- cross-posted to:
- polska@lemmit.online
- cross-posted to:
- polska@lemmit.online
Opublikowane we wtorek śledztwo dziennikarskie portalu IStories, dla którego wypowiadałem się w charakterze eksperta, pokazuje powiązania Telegrama ze Federalną Służbą Bezpieczeństwa Federacji Rosyjskiej – FSB.
W połączeniu z pewnymi cechami protokołu tej usługi może to pozwalać rosyjskim służbom na śledzenie konkretnych osób z niego korzystających. Globalnie.
You must log in or # to comment.
@rysiek ostatni raz byłem tak zaskoczony jak się okazało że w południe była godzina dwunasta.
Czyli zimą… bo w czasie letnim jest trzynasta. ;-)
Z tej strony autor, AMA.
Dlaczego nie sugeruje się w artykule XMPP jako potencjalnej alternatywy?
Ponieważ XMPP nie jest na dzień dzisiejszy potencjalną alternatywą, przynajmniej nie w zakresie prywatnej, szyfrowanej komunikacji. Mówię to z żalem, jako osoba, która odpaliła i zarządzała kilkoma serwerami XMPP już ponad dekadę temu. XMPP znacznie się poprawiło przez te lata, ale jeszcze sporo mu brakuje do zapewnienia odpowiedniego poziomu bezpieczeństwa:
OMEMO is not the worst attempt at making XMPP encrypted (see: XEP-0027 for that), but it still doesn’t meet the bar for the kind of private messaging app that Signal is, and is not a viable competitor to Signal.
To understand why this is true, you only need check whether OMEMO is on by default (it isn’t), or whether OMEMO can be turned off even if your client supports it (it can).
https://soatok.blog/2024/08/04/against-xmppomemo/
Cały post jest wart lektury, nurkuje w problemy z XMPP znacznie głębiej. Warto też przeczytać bardziej ogólny post Soatoka (linkowałem go w tym wątku poprzednio):
https://soatok.blog/2024/07/31/what-does-it-mean-to-be-a-signal-competitor/W artykule nie sugeruję też np. Cwtch, który moim zdaniem jest ciekawszym podejściem do stworzenia w pełni szyfrowanej, zdecentralizowanej alternatywy dla scentralizowanych komunikatorów – ponieważ artykuł w OKO.press kierowany jest do osób raczej nietechnicznych, a Cwtch nie jest jeszcze gotowy na takie osoby korzystające.
Swojego czasu stworzyłem też na Kontrabandzie poradnik na temat wchodzenia w XMPP: https://kontrabanda.net/r/jak-korzystac-z-xmpp-zakladanie-konta-zapraszanie-ludzi-konwersowanie/ no i był dość wysoko oceniany. Jedna osoba nawet napisała, że “poradnik jest jasny i klarowny”, więc no… przynajmniej dla mnie to jest coś.
Ale też rozumiem podjętą decyzję.
Nie mówię, że XMPP nie ma przyszłości. Więc dobrze, że takie poradniki powstają.
Ale alternatywą dla Signala, w tej chwili, nie jest. Choć bardzo chciałbym, żeby było.
Pozostaje mieć nadzieje, że kiedyś bedzie szansa na “wywrócenie stołka”. Ja tylko dodam od siebie, że np. zacząłem kontrybuować do kodu Monocles Chat z usprawnieniami interfejsu.
I bardzo dobrze. Szanse na wywrócenie stolika się pojawiają regularnie, tylko trzeba być na taką szansę gotowymi.
Fedi było sobie w cieniu i rozwijane po cichu przez dekadę zanim Musk przejął Twittera – a wtedy było już ~gotowe, i dużo na tym zyskało. Tak samo Lemmy.
Więc jak najbardziej taka praca u podstaw jest niezbędna i cenna.
zaczynam powoli zastanawiać się nad matrixem jako komunikator … ale jak nakłonić całe społeczeństwo na to :D
Matrix może być niezłą alternatywą jeśli chodzi o ~publiczne kanały, ale nie używałbym go do prywatnej komunikacji. Tu jednak dalej Signal.
https://soatok.blog/2024/07/31/what-does-it-mean-to-be-a-signal-competitor/ https://soatok.blog/2024/08/14/security-issues-in-matrixs-olm-library/
Zgadzam się, że problem z
libolmjest naprawdę dołujący. Poza tym, nie zgadzam się w pełni. Autor dyskwalifikuje protokoły z powodu samego faktu, że implementują one również wariant niezaszyfrowany. Nie widzę powodu, dla którego powinniśmy odrzucać bardziej wielofunkcyjne protokoły, o ile możliwe jest zbudowanie interfejsu, który wymusza szyfrowanie.Pracowałem z dziennikarkami i dziennikarzami śledczymi oraz ich źródłami, w tym osobami zajmującymi się publikacją Panama Papers. Odpowiadałem za ich bezpieczeństwo cyfrowe. Z mojego doświadczenia wynika, że wspieranie w jednej aplikacji szyfrowania end-to-end i wiadomości nie szyfrowanych w ten sposób wcześniej czy później doprowadza do tego, że ktoś nie ogarnia różnicy i komunikuje się w sposób nie szyfrowany end-to-end będąc przekonanym, że komunikacja jest w pełni szyfrowana.
Mało tego, nawet jeśli dana osoba korzystająca jest w pełni uważna i nie popełni sama takiego błędu, sam fakt istnienia możliwości wysłania wiadomości nie szyfrowanej end-to-end oznacza możliwość przeprowadzenia tzw. “downgrade attacks”.
Moim zdaniem, podpartym ponad dekadą doświadczenia w cyberbezpieczeństwie, tworzenie aplikacji, która miesza szyfrowanie end-to-end z nieszyfrowanymi wiadomościami jest skrajnie nieodpowiedzialne.
Jeśli możliwe jest wsparcie szyfrowania end-to-end w danej aplikacji, nie ma żadnego powodu, by jakakolwiek komunikacja odbywała się w jakikolwiek inny sposób.
Tu się zgadzam w pełni. Signal łatwiejszy dla wielu jednak . A jakoś trzeba przekonać ludzi do przejścia :)
Zcentralizowane platformy zawsze budzą żądzy “zainteresowanych stron”, jeśli są wystarczająco popularne. I potem trudno jest ludziom się od tego uwolnić. Nie można już w spokoju polecać usług komunikacyjnych, które nie są federowane.
Zdecentralizowane system też, choć oczywiście trudniej je kontrolować (o ile są wystarczająco rozproszone).
Nie można już w spokoju polecać usług komunikacyjnych, które nie są federowane.
Pewnie. Bardzo chciałbym, by istniała realna, zdecentralizowana alternatywa dla Signala, która zapewnia taki sam poziom prywatności i bezpieczeństwa. Ale jeszcze jej nie widziałem. Polecanie osobom korzystającym z Signala czegoś, co nie zapewni im podobnego bezpieczeństwa, jest nieodpowiedzialne.
Zdecentralizowane projekty, które wydają mi się obiecujące w tej przestrzeni (nie mówię, że inne nie istnieją, to bardzo subiektywna lista):
Projekty, które warto wymienić (znów, subiektywnie), ale moim zdaniem mogą nie dać rady stać się realną alternatywą z różnych względów:
- Briar
- Matrix, wspominany już wcześniej
- XMPP
Oczywiście bardzo chciałbym się tu mylić. Jak Briar, Matrix, czy XMPP ogarną kiedyś bycie realną alternatywą dla Signala, fenomenalnie!
