[rendula]

Citiraj:

Autor rendula

Zasto je bitno, sto nisu i jedan i drugi e2e enkriptirani? I whatsapp dapace podrzava isti protokol, mogli bi biti i interoperabilni da se signal odluci. Koga briga jel fotka ide preko wahatsappa ili signala?

Mi moze netko pliz odgovoriti, ozbiljno? Koja je razlika dal saljem slike ili pisem preko signala ili whatsappa? Kolko znam ni jedno ni drugo ne bude nitko izmedju citao.

[The Exiled]

Citiraj:

The Belgian presidency postponed a decision on the legislation, which proposed scanning encrypted messages for CSAM. Signal Protocol does not prevent a company from retaining information about when and with whom users communicate. There can therefore be differences in how messaging service providers choose to handle this information. WhatsApp can store encrypted copies of the chat messages onto the SD card, but chat messages are also stored unencrypted in the SQLite database file "msgstore.db"

[mkey]

Citiraj:

Autor rendula

Mi moze netko pliz odgovoriti, ozbiljno? Koja je razlika dal saljem slike ili pisem preko signala ili whatsappa? Kolko znam ni jedno ni drugo ne bude nitko izmedju citao.

Pa poanta bi bila u "master key" za otkuljučavanje komunikacije. Ali budu isto nametnuli i signalu kako su krenuli. Nije problem u samoj tehonologiji, nego u tome što 99.9% sveusrdno vjeruje da te neke budalaštine koje imbecilii u partiji škrabaju po papiru imaju težinu u stvarnosti. Bez da ikada i pročitaju naškrabano.

[rendula]

Citiraj:

Autor mkey

Pa poanta bi bila u "master key" za otkuljučavanje komunikacije. Ali budu isto nametnuli i signalu kako su krenuli. Nije problem u samoj tehonologiji, nego u tome što 99.9% sveusrdno vjeruje da te neke budalaštine koje imbecilii u partiji škrabaju po papiru imaju težinu u stvarnosti. Bez da ikada i pročitaju naškrabano.

Ne znam dal netko ozbiljno misli da ce se nesto aplicirati samo na whatsapp, a ne na signal i sve ostale aplikacije, naravno da ce navesti whatsapp jer ljudi to koriste.
Uglavnom, pokusavam skuziti zasto ljudi opsjednuti prisluskivanjem misle da su sigurniji na signalu, i da nam na whatsappu Bubba cita poruke uz flasu malvazije.

[Bubba]

Citiraj:

Autor rendula

i da nam na whatsappu Bubba cita poruke uz flasu malvazije.

Ne mogu ovo niti potvrditi niti opovrgnuti, blagodarim.

[De5tr0yer]

Rješenje problema je već bilo navedeno i nadasve se slažem da je implementacija trivijalna.

Jednostavna chat aplikacija s enkripcijom van standarda po volji, testiram na svoja dva pametna telefona, stvar fercera.

Ono što nikako nije trivijalno jesu retorička pitanja poput:
Tko će meni vjerovati da ću poštovati privatnost?
Aplikacija bude pravo dobra, skupi se kritična masa korisnika. Hoće li fokus interesnih grupa, tzv. boraca za pravo na privatnost, prijeći na mene, prisiljavajući ekspoziciju podataka?
Prihvaćam li prisilu ili gasim servis?
Gubim li svoje životno vrijeme loveći Godota?
Je li Godot u cijeloj toj priči EU koja nam je direktivama obećala, kao što to političari uobičajeno čine prije izbora?

[Night]

Citiraj:

Autor rendula

Mi moze netko pliz odgovoriti, ozbiljno? Koja je razlika dal saljem slike ili pisem preko signala ili whatsappa? Kolko znam ni jedno ni drugo ne bude nitko izmedju citao.

Signal je open-source projekt gdje ljudi koji se malo bolje razumiju u implementacije sigurne e2e komunikacije mogu pogledati programski kod i vidjeti je li sve napravljeno po pravilima struke.
Whatsapp je Facebookova aplikacija zatvorenog koda gdje ako se dogodi da se sazna da se private key dijeli sa Metom ćemo imati Marka kako po 985-i put kaže "we're sorry" i idemo dalje. Zato preferiram Signal. Iako moguće je da i Whatsapp ima pravilno implementiranu e2e enkripciju.

Citiraj:

Autor De5tr0yer

Ono što nikako nije trivijalno jesu retorička pitanja poput:
Tko će meni vjerovati da ću poštovati privatnost?
Aplikacija bude pravo dobra, skupi se kritična masa korisnika. Hoće li fokus interesnih grupa, tzv. boraca za pravo na privatnost, prijeći na mene, prisiljavajući ekspoziciju podataka?
Prihvaćam li prisilu ili gasim servis?
Gubim li svoje životno vrijeme loveći Godota?
Je li Godot u cijeloj toj priči EU koja nam je direktivama obećala, kao što to političari uobičajeno čine prije izbora?

Yup, to je problem. Uzmimo najjednostavniji primjer, dopisivanje e-mailom preko PGP enkripcije korištenjem privatnog i javnog ključa. To je lagano za implementirati, a ključ nije lagano (vjerojatno i nemoguće) za probiti. Ali ti napraviš aplikaciju po svim pravilima enkripcije, ta se aplikacija opet vrti na Androidu koji ako Google tako hoće može jednostavno tvoj privatni ključ sa mobitela dostaviti nekoj trećoj strani. Sve sa tvoje strane napravljeno kako treba, enkripcija trivijalno razbijena. Zato se custom implementacija Androida ne može smatrati sigurnom jer ne možeš znati kakve sve backdoorove ima i kako ti može degradirati enkripciju. Jednostavno prosječan mobitel nije uređaj visoke sigurnosti i to je to. Sve što developer napravi po svim pravilima opet može Google zaobići svojim backdoorima. Isto vrijedi i za Windowse, posebno od desetke nadalje.


Naravno da je moguće i da ti neka zainteresirana strana priđe i iznudi backdoor u tvom softveru (znamo što se Yahoo-u dogodilo kad su to odbili), ali to donekle umanjuje korištenje open-source softvera koji je prošao brojne provjere.

[vex]

A ako instaliraš Signal app na laptop sa linuxom ?? Ima li onda sigurnosti ?

[medo]

Citiraj:

Autor rendula

Zasto je bitno, sto nisu i jedan i drugi e2e enkriptirani? I whatsapp dapace podrzava isti protokol, mogli bi biti i interoperabilni da se signal odluci. Koga briga jel fotka ide preko wahatsappa ili signala?

Očito brine tvrtke koje se bave securityjem čak i u ‘rvackoj. Oni komuniciraju preko Signala. I poruke i voice.

A zašto je Slatkaplanina iskrcao 19 milijardi $USD za vacap prije 10 godina kada je generirao samo gubitke u stotinama milijuna $USD godišnje? App je još uvijek ad-free, a koristimo ga besplatno. Gdje je tu povrat te kolosalne investicije?

[Colop]

Citiraj:

Autor De5tr0yer

Rješenje problema je već bilo navedeno i nadasve se slažem da je implementacija trivijalna.

Jednostavna chat aplikacija s enkripcijom van standarda po volji, testiram na svoja dva pametna telefona, stvar fercera.

Tjah, ako je tako jednostavno složiti nešto tako sigurno, uboli ste zlatni rudnik, i možete zaraditi milijune.

Citiraj:

Autor De5tr0yer

Ono što nikako nije trivijalno jesu retorička pitanja poput:
Tko će meni vjerovati da ću poštovati privatnost?
Aplikacija bude pravo dobra, skupi se kritična masa korisnika. Hoće li fokus interesnih grupa, tzv. boraca za pravo na privatnost, prijeći na mene, prisiljavajući ekspoziciju podataka?
Prihvaćam li prisilu ili gasim servis?
Gubim li svoje životno vrijeme loveći Godota?
Je li Godot u cijeloj toj priči EU koja nam je direktivama obećala, kao što to političari uobičajeno čine prije izbora?

Serveri (ako išta prolazi preko njih) ne smiju biti u nekoj civiliziranoj zemlji, nego idealno negdje ala Djevičanski otoci, ili neke zemlje gdje mozes novcem kupiti zaštitu od ovih drugih.
U tvom hipotetskom scenariju, fokus sigurno prelazi na tebe i prije ili poslje tražit će se otkrivanje podataka.

Citiraj:

Autor medo

A zašto je Slatkaplanina iskrcao 19 milijardi $USD za vacap prije 10 godina kada je generirao samo gubitke u stotinama milijuna $USD godišnje? App je još uvijek ad-free, a koristimo ga besplatno. Gdje je tu povrat te kolosalne investicije?

Data?

[lowrider]

Citiraj:

Autor mkey

Ne pravim se niti pametan niti blesav nego ti miješaš kruške i jabuke. Ako je tebi svejedno čega se odričeš, meni to ne predstavlja nikakav problem. Samo daj gas.

Ako imaš osjetljive informacije za podijeliti, još uvijek možeš to osobno uživo odraditi, vjerovao ili ne.


Ja se nemam čega odreći, jer ne dijelim ništa osobno ni tajno

[Night]

Citiraj:

Autor Colop

Serveri (ako išta prolazi preko njih) ne smiju biti u nekoj civiliziranoj zemlji, nego idealno negdje ala Djevičanski otoci, ili neke zemlje gdje mozes novcem kupiti zaštitu od ovih drugih.
U tvom hipotetskom scenariju, fokus sigurno prelazi na tebe i prije ili poslje tražit će se otkrivanje podataka.

Ali upravo smisao end-2-end enkripcije je da te nije briga za infrastrukturu između dvije strane koje komuniciraju, može biti ne znam kako kompromitirani server, on nema načina da vidi promet budući da se ključevi za enkripciju i dekripciju nalaze kod tebe i strane s kojom komuniciraš. Server može vidjeti samo da nešto enkriptirano kroz njega prolazi, ali ne i što prolazi.
Isto kao VPN, ako ga pravilno složiš tvoja dva ureda mogu komunicirati kroz bilo kakav komunikacijski kanal od bilo kojeg operatera, nije uopće bitno, bitno je samo da se ključevi nalaze isključivo u ta dva ureda.

[Colop]

Citiraj:

Autor Night

Ali upravo smisao end-2-end enkripcije je da te nije briga za infrastrukturu između dvije strane koje komuniciraju, može biti ne znam kako kompromitirani server, on nema načina da vidi promet budući da se ključevi za enkripciju i dekripciju nalaze kod tebe i strane s kojom komuniciraš. Server može vidjeti samo da nešto enkriptirano kroz njega prolazi, ali ne i što prolazi.
Isto kao VPN, ako ga pravilno složiš tvoja dva ureda mogu komunicirati kroz bilo kakav komunikacijski kanal od bilo kojeg operatera, nije uopće bitno, bitno je samo da se ključevi nalaze isključivo u ta dva ureda.

Hvala na pojašenjenju.

Znači po tome ispada da recimo SKYeec nije koristio end to end enkripciju, jer bi u tom slučaju vlasti kada su zapljenile servere vidjele ništa, a ne milijardu i pol poruka

[Night]

Citiraj:

Autor Colop

Hvala na pojašenjenju.

Znači po tome ispada da recimo SKYeec nije koristio end to end enkripciju, jer bi u tom slučaju vlasti kada su zapljenile servere vidjele ništa, a ne milijardu i pol poruka

Ma ti appovi napravljeni specifično "za krimose" su ionako uglavnom policijski honeypotovi.

[Colop]

Citiraj:

Autor Night

Ma ti appovi napravljeni specifično "za krimose" su ionako uglavnom policijski honeypotovi.

Jasno
A nije pomoglo ni što dotični jako vole piskarati, bez brisanja poruka.

[Bubba]

Citiraj:

Autor Night

Signal je open-source projekt gdje ljudi koji se malo bolje razumiju u implementacije sigurne e2e komunikacije mogu pogledati programski kod i vidjeti je li sve napravljeno po pravilima struke.

Sto je jako simpaticno, ali i dalje vjerojatno koristis taj isti Signal na njihovoj infrastrukturi, a nesto se sve bojim kako su dali uvid u svoju infrastrukturu za napraviti neovisni security audit.

I ponovno si na prvom koraku.

Citiraj:

Autor medo

Očito brine tvrtke koje se bave securityjem čak i u ‘rvackoj. Oni komuniciraju preko Signala. I poruke i voice.

U drugim vijestima, bilijuni muha jedu govna. Pa sad...

Citiraj:

A zašto je Slatkaplanina iskrcao 19 milijardi $USD za vacap prije 10 godina kada je generirao samo gubitke u stotinama milijuna $USD godišnje? App je još uvijek ad-free, a koristimo ga besplatno. Gdje je tu povrat te kolosalne investicije?

Postovanje takvih drustava nekada, na njihovu zalost, ne ovisi o jednostavnom odnosu prihoda i rashoda. Mislis li da Meta ne bi bila sretna da sutra napravi rm -rf na Facebooku, Instagramu i WhatsAppu?

[Night]

Citiraj:

Autor Bubba

Sto je jako simpaticno, ali i dalje vjerojatno koristis taj isti Signal na njihovoj infrastrukturi, a nesto se sve bojim kako su dali uvid u svoju infrastrukturu za napraviti neovisni security audit.

I ponovno si na prvom koraku.

Pa ne moraš ni napraviti audit svih ISPova da bi utvrdio da je OpenVPN ili Wireguard sigurnosno ispravan. Infrastruktura nema veze ako poruka na nju dolazi u već enkriptiranom obliku. Auditom programskog koda možeš vidjeti je li poruka pravilno enkriptirana kad napušta uređaj i dolazi u komunikacijski kanal. Da ponovim po neki put, cijeli smisao e2e enkripcije je da može koristiti nesigurnu infrastrukturu za prijenos sigurnih poruka.

Kao što rekoh veći je problem underlying Android koji može vidjeti enkripcijske ključeve.

[medo]

Do not feed the trolls.

BTW: ovisi gdje se ključevi nalaze i gdje se radi enkripcija i dekripcija. Ako se i jedno i drugo radi u nekoj sigurnosnoj enklavi/procesoru onda jako teško ako ne i nemoguće.

U pravilu ako ti netko owna mobitel ili računalo izvući će poruke odnosno ako u appu i/ili OSu postoji backdoor.

Citiraj:

Autor Night

Ma ti appovi napravljeni specifično "za krimose" su ionako uglavnom policijski honeypotovi.

Kao i Tor

Pri tome ne mislim na forumskog kolegu

[kopija]

Pa neznam baš da bi se Tor moglo nazvati honeypot-om.
Šerif se u svim dosadašnjim slučajevima morao svojski pomučiti da pohapsi crne ovce iz mračnih zakutaka toga tora.
Većinu je do sada pohvatao ne zbog manjkavosti Tor-a nego zbog manjkavosti samih ovaca.
Ako i imaju backdoor za Tor, ne dijele ga s murjačkom/fbi/interpolskom stokom sitnog zuba, nego ga u nekom NSA sefu čuvaju za neku uber-ovcu.
IMHO

[medo]

Nije lako ali ako isti entitet ima exit node i jedan od relaya preko kojih komuniciraš onda te se može naći.

Relay i exit node može dići svatko. A tko ima dovoljno resursa da ih besplatno diže samo za nas?

[mkey]

Citiraj:

Autor lowrider

Ako imaš osjetljive informacije za podijeliti, još uvijek možeš to osobno uživo odraditi, vjerovao ili ne.

Vjerovao ili ne, kada zađe sunce na zapadu, dođe noć.


Što se tiče teme nesigurne infrastrukture, teoretski bi netko moga gomilati enkriptirani sadržaja i čekati povoljan trenutak za dektriptiranje sadžaja. Bilo putem exploita ili "kvantnog računala" koje bi teoretski bilo kraj enkripcije kakva je poznata. Pretpostavljam da to nije pretjerano vjerojatno, ali mogućnost veseli represivne birokrate

[De5tr0yer]

Citiraj:

Autor Colop

Serveri

Kakvi serveri?

[Night]

Citiraj:

Autor mkey

Što se tiče teme nesigurne infrastrukture, teoretski bi netko moga gomilati enkriptirani sadržaja i čekati povoljan trenutak za dektriptiranje sadžaja. Bilo putem exploita ili "kvantnog računala" koje bi teoretski bilo kraj enkripcije kakva je poznata. Pretpostavljam da to nije pretjerano vjerojatno, ali mogućnost veseli represivne birokrate

Može se i tome doskočiti
https://en.wikipedia.org/wiki/Forward_secrecy


Ali svejedno srećom većini tajnih podataka s vremenom opada vrijednost pa ako netko danas krekira informacije o tome tko je ubio JFKa vjerojatno ne bi nikoga bilo previše ni briga.

[mkey]

Oh, baš si ubo kao prstom u pekmez. Mislim da bi to ipak bilo ljudima dosta zanimljivo. Iako nema se tu šta krekirat, informacije su u vjetru.

Ali kriptografija je baš prokletno zanimljiva, šta je je.