- cross-posted to:
- polska@lemmit.online
- cross-posted to:
- polska@lemmit.online
Opublikowane we wtorek śledztwo dziennikarskie portalu IStories, dla którego wypowiadałem się w charakterze eksperta, pokazuje powiązania Telegrama ze Federalną Służbą Bezpieczeństwa Federacji Rosyjskiej – FSB.
W połączeniu z pewnymi cechami protokołu tej usługi może to pozwalać rosyjskim służbom na śledzenie konkretnych osób z niego korzystających. Globalnie.
Matrix może być niezłą alternatywą jeśli chodzi o ~publiczne kanały, ale nie używałbym go do prywatnej komunikacji. Tu jednak dalej Signal.
https://soatok.blog/2024/07/31/what-does-it-mean-to-be-a-signal-competitor/ https://soatok.blog/2024/08/14/security-issues-in-matrixs-olm-library/
Zgadzam się, że problem z
libolmjest naprawdę dołujący. Poza tym, nie zgadzam się w pełni. Autor dyskwalifikuje protokoły z powodu samego faktu, że implementują one również wariant niezaszyfrowany. Nie widzę powodu, dla którego powinniśmy odrzucać bardziej wielofunkcyjne protokoły, o ile możliwe jest zbudowanie interfejsu, który wymusza szyfrowanie.Pracowałem z dziennikarkami i dziennikarzami śledczymi oraz ich źródłami, w tym osobami zajmującymi się publikacją Panama Papers. Odpowiadałem za ich bezpieczeństwo cyfrowe. Z mojego doświadczenia wynika, że wspieranie w jednej aplikacji szyfrowania end-to-end i wiadomości nie szyfrowanych w ten sposób wcześniej czy później doprowadza do tego, że ktoś nie ogarnia różnicy i komunikuje się w sposób nie szyfrowany end-to-end będąc przekonanym, że komunikacja jest w pełni szyfrowana.
Mało tego, nawet jeśli dana osoba korzystająca jest w pełni uważna i nie popełni sama takiego błędu, sam fakt istnienia możliwości wysłania wiadomości nie szyfrowanej end-to-end oznacza możliwość przeprowadzenia tzw. “downgrade attacks”.
Moim zdaniem, podpartym ponad dekadą doświadczenia w cyberbezpieczeństwie, tworzenie aplikacji, która miesza szyfrowanie end-to-end z nieszyfrowanymi wiadomościami jest skrajnie nieodpowiedzialne.
Jeśli możliwe jest wsparcie szyfrowania end-to-end w danej aplikacji, nie ma żadnego powodu, by jakakolwiek komunikacja odbywała się w jakikolwiek inny sposób.
Tu się zgadzam w pełni. Signal łatwiejszy dla wielu jednak . A jakoś trzeba przekonać ludzi do przejścia :)