Messenger ще има стандартно криптиране от край до край
Налице е нарастващ натиск върху Meta да подобри сигурността на чатовете
Обратно в новинатаКоментари - Messenger ще има стандартно криптиране от край до край | IT.dir.bg
Коментари
Чатове се криптират от сума време. Алгоритмите, библиотеките, бакенда и фронтенда също. Какъв им е проблема точно? Защо бавят? Още, кой ще генерира частните/частния ключ/ове? Мета? Ако ще го правят те, това означава, че могат да декриптират абсолютно всяко съобщение. Което със сигурност ще минава през сървърите им. Което означава и запазвне на копие от разговора. За какво е тогава целия този напън? Напълно е излишно.
кой ще генерира частните/частния ключ/ове? Ами точно там е ключът от колибата. При E2EЕ всеки си генерира сам частните ключове и данните не могат да бъдат дешифрирани, докато минават през мрежата на услугата. Технологията (Diffie-Helman) за обмен на споделени токени за шифриране я има от десетилетия, но е въпрос на желание да се използва. Доскоро повечето автори на чат програми практикуваха шифриране чрез частен ключ на самата услуга, което защитава от подслушване "отвън", но по никакъв начин не пази от подслушване "отвътре". Оправданието винаги е тривиалното "ама ние искаме да предлагаме таргетирана реклама", въпреки че емпирично е доказано, че при липса на добра таргетираща информация рекламодателите харчат повече за реклама, от което се обогатява доставчикът на услугата. Какъв им е проблема точно? Защо бавят? Проблемът са разни американски държавни трибуквени агенции, които постоянно врънкат как криптираните съобщения им пречели да гонят международните терористи. Най-вероятно Facebook (Meta) както и повечето други преди нея, са направили сделка заедно с шифрираните съобщения да продължават да събират още метаданни като IP адреси и т.н., както и да настроят софтуера по такъв начин, че да не създава ефимерни ключове, а да използва едни и същи шифри за комуникация за продължителни периоди от време, че да улесни NSA при тяхното разбиване.
Да, мислех си за трибуквените им агенцийки, но нямах време да пиша повече. Абсолютно сте прав. Мета, бидейки такава огромна платформа, едва ли ще я оставят да направи всичко това без намеса. При отваряне на такива теми, винаги си спомням за разкритието преди доста време вече, че една от агенциите беше дала на RSA $10M за да вгради слабост в алгоритъма им за криптиране, на който след това легна целия интернет. Доколкото помня, беше нещо с генератора на случайни числа. Освен това, има и още неясноти. Съобщенията ще се криптират, нали? Ами споменатите от вас метаданни? Телеграм например има Е2ЕЕ обаче метаданните не са криптирани, като по този начин някоя агенция може да състави пълна карта на мрежата на приложенито - кой и с кого комуникира. Кой с кого се познава. От тук нататък, могат да я разширят и с познатите им имейли, които са свързани с всеки човек, регистрациите с тях и да разширят тази мрежа и взаимовръзките в нея до такава степен, че да идентифицират човек само по това, с кого комуникира. Независимо, как се е скрил. Предполагм също, че от Мета няма да вдигнат и " DNS" ( не зная, дали така се води, когато го използваш за потребителски имена на такива приложения, а не за домейни ), който е криптиран. Познавайки компанията, ще има много пробойни. И отново, основната причина за да генерират те частния ключ, която споменахте. Не могат да пращат таргетирани реклами, защото "няма да знаят" съдържанието на комуникацията.