2
-
kvp #2 A kulcscseret kozbenso szerverre vagy egyeb online kapcsolatra bizni egyet jelent a man in the middle tamadas lehetosegevel. Manualis kulcscseret pedig senki nem fog alkalmazni, mert nem praktikus. A kulcsok ujjlenyomatat pedig ugyancsak senki nem fogja ellenorizni. Innentol nem igazan van jo megoldas, mert vagy a szervernek kell megbizhatonak lennie, vagy offline ellenorizni kell a kulcsokat. (pgp es ssh protokollok eseten erre meg is kernek a nepszerubb nyilt forraskodu implementaciok) -
Skylake #1 Nagyon remek hiba az implementációban. Kérdés, hogy szándékos vagy sem. Én azt gondolom, „jó helyen van az ott”. Ez itt a cikkben a lényeg: „az Open Whisper Systems szoftverét nem érinti a biztonsági hiba.”
Mivel a Facebook Messenger és WhatsApp páros a piac legnagyobb szeletét uralja, mivel a Facebook esetében az üzleti forgalom az userek aktivitásának profilírozásából és erre épülő marketingből áll, mivel korábban volt szó arról, hogy a WhatsApp felhasználói bázisát azonosíthatóvá kívánják tenni az új tulaj Facebook Inc. számára, és mivel a Facebook pusztán kommunikációs és információs jelentősége miatt szükségszerű partnere a nemzetbiztonsági szerveknek az USA-ban, illetve más országokban, ezért úgy gondolom, hogy a rossz minőségben implementált titkosítási megoldás megléte számukra elsőrendűen fontos.
Persze, lesz néhány hacker-matyi, mint ő, aki majd vizsgálgatja, és nem megfelelőnek találja. Na és? Mivel a felhasználókat legkevésbé sem ilyen témák érdeklik, hanem hogy melyik celeb éppen mit csinált, vagy a baráti körben ki kivel kefél, és hasonlók, ezért semmi rizikó nincs abban, ha a titkosítás implementációja nem túl jó minőségű. Na és, majd morog néhány kocka, aztán megunják és elfelejtik. A hátsóajtó(k) meg ott maradnak, kiszolgálva a folyamatos és ad-hoc igényeket. Nyilván, egy ilyen kommunikációs mamut esetében én is osztanám a PR-dumát, hogy nem működök együtt a hatóságokkal, amikor a fejlett világ kommunikációjának döntő hányada rajtam keresztül történik. Hagyjuk már.