![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
EFF по поводу шифрования WhatsApp
2016-04-08 04:31 pmВ мессенджер WhatsApp добавили end-to-end шифрование. Таких шифрованных мессенджеров сейчас уже стало много: Signal, Telegram и другие. Однако EFFовцам понравилось, что используется double ratchet для борьбы с последствиями компрометации сессионных ключей, а также взаимное фотографирование QR-кодов для противодействия MITM-атакам (очевидно, что нельзя полагаться на PKI в борьбе со state adversary; а передаваемые голосом контрольные слова в стиле ZRTP SAS неприменимы в контексте текстовых мессенджеров):
https://www.eff.org/deeplinks/2016/04/whatsapp-rolls-out-end-end-encryption-its-1bn-users
Остающиеся замечания (выношу из обсуждения):
(1) утечка метаданных (кто, с кем, когда, как долго общался) на центральный узел
(2) приложение хочет доступ к адресной книге телефона
(3) возможность изгонять пользователей из всей системы (централизованно банить)
(4) в связи с установкой из магазина приложений, нет гарантий, что ваша копия мессенджера бинарно-идентична другим пользователям (а не пропатчена лично для вас, например в связи с NSL).
https://www.eff.org/deeplinks/2016/04/whatsapp-rolls-out-end-end-encryption-its-1bn-users
Остающиеся замечания (выношу из обсуждения):
(1) утечка метаданных (кто, с кем, когда, как долго общался) на центральный узел
(2) приложение хочет доступ к адресной книге телефона
(3) возможность изгонять пользователей из всей системы (централизованно банить)
(4) в связи с установкой из магазина приложений, нет гарантий, что ваша копия мессенджера бинарно-идентична другим пользователям (а не пропатчена лично для вас, например в связи с NSL).
