מה דעתכם על האפליקציה? האם מדובר באפליקציה מאובטחת?

תלוי איך אתה מגדיר "מאובטחת"...

כדי שאפליקציה תהיה "מאובטחת", יש כמה דברים עיקריים שאתה צריך, לדעתי:

1. שתהיה תמיכה בהצפנה אמיתית מקצה לקצה (כלומר, שאף אחד חוץ משני הצדדים שמשוחחים לא יוכל לקרוא את תוכן ההודעות שעוברות בין הצדדים), ושאפשר יהיה לוודא את זה. ההצפנה מקצה לקצה יכול שתהיה עבור כל ההודעות (כמו שקורה ב"סיגנל", לכאורה קורה ב"ווטסאפ" אם אנחנו מאמינים להם (ראה סעיפים הבאים), וקורה בטלגרם רק בשיחות שהן "secret chat")
2. שלא יהיו דלתות אחוריות בקוד המקור של התוכנה אשר מאפשרות לתוקף כלשהו, כולל יצרן התוכנה, לבצע מניפולציה אשר תשבור את #1
3. שמישהו "יוודא" שאכן #2 קורה. אפשר לומר שכשאפליקציה היא מסוג "קוד פתוח", ויש מספיק עיניים שבוחנות את הקוד שלה, אז יש אנשים שמוודאים זאת (טלגרם וסיגנל הן בקוד פתוח, ווטסאפ "אנחנו תומכים בהצפנה מקצה לקצה וכותבים את זה בכל שיחה חדשה אז זה נכון" - הם לא)
4. שהאפליקציה שרצה בפועל על המכשיר שלך תהיה זהה לאותו קוד שאנשים מסתכלים עליו כדי לדעת שאין בו דלתות אחוריות - טלגרם וסיגנל תומכות ב "reproducible builds", כלומר היכולת לקחת גירסה פומבית כלשהי ולבנות אותה בעצמך על המחשב שלך מקוד המקור הפומבי (ראה #3) כדי לקבל את אותו ה"מוצר" בדיוק
5. שאתה מוודא פעם אחת לפחות באופן שלא ניתן למניפולציה, שמפתח ההצפנה שלך מול האדם שאיתו אתה מתקשר בשיחה מוצפנת, הוא אותו אחד שיש לצד השני, שהרי החלפת המפתחות הזו מתרחשת בצורה אוטומטית בהקמת השיחה המוצפנת הראשונה בין הצדדים, דרך הרשת, ושם גורם עויין יכל לבצע מניפולציה ו"להזריק" את עצמו בתווך (man-in-the-middle attack) - ואז בעצם השיחה של שני הצדדים תהיה מוצפנת "מקצה לקצה", אבל שני הקצוות לא יהיו שני הקצוות שחושבים שהם שני הקצוות, אלא כל צד ידבר בצורה מאובטחת מול המאזין, המאזין יקרא את כל תוכן השיחה (או יאזין או יצפה בה אם זו שיחת אודיו או וידאו), ואף אחד מהצדדים לא ידע את זה.
6. שהאפליקציה כחלק מהתכנון שלה, כשמחליפים את מפתח ההצפנה דרך הרשת (למשל כי אחד הצדדים החליף מכשיר ואין לו גישה יותר למפתח ההצפנה הישן), תראה זאת בבירור לכל מי שכבר היה בתקשורת מול אותו מזהה מנוי. זה אפילו ווטסאפ עושה היום אחרי ביקורת שקיבלה בנושא, אבל גם הדרך חשובה: בווטסאפ זה יכול ללכת לאיבוד בזרימת ההודעות בלי שתשים לב. בטלגרם השיחה המאובטחת פשוט לא מקבלת יותר הודעות ונוצרת שיחה חדשה לגמרי, ככה שברור שמשהו קרה כאן.

בקיצור, האם טלגרם (וסיגנל) מאובטחות? בוא נגיד את זה כך: יש להן את הפוטנציאל להיות, ומצבן טוב בהרבה מהאלטרנטיבה הפופולרית שגם נחותה יותר בפיצ'רים (ווטסאפ), לדעתי האישית (היא בקוד סגור - מה יש להם להסתיר? ובעליה [פייסבוק] פרקטיקלי עושים כסף מהמידע האישי של אנשים, לכאורה...). נסיון העבר מראה שגם לדברים פחות חיוביים משתמשים בהן ופחות נתפסים על ידי השלטונות. אז כנראה שזה עובד. אבל אם יש לך מידע באמת סופר סודי - כדאי לא להעביר אותו באף אפליקציה אלא בארבע עיניים, ולמעשה, בלי נוכחות של אף מכשיר טלפון או מחשב (או מצלמות אבטחה של בניינים/עסקים/עיריות/מדינה) באיזור, כי כל המכשירים האלה זו תחנת האזנה אחת גדולה, אפילו אם הטלגרם או הסיגנל שלך במקרה מאובטחות.

נמאס לכם לזכור סיסמאות? לחצו כאן!

ציטוט:

במקור נכתב על ידי שימי תלוי איך אתה מגדיר "מאובטחת"... כדי שאפליקציה תהיה "מאובטחת", יש כמה דברים עיקריים שאתה צריך, לדעתי: שתהיה תמיכה בהצפנה אמיתית מקצה לקצה (כלומר, שאף אחד חוץ משני הצדדים שמשוחחים לא יוכל לקרוא את תוכן ההודעות שעוברות בין הצדדים), ושאפשר יהיה לוודא את זה. ההצפנה מקצה לקצה יכול שתהיה עבור כל ההודעות (כמו שקורה ב"סיגנל", לכאורה קורה ב"ווטסאפ" אם אנחנו מאמינים להם (ראה סעיפים הבאים), וקורה בטלגרם רק בשיחות שהן "secret chat") שלא יהיו דלתות אחוריות בקוד המקור של התוכנה אשר מאפשרות לתוקף כלשהו, כולל יצרן התוכנה, לבצע מניפולציה אשר תשבור את #1 שמישהו "יוודא" שאכן #2 קורה. אפשר לומר שכשאפליקציה היא מסוג "קוד פתוח", ויש מספיק עיניים שבוחנות את הקוד שלה, אז יש אנשים שמוודאים זאת (טלגרם וסיגנל הן בקוד פתוח, ווטסאפ "אנחנו תומכים בהצפנה מקצה לקצה וכותבים את זה בכל שיחה חדשה אז זה נכון" - הם לא) שהאפליקציה שרצה בפועל על המכשיר שלך תהיה זהה לאותו קוד שאנשים מסתכלים עליו כדי לדעת שאין בו דלתות אחוריות - טלגרם וסיגנל תומכות ב "reproducible builds", כלומר היכולת לקחת גירסה פומבית כלשהי ולבנות אותה בעצמך על המחשב שלך מקוד המקור הפומבי (ראה #3) כדי לקבל את אותו ה"מוצר" בדיוק שאתה מוודא פעם אחת לפחות באופן שלא ניתן למניפולציה, שמפתח ההצפנה שלך מול האדם שאיתו אתה מתקשר בשיחה מוצפנת, הוא אותו אחד שיש לצד השני, שהרי החלפת המפתחות הזו מתרחשת בצורה אוטומטית בהקמת השיחה המוצפנת הראשונה בין הצדדים, דרך הרשת, ושם גורם עויין יכל לבצע מניפולציה ו"להזריק" את עצמו בתווך (man-in-the-middle attack) - ואז בעצם השיחה של שני הצדדים תהיה מוצפנת "מקצה לקצה", אבל שני הקצוות לא יהיו שני הקצוות שחושבים שהם שני הקצוות, אלא כל צד ידבר בצורה מאובטחת מול המאזין, המאזין יקרא את כל תוכן השיחה (או יאזין או יצפה בה אם זו שיחת אודיו או וידאו), ואף אחד מהצדדים לא ידע את זה. שהאפליקציה כחלק מהתכנון שלה, כשמחליפים את מפתח ההצפנה דרך הרשת (למשל כי אחד הצדדים החליף מכשיר ואין לו גישה יותר למפתח ההצפנה הישן), תראה זאת בבירור לכל מי שכבר היה בתקשורת מול אותו מזהה מנוי. זה אפילו ווטסאפ עושה היום אחרי ביקורת שקיבלה בנושא, אבל גם הדרך חשובה: בווטסאפ זה יכול ללכת לאיבוד בזרימת ההודעות בלי שתשים לב. בטלגרם השיחה המאובטחת פשוט לא מקבלת יותר הודעות ונוצרת שיחה חדשה לגמרי, ככה שברור שמשהו קרה כאן. בקיצור, האם טלגרם (וסיגנל) מאובטחות? בוא נגיד את זה כך: יש להן את הפוטנציאל להיות, ומצבן טוב בהרבה מהאלטרנטיבה הפופולרית שגם נחותה יותר בפיצ'רים (ווטסאפ), לדעתי האישית (היא בקוד סגור - מה יש להם להסתיר? ובעליה [פייסבוק] פרקטיקלי עושים כסף מהמידע האישי של אנשים, לכאורה...). נסיון העבר מראה שגם לדברים פחות חיוביים משתמשים בהן ופחות נתפסים על ידי השלטונות. אז כנראה שזה עובד. אבל אם יש לך מידע באמת סופר סודי - כדאי לא להעביר אותו באף אפליקציה אלא בארבע עיניים, ולמעשה, בלי נוכחות של אף מכשיר טלפון או מחשב (או מצלמות אבטחה של בניינים/עסקים/עיריות/מדינה) באיזור, כי כל המכשירים האלה זו תחנת האזנה אחת גדולה, אפילו אם הטלגרם או הסיגנל שלך במקרה מאובטחות.

תגובה מפורטת ומושקעת! תודה

תשובה ממצה באמת ! תודה. מברק עד כה הוא הטוב ביותר שיש זמין בשוק.

ציטוט:

במקור נכתב על ידי TheresaLewis תשובה ממצה באמת ! תודה. מברק עד כה הוא הטוב ביותר שיש זמין בשוק.

LOL @ translation fail

Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the Universe trying to produce bigger and better idiots. So far, the Universe is winning. -Rick Cook