Z tego co wiem sam algorytm jest przezajebisty i trudno o coś lepszego, szczególnie że najpopularniejszą konkurencją do tej pory są fejsbuk (messenger + whatsapp) i telegram pozostawiajace bardzo wiele do życzenia w kwestiach bezpieczeństwa. Ostatnio jednak trafiłem na krytykę Signal choćby tutaj:

https://resist.berlin/goodbye_signal.txt

Kluczowe wydają mi się następujące punkty

  • Numer telefonu, aczkolwiek Moxie nigdy nie obiecywał anonimowości, wszak Signal jest reklamowany jako zapewniający prywatność.

  • Scentralizowana infrastruktura i brak woli przejścia na federacyjność

  • Spora zależność od rządowego finansowania z rąk USA

  • Z założenia niebezpieczne endpointy w postaci Androidów i iOS-ów, a wiadomo że większośc osób ma na telefonie zaguglowaną wersję z nakładką producenta.

Czy w związku z powyższymi pomimo ogromnej wygody Signala warto się skupić na alternatywach jak Matrix, stare dobre PGP, apkach z założenia desktopowych itp? Bo rzeczywiście Signal jest świetny jeśli chodzi o upowszechnienie prywatności w życiu codziennym ale czy to wystarcza osobom wymagającym więcej bezpieczeństwa poprzez narażanie się państwom czy prawicowym ekstremistom?

Jak to jest u was? Jak bardzo ufacie Signalowi?

  • harc
    link
    fedilink
    arrow-up
    5
    ·
    4 years ago

    Prywatność i anonimowość to dwie jednak tylko powiązane kategorie, reszta jest w zasadzie aplikowalna do wszystkiego innego. Matrix też nie jest jakimś cudem jeśli chodzi o bezpieczeństwo i jeśli ma być wykorzystywany na telefonie wracamy do tych samych problemów.

    Z signala korzystam na co dzień do absolutnie codziennej komunikacji i tej nieprzesadnie wrażliwej. Pewnie nie pisałbym tam gdybym robił coś o czym na pewno nie chciałbym żeby wiedziały jakieś złe siły, chociażby właśnie ze względu na niemożliwe do osiągnięcia bezpieczeństwo samego telefonu. Gdybym chciał faktycznie komunikować prywatnie i anonimowo pewnie szedłbym w kierunku Briara, Toxa czy czegoś w podobnym modelu, krok wcześniej byłoby XMPP z OTR albo PGP. Tylko ponownie, ciężko ufać telefonom, więc bardziej ufałbym PGP na bezpiecznym systemie i hardwarze do którego nikt nie ma dostępu, ale tu ponownie jest problem przesyłania, już nie mówiąc o overheadzie trzymania takiego sprzętu…
    Wcześniej czy później można dojść do poziomu zabezpieczania śrubek w laptopie, żeby wiedzieć czy ktoś przy nich manipulował, podobno dobrze sprawdza się lakier z brokatem - ciężko idealnie odtworzyć konfigurację, więc ze zdjęciami można weryfikować ew. dostęp. No i warto pamiętać, że są badania wskazujące na możliwość analizy wciskanych klawiszy po skokach napięcia w sieci, z sąsiedniego pomieszczenia…
    Inaczej mówiąc - prywatność i bezpieczeństwo zawsze trzeba zbalansować z komfortem i kosztem (ekonomicznym/czasowym) zabezpieczeń. Jeśli nie planujesz rewolucji, Signal powinien moim zdaniem wystarczać, chociaż pewnie nie pisałbym tam pewnych słów kluczowych.

    • zeshiOP
      link
      fedilink
      arrow-up
      1
      ·
      4 years ago

      Nie planuję bawić się w Teda Kaczyńskiego ani robić rewolucji (ktoś jeszcze wierzy, że nadchodzi?) więc odpuszczę sobie sprawdzanie śrubek w komputerze :). Ograniczę się do zaszyfrowanego Debiana, Ubuntu albo Tailsa. Już wpisywanie odpowiednio mocnego hasła bywa męczące. Na szczęście raczej nie jestem zbyt ciekawym celem.

      Sam na co dzień dość mocno ufam Signalowi, chociaż teraz zastanawiam się czy nie za bardzo.

      Nie miałem pojęcia o Briar ale no trochę mnie zatkało bo wydaje się być niesamowicie fajnym rozwiązaniem na naprawdę trudne czasy. Może warto byłoby go zacząć używać żeby w tych trudnych czasach po prostu móc skorzystać z już nabytych umiejętnośći :) Tylko czemu uważasz że szyfrowany XMPP miałby być mniej prywatny i anonimowy niż Tox i Briar?

      Btw wybacz jeśli zasypuję Cię pytaniami, ale zastanawiam się jak powyższe rozwiązania zapewniają anonimowość. W końcu potrzeba serwerów, które będą pośredniczyć w konwersacji. Nie mogę przecież wysłać wiadomości nie wiedząc nawet na jaki adres ją nadać. Tunelowanie przez TOR czy coś takiego? Zerknąłem w FAQ Briar i jakoś nie zauważyłem tego wyjaśnienia, więc zakładam że to bardziej ogólna wiedza.

      Tylko ponownie, ciężko ufać telefonom, więc bardziej ufałbym PGP na bezpiecznym systemie i hardwarze do którego nikt nie ma dostępu, ale tu ponownie jest problem przesyłania, już nie mówiąc o overheadzie trzymania takiego sprzętu…

      Co konkretnie masz na myśli przez problem z przesyłem i overheadem?