Раз и навсегда резберемся в мессенджерах.
Telegram.
Шифрования по умолчанию нет, необходимо зайти в секретный чат, чтобы оно было. Нет никакого доступа к шифрованию, я не могу взять ключ как в OTR, нет никаких доказательств безопасности каналов как и самого шифрования.
Централизован. Вся переписка хранится на серверах. Серверная часть закрыта для аудита.
Обязательная привязка к телефону, с постоянной аутентификацие по СМС при каждом входе.
Сотруднечество со всеми правительствами и корпорациями.
> Telegram удалил 78 чатов об «Исламском государстве» по требованию Apple.
https://tjournal.ru/p/grugq-telegram
Telegram ограничил доступ к порно-ботам для жителей Ирана
> https://tjournal.ru/c/13568-telegram-ogranichil-dostup-k-nekotorim-botam-dlya-zhitelei-irana
> Telegram начал блокировать музыкальных ботов по требованию Apple
https://tjournal.ru/p/telegram-apple-no-music
А так же все книги и многое другое.
Шифрования по умолчанию нет, необходимо зайти в секретный чат, чтобы оно было. Нет никакого доступа к шифрованию, я не могу взять ключ как в OTR, нет никаких доказательств безопасности каналов как и самого шифрования.
Централизован. Вся переписка хранится на серверах. Серверная часть закрыта для аудита.
Обязательная привязка к телефону, с постоянной аутентификацие по СМС при каждом входе.
Сотруднечество со всеми правительствами и корпорациями.
> Telegram удалил 78 чатов об «Исламском государстве» по требованию Apple.
https://tjournal.ru/p/grugq-telegram
Telegram ограничил доступ к порно-ботам для жителей Ирана
> https://tjournal.ru/c/13568-telegram-ogranichil-dostup-k-nekotorim-botam-dlya-zhitelei-irana
> Telegram начал блокировать музыкальных ботов по требованию Apple
https://tjournal.ru/p/telegram-apple-no-music
А так же все книги и многое другое.
WhatsApp, Viber, Line.
Шифрования по умолчанию нет, необходимо включать в настройках, чтобы оно было. Нет никакого доступа к шифрованию.
С централизацией все аналогично телеграму.
На счет сотрудничесва с правительствами недавно выделился Line, послав на хуй РФ, но теперь из-за этого у него перебои со связью.
Обязательная привязка к телефону.
Шифрования по умолчанию нет, необходимо включать в настройках, чтобы оно было. Нет никакого доступа к шифрованию.
С централизацией все аналогично телеграму.
На счет сотрудничесва с правительствами недавно выделился Line, послав на хуй РФ, но теперь из-за этого у него перебои со связью.
Обязательная привязка к телефону.
Signal.
просто украду пасту
Зависимость от Google Cloud Messaging (сервис push-уведомлений). Signal не может работать на прошивках без проприетарных сервисов Google, таких как CopperheadOS или Fire OS (смартфоны и планшеты Amazon), а также в операционных системах, поддерживающих запуск Android-приложений (Sailfish OS, BlackBerry 10). При этом LibreSignal, неофициальная версия мессенджера, способная работать без сервисов Google, не может использовать официальные серверы Signal из-за прямого запрета разработчиков.
Signal отправляет список контактов пользователя (все номера телефонов) на сервер. Это нужно для автоматического определения тех, кто тоже использует Signal, и уведомления об этом пользователя. Signal хеширует номера перед отправкой для сохранения приватности пользовательских данных, однако, если учесть очень малый объем возможных хешей, которые можно получить из одиннадцати цифр (телефонный номер), это очень плохая защита, которая быстро вскрывается с помощью перебора.
Сервер RedPhone (отвечающий за работу функции защищенных звонков) закрыт, что не позволяет использовать его третьим лицам. По этой причине в том же LibreSignal эта функция просто отключена.
просто украду пасту
Зависимость от Google Cloud Messaging (сервис push-уведомлений). Signal не может работать на прошивках без проприетарных сервисов Google, таких как CopperheadOS или Fire OS (смартфоны и планшеты Amazon), а также в операционных системах, поддерживающих запуск Android-приложений (Sailfish OS, BlackBerry 10). При этом LibreSignal, неофициальная версия мессенджера, способная работать без сервисов Google, не может использовать официальные серверы Signal из-за прямого запрета разработчиков.
Signal отправляет список контактов пользователя (все номера телефонов) на сервер. Это нужно для автоматического определения тех, кто тоже использует Signal, и уведомления об этом пользователя. Signal хеширует номера перед отправкой для сохранения приватности пользовательских данных, однако, если учесть очень малый объем возможных хешей, которые можно получить из одиннадцати цифр (телефонный номер), это очень плохая защита, которая быстро вскрывается с помощью перебора.
Сервер RedPhone (отвечающий за работу функции защищенных звонков) закрыт, что не позволяет использовать его третьим лицам. По этой причине в том же LibreSignal эта функция просто отключена.
Bitmessage — Корявый интерфейс, PoW b
Wickr
Создан чуть ли не Сноуденом и только ради анонимности.
Но код закрыт, никаких аудитов, ситуация с безопасностью на уровне телеграмма и/или вк.
Создан чуть ли не Сноуденом и только ради анонимности.
Но код закрыт, никаких аудитов, ситуация с безопасностью на уровне телеграмма и/или вк.
Bitmessage — корявый интерфейс, PoW, непригоден для IM, чаты как-бы есть.
ZeroMail и прочее на ZeroNet — безопастность уровня дня, но довольно быстрое на небольших объемах сообщений.
lemon.email — ещё один Bitmessage на хайповой технологии задорого и без PoW.
Scuttlebutt Patchwork — ядерная хрень способная работать без интернета, не подходит на замену IM.
Ring — почти тоже что Tox.
ZeroMail и прочее на ZeroNet — безопастность уровня дня, но довольно быстрое на небольших объемах сообщений.
lemon.email — ещё один Bitmessage на хайповой технологии задорого и без PoW.
Scuttlebutt Patchwork — ядерная хрень способная работать без интернета, не подходит на замену IM.
Ring — почти тоже что Tox.
Ring.
Свободныйкак мамаша ОПа, опунсурус во все поля, AES-128, P2P, OpenDHT, SIP.
Свободный
ChatSecure.
OTR, XMPP, можно использовать сервера в торе, работает с орбот тор на ведро. Естественно опенсурс и прочее, и прочее.
OTR, XMPP, можно использовать сервера в торе, работает с орбот тор на ведро. Естественно опенсурс и прочее, и прочее.
Antox
Токс для ведра.
>>435
Интересует опыт использования Antox, Ring, ChatSecure. А так же их дыры в безопасности.
Токс для ведра.
>>435
Интересует опыт использования Antox, Ring, ChatSecure. А так же их дыры в безопасности.
>>436
>Интересует опыт использования Antox
Испытывал его примерно 2 месяца назад. Опыт использования ≈10 мин. На 2 телефонах из 3 был баг - неотключаемый капслок. То есть его модно было отключить, но только на один символ, потом он опять врубался. Аудио/видео-звонки (для которых он и был нужен) не работали вообще.
Печально. Жду пока допилят.
>Интересует опыт использования Antox
Испытывал его примерно 2 месяца назад. Опыт использования ≈10 мин. На 2 телефонах из 3 был баг - неотключаемый капслок. То есть его модно было отключить, но только на один символ, потом он опять врубался. Аудио/видео-звонки (для которых он и был нужен) не работали вообще.
Печально. Жду пока допилят.
>>436
> Напомню на всякий случай, что Тох нужно выпускать через tor обязательно - иначе собеседники будут знать твой реальный IP.
> Напомню на всякий случай, что Тох нужно выпускать через tor обязательно - иначе собеседники будут знать твой реальный IP.
Wire. Использует собственную реализацию протокола Signal, написанную на Rust. Хотели опубликовать под лицензией MIT, но Signal сказали, что код похож на перевод их реализации и заставили опубликовать под GPL: https://github.com/wireapp/proteus
Серверная часть на Haskell, код в процессе открытия.
Клиент на Java под Android зависит от каких-то проприетарных библиотек, из-за чего его не добавляют на F-Droid. Зато всё работает без гуглосервисов. Веб-версия вообще полностью свободна.
Есть регистрация по email, для этого нужно регистрироваться с десктопа, потом можно логиниться с телефона.
Шарить контакты не обязательно, приложение поддерживает отключение разрешений на всё, что только можно, включая доступ к контактам, запись видео, микрофон и т.п.
В целом это сигнал с чуть худшим UI, но без привязки к номеру телефона и гуглосервисам.
https://wire.com/
Серверная часть на Haskell, код в процессе открытия.
Клиент на Java под Android зависит от каких-то проприетарных библиотек, из-за чего его не добавляют на F-Droid. Зато всё работает без гуглосервисов. Веб-версия вообще полностью свободна.
Есть регистрация по email, для этого нужно регистрироваться с десктопа, потом можно логиниться с телефона.
Шарить контакты не обязательно, приложение поддерживает отключение разрешений на всё, что только можно, включая доступ к контактам, запись видео, микрофон и т.п.
В целом это сигнал с чуть худшим UI, но без привязки к номеру телефона и гуглосервисам.
https://wire.com/
А что собственно никто не рекомендует Matrix? Федеративный, мобильный клиент есть, e2e шифрование присутствует, и даже комнаты.
Лично я использую XMPP для общения, пользуюсь клиентом PSI+, переписки веду через OTR-шифрование. Единственный минус для меня - это то, что для того что бы вести конференцию с шифрованием нужно что бы все пользователи находились в сети, иначе сообщения они просто не получат.
>>428
Пользовался Signal, пока у меня был смартфон, потом смартфон сломался и в сигнал стало уже невозможно зайти. Отстутсвие современного смартфона делает мессенджер просто недоступным, что является просто огромным минусом для меня.
>>428
Пользовался Signal, пока у меня был смартфон, потом смартфон сломался и в сигнал стало уже невозможно зайти. Отстутсвие современного смартфона делает мессенджер просто недоступным, что является просто огромным минусом для меня.
>>573
> Единственный минус для меня - это то, что для того что бы вести конференцию с шифрованием нужно что бы все пользователи находились в сети, иначе сообщения они просто не получат.
Как исправить этот минус?
> Единственный минус для меня - это то, что для того что бы вести конференцию с шифрованием нужно что бы все пользователи находились в сети, иначе сообщения они просто не получат.
Как исправить этот минус?
>>574
Использовать OMEMO вместо OTR. Из клиентов Gajim, ChatSecure и Conversations.
>>572
E2E шифрование в вечной бете.
Федеративный это в каком-то смысле недостаток, так как метаданные утекают наружу. В предельном случае у каждого свой сервер и провайдер видит кто кому и сколько данных передает, как в Ring и Tox.
Использовать OMEMO вместо OTR. Из клиентов Gajim, ChatSecure и Conversations.
>>572
E2E шифрование в вечной бете.
Федеративный это в каком-то смысле недостаток, так как метаданные утекают наружу. В предельном случае у каждого свой сервер и провайдер видит кто кому и сколько данных передает, как в Ring и Tox.
>>571
Разрабы писали по поводу F-Droid.
>проприетарные библиотеки,
от которых зависит клиент на смартфон – это как раз гугловские push-сервисы. Однако, если приложение не обнаруживает гуглосервисы на телефоне, то начинает ипользовать какую-то альтернативу, которая ЖРЁТ батарею.
Говорили, что для F-Droid потом выпустят отдельную сборку, в которой зависимости от сервисов гугла не будет вообще.
Ещё, существует веб-клиент.
Разрабы писали по поводу F-Droid.
>проприетарные библиотеки,
от которых зависит клиент на смартфон – это как раз гугловские push-сервисы. Однако, если приложение не обнаруживает гуглосервисы на телефоне, то начинает ипользовать какую-то альтернативу, которая ЖРЁТ батарею.
Говорили, что для F-Droid потом выпустят отдельную сборку, в которой зависимости от сервисов гугла не будет вообще.
Ещё, существует веб-клиент.
>>591
Вот про веб-сокеты, которые используются при отсутствии cloud messaging: https://github.com/wireapp/wire-android/issues/164
Но на F-Droid андроид-клиент добавлен не из-за этого: https://github.com/wireapp/wire-android/issues/5
"So for the original question, publishing Wire on F-Droid. At the moment we don't comply with the inclusion policy, as there are some dependencies that are not open source. We are certainly interested in getting Wire on F-Droid, but for the time being it will not happen."
И вот новый issue по этому поводу:
https://github.com/wireapp/wire-android/issues/233
Основная проблема в том, что система сборки в процессе качает проприетарные java-библиотеки, которым нет замены. AFAIK одна из них занимается выводом местоположения, вторая как-то связана с пиаром spotify через приложение.
И да, несмотря на fallback на веб-сокеты, нужно доработать систему сборки для возможности компияции без линковки с гуглосервисами вообще. Потому что если без проприетарщины нельзя скомпилять, то прога не свободна.
Вот про веб-сокеты, которые используются при отсутствии cloud messaging: https://github.com/wireapp/wire-android/issues/164
Но на F-Droid андроид-клиент добавлен не из-за этого: https://github.com/wireapp/wire-android/issues/5
"So for the original question, publishing Wire on F-Droid. At the moment we don't comply with the inclusion policy, as there are some dependencies that are not open source. We are certainly interested in getting Wire on F-Droid, but for the time being it will not happen."
И вот новый issue по этому поводу:
https://github.com/wireapp/wire-android/issues/233
Основная проблема в том, что система сборки в процессе качает проприетарные java-библиотеки, которым нет замены. AFAIK одна из них занимается выводом местоположения, вторая как-то связана с пиаром spotify через приложение.
И да, несмотря на fallback на веб-сокеты, нужно доработать систему сборки для возможности компияции без линковки с гуглосервисами вообще. Потому что если без проприетарщины нельзя скомпилять, то прога не свободна.
Вот scorecard от EFF: https://www.eff.org/secure-messaging-scorecard
Прямая ссылка на старую версию: https://www.eff.org/node/82654
Уже устарело, нет Wire и Conversations, вообще ничего нет.
Прямая ссылка на старую версию: https://www.eff.org/node/82654
Уже устарело, нет Wire и Conversations, вообще ничего нет.
>>575
Никак. Или использовать какое-то другое шифрование вместо OTR. Или оставлять нешифрованные сообщения с PGP подписывая его на каждого участника конференции.
Если нам с товарищами нужно посоветоваться, то мы просто связываемся и заходим одновременно, как только вопрос решается все выходят, так и боремся.
Никак. Или использовать какое-то другое шифрование вместо OTR. Или оставлять нешифрованные сообщения с PGP подписывая его на каждого участника конференции.
Если нам с товарищами нужно посоветоваться, то мы просто связываемся и заходим одновременно, как только вопрос решается все выходят, так и боремся.
>>426
В WhatsApp шифрование по умолчанию есть, причем делали его Open Whisper Systems, то есть создатели Signal.
Но в отличие от сигнала поведение мессенджера даже с правильно выставленными настройками отличается, что позволяет проводить таргетированные атаки на юзеров.
- 16 апреля 2016: https://tobi.rocks/2016/04/whats-app-retransmission-vulnerability/
- 13 января 2017: The Guardian написал новость: https://www.theguardian.com/technology/2017/jan/13/whatsapp-backdoor-allows-snooping-on-encrypted-messages
- 13 января 2017: Open Whisper Systems отмазывают бэкдор: https://whispersystems.org/blog/there-is-no-whatsapp-backdoor/
Обсуждение на HN: https://news.ycombinator.com/item?id=13394900
- 13 января 2017: https://techcrunch.com/2017/01/13/encrypted-messaging-platform-whatsapp-denies-backdoor-claim/
- 13 января 2017: https://slashcrypto.org/2017/01/13/WhatsApp_backdoor/
- 16 января 2017: http://telegra.ph/whatsapp-backdoor-01-16
В WhatsApp шифрование по умолчанию есть, причем делали его Open Whisper Systems, то есть создатели Signal.
Но в отличие от сигнала поведение мессенджера даже с правильно выставленными настройками отличается, что позволяет проводить таргетированные атаки на юзеров.
- 16 апреля 2016: https://tobi.rocks/2016/04/whats-app-retransmission-vulnerability/
- 13 января 2017: The Guardian написал новость: https://www.theguardian.com/technology/2017/jan/13/whatsapp-backdoor-allows-snooping-on-encrypted-messages
- 13 января 2017: Open Whisper Systems отмазывают бэкдор: https://whispersystems.org/blog/there-is-no-whatsapp-backdoor/
Обсуждение на HN: https://news.ycombinator.com/item?id=13394900
- 13 января 2017: https://techcrunch.com/2017/01/13/encrypted-messaging-platform-whatsapp-denies-backdoor-claim/
- 13 января 2017: https://slashcrypto.org/2017/01/13/WhatsApp_backdoor/
- 16 января 2017: http://telegra.ph/whatsapp-backdoor-01-16
>>599
Не очень всё это радует.
OWS - клёвые парни, но видимо и они продались. Ожидаем дыр в сигнале. Кроме той гуглохуйни, которая уже есть по дефолту.
Не очень всё это радует.
OWS - клёвые парни, но видимо и они продались. Ожидаем дыр в сигнале. Кроме той гуглохуйни, которая уже есть по дефолту.
>>601
Когда пробовал этот сигнал, функцию сверки ключей не нашел.
Из централизованных секурных для мобилок есть ещё конталк, тоже с привязкой к номеру телефона.
Когда пробовал этот сигнал, функцию сверки ключей не нашел.
Из централизованных секурных для мобилок есть ещё конталк, тоже с привязкой к номеру телефона.
>>604
>настройки разговора>подтвердить код безопасности.
Там есть отпечаток и QR.
Если ключ собеседника меняется - об этом приходит уведомление в чате.
>настройки разговора>подтвердить код безопасности.
Там есть отпечаток и QR.
Если ключ собеседника меняется - об этом приходит уведомление в чате.
>>601
> OWS - клёвые парни, но видимо и они продались. Ожидаем дыр в сигнале. Кроме той гуглохуйни, которая уже есть по дефолту.
Больше похоже на то, что условия контракта с Facebook, по которому OWS помогли им портировать протокол в WhatsApp и дали проприетарную лицензию, включают поддержку, которая обычно 5 лет или около того. И им просто невыгодно признавать любые ошибки там, потому что в рамках требований на UI их исправить не получится. WhatsApp просто не может позволить себе выводить варнинги на весь экран.
С сигналом я думаю все в порядке, дело скорее в том, что рук нехватает на поддержку fallback-ов. Signal это маленькая группа людей, там Moxie коммитит код каждый день и открыты самые свежие исходники. Еще Signal умеет в reproducible builds, только вот андроид платформа в Docker сама жирная, я бы скорее ей не доверял:
https://github.com/WhisperSystems/Signal-Android/wiki/Reproducible-Builds
https://whispersystems.org/blog/reproducible-android/
В Signal больше уделяют внимание мелочам.
Все чаты и звонки зашифрованы одним и тем же ключом. В телеграме же секретные чаты зашифрованы одним ключом, каждый звонок другим, а группровые чаты вообще не зашифрованы. Для звонков просто сделан ZRTP и никак не интегрирован.
В Signal есть синхронизация сообщений между устройствами и групповые зашифрованные чаты (https://whispersystems.org/blog/private-groups/). В Telegram просто нет секретных чатов и звонков на десктопе, для синхронизации приходится отказываться от шифрования.
Протокол Signal превратился в стандарт OMEMO с несколькими реализациями, протокол Telegram уже вряд ли будет развиваться, проще перейти на более безопасный протокол Signal чем тянуть это дальше: https://moxie.org/blog/telegram-crypto-challenge/
Telegram не справляется с обходом цензуры: telegra.ph/Why-Telegram-Voice-Calls-Are-Blocked-in-Countries-Like-China-or-Iran-04-19
Signal использует domain fronting: https://whispersystems.org/blog/doodles-stickers-censorship/
Это по-моему самая большая мелочь, которую юзер просто не видит.
Даже гифки с giphy в Signal качаются через прокси. Instant view, счетчики просмотров, форварды, last seen и подобные фичи в telegram плодятся без должного анализа утекающей таким образом инфы.
К F-Droid у Signal претензии действительно обоснованные. С cloud messaging нужно разбираться, что они через него передают, утекает ли какая-то информация гуглу из-за этого.
Поддержку email обсуждают. Тут только Wire преуспел, но в компетентности разработчиков Wire я менее уверен. AFAIR были новости про баги в защите звонков от MITM.
> OWS - клёвые парни, но видимо и они продались. Ожидаем дыр в сигнале. Кроме той гуглохуйни, которая уже есть по дефолту.
Больше похоже на то, что условия контракта с Facebook, по которому OWS помогли им портировать протокол в WhatsApp и дали проприетарную лицензию, включают поддержку, которая обычно 5 лет или около того. И им просто невыгодно признавать любые ошибки там, потому что в рамках требований на UI их исправить не получится. WhatsApp просто не может позволить себе выводить варнинги на весь экран.
С сигналом я думаю все в порядке, дело скорее в том, что рук нехватает на поддержку fallback-ов. Signal это маленькая группа людей, там Moxie коммитит код каждый день и открыты самые свежие исходники. Еще Signal умеет в reproducible builds, только вот андроид платформа в Docker сама жирная, я бы скорее ей не доверял:
https://github.com/WhisperSystems/Signal-Android/wiki/Reproducible-Builds
https://whispersystems.org/blog/reproducible-android/
В Signal больше уделяют внимание мелочам.
Все чаты и звонки зашифрованы одним и тем же ключом. В телеграме же секретные чаты зашифрованы одним ключом, каждый звонок другим, а группровые чаты вообще не зашифрованы. Для звонков просто сделан ZRTP и никак не интегрирован.
В Signal есть синхронизация сообщений между устройствами и групповые зашифрованные чаты (https://whispersystems.org/blog/private-groups/). В Telegram просто нет секретных чатов и звонков на десктопе, для синхронизации приходится отказываться от шифрования.
Протокол Signal превратился в стандарт OMEMO с несколькими реализациями, протокол Telegram уже вряд ли будет развиваться, проще перейти на более безопасный протокол Signal чем тянуть это дальше: https://moxie.org/blog/telegram-crypto-challenge/
Telegram не справляется с обходом цензуры: telegra.ph/Why-Telegram-Voice-Calls-Are-Blocked-in-Countries-Like-China-or-Iran-04-19
Signal использует domain fronting: https://whispersystems.org/blog/doodles-stickers-censorship/
Это по-моему самая большая мелочь, которую юзер просто не видит.
Даже гифки с giphy в Signal качаются через прокси. Instant view, счетчики просмотров, форварды, last seen и подобные фичи в telegram плодятся без должного анализа утекающей таким образом инфы.
К F-Droid у Signal претензии действительно обоснованные. С cloud messaging нужно разбираться, что они через него передают, утекает ли какая-то информация гуглу из-за этого.
Поддержку email обсуждают. Тут только Wire преуспел, но в компетентности разработчиков Wire я менее уверен. AFAIR были новости про баги в защите звонков от MITM.
>>616
>WhatsApp просто не может позволить себе выводить варнинги на весь экран.
Тогда, раз уж они так топят за анонимность - пусть это был бы анонимный слив, от уволенного сотрудника, запись обсуждений со скрытого диктофона, да хоть многоходовочка со свидетельством канарейки.
>WhatsApp просто не может позволить себе выводить варнинги на весь экран.
Тогда, раз уж они так топят за анонимность - пусть это был бы анонимный слив, от уволенного сотрудника, запись обсуждений со скрытого диктофона, да хоть многоходовочка со свидетельством канарейки.
>>616
>К F-Droid у Signal претензии действительно обоснованные. С cloud messaging нужно разбираться, что они через него передают, утекает ли какая-то информация гуглу из-за этого.
Поясни мне, если понимаешь о чем речь.
По мне - это же тупо либа на телефоне, одна от гугла, вторая свободная? Я про выдачу новых сообщений.
Или завязано на сервер?
Просто у гуглу у меня много недоверия, сижу на libresignal, но скоро чувствую куплю себе чехол с павербанкой, потому что и так телефон на циане высаживает батарею в три раза быстрее… А тут ещё -50%, по итогам - с полной зарядки живет 8-10 часов, если ещё и токс поднят, и пара звонков - 4-6 часов.
>К F-Droid у Signal претензии действительно обоснованные. С cloud messaging нужно разбираться, что они через него передают, утекает ли какая-то информация гуглу из-за этого.
Поясни мне, если понимаешь о чем речь.
По мне - это же тупо либа на телефоне, одна от гугла, вторая свободная? Я про выдачу новых сообщений.
Или завязано на сервер?
Просто у гуглу у меня много недоверия, сижу на libresignal, но скоро чувствую куплю себе чехол с павербанкой, потому что и так телефон на циане высаживает батарею в три раза быстрее… А тут ещё -50%, по итогам - с полной зарядки живет 8-10 часов, если ещё и токс поднят, и пара звонков - 4-6 часов.
Все что требует номер телефона - говно. Все, что кукарекает о заботе о приватности пользователя и требует номер телефона - говно, которое выдают за шоколад.
>>649
Нам нужен джедай!
Потому что заебали играть в белое/черное.
Да, регистрация по телефону - не очень секьюрна, в плане слива номера/анонимизации по владельцу.
Но! Есть страны, где сим!=паспорт, та же украина.
Есть кейсы, где все и так знают номера, например мы строим связь между сотрудниками организации, там нахуй не нужно прятать номера, скорее наоборот - это удобно.
И менее безопасным от этого, скажем сигнал, не стал.
Другой вопрос - в срезе анонимуса, который скрывает личность. Но так ты указывай, о чем именно мы речь ведем.
Нам нужен джедай!
Потому что заебали играть в белое/черное.
Да, регистрация по телефону - не очень секьюрна, в плане слива номера/анонимизации по владельцу.
Но! Есть страны, где сим!=паспорт, та же украина.
Есть кейсы, где все и так знают номера, например мы строим связь между сотрудниками организации, там нахуй не нужно прятать номера, скорее наоборот - это удобно.
И менее безопасным от этого, скажем сигнал, не стал.
Другой вопрос - в срезе анонимуса, который скрывает личность. Но так ты указывай, о чем именно мы речь ведем.
>>627
>>Wire я менее уверен
> А разве они не юзают наработки сигнала?
Юзают, они даже сделали свою реализацию протокола. Утверждали, что сделали с нуля по спекам и хотели опубликовать под либеральной лицензией, но Moxie заставил их опубликовать под GPL, утверждая, что они подглядывали в код: https:[email protected]/axolotl-and-proteus-788519b186a7 Причина, очевидно, в том, что OWS затем продала проприетарную лицензию фейсбуку для WhatsApp, без этого бы не прокатило. Так что наработки юзают, сознательно скопировали протокол вместо того, чтобы городить свой кривой велосипед как Telegram.
> AFAIR были новости про баги в защите звонков от MITM.
Вот нашел:
https:[email protected]/how-to-intercept-all-wire-voice-and-video-calls-13da1246675c
Правильный мессенджер должен для звонка просто создавать ключ для SRTP на любой из сторон и передавать его в сообщении, которое end2end зашифровано тем же способом, что и обычное. Тогда безопасность звонков будет сводиться к безопасности протокола обмена сообщениями.
Так сделано в Matrix, там WebRTC negotiation происходит внутри end-2-end чата, ничего своего они не изобретали. В Wire же ключ от звонка не зашифрован end-2-end, судя по статье на Medium, и я не знаю, исправили ли они это. В Telegram сделана верификация с помощью смайлов, похоже что там просто ZRTP, что лучше чем Wire, но с секретными чатами не интегрировано, и проверять реализацию нужно отдельно. К тому же верификацию нужно проводить заново каждый раз, что хуже, чем один раз проверенный при личной встрече ключ секретного чата.
Signal появился как гибрид TextSecure и RedPhone, из RedPhone туда перекочевал ZRTP. Сейчас же интеграция завершена и ключ устанавливается внутри уже защищенного Axolotl/Double ratchet/Signal protocol канала. С википедии ( https://en.wikipedia.org/wiki/Signal_%28software%29#Encryption_protocols ): "As of March 2017, Signal's voice and video calling functionality uses the app's Signal Protocol channel for authentication instead of ZRTP.".
Мне нравится политика Wire, они специально описывают в FAQ, как можно установить Wire, не давая доступа к адресной книге, и предоставляют возможность зарегистрироваться по email, а теперь еще и отвязать телефон. Но в вопросах компетентности в вопросах криптографии и безопасности (как устройство инфраструктуры, так и защита от регулирования) я доверяю OWS намного больше. Надеюсь, здоровая конкуренция заставит Signal отвязать аккаунты от телефона, а Wire подтянуть безопасность до должного уровня.
>>Wire я менее уверен
> А разве они не юзают наработки сигнала?
Юзают, они даже сделали свою реализацию протокола. Утверждали, что сделали с нуля по спекам и хотели опубликовать под либеральной лицензией, но Moxie заставил их опубликовать под GPL, утверждая, что они подглядывали в код: https:[email protected]/axolotl-and-proteus-788519b186a7 Причина, очевидно, в том, что OWS затем продала проприетарную лицензию фейсбуку для WhatsApp, без этого бы не прокатило. Так что наработки юзают, сознательно скопировали протокол вместо того, чтобы городить свой кривой велосипед как Telegram.
> AFAIR были новости про баги в защите звонков от MITM.
Вот нашел:
https:[email protected]/how-to-intercept-all-wire-voice-and-video-calls-13da1246675c
Правильный мессенджер должен для звонка просто создавать ключ для SRTP на любой из сторон и передавать его в сообщении, которое end2end зашифровано тем же способом, что и обычное. Тогда безопасность звонков будет сводиться к безопасности протокола обмена сообщениями.
Так сделано в Matrix, там WebRTC negotiation происходит внутри end-2-end чата, ничего своего они не изобретали. В Wire же ключ от звонка не зашифрован end-2-end, судя по статье на Medium, и я не знаю, исправили ли они это. В Telegram сделана верификация с помощью смайлов, похоже что там просто ZRTP, что лучше чем Wire, но с секретными чатами не интегрировано, и проверять реализацию нужно отдельно. К тому же верификацию нужно проводить заново каждый раз, что хуже, чем один раз проверенный при личной встрече ключ секретного чата.
Signal появился как гибрид TextSecure и RedPhone, из RedPhone туда перекочевал ZRTP. Сейчас же интеграция завершена и ключ устанавливается внутри уже защищенного Axolotl/Double ratchet/Signal protocol канала. С википедии ( https://en.wikipedia.org/wiki/Signal_%28software%29#Encryption_protocols ): "As of March 2017, Signal's voice and video calling functionality uses the app's Signal Protocol channel for authentication instead of ZRTP.".
Мне нравится политика Wire, они специально описывают в FAQ, как можно установить Wire, не давая доступа к адресной книге, и предоставляют возможность зарегистрироваться по email, а теперь еще и отвязать телефон. Но в вопросах компетентности в вопросах криптографии и безопасности (как устройство инфраструктуры, так и защита от регулирования) я доверяю OWS намного больше. Надеюсь, здоровая конкуренция заставит Signal отвязать аккаунты от телефона, а Wire подтянуть безопасность до должного уровня.
>>650
Signal это не про анонимность. Signal это замена звонков и SMS для защиты от массовой слежки. На большее OWS и не претендует, но с поставленной задачей справляется.
Signal это не про анонимность. Signal это замена звонков и SMS для защиты от массовой слежки. На большее OWS и не претендует, но с поставленной задачей справляется.
>>625
> Тогда, раз уж они так топят за анонимность - пусть это был бы анонимный слив, от уволенного сотрудника, запись обсуждений со скрытого диктофона, да хоть многоходовочка со свидетельством канарейки.
Во-первых они не топят за анонимность. Signal это конфиденциальность, защита права на тайну переписки. Это криптотусовка на бордах уже который год путает анонимность с криптографией, обсуждает настройку GPG и т.п. Анонимность это FreeNet, протокол обедающих криптографов, ремейлеры, private information retrieval, https://www.freehaven.net/anonbib/
"Анонимный" слив инсайда из команды разработчиков WhatsApp от OWS не может быть анонимным, потому что OWS тут будут первыми подозреваемыми, даже глупо обсуждать по-моему. И результатом будет несколько статей в бложегах, оно того не стоит, желающие и так могут разобраться в ситуации без всяких сливов.
> Тогда, раз уж они так топят за анонимность - пусть это был бы анонимный слив, от уволенного сотрудника, запись обсуждений со скрытого диктофона, да хоть многоходовочка со свидетельством канарейки.
Во-первых они не топят за анонимность. Signal это конфиденциальность, защита права на тайну переписки. Это криптотусовка на бордах уже который год путает анонимность с криптографией, обсуждает настройку GPG и т.п. Анонимность это FreeNet, протокол обедающих криптографов, ремейлеры, private information retrieval, https://www.freehaven.net/anonbib/
"Анонимный" слив инсайда из команды разработчиков WhatsApp от OWS не может быть анонимным, потому что OWS тут будут первыми подозреваемыми, даже глупо обсуждать по-моему. И результатом будет несколько статей в бложегах, оно того не стоит, желающие и так могут разобраться в ситуации без всяких сливов.
>>626
Вот классика по F-Droid: https://github.com/WhisperSystems/Signal-Android/issues/127
Там много претензий по поводу обновлений и статистики, это ломает отлаженный процесс поддержки софта, но самое интересное вот отсюда начинается:
"The problem is the security model. The bulk of applications distributed through fdroid are signed by keys that belong to the fdroid maintainers, and which are kept online. This means that the fdroid maintainers themselves, or any attackers who compromise fdroid, are capable of pushing malware to your device."
F-Droid автоматически собирает кучу пакетов, это лишняя централизация.
Против распространения apk отдельно от Google Play moxie ничего не имеет, то есть подход Wire их устраивает, но на отвязку от гуглосервисов нет человеческих ресурсов. Как я понимаю, запиливание независимой статистики, crash reports и не жрущей батарею замены FCM (GCM) приветствуется.
Вот классика по F-Droid: https://github.com/WhisperSystems/Signal-Android/issues/127
Там много претензий по поводу обновлений и статистики, это ломает отлаженный процесс поддержки софта, но самое интересное вот отсюда начинается:
"The problem is the security model. The bulk of applications distributed through fdroid are signed by keys that belong to the fdroid maintainers, and which are kept online. This means that the fdroid maintainers themselves, or any attackers who compromise fdroid, are capable of pushing malware to your device."
F-Droid автоматически собирает кучу пакетов, это лишняя централизация.
Против распространения apk отдельно от Google Play moxie ничего не имеет, то есть подход Wire их устраивает, но на отвязку от гуглосервисов нет человеческих ресурсов. Как я понимаю, запиливание независимой статистики, crash reports и не жрущей батарею замены FCM (GCM) приветствуется.
>>654
>Анонимность это FreeNet, протокол обедающих криптографов, ремейлеры, private information retrieval, https://www.freehaven.net/anonbib/
Bitmessage даже больше про анонимность. Там сообщение смешивается с пулом сообщений и есть возможность подписи общим ключом чата и создавать адреса на любой чих.
>Анонимность это FreeNet, протокол обедающих криптографов, ремейлеры, private information retrieval, https://www.freehaven.net/anonbib/
Bitmessage даже больше про анонимность. Там сообщение смешивается с пулом сообщений и есть возможность подписи общим ключом чата и создавать адреса на любой чих.
>"The problem is the security model. The bulk of applications distributed through fdroid are signed by keys that belong to the fdroid maintainers, and which are kept online. This means that the fdroid maintainers themselves, or any attackers who compromise fdroid, are capable of pushing malware to your device."
Те же претензии можно и к дескопным линуксам предъявить. По хорошему, нужно reproducible builds делать, но не знаю, кто-то уже занимается подобным под андроид или нет.
>F-Droid автоматически собирает кучу пакетов, это лишняя централизация.
Там можно и свои репозитории подключать.
Те же претензии можно и к дескопным линуксам предъявить. По хорошему, нужно reproducible builds делать, но не знаю, кто-то уже занимается подобным под андроид или нет.
>F-Droid автоматически собирает кучу пакетов, это лишняя централизация.
Там можно и свои репозитории подключать.
>>656
> Bitmessage даже больше про анонимность. Там сообщение смешивается с пулом сообщений и есть возможность подписи общим ключом чата и создавать адреса на любой чих.
Bitmessage полностью раскрывает топологию сети и никак не защищен от sybil-атаки. Запрашивая адреса пиров можно построить карту всей сети, а затем подключиться к каждому из узлов и отслеживать перемещение сообщений.
Сообщения, зашифрованные ключом канала, по сути и не зашифрованы, если ключ канала широко известен.
По исследованию Bitmessage нет ни одной публикации:
https://scholar.google.com/scholar?cites=11159883241999915669
> Bitmessage даже больше про анонимность. Там сообщение смешивается с пулом сообщений и есть возможность подписи общим ключом чата и создавать адреса на любой чих.
Bitmessage полностью раскрывает топологию сети и никак не защищен от sybil-атаки. Запрашивая адреса пиров можно построить карту всей сети, а затем подключиться к каждому из узлов и отслеживать перемещение сообщений.
Сообщения, зашифрованные ключом канала, по сути и не зашифрованы, если ключ канала широко известен.
По исследованию Bitmessage нет ни одной публикации:
https://scholar.google.com/scholar?cites=11159883241999915669
>>669
> Ты конечно в курсе его ограничения на количество участников?
В курсе, конечно. Протокол обедающих криптографов я привел как пример. Это первое что нужно изучать из анонимности, аналог одноразового блокнота для конфиденциальности.
Начинать вообще нужно с изучения примитивов: DC-сети (идеальный протокол с наихудшей масштабируемостью), миксы (ремейлеры, mixmaster, mixminion, миксы для криптовалют, сложно доказывать), рероутинг (low latency без защиты от глобального наблюдателя: crowds, onion routing aka Tor, garlic routing aka I2P), кеширующие файлобменные сети (MUTE, FreeNet, файлообмен в GNUnet), private information retrieval.
Наиболее перспективная сейчас DC + Private Information Retrieval: Dissent, Riposte и т.п. На основе таких протоколов можно создать сеть из небольшого числа узлов, поддерживаемых разными организациями (EFF, FSF, Telegram, пиратская партия, OWS), безопасность которой будет гарантироваться честностью хотя бы одной из организаций, а требования к ресурсам расти линейно с числом пользователей.
> Ты конечно в курсе его ограничения на количество участников?
В курсе, конечно. Протокол обедающих криптографов я привел как пример. Это первое что нужно изучать из анонимности, аналог одноразового блокнота для конфиденциальности.
Начинать вообще нужно с изучения примитивов: DC-сети (идеальный протокол с наихудшей масштабируемостью), миксы (ремейлеры, mixmaster, mixminion, миксы для криптовалют, сложно доказывать), рероутинг (low latency без защиты от глобального наблюдателя: crowds, onion routing aka Tor, garlic routing aka I2P), кеширующие файлобменные сети (MUTE, FreeNet, файлообмен в GNUnet), private information retrieval.
Наиболее перспективная сейчас DC + Private Information Retrieval: Dissent, Riposte и т.п. На основе таких протоколов можно создать сеть из небольшого числа узлов, поддерживаемых разными организациями (EFF, FSF, Telegram, пиратская партия, OWS), безопасность которой будет гарантироваться честностью хотя бы одной из организаций, а требования к ресурсам расти линейно с числом пользователей.
>>677
Отлично. Судя по тому, как ты пишешь и что - знаний у тебя, в несколько раз больше, чем у меня.
Подумывал прошерстить свои заметки и запилить образовач-тред тут. Тематический.
Как тебе?
Отлично. Судя по тому, как ты пишешь и что - знаний у тебя, в несколько раз больше, чем у меня.
Подумывал прошерстить свои заметки и запилить образовач-тред тут. Тематический.
Как тебе?
>>681
Запиливай. У меня есть некоторые заметки в LaTeX, но это больше похоже на обзор литературы сейчас. Вот здесь можно выкачать Anonymity Bibliography в BibTeX: https://gitweb.torproject.org/anonbib.git/tree/anonbib.bib С такой библиографией писать в LaTeX очень удобно. Еще есть библиография от GNUnet: https://gnunet.org/bibliography
Можно поднять git-репозиторий и пилить коллективно "учебник". Распределить темы и написать по каждой из них по главе. Процедура примерно такая: берешь любую тему, собираешь все статьи по ней с anonbib, затем через Google Scholar по ссылкам находишь те, которых там нет, выкачиваешь через libgen найденные, сортируешь по годам, всё по порядку читаешь, а затем еще раз перечитываешь и пишешь все самое важное со всеми выкладками. Потому что redundancy академических статей зашкаливает, новых результатов обычно одна страница, а все остальное это описание уже сделанного ранее. Из 5 статей можно запросто напилить главу страниц на 10 с полным содержанием.
Запиливай. У меня есть некоторые заметки в LaTeX, но это больше похоже на обзор литературы сейчас. Вот здесь можно выкачать Anonymity Bibliography в BibTeX: https://gitweb.torproject.org/anonbib.git/tree/anonbib.bib С такой библиографией писать в LaTeX очень удобно. Еще есть библиография от GNUnet: https://gnunet.org/bibliography
Можно поднять git-репозиторий и пилить коллективно "учебник". Распределить темы и написать по каждой из них по главе. Процедура примерно такая: берешь любую тему, собираешь все статьи по ней с anonbib, затем через Google Scholar по ссылкам находишь те, которых там нет, выкачиваешь через libgen найденные, сортируешь по годам, всё по порядку читаешь, а затем еще раз перечитываешь и пишешь все самое важное со всеми выкладками. Потому что redundancy академических статей зашкаливает, новых результатов обычно одна страница, а все остальное это описание уже сделанного ранее. Из 5 статей можно запросто напилить главу страниц на 10 с полным содержанием.
>>682
Звучит более чем разумно.
Для начала проверю свои заметки, в октябре пытался писать книгу - систематизировал литературу, были интересные заметки.
Звучит более чем разумно.
Для начала проверю свои заметки, в октябре пытался писать книгу - систематизировал литературу, были интересные заметки.
>>667
Пользоваться через тор, конечно же. Там другое, нет необходимости подписывать сообщения личным ключем. Тогда для чата сложно отследить кто что писал. Похожие решения ZeroNet, Scuttlebutt, I2PBote, там все своим ключем подписывается, где-то задеанонишься, вся история вскроется.
Пользоваться через тор, конечно же. Там другое, нет необходимости подписывать сообщения личным ключем. Тогда для чата сложно отследить кто что писал. Похожие решения ZeroNet, Scuttlebutt, I2PBote, там все своим ключем подписывается, где-то задеанонишься, вся история вскроется.
>>696
> Пользоваться через тор, конечно же.
Через Tor я могу и на brchan постить, будет тот же эффект. Через Tor browser если, то никакого фингерпринта не будет. Благодаря асинхронности чанов намного безопаснее, нет confirmation attack.
> Там другое, нет необходимости подписывать сообщения личным ключем.
Не заливать в анонимную сеть метаданные это не заслуга протокола, это просто необходимое требование для пользовательского интерфейса.
> Scuttlebutt
Sneakernet же, вообще дичайшая асинхронность. Мечта нанобордистов. К анонимности правда имеет такое же отношение, как фидонет. Это не сеть, а приложение.
> Пользоваться через тор, конечно же.
Через Tor я могу и на brchan постить, будет тот же эффект. Через Tor browser если, то никакого фингерпринта не будет. Благодаря асинхронности чанов намного безопаснее, нет confirmation attack.
> Там другое, нет необходимости подписывать сообщения личным ключем.
Не заливать в анонимную сеть метаданные это не заслуга протокола, это просто необходимое требование для пользовательского интерфейса.
> Scuttlebutt
Sneakernet же, вообще дичайшая асинхронность. Мечта нанобордистов. К анонимности правда имеет такое же отношение, как фидонет. Это не сеть, а приложение.
Связка Джаббер + OMEMO + TOR однозначно самая крутая. Работает и на мобильнике и на компе
>>699
> Связка Джаббер + OMEMO + TOR однозначно самая крутая. Работает и на мобильнике и на компе
Только что звонков нет, и метаданные утекают если с сервера на сервер писать.
> Связка Джаббер + OMEMO + TOR однозначно самая крутая. Работает и на мобильнике и на компе
Только что звонков нет, и метаданные утекают если с сервера на сервер писать.
Как у OMEMO с поддержкой множества устройств? В Signal/WhatsApp достаточно QR-код сосканить, чтобы добавить устройство, а как в клиентах с OMEMO? Я вижу, что на https://conversations.im/omemo/ оно указано, но есть тут те, кто проверял на практике?
Здесь криптоанархисты собрались или мамкины двачеры? Весь TOR сидит на джаббере с OTR и на почтеl с PGP
>>702
Все работает и есть еще OTR и PGP
>>700
Это не проблемы. Другие мессенджеры сливают намного больше инфы и саму переписку, а звонки анонимусам нахуй ненужны.
(В джаббере можно передавать голос и видео, если джаббер клиент поддерживает и правильно настроен)
>>721
TorMessenger не гуд
>>702
Все работает и есть еще OTR и PGP
>>700
Это не проблемы. Другие мессенджеры сливают намного больше инфы и саму переписку, а звонки анонимусам нахуй ненужны.
(В джаббере можно передавать голос и видео, если джаббер клиент поддерживает и правильно настроен)
>>721
TorMessenger не гуд
>>723
Мне кажется, на харкаче ситуация будет даже хуже. Удивляюсь, как кто-то итт может упоминать вотсап не в значении "зашквар". Хотя, с другой стороны, у каждого свои потребности. И уже под эти потребности надо подбирать мессенджер. Кому-то и вотсап подойдет, лол.
Мне кажется, на харкаче ситуация будет даже хуже. Удивляюсь, как кто-то итт может упоминать вотсап не в значении "зашквар". Хотя, с другой стороны, у каждого свои потребности. И уже под эти потребности надо подбирать мессенджер. Кому-то и вотсап подойдет, лол.
>>723
> Весь TOR сидит на джаббере с OTR и на почтеl с PGP
Tor project имеется ввиду?
> Это не проблемы. Другие мессенджеры сливают намного больше инфы и саму переписку, а звонки анонимусам нахуй ненужны.
Для разных задач разные мессенджеры. XMPP + OMEMO + Tor сейчас лучшее решение для криптоанархиста, но IRL приходится еще звонить коллегам, родственникам и знакомым (для социоблядей) и тут лучше Signal пока ничего нет. Wire еще нечто среднее из-за отсутствия привязки к телефону, но баги по ссылке из поста >>652 вызывают сомнения в безопасности этой штуки. Остальные мессенджеры все просто хуже.
> Весь TOR сидит на джаббере с OTR и на почтеl с PGP
Tor project имеется ввиду?
> Это не проблемы. Другие мессенджеры сливают намного больше инфы и саму переписку, а звонки анонимусам нахуй ненужны.
Для разных задач разные мессенджеры. XMPP + OMEMO + Tor сейчас лучшее решение для криптоанархиста, но IRL приходится еще звонить коллегам, родственникам и знакомым (для социоблядей) и тут лучше Signal пока ничего нет. Wire еще нечто среднее из-за отсутствия привязки к телефону, но баги по ссылке из поста >>652 вызывают сомнения в безопасности этой штуки. Остальные мессенджеры все просто хуже.
>>724
> Удивляюсь, как кто-то итт может упоминать вотсап не в значении "зашквар".
Выбор часто ограничен, ты же не будешь заставлять всех знакомых настраивать Conversations (который в Google Play платный, поэтому нужно еще и F-Droid), если у них уже установлен Skype + WhatsApp. И тут неплохо бы знать, что WhatsApp сливает метаданные Facebook, а в скайп нет шифрования.
> Удивляюсь, как кто-то итт может упоминать вотсап не в значении "зашквар".
Выбор часто ограничен, ты же не будешь заставлять всех знакомых настраивать Conversations (который в Google Play платный, поэтому нужно еще и F-Droid), если у них уже установлен Skype + WhatsApp. И тут неплохо бы знать, что WhatsApp сливает метаданные Facebook, а в скайп нет шифрования.
>>727
>если у них уже установлен Skype + WhatsApp.
Я решил эту проблему таким образом: сказал что это говно ставить не буду принципиально. Хотите - звоните на мобильник и пишите на мыло. Либо осваивайте кошерные способы связи. Правда, я использую еще один метод, который я называю компромиссным между зондом в жопу и нормальным способом, но он используется не так уж часто.
>если у них уже установлен Skype + WhatsApp.
Я решил эту проблему таким образом: сказал что это говно ставить не буду принципиально. Хотите - звоните на мобильник и пишите на мыло. Либо осваивайте кошерные способы связи. Правда, я использую еще один метод, который я называю компромиссным между зондом в жопу и нормальным способом, но он используется не так уж часто.
>>733
Ну или того же WhatsApp, который почти то же самое, если не строить теории заговора.
Ну или того же WhatsApp, который почти то же самое, если не строить теории заговора.
>>727
Инструкция по настройке джаббера
1) Регаешь аккаунт https://404.city
2) Вводишь логин и пароль сюда: https://play.google.com/store/apps/details?id=com.xabber.android
Пиздец сложно
Инструкция по настройке джаббера
1) Регаешь аккаунт https://404.city
2) Вводишь логин и пароль сюда: https://play.google.com/store/apps/details?id=com.xabber.android
Пиздец сложно
>>726
>приходится еще звонить коллегам, родственникам и знакомым (для социоблядей) и тут лучше Signal пока ничего нет. Wire
Установку джаббера осилит даже ребенок
>приходится еще звонить коллегам, родственникам и знакомым (для социоблядей) и тут лучше Signal пока ничего нет. Wire
Установку джаббера осилит даже ребенок
>>738
И откуда инфа про подмену ключа в Signal? Код открыт, аудит был, EFF одобряет. Или пиздишь?
И откуда инфа про подмену ключа в Signal? Код открыт, аудит был, EFF одобряет. Или пиздишь?
>>744
В ватсапе недавно была найденна уезвимость, позволяющая незаметно подметить ключ, ключем АНБ.
В ватсапе используют код из сигнала. Разработчики Сигнала, после того как к ним обратились в вопросом: "Что за хуйня?"
Ответили: "Это не хуйня, а фича"
Другими словами в сигнале и ватсапе можно незаметно подключиться и читать переписку, если ты АНБ.
В ватсапе недавно была найденна уезвимость, позволяющая незаметно подметить ключ, ключем АНБ.
В ватсапе используют код из сигнала. Разработчики Сигнала, после того как к ним обратились в вопросом: "Что за хуйня?"
Ответили: "Это не хуйня, а фича"
Другими словами в сигнале и ватсапе можно незаметно подключиться и читать переписку, если ты АНБ.
>>599
>>745
> В ватсапе недавно была найденна уезвимость, позволяющая незаметно подметить ключ, ключем АНБ.
Во-первых, заебали своими АНБ и СОРМами. Они не всесильны.
Во-вторых, уже обсудили: >>599
По первой ссылке: https://tobi.rocks/2016/04/whats-app-retransmission-vulnerability/
"Signal is doing it right. Alice's second message ("Offline message") was never sent to the attacker."
По остальным ссылкам тоже много сравнений. Проблема в UI WhatsApp, он пересылает недоставленные в офлайне сообщения после того, как юзер вышел в онлайн, даже если ключ сменился, то есть, например, юзер переставлял прошивку на телефоне. Есть опция, по умолчанию выключенная, чтобы предупреждения включить. Сигнал в этом случае выводит диалоговое окно, можно отказаться от передачи сообщения. Сообщения с двумя галочками в безопасности, окно для уязвимости очень небольшое, это сообщения с одной галочкой. Если вам не отвечают, много вы всё равно не напишете.
> В ватсапе используют код из сигнала. Разработчики Сигнала, после того как к ним обратились в вопросом: "Что за хуйня?" Ответили: "Это не хуйня, а фича"
> Другими словами в сигнале и ватсапе можно незаметно подключиться и читать переписку, если ты АНБ.
Заебали со смешными пересказами. Иди читай тред, перед тем, как писать. Такие мудаки как ты до сих пор бегают со словами "тор скомпрометирован". Нихуя в сигнале нельзя подключиться незаметно. И в WhatsApp незаметно только по дефолту, если нет бекдоров дополнительных. Или возьми библиотеку Signal и сделай proof of concept. Принцип PoC or GTFO никто не отменял.
В WhtsApp код реализации протокола от Signal, а баг в UI.
>>745
> В ватсапе недавно была найденна уезвимость, позволяющая незаметно подметить ключ, ключем АНБ.
Во-первых, заебали своими АНБ и СОРМами. Они не всесильны.
Во-вторых, уже обсудили: >>599
По первой ссылке: https://tobi.rocks/2016/04/whats-app-retransmission-vulnerability/
"Signal is doing it right. Alice's second message ("Offline message") was never sent to the attacker."
По остальным ссылкам тоже много сравнений. Проблема в UI WhatsApp, он пересылает недоставленные в офлайне сообщения после того, как юзер вышел в онлайн, даже если ключ сменился, то есть, например, юзер переставлял прошивку на телефоне. Есть опция, по умолчанию выключенная, чтобы предупреждения включить. Сигнал в этом случае выводит диалоговое окно, можно отказаться от передачи сообщения. Сообщения с двумя галочками в безопасности, окно для уязвимости очень небольшое, это сообщения с одной галочкой. Если вам не отвечают, много вы всё равно не напишете.
> В ватсапе используют код из сигнала. Разработчики Сигнала, после того как к ним обратились в вопросом: "Что за хуйня?" Ответили: "Это не хуйня, а фича"
> Другими словами в сигнале и ватсапе можно незаметно подключиться и читать переписку, если ты АНБ.
Заебали со смешными пересказами. Иди читай тред, перед тем, как писать. Такие мудаки как ты до сих пор бегают со словами "тор скомпрометирован". Нихуя в сигнале нельзя подключиться незаметно. И в WhatsApp незаметно только по дефолту, если нет бекдоров дополнительных. Или возьми библиотеку Signal и сделай proof of concept. Принцип PoC or GTFO никто не отменял.
В WhtsApp код реализации протокола от Signal, а баг в UI.
В целом пора пилить FAQ.
Какие существуют протоколы?
Для XMPP доступны расширения OpenPGP, OX, OTR, OMEMO (https://conversations.im/omemo/).
В разработке находится поддержка end-to-end шифрования в Matrix: https://matrix.org/speculator/spec/drafts%2Fe2e/client_server/unstable.html#end-to-end-encryption
Секретные чаты Telegram используют протокол MTProto (https://core.telegram.org/mtproto).
Signal, WhatsApp, Wire и Google Allo используют Signal Protocol, также известный как Axolotl и Double Ratchet.
Чем отличаются OpenPGP, OX, OTR и OMEMO?
Сравнение протоколов OpenPGP, OX (OpenPGP for XMPP), OTR и OMEMO приведено на https://conversations.im/omemo/
Использование OpenPGP описано в https://xmpp.org/extensions/xep-0027.html.
Более новый стандарт использования OpenPGP в XMPP известен как OX и описан в https://xmpp.org/extensions/xep-0374.html.
Основное отличие этих двух спецификаций состоит в том, что OpenPGP предоставляет только шифрование,
а в OX возможно и обязательно (см. пункт 3.1, Always Use <signcrypt/>) использование подписи.
Добавление подписи в OX является преимуществом по сравнению с классическим использованием OpenPGP в XMPP,
но создает новую угрозу: подпись может быть проверена кем угодно, поэтому если ваша переписка будет украдена
или ваш собеседник позже решит передать её третьим лицам, вы не сможете отрицать, что сообщения были написаны вами.
Эту проблему решает протокол OTR (Off-the-Record messaging, https://otr.cypherpunks.ca/).
OTR использует отрицаемую подпись. Для этого ключи шифрования постоянно обновляются
и должны быть синхронизованны между устройствами. Из-за этого недостаточно просто установить
одни и те же ключи на несколько устройств, как в случае OpenPGP/OX и переписка доступна только на одном из устройств.
OMEMO обладает всеми преимуществами OTR, но решает проблему синхронизации ключей.
Он основан на Double Ratchet Algorithm, разработанном Open Whisper Systems для мессенджера Signal.
Какие клиенты поддерживают OMEMO?
Список всех клиентов, поддерживающих OMEMO, доступен на https://omemo.top/
Для iOS из ChatSecure бесплатно доступен в App Store
Для Android клиент Conversations можно бесплатно установить из F-Droid.
Для десктопа поддержка OMEMO сделана в Gajim.
Насколько безопасен MTProto?
MTProto используется в реализации секретных чатов в Telegram.
По возможностям MTProto аналогичен OTR.
По умолчанию Telegram не использует секретные чаты,
секретные чаты доступны только на мобильных устройствах,
синхронизация между устройствами отсутствует.
Практические уязвимости MTProto на сегодняшний день неизвестны,
однако существуют теоретические недостатки, которых усложняют анализ
безопасности протокола и свидетельствуют о недостаточной компетенции
разработчиков.
Описание теоретической уязвимости: https://eprint.iacr.org/2015/1177
Telegram анонсировал crypto contest (https://telegram.org/crypto_contest),
пообещав $200,000 за практический взлом протокола, но его условия
сложнее, чем ситуация реальной атаки: https://moxie.org/blog/telegram-crypto-challenge/
В WhatsApp была найдена уязвимость, позволяющая подменить ключ шифрования. Signal protocol небезопасен?
Исходные коды WhatsApp недоступны, однако известно, что разработчики Signal сотрудничали с WhatsApp при добавлении поддержки шифрования: https://whispersystems.org/blog/whatsapp-complete/
Уязвимость состоит в том, что если сообщение не было доставлено из-за того, что устройство собеседника было недоступно,
а затем он подключил устройство и анонсировал новый ключ, то клиентское приложение WhatsApp зашифрует сообщение новым ключом и
повторно передаст его. При этом будет выведено сообщение о том, что ключ собеседника сменился, если включена соответствующая
опция приложения, однако она отключена по умолчанию. Мессенждер Signal же в этом случае не пересылает сообщение,
а выводит диалоговое окно с сообщением о том, что ключ изменился, и предлагает выбрать, нужно ли отменить передачу
или передать сообщение с новым ключом. Таким образом, эта уязвимость не является уязвимостью протокола,
а является особенностью реализации интерфейса пользователя в WhatsApp.
Уязвимость была обнаружена Tobias Boelter 16 апреля 2016 года: https://tobi.rocks/2016/04/whats-app-retransmission-vulnerability/
13 января 2017 года The Guardian опубликовало новость об уязвимости, назвав это бэкдором: https://www.theguardian.com/technology/2017/jan/13/whatsapp-backdoor-allows-snooping-on-encrypted-messages
В ответ Moxie Marlinspike опубликовал в блоге Open Whisper Systems пост с объяснением причины такого поведения WhatsApp: https://whispersystems.org/blog/there-is-no-whatsapp-backdoor/
Обсуждение с участием "moxie" развернулось на Hacker News: https://news.ycombinator.com/item?id=13394900
Объяснение сводится к тому, что уведомление о смене ключа по умолчанию отключено для всех пользователей,
так как оно срабатывает в случае переустановки приложения, смены прошивки или смене устройства собеседника,
а не только в случае атаки. Поэтому возможность включения уведомлений оставлена для людей, которые
опасаются проведения атаки на них. Из-за того, что уведомления сделаны опциональными, блокировку
пересылки сообщений пришлось отключить. В противном случае задержка между анонсом смены ключа и повторной
передачей сообщения свидетельствовала бы о том, что пользователь включил уведомления. По собранной
статистике можно было бы выделить пользователей, у которых данная опция отключена, и в дальнейшем практически
без риска обнаружения проводить на них MITM-атаки.
Отсутствие блокировки защищает пользователей от таргетированных атак:
при проведении атаки невозможно заранее узнать, включены ли уведомления, но в то же
время это очень вероятно для целей, интересующих атакующих, поэтому велика вероятность обнаружения атаки.
TechCrunch опубликовали подробную статью со ссылой на аудиты протокола и независимым обсуждением реализации протокола Signal в WhatsApp:
https://techcrunch.com/2017/01/13/encrypted-messaging-platform-whatsapp-denies-backdoor-claim/
Открытое письмо The Guardian с призывом отозвать статью, в которой уже известную особенность реализации назвали "бэкдором",
подписали множество известных криптографов: http://technosociology.org/?page_id=1687
Таким образом, сам протокол безопасен, однако реализация в WhatsApp содержит особенность, позволяющая провести таргетированную атаку.
Кроме того, исходные коды WhatsApp закрыты, поэтому использовать оригинальный клиент Signal предпочтительнее.
Какие мессенджеры использовать для анонимной переписки?
Наилучшим решением для анонимной переписки являются асинхронные решения, так как они защищают от анализа трафика.
Если выбирать среди мессенджеров, то для начала не подходят все из них, которые требуют привязки к телефону,
так как при регистрации требуется получение SMS-сообщения, в процессе которого возможно определить ваше местоположение,
даже если номер зарегистрирован не на вас. Теоретически возможно использование удаленного телефона,
купленного анонимно, но существуют более простные решения.
Большинство мессенджеров, включая Signal, WhatsApp и Telegram, требуют использование мобильного телефона для
регистрации. Исключением является Wire, которые поддерживает регистрацию по email, но использование его
в связке с Tor затруднительно, так как клиент не имеет встроенной поддержки.
Предпочтительным решением является XMPP + Tor.
При этом для минимизации возможностей по анализу трафика рекомендуется использовать один и тот же сервер.
Что использовать для звонков?
Пока что просто ссылка на пост, потом надо переписать: >>652
Для XMPP доступны расширения OpenPGP, OX, OTR, OMEMO (https://conversations.im/omemo/).
В разработке находится поддержка end-to-end шифрования в Matrix: https://matrix.org/speculator/spec/drafts%2Fe2e/client_server/unstable.html#end-to-end-encryption
Секретные чаты Telegram используют протокол MTProto (https://core.telegram.org/mtproto).
Signal, WhatsApp, Wire и Google Allo используют Signal Protocol, также известный как Axolotl и Double Ratchet.
Чем отличаются OpenPGP, OX, OTR и OMEMO?
Сравнение протоколов OpenPGP, OX (OpenPGP for XMPP), OTR и OMEMO приведено на https://conversations.im/omemo/
Использование OpenPGP описано в https://xmpp.org/extensions/xep-0027.html.
Более новый стандарт использования OpenPGP в XMPP известен как OX и описан в https://xmpp.org/extensions/xep-0374.html.
Основное отличие этих двух спецификаций состоит в том, что OpenPGP предоставляет только шифрование,
а в OX возможно и обязательно (см. пункт 3.1, Always Use <signcrypt/>) использование подписи.
Добавление подписи в OX является преимуществом по сравнению с классическим использованием OpenPGP в XMPP,
но создает новую угрозу: подпись может быть проверена кем угодно, поэтому если ваша переписка будет украдена
или ваш собеседник позже решит передать её третьим лицам, вы не сможете отрицать, что сообщения были написаны вами.
Эту проблему решает протокол OTR (Off-the-Record messaging, https://otr.cypherpunks.ca/).
OTR использует отрицаемую подпись. Для этого ключи шифрования постоянно обновляются
и должны быть синхронизованны между устройствами. Из-за этого недостаточно просто установить
одни и те же ключи на несколько устройств, как в случае OpenPGP/OX и переписка доступна только на одном из устройств.
OMEMO обладает всеми преимуществами OTR, но решает проблему синхронизации ключей.
Он основан на Double Ratchet Algorithm, разработанном Open Whisper Systems для мессенджера Signal.
Какие клиенты поддерживают OMEMO?
Список всех клиентов, поддерживающих OMEMO, доступен на https://omemo.top/
Для iOS из ChatSecure бесплатно доступен в App Store
Для Android клиент Conversations можно бесплатно установить из F-Droid.
Для десктопа поддержка OMEMO сделана в Gajim.
Насколько безопасен MTProto?
MTProto используется в реализации секретных чатов в Telegram.
По возможностям MTProto аналогичен OTR.
По умолчанию Telegram не использует секретные чаты,
секретные чаты доступны только на мобильных устройствах,
синхронизация между устройствами отсутствует.
Практические уязвимости MTProto на сегодняшний день неизвестны,
однако существуют теоретические недостатки, которых усложняют анализ
безопасности протокола и свидетельствуют о недостаточной компетенции
разработчиков.
Описание теоретической уязвимости: https://eprint.iacr.org/2015/1177
Telegram анонсировал crypto contest (https://telegram.org/crypto_contest),
пообещав $200,000 за практический взлом протокола, но его условия
сложнее, чем ситуация реальной атаки: https://moxie.org/blog/telegram-crypto-challenge/
В WhatsApp была найдена уязвимость, позволяющая подменить ключ шифрования. Signal protocol небезопасен?
Исходные коды WhatsApp недоступны, однако известно, что разработчики Signal сотрудничали с WhatsApp при добавлении поддержки шифрования: https://whispersystems.org/blog/whatsapp-complete/
Уязвимость состоит в том, что если сообщение не было доставлено из-за того, что устройство собеседника было недоступно,
а затем он подключил устройство и анонсировал новый ключ, то клиентское приложение WhatsApp зашифрует сообщение новым ключом и
повторно передаст его. При этом будет выведено сообщение о том, что ключ собеседника сменился, если включена соответствующая
опция приложения, однако она отключена по умолчанию. Мессенждер Signal же в этом случае не пересылает сообщение,
а выводит диалоговое окно с сообщением о том, что ключ изменился, и предлагает выбрать, нужно ли отменить передачу
или передать сообщение с новым ключом. Таким образом, эта уязвимость не является уязвимостью протокола,
а является особенностью реализации интерфейса пользователя в WhatsApp.
Уязвимость была обнаружена Tobias Boelter 16 апреля 2016 года: https://tobi.rocks/2016/04/whats-app-retransmission-vulnerability/
13 января 2017 года The Guardian опубликовало новость об уязвимости, назвав это бэкдором: https://www.theguardian.com/technology/2017/jan/13/whatsapp-backdoor-allows-snooping-on-encrypted-messages
В ответ Moxie Marlinspike опубликовал в блоге Open Whisper Systems пост с объяснением причины такого поведения WhatsApp: https://whispersystems.org/blog/there-is-no-whatsapp-backdoor/
Обсуждение с участием "moxie" развернулось на Hacker News: https://news.ycombinator.com/item?id=13394900
Объяснение сводится к тому, что уведомление о смене ключа по умолчанию отключено для всех пользователей,
так как оно срабатывает в случае переустановки приложения, смены прошивки или смене устройства собеседника,
а не только в случае атаки. Поэтому возможность включения уведомлений оставлена для людей, которые
опасаются проведения атаки на них. Из-за того, что уведомления сделаны опциональными, блокировку
пересылки сообщений пришлось отключить. В противном случае задержка между анонсом смены ключа и повторной
передачей сообщения свидетельствовала бы о том, что пользователь включил уведомления. По собранной
статистике можно было бы выделить пользователей, у которых данная опция отключена, и в дальнейшем практически
без риска обнаружения проводить на них MITM-атаки.
Отсутствие блокировки защищает пользователей от таргетированных атак:
при проведении атаки невозможно заранее узнать, включены ли уведомления, но в то же
время это очень вероятно для целей, интересующих атакующих, поэтому велика вероятность обнаружения атаки.
TechCrunch опубликовали подробную статью со ссылой на аудиты протокола и независимым обсуждением реализации протокола Signal в WhatsApp:
https://techcrunch.com/2017/01/13/encrypted-messaging-platform-whatsapp-denies-backdoor-claim/
Открытое письмо The Guardian с призывом отозвать статью, в которой уже известную особенность реализации назвали "бэкдором",
подписали множество известных криптографов: http://technosociology.org/?page_id=1687
Таким образом, сам протокол безопасен, однако реализация в WhatsApp содержит особенность, позволяющая провести таргетированную атаку.
Кроме того, исходные коды WhatsApp закрыты, поэтому использовать оригинальный клиент Signal предпочтительнее.
Какие мессенджеры использовать для анонимной переписки?
Наилучшим решением для анонимной переписки являются асинхронные решения, так как они защищают от анализа трафика.
Если выбирать среди мессенджеров, то для начала не подходят все из них, которые требуют привязки к телефону,
так как при регистрации требуется получение SMS-сообщения, в процессе которого возможно определить ваше местоположение,
даже если номер зарегистрирован не на вас. Теоретически возможно использование удаленного телефона,
купленного анонимно, но существуют более простные решения.
Большинство мессенджеров, включая Signal, WhatsApp и Telegram, требуют использование мобильного телефона для
регистрации. Исключением является Wire, которые поддерживает регистрацию по email, но использование его
в связке с Tor затруднительно, так как клиент не имеет встроенной поддержки.
Предпочтительным решением является XMPP + Tor.
При этом для минимизации возможностей по анализу трафика рекомендуется использовать один и тот же сервер.
Что использовать для звонков?
Пока что просто ссылка на пост, потом надо переписать: >>652
Пока что так, про Jabber разобраться надо.
Что использовать для звонков?
Шифрованная передача аудио и видео осуществляется с помощью протокола DTLS-STRP.
DTLS-STRP является частью WebRTC, поэтому основанные на WebRTC клиенты также используют его.
Основная разница между клиентами состоит в том, как передается ключ шифрования.
Наилучшим решением является передача ключа шифрования внутри уже установленного зашифрованного канала. Такая реализация используется в Matrix, параметры SRTP передаются внутри чата, который может использовать шифрование.
Существует расширение STRP, ZRTP, которое позволяет аутентифицировать звонки, зачитывая выводимые на экране слова, однако делать это нужно каждый раз. Этот протокол использовался в приложении RedPhone, но после объединения с TextSecure и интеграции в Signal был заменен более надёжной передачей ключей шифрования внутри сообщений, зашифрованных протоколом Signal.
Wire небезопасен:
https:[email protected]/how-to-intercept-all-wire-voice-and-video-calls-13da1246675c
https:[email protected]/wires-certificate-validation-vulnerability-f2b415298e2e
Что использовать для звонков?
Шифрованная передача аудио и видео осуществляется с помощью протокола DTLS-STRP.
DTLS-STRP является частью WebRTC, поэтому основанные на WebRTC клиенты также используют его.
Основная разница между клиентами состоит в том, как передается ключ шифрования.
Наилучшим решением является передача ключа шифрования внутри уже установленного зашифрованного канала. Такая реализация используется в Matrix, параметры SRTP передаются внутри чата, который может использовать шифрование.
Существует расширение STRP, ZRTP, которое позволяет аутентифицировать звонки, зачитывая выводимые на экране слова, однако делать это нужно каждый раз. Этот протокол использовался в приложении RedPhone, но после объединения с TextSecure и интеграции в Signal был заменен более надёжной передачей ключей шифрования внутри сообщений, зашифрованных протоколом Signal.
Wire небезопасен:
https:[email protected]/how-to-intercept-all-wire-voice-and-video-calls-13da1246675c
https:[email protected]/wires-certificate-validation-vulnerability-f2b415298e2e
>>754
В Telegram шифрование звонков никак не интегрировано с секретными чатами, поэтому каждый раз требуется аналогичная ZRTP аутентификация.
В Telegram шифрование звонков никак не интегрировано с секретными чатами, поэтому каждый раз требуется аналогичная ZRTP аутентификация.
https://threema.ch/
Full anonymity: You are not forced to provide any personal information (such as your phone number or email address) in order to use Threema.
Исходники закрыты, но есть описание протокола:
https://threema.ch/press-files/2_documentation/cryptography_whitepaper.pdf
Также есть код, позволяющий проверить, что передаются данные действительно по этому протоколу: https://threema.ch/validation/
То есть бэкдоры возможны только в клиентском приложении, где их могут обнаружить реверсеры и новые разработчики при приеме на работу.
Весьма интересно, что простокол свой собственный, может быть оттуда можно что-то взять.
Full anonymity: You are not forced to provide any personal information (such as your phone number or email address) in order to use Threema.
Исходники закрыты, но есть описание протокола:
https://threema.ch/press-files/2_documentation/cryptography_whitepaper.pdf
Также есть код, позволяющий проверить, что передаются данные действительно по этому протоколу: https://threema.ch/validation/
То есть бэкдоры возможны только в клиентском приложении, где их могут обнаружить реверсеры и новые разработчики при приеме на работу.
Весьма интересно, что простокол свой собственный, может быть оттуда можно что-то взять.
>>737
> >приходится еще звонить коллегам, родственникам и знакомым (для социоблядей) и тут лучше Signal пока ничего нет.
> Установку джаббера осилит даже ребенок
Звонки работать будут? Здесь есть вообще кто-нибудь, кто звонит через Jingle? Как там устроено крипто сейчас, какие стандарты актуальны?
Вот еще принес: https://libtech.org/2016/01/pochemu-vash-lyubimy-j-messendzher-dolzhen-umeret.html
> >приходится еще звонить коллегам, родственникам и знакомым (для социоблядей) и тут лучше Signal пока ничего нет.
> Установку джаббера осилит даже ребенок
Звонки работать будут? Здесь есть вообще кто-нибудь, кто звонит через Jingle? Как там устроено крипто сейчас, какие стандарты актуальны?
Вот еще принес: https://libtech.org/2016/01/pochemu-vash-lyubimy-j-messendzher-dolzhen-umeret.html
>>756
Ты предлогаешь использовать мессенджер, который оффициально обьявил о сотрудчестве с роскомнадзором?
Ты предлогаешь использовать мессенджер, который оффициально обьявил о сотрудчестве с роскомнадзором?
>>761
1) Нет хепа история сообщений
2) Находится в Нигерландах
3) Мамой клянутся не хранить историю сообщений
4) Соедине по шифрованному каналу. Пароль не может угнать exit-noda
5) Есть web регистрация
Регался на:
https://xmpp.jp/ - плохой пинг до Японии
https://jabber.ru/ - Находится в РФ. Хранит историю
http://xmpp.su/ - сертификат самоподписный. Находится в РФ
https://jabber.org/ - закрыли регистрацию
http:// exploit.im - Сертификат самоподписный. Находится в РФ. Не вызывает доверия.
https://404.city/ - проверенный, как на других - хуй знает
1) Нет хепа история сообщений
2) Находится в Нигерландах
3) Мамой клянутся не хранить историю сообщений
4) Соедине по шифрованному каналу. Пароль не может угнать exit-noda
5) Есть web регистрация
Регался на:
https://xmpp.jp/ - плохой пинг до Японии
https://jabber.ru/ - Находится в РФ. Хранит историю
http://xmpp.su/ - сертификат самоподписный. Находится в РФ
https://jabber.org/ - закрыли регистрацию
http:// exploit.im - Сертификат самоподписный. Находится в РФ. Не вызывает доверия.
https://404.city/ - проверенный, как на других - хуй знает
>>760
Если нужны звонки юзай Сигнал. В джаббере еще не допилили (звонки на мобильниках). но помни:
Cегодня Сигнал - это приватно
Завтра Сигнал - уже сидит на измене
Централзованная разработка и центральный сервер - это зло. Телега и threema, тоже позиционировали себя как супер приватные, набрали юсеров - теперь активно сотрудничают с русским майором
Джаббер лишен этого недостатка. Сервера пилят - одни, проги - другие. Нет единого сервера или программы, которую должен использовать.
Это многообразие усложняет передачу звонков и видео, но зато гарантирует защиту переписки на военном уровне.
PGP шифрование, которое можно включить в конверсатион, используют в армией США и НАТО
Если нужны звонки юзай Сигнал. В джаббере еще не допилили (звонки на мобильниках). но помни:
Cегодня Сигнал - это приватно
Завтра Сигнал - уже сидит на измене
Централзованная разработка и центральный сервер - это зло. Телега и threema, тоже позиционировали себя как супер приватные, набрали юсеров - теперь активно сотрудничают с русским майором
Джаббер лишен этого недостатка. Сервера пилят - одни, проги - другие. Нет единого сервера или программы, которую должен использовать.
Это многообразие усложняет передачу звонков и видео, но зато гарантирует защиту переписки на военном уровне.
PGP шифрование, которое можно включить в конверсатион, используют в армией США и НАТО
>>780
> Телега и threema, тоже позиционировали себя как супер приватные, набрали юсеров - теперь активно сотрудничают с русским майором
Threema понятно, это следствие того, что они коммерческий продукт.
Telegram вроде же не сотрудничает и уже забанен в нескольких странах. И это некоммерческий проект: https://telegram.org/faq#q-how-are-you-going-to-make-money-out-of-this
Signal реализует domain fronting, его хуй забанишь, и он некоммерческий. К тому же пилят его известные анархисты, у них серьезная мотивация не проебать свою репутацию. Но если случится что с ним, то случится, мы об этом узнаем.
> Централзованная разработка и центральный сервер - это зло.
Централизованная разработка нужна для быстрых обновлений и уменьшения фрагментации. В Signal все поддерживают Signal protocol, а в XMPP практически наверняка у собеседника не окажется OMEMO.
Централизованный сервер это защита от слива метаданных. XMPP отличается тем, что кроме клиентского протокола есть еще межсерверный, а это лишняя поверхность атаки.
> Телега и threema, тоже позиционировали себя как супер приватные, набрали юсеров - теперь активно сотрудничают с русским майором
Threema понятно, это следствие того, что они коммерческий продукт.
Telegram вроде же не сотрудничает и уже забанен в нескольких странах. И это некоммерческий проект: https://telegram.org/faq#q-how-are-you-going-to-make-money-out-of-this
Signal реализует domain fronting, его хуй забанишь, и он некоммерческий. К тому же пилят его известные анархисты, у них серьезная мотивация не проебать свою репутацию. Но если случится что с ним, то случится, мы об этом узнаем.
> Централзованная разработка и центральный сервер - это зло.
Централизованная разработка нужна для быстрых обновлений и уменьшения фрагментации. В Signal все поддерживают Signal protocol, а в XMPP практически наверняка у собеседника не окажется OMEMO.
Централизованный сервер это защита от слива метаданных. XMPP отличается тем, что кроме клиентского протокола есть еще межсерверный, а это лишняя поверхность атаки.
>>784
>Централизованный сервер это защита от слива метаданных. XMPP отличается тем, что кроме клиентского протокола есть еще межсерверный, а это лишняя поверхность атаки.
Если два аккаунта на одном сервере, никакого слива нет. Да сливом это назвать крайне сложно. Утечка не представляет никакой угрозы.
Централизованные мессенджеры сливают, местоположение, список номеров телефона, IMEI, Wi-Fi , слив метаданных в джаббере это детский лепет. Какую полезную информаци подчекнет сторонний наблюдатель, что [email protected] переслал [email protected] сообщение "OTR?xyixyixyixyixyixyixi" ?
А вот централизованный телеграм и сигнал, сольет твои геоданный вплоть до квартиры. При получении смс мобила детектится.
>Telegram вроде же не сотрудничает и уже забанен в нескольких странах.
Это просто пиар. Сливает он все и сразу по первому требованию. Недавно майоры парня в телеграме поймали. Сидел через ВПН и с левой симки.Телеграм слил индикатор телефона и мобилу. Майорам это хватило.
>Signal реализует domain fronting, его хуй забанишь, и он некоммерческий.
Джаббер работает через ТОР, хуй забанишь.
> , у них серьезная мотивация не проебать свою репутацию. Но если случится что с ним, то случится, мы об этом узнаем.
Уже проебали. Когда ватсапе нашли возможность незаметной подмены ключа они раскудахтались. Это все нормально, здесь бага нет. Сигнал продался АНБ, не факт что завтра не станет угождать роскомнадзору.
>Централизованная разработка нужна для быстрых обновлений и уменьшения фрагментации. В Signal все поддерживают Signal protocol, а в XMPP практически наверняка у собеседника не окажется OMEMO.
Зато наверняка окажется OTR.
Резона использовать сигнала нет, кроме как для звонков и передачи видео. Как неповорачивай сигнал гавно в плане безопасности. Секури мессенджер с номером телефона, это тоже само что безалкогольное пиво и резиновая женщина
>Централизованный сервер это защита от слива метаданных. XMPP отличается тем, что кроме клиентского протокола есть еще межсерверный, а это лишняя поверхность атаки.
Если два аккаунта на одном сервере, никакого слива нет. Да сливом это назвать крайне сложно. Утечка не представляет никакой угрозы.
Централизованные мессенджеры сливают, местоположение, список номеров телефона, IMEI, Wi-Fi , слив метаданных в джаббере это детский лепет. Какую полезную информаци подчекнет сторонний наблюдатель, что [email protected] переслал [email protected] сообщение "OTR?xyixyixyixyixyixyixi" ?
А вот централизованный телеграм и сигнал, сольет твои геоданный вплоть до квартиры. При получении смс мобила детектится.
>Telegram вроде же не сотрудничает и уже забанен в нескольких странах.
Это просто пиар. Сливает он все и сразу по первому требованию. Недавно майоры парня в телеграме поймали. Сидел через ВПН и с левой симки.Телеграм слил индикатор телефона и мобилу. Майорам это хватило.
>Signal реализует domain fronting, его хуй забанишь, и он некоммерческий.
Джаббер работает через ТОР, хуй забанишь.
> , у них серьезная мотивация не проебать свою репутацию. Но если случится что с ним, то случится, мы об этом узнаем.
Уже проебали. Когда ватсапе нашли возможность незаметной подмены ключа они раскудахтались. Это все нормально, здесь бага нет. Сигнал продался АНБ, не факт что завтра не станет угождать роскомнадзору.
>Централизованная разработка нужна для быстрых обновлений и уменьшения фрагментации. В Signal все поддерживают Signal protocol, а в XMPP практически наверняка у собеседника не окажется OMEMO.
Зато наверняка окажется OTR.
Резона использовать сигнала нет, кроме как для звонков и передачи видео. Как неповорачивай сигнал гавно в плане безопасности. Секури мессенджер с номером телефона, это тоже само что безалкогольное пиво и резиновая женщина
>>756
>>756
«Самый защищенный мессенджер» Threema будет собирать данные пользователей для российских спецслужб:
https://rublacklist.net/26618/
>>756
«Самый защищенный мессенджер» Threema будет собирать данные пользователей для российских спецслужб:
https://rublacklist.net/26618/
>>754
> Wire небезопасен
Ну, Certificate Pinning у них точно работает.
Насчет остального тоже есть обсуждение: https://github.com/wireapp/wire-android/issues/617
> Wire небезопасен
Ну, Certificate Pinning у них точно работает.
Насчет остального тоже есть обсуждение: https://github.com/wireapp/wire-android/issues/617
>>786
> Уже проебали. Когда ватсапе нашли возможность незаметной подмены ключа они раскудахтались. Это все нормально, здесь бага нет. Сигнал продался АНБ, не факт что завтра не станет угождать роскомнадзору.
Подмена далеко не незаметная, и этого бага нет в сигнале: >>752
Заявление о том что кто-то продался АНБ ничем не обоснованы, люди просто любят устраивать teh drama из любого повода и видеть везде бэкдоры АНБ. Напоминает городские легенды про режим прослушки во всех телефонах. Людям просто кажется, что они выглядят более компетентными, рассказывая про то, что "во всех телефонах есть закладка для спецслужб" (старая байка, ни разу не подтвержденная и нихуя не реализуемая), "тор скомпрометирован" (эксплуатировали старую уязвимость в firefox на tor browser), "телеграм взломан спецслужбами" (украли SMS-код подтверждения у оператора), "в whatsapp найден бэкдор". Tobias Boelter нашел "бэкдор", ему объяснили, почему было принято такое решение и в чем tradeoff.
> Уже проебали. Когда ватсапе нашли возможность незаметной подмены ключа они раскудахтались. Это все нормально, здесь бага нет. Сигнал продался АНБ, не факт что завтра не станет угождать роскомнадзору.
Подмена далеко не незаметная, и этого бага нет в сигнале: >>752
Заявление о том что кто-то продался АНБ ничем не обоснованы, люди просто любят устраивать teh drama из любого повода и видеть везде бэкдоры АНБ. Напоминает городские легенды про режим прослушки во всех телефонах. Людям просто кажется, что они выглядят более компетентными, рассказывая про то, что "во всех телефонах есть закладка для спецслужб" (старая байка, ни разу не подтвержденная и нихуя не реализуемая), "тор скомпрометирован" (эксплуатировали старую уязвимость в firefox на tor browser), "телеграм взломан спецслужбами" (украли SMS-код подтверждения у оператора), "в whatsapp найден бэкдор". Tobias Boelter нашел "бэкдор", ему объяснили, почему было принято такое решение и в чем tradeoff.
>>786
> Если два аккаунта на одном сервере, никакого слива нет. Да сливом это назвать крайне сложно. Утечка не представляет никакой угрозы.
Именно слив метаданных и представляет угрозу. Связи между аккаунтами можно анализировать в промышленных масштабах, чтобы находить аккаунты с большим числом связей и выделять сообщества, лидеров, постоянных участников и т.п.
Два аккаунта на одном сервере это и есть централизованный сервер.
Btw тот же 404.city (https://404.city/privacy) сливает метаданные по первому требованию: "Illegal activities are not protected by a privacy policy! We will provide the metadata of criminals if this is required by the police."
> Централизованные мессенджеры сливают, местоположение, список номеров телефона, IMEI, Wi-Fi , слив метаданных в джаббере это детский лепет.
Wire не сливает список номеров, ему можно это запретить. "No contact sharing required" у Wire на главной странице. Местоположение и IMEI вообще не знаю чтобы кто-то сливал. Алсо, что значит сливает Wi-Fi?
> Какую полезную информаци подчекнет сторонний наблюдатель, что [email protected] переслал [email protected] сообщение "OTR?xyixyixyixyixyixyixi" ?
Связь между аккаунтами, время и количество передаваемых данных. Если хотя бы один из сообщества спалился, то весь кластер идентифицируется как сообщество. Дальше можно выделять лидеров, определять часовой пояс и т.д.
> Если два аккаунта на одном сервере, никакого слива нет. Да сливом это назвать крайне сложно. Утечка не представляет никакой угрозы.
Именно слив метаданных и представляет угрозу. Связи между аккаунтами можно анализировать в промышленных масштабах, чтобы находить аккаунты с большим числом связей и выделять сообщества, лидеров, постоянных участников и т.п.
Два аккаунта на одном сервере это и есть централизованный сервер.
Btw тот же 404.city (https://404.city/privacy) сливает метаданные по первому требованию: "Illegal activities are not protected by a privacy policy! We will provide the metadata of criminals if this is required by the police."
> Централизованные мессенджеры сливают, местоположение, список номеров телефона, IMEI, Wi-Fi , слив метаданных в джаббере это детский лепет.
Wire не сливает список номеров, ему можно это запретить. "No contact sharing required" у Wire на главной странице. Местоположение и IMEI вообще не знаю чтобы кто-то сливал. Алсо, что значит сливает Wi-Fi?
> Какую полезную информаци подчекнет сторонний наблюдатель, что [email protected] переслал [email protected] сообщение "OTR?xyixyixyixyixyixyixi" ?
Связь между аккаунтами, время и количество передаваемых данных. Если хотя бы один из сообщества спалился, то весь кластер идентифицируется как сообщество. Дальше можно выделять лидеров, определять часовой пояс и т.д.
>>796
>>796
>Именно слив метаданных и представляет угрозу. Связи между аккаунтами можно анализировать в промышленных масштабах, чтобы находить аккаунты с большим числом связей и выделять сообщества, лидеров, постоянных участников и т.п.
В Signal, Wire и прочем дерьме сбор этих метаданных идет в БОЛЬШЕМ размере, чем в джаббере. В джаббере хранится возможный МИНИМУМ.
При помощи номера телефона можно однозначно установить, кто есть кто.
Эти мессенджеры даже через тор и на ПК адекватно работать не могут.
Ты говоришь о супер защищенности!?
Ты такой или притворяешь? Зайди в TOR , сколько там людей пользуються твоим сигналом и wire? Никто. Почему? Потому, что это косяк.
Если товарищь майор захочет пробить пользователя сигнала, ему достаточно запросить ник или телефон.
Ему прийдут номера телефонов контактов (которые ты скрыл галочкой не собирать), индификаторы этих устройств, айпишки, местоположение приема смс, окружающие Wi-Fi сети.
> "Illegal activities are not protected by a privacy policy! We will provide the metadata of criminals if this is required by the police."
"Нелегальная активность не защищенна"
Чего ты хотел? Что кто-то будет подставлять себя защищая преступников? В сигнале и wire такие же условия использования.
Меня наоброт настораживаю серверы, где обещают ничего не хранить. Они либо красные, либо админ сам не прочь спиздить твой пароль
>Связь между аккаунтами, время и количество передаваемых данных. Если хотя бы один из сообщества спалился, то весь кластер идентифицируется как сообщество. Дальше можно выделять лидеров, определять часовой пояс и т.д.
70% процентов межсерверного трафика, зашифрованна и эти метаданные нельзя просто взять и посмотреть. Незащищенные соединия, только с мутными серверами, типо exploit.im. Никто не мешает зарегать аки на одном сервере, тогда будет тоже самое, что в сигнале.
Твои замечания о сливе метаданных в джаббере некорректны, так как ты предлагаешь альтернативой еще больший слив метаданных.
В сигнале и wire нету приемуществ, кроме звонков. Зайди в TOR, там тебе доступно объяснят о всех мессенджерах с номером телефона.
>>796
>Именно слив метаданных и представляет угрозу. Связи между аккаунтами можно анализировать в промышленных масштабах, чтобы находить аккаунты с большим числом связей и выделять сообщества, лидеров, постоянных участников и т.п.
В Signal, Wire и прочем дерьме сбор этих метаданных идет в БОЛЬШЕМ размере, чем в джаббере. В джаббере хранится возможный МИНИМУМ.
При помощи номера телефона можно однозначно установить, кто есть кто.
Эти мессенджеры даже через тор и на ПК адекватно работать не могут.
Ты говоришь о супер защищенности!?
Ты такой или притворяешь? Зайди в TOR , сколько там людей пользуються твоим сигналом и wire? Никто. Почему? Потому, что это косяк.
Если товарищь майор захочет пробить пользователя сигнала, ему достаточно запросить ник или телефон.
Ему прийдут номера телефонов контактов (которые ты скрыл галочкой не собирать), индификаторы этих устройств, айпишки, местоположение приема смс, окружающие Wi-Fi сети.
> "Illegal activities are not protected by a privacy policy! We will provide the metadata of criminals if this is required by the police."
"Нелегальная активность не защищенна"
Чего ты хотел? Что кто-то будет подставлять себя защищая преступников? В сигнале и wire такие же условия использования.
Меня наоброт настораживаю серверы, где обещают ничего не хранить. Они либо красные, либо админ сам не прочь спиздить твой пароль
>Связь между аккаунтами, время и количество передаваемых данных. Если хотя бы один из сообщества спалился, то весь кластер идентифицируется как сообщество. Дальше можно выделять лидеров, определять часовой пояс и т.д.
70% процентов межсерверного трафика, зашифрованна и эти метаданные нельзя просто взять и посмотреть. Незащищенные соединия, только с мутными серверами, типо exploit.im. Никто не мешает зарегать аки на одном сервере, тогда будет тоже самое, что в сигнале.
Твои замечания о сливе метаданных в джаббере некорректны, так как ты предлагаешь альтернативой еще больший слив метаданных.
В сигнале и wire нету приемуществ, кроме звонков. Зайди в TOR, там тебе доступно объяснят о всех мессенджерах с номером телефона.
>>796
Батл Джаббер VS Signal, пошумим блять:
Нужно при регистрации:
Jabber -: Голова на плечах, способная придумать ник, пароль и нажать галочку "создать аккаунт"
Signal - Номер телефона, включать мозги не нужно
Звонки
Signal - есть звонки, только на смартфоне
Jabber - только на ПК
Надежность шифрования
* Jabber - высокая. Даже, при компрометации шифра, легко сменить на другой.
* Signal - низкая.
Количество серверов:
* Signal - один.
* Jabber - несколько тысяч. При компроментации сервера легко сменить на другой
Колличество программ
* Signal - одна
* Jabber - несколько десятков. При компроментации одной программы, легко сменить на другую.
Исходный код:
Jabber - полностью открытый. Разработываеться независмыми группами.
Signal - открытый в перемешку с закрытым. Разрабатываться, на спонсорские деньги.
Слив метаданных:
Jabber - список контактов, время появления в сети.
Signal -
краткий список - ip, список контактов, номера телефонов контактов, местоположение контактов.
Полный список:
История использования устройства и приложений
Просмотр конфиденциальных данных в журнале
Идентификационные данные
Поиск аккаунтов на устройстве
Просмотр ваших контактных данных
Изменение ваших контактных данных
Календарь
Просмотр в календаре мероприятий и конфиденциальных данных
Добавление/изменение мероприятий и отправление гостям эл. сообщений без предупреждения владельца календаря
Контакты
Поиск аккаунтов на устройстве
Просмотр контактов
Изменение контактов
Местоположение
Примерное местоположение (на основе сети)
Точное местоположение (на основе сети и сигналов GPS)
SMS
Просмотр SMS и MMS
Прием MMS
Прием SMS
Отправка SMS-сообщений
Изменение SMS и MMS
Телефон
Осуществление телефонных вызовов
Осуществление телефонных вызовов
Изменение состояния телефона
Перенаправление исходящих вызовов
Просмотр журнала вызовов
Получение данных о статусе телефона
Изменение журнала вызовов
Фото/мультимедиа/файлы
Просмотр данных на USB-накопителе
Изменение/удаление данных на USB-накопителе
Память
Просмотр данных на USB-накопителе
Изменение/удаление данных на USB-накопителе
Камера
Фото- и видеосъемка
Микрофон
Запись аудио
Данные о Wi-Fi-подключении
Просмотр подключений Wi-Fi
Идентификатор устройства и данные о вызовах
Получение данных о статусе телефона
Другое
Отправка уведомлений о доставке SMS с ссылкой на WAP-страницу
Получение данных из Интернета
Просмотр сетевых подключений
Создание аккаунтов и установка паролей
Установление связи с устройствами Bluetooth
Отправка сообщений с их последующим сохранением
Изменение сетевых настроек
Подключение/отключение сети Wi-Fi
Отключение функции блокировки экрана
Неограниченный доступ к Интернету
Изменение настроек аудио
Просмотр настроек синхронизации
Запуск при включении устройства
Установка обоев
Использование аккаунтов на устройстве
Управление функцией вибросигнала
Предотвращение переключения устройства в спящий режим
Включение/выключение синхронизации
Батл Джаббер VS Signal, пошумим блять:
Нужно при регистрации:
Jabber -: Голова на плечах, способная придумать ник, пароль и нажать галочку "создать аккаунт"
Signal - Номер телефона, включать мозги не нужно
Звонки
Signal - есть звонки, только на смартфоне
Jabber - только на ПК
Надежность шифрования
* Jabber - высокая. Даже, при компрометации шифра, легко сменить на другой.
* Signal - низкая.
Количество серверов:
* Signal - один.
* Jabber - несколько тысяч. При компроментации сервера легко сменить на другой
Колличество программ
* Signal - одна
* Jabber - несколько десятков. При компроментации одной программы, легко сменить на другую.
Исходный код:
Jabber - полностью открытый. Разработываеться независмыми группами.
Signal - открытый в перемешку с закрытым. Разрабатываться, на спонсорские деньги.
Слив метаданных:
Jabber - список контактов, время появления в сети.
Signal -
краткий список - ip, список контактов, номера телефонов контактов, местоположение контактов.
Полный список:
История использования устройства и приложений
Просмотр конфиденциальных данных в журнале
Идентификационные данные
Поиск аккаунтов на устройстве
Просмотр ваших контактных данных
Изменение ваших контактных данных
Календарь
Просмотр в календаре мероприятий и конфиденциальных данных
Добавление/изменение мероприятий и отправление гостям эл. сообщений без предупреждения владельца календаря
Контакты
Поиск аккаунтов на устройстве
Просмотр контактов
Изменение контактов
Местоположение
Примерное местоположение (на основе сети)
Точное местоположение (на основе сети и сигналов GPS)
SMS
Просмотр SMS и MMS
Прием MMS
Прием SMS
Отправка SMS-сообщений
Изменение SMS и MMS
Телефон
Осуществление телефонных вызовов
Осуществление телефонных вызовов
Изменение состояния телефона
Перенаправление исходящих вызовов
Просмотр журнала вызовов
Получение данных о статусе телефона
Изменение журнала вызовов
Фото/мультимедиа/файлы
Просмотр данных на USB-накопителе
Изменение/удаление данных на USB-накопителе
Память
Просмотр данных на USB-накопителе
Изменение/удаление данных на USB-накопителе
Камера
Фото- и видеосъемка
Микрофон
Запись аудио
Данные о Wi-Fi-подключении
Просмотр подключений Wi-Fi
Идентификатор устройства и данные о вызовах
Получение данных о статусе телефона
Другое
Отправка уведомлений о доставке SMS с ссылкой на WAP-страницу
Получение данных из Интернета
Просмотр сетевых подключений
Создание аккаунтов и установка паролей
Установление связи с устройствами Bluetooth
Отправка сообщений с их последующим сохранением
Изменение сетевых настроек
Подключение/отключение сети Wi-Fi
Отключение функции блокировки экрана
Неограниченный доступ к Интернету
Изменение настроек аудио
Просмотр настроек синхронизации
Запуск при включении устройства
Установка обоев
Использование аккаунтов на устройстве
Управление функцией вибросигнала
Предотвращение переключения устройства в спящий режим
Включение/выключение синхронизации
Поддержка TOR:
Signal - нет
Jabber - да
Signal - нет
Jabber - да
>>798
> В Signal, Wire и прочем дерьме сбор этих метаданных идет в БОЛЬШЕМ размере, чем в джаббере
И у Signal и у Wire есть четко прописаная Privacy Whitepaper, где написано, что, как и зачем они собирают.
> Зайди в TOR , сколько там людей пользуються твоим сигналом и wire
В TOR-е куча людей покупает и барыжит веществами через телеграм. Что это доказывает?
> еще больший слив метаданных.
Пруфы-то будут?
> В Signal, Wire и прочем дерьме сбор этих метаданных идет в БОЛЬШЕМ размере, чем в джаббере
И у Signal и у Wire есть четко прописаная Privacy Whitepaper, где написано, что, как и зачем они собирают.
> Зайди в TOR , сколько там людей пользуються твоим сигналом и wire
В TOR-е куча людей покупает и барыжит веществами через телеграм. Что это доказывает?
> еще больший слив метаданных.
Пруфы-то будут?
>>799
>Надежность шифрования
>* Jabber - высокая. Даже, при компрометации шифра, легко сменить на другой.
>* Signal - низкая.
Ты сам эту хуйню придумываешь? Дабл-ратчет Мокси является сейчас стандартом для e2e-сообщений. Но нет, анону с брчана виднее, он пишет "надежность низкая". Аргументы, какие-то факты? Нет, двух слов хватит. Ну охуеть тут у вас уровень дискуссии.
(дальше твой высер не читал)
>Надежность шифрования
>* Jabber - высокая. Даже, при компрометации шифра, легко сменить на другой.
>* Signal - низкая.
Ты сам эту хуйню придумываешь? Дабл-ратчет Мокси является сейчас стандартом для e2e-сообщений. Но нет, анону с брчана виднее, он пишет "надежность низкая". Аргументы, какие-то факты? Нет, двух слов хватит. Ну охуеть тут у вас уровень дискуссии.
(дальше твой высер не читал)
>>811
Он тут в разные треты пишет.
Пруфов, как сам ты видел - нет.
ИМХО - Signal и Jabber - вообще разные. Signal более централизован, кроме того к минусам можно отнести привязку к gapps (g-push), работу только с телефона, ну и слив контактов, без возможности это отключить.
Между тем, что касаемо криптографии - у меня нет что сказать, он безопасен.
Чтож до жабы - это стандарт дефакто, да.
Но тут нужно брать связку клиент-сервер, и смотреть, потому что есть сервера, которые менее приватны, чем другие, ну и есть клиенты, где даже поддержки OTR нет.
Этакий конструктор, тоже безопасный, если подойти с умом, но не из коробки.
Автор же выше - сравнивает "осла с козлом."
Он тут в разные треты пишет.
Пруфов, как сам ты видел - нет.
ИМХО - Signal и Jabber - вообще разные. Signal более централизован, кроме того к минусам можно отнести привязку к gapps (g-push), работу только с телефона, ну и слив контактов, без возможности это отключить.
Между тем, что касаемо криптографии - у меня нет что сказать, он безопасен.
Чтож до жабы - это стандарт дефакто, да.
Но тут нужно брать связку клиент-сервер, и смотреть, потому что есть сервера, которые менее приватны, чем другие, ну и есть клиенты, где даже поддержки OTR нет.
Этакий конструктор, тоже безопасный, если подойти с умом, но не из коробки.
Автор же выше - сравнивает "осла с козлом."
>>810
>И у Signal и у Wire есть четко прописаная Privacy Whitepaper, где написано, что, как и зачем они собирают.
Signal собирает права, по которым можно:
* 100% установить личность тебя и твоих собеседников,
* скачать файлы со смарта,
* включить тайно микрофон или видекамеру,
* загрузить троян,
* посмотреть историю браузера,
* найти другие учетные записи.
Не много ли они хотят, для секьюти мессенджера?
Джаббер не собирает ничего, потому что XMPP серверы делают одни, мессенджеры другие
> покупают и барыжат веществами через телеграм.
Немного таких, но это в очередной раз доказывает, что телеграмм красный. Создают иллюзию его безопасности, для ловли рыбы по-крупнее.
Опозиционеров они быстро находят и взламывают, а наркоманы им просто ненужны.
>Дабл-ратчет Мокси является сейчас стандартом для e2e-сообщений.
Стандартом шифрования является PGP. Претензии не к самому алготму Мокси, а к его реализации
(OMEMO в джаббере, тот же алгоритм, что и в сигнале.Ватсап- это вообще закрый джаббер сервер. Они используют для сообщений Ejabberd)
>>813
>Пруфов, как сам ты видел - нет.
Я сижу через TOR. Когда каждый гавносайт открывается секунд 30 и не работает гугл, искать пруфы, тем более на английском - невыносимо.
>Между тем, что касаемо криптографии - у меня нет что сказать, он безопасен.
Ко всем подобным конторам приходят из АНБ и просят поставить свой бекдор. Поэтому и требует столько прав сигнал - отрабатывают денежки из АНБ.
>Этакий конструктор, тоже безопасный, если подойти с умом, но не из коробки.
Если подойти с умом джаббер безопасней Сигнала. Он не требует номер телефона и столько прав, сколько требует сигнал.
.
В джаббере можно проверить, что делает в данный момент делает прога. (смотришь соединение)
В сигнале информация о соединении ничего него не дает. Владелец сервера и разработчик проги одна и та же компания.
Сигнал делает неизвестно что.
>Автор же выше - сравнивает "осла с козлом."
Джаббер надежный как танк, а сигнал это розовый, китайский хаммер для хипстеров. Он лучше гавновозки от российских контор и удобней чем танк, но это не танк.
Сигнал в любой момент может начать сливать ключи роскомнадзору, как делает это для АНБ.
В джаббере безопасность ключей и других данных на уровне архитектуры, разделения полномочий.
Хотите настоящей защиты переписки юзайте джаббер, хотите иллюзии защиты и звонки - сигнал.
Сигнал безопасен ровным счетом, столько же сколько ватсап, телеграм, Wire, Threema - пока бояре это хотят
>И у Signal и у Wire есть четко прописаная Privacy Whitepaper, где написано, что, как и зачем они собирают.
Signal собирает права, по которым можно:
* 100% установить личность тебя и твоих собеседников,
* скачать файлы со смарта,
* включить тайно микрофон или видекамеру,
* загрузить троян,
* посмотреть историю браузера,
* найти другие учетные записи.
Не много ли они хотят, для секьюти мессенджера?
Джаббер не собирает ничего, потому что XMPP серверы делают одни, мессенджеры другие
> покупают и барыжат веществами через телеграм.
Немного таких, но это в очередной раз доказывает, что телеграмм красный. Создают иллюзию его безопасности, для ловли рыбы по-крупнее.
Опозиционеров они быстро находят и взламывают, а наркоманы им просто ненужны.
>Дабл-ратчет Мокси является сейчас стандартом для e2e-сообщений.
Стандартом шифрования является PGP. Претензии не к самому алготму Мокси, а к его реализации
(OMEMO в джаббере, тот же алгоритм, что и в сигнале.Ватсап- это вообще закрый джаббер сервер. Они используют для сообщений Ejabberd)
>>813
>Пруфов, как сам ты видел - нет.
Я сижу через TOR. Когда каждый гавносайт открывается секунд 30 и не работает гугл, искать пруфы, тем более на английском - невыносимо.
>Между тем, что касаемо криптографии - у меня нет что сказать, он безопасен.
Ко всем подобным конторам приходят из АНБ и просят поставить свой бекдор. Поэтому и требует столько прав сигнал - отрабатывают денежки из АНБ.
>Этакий конструктор, тоже безопасный, если подойти с умом, но не из коробки.
Если подойти с умом джаббер безопасней Сигнала. Он не требует номер телефона и столько прав, сколько требует сигнал.
.
В джаббере можно проверить, что делает в данный момент делает прога. (смотришь соединение)
В сигнале информация о соединении ничего него не дает. Владелец сервера и разработчик проги одна и та же компания.
Сигнал делает неизвестно что.
>Автор же выше - сравнивает "осла с козлом."
Джаббер надежный как танк, а сигнал это розовый, китайский хаммер для хипстеров. Он лучше гавновозки от российских контор и удобней чем танк, но это не танк.
Сигнал в любой момент может начать сливать ключи роскомнадзору, как делает это для АНБ.
В джаббере безопасность ключей и других данных на уровне архитектуры, разделения полномочий.
Хотите настоящей защиты переписки юзайте джаббер, хотите иллюзии защиты и звонки - сигнал.
Сигнал безопасен ровным счетом, столько же сколько ватсап, телеграм, Wire, Threema - пока бояре это хотят
>>817
>Signal собирает права, по которым можно:
>* 100% установить личность тебя и твоих собеседников,
Как установить личность? Через номер телефона?
>* скачать файлы со смарта,
Пруф?
>* включить тайно микрофон или видекамеру,
Пруф? Особенно учитывая то, что права у меня, в параноидальном режиме, приложухи запрашивают КАЖДЫЙ раз перед активацией
>* загрузить троян,
Пруф? Ну нет, в теории, с обновлением… почему бы и нет? Вот только код открытый, а это убьет доверие с первой попытки.
>* посмотреть историю браузера,
Пруф?
>* найти другие учетные записи.
Пруф?
>Signal собирает права, по которым можно:
>* 100% установить личность тебя и твоих собеседников,
Как установить личность? Через номер телефона?
>* скачать файлы со смарта,
Пруф?
>* включить тайно микрофон или видекамеру,
Пруф? Особенно учитывая то, что права у меня, в параноидальном режиме, приложухи запрашивают КАЖДЫЙ раз перед активацией
>* загрузить троян,
Пруф? Ну нет, в теории, с обновлением… почему бы и нет? Вот только код открытый, а это убьет доверие с первой попытки.
>* посмотреть историю браузера,
Пруф?
>* найти другие учетные записи.
Пруф?
>>817
>Сигнал в любой момент может начать сливать ключи роскомнадзору
Угу. Читай реализацию ещё раз - там e2e.
>Сигнал безопасен ровным счетом, столько же сколько ватсап, телеграм, Wire, Threema - пока бояре это хотят
К Wire у меня одна притензия - закрытая серверная часть, но они это уже поправили/правят в ближайшее время.
Threema - да, есть обоснованные подозрения, так что нахуй.
ватсап, телеграм - пфф, сравнил.
Сигнал на порядок лучше зоопарка выше. Почему? e2e по умолчанию. И на звонках, и в групчатах.
>Сигнал в любой момент может начать сливать ключи роскомнадзору
Угу. Читай реализацию ещё раз - там e2e.
>Сигнал безопасен ровным счетом, столько же сколько ватсап, телеграм, Wire, Threema - пока бояре это хотят
К Wire у меня одна притензия - закрытая серверная часть, но они это уже поправили/правят в ближайшее время.
Threema - да, есть обоснованные подозрения, так что нахуй.
ватсап, телеграм - пфф, сравнил.
Сигнал на порядок лучше зоопарка выше. Почему? e2e по умолчанию. И на звонках, и в групчатах.
>>798
> Ему прийдут номера телефонов контактов (которые ты скрыл галочкой не собирать)
Это permission на уровне операционной системы, Wire просто не имеет доступа к адресной книге в этом случае.
> индификаторы этих устройств, айпишки, местоположение приема смс, окружающие Wi-Fi сети.
Где в клиенте wire или signal код, что-либо вообще делающий с Wi-Fi? Исходники открыты если что. У них даже разрешений соответствующих нет.
> В Signal, Wire и прочем дерьме сбор этих метаданных идет в БОЛЬШЕМ размере, чем в джаббере. В джаббере хранится возможный МИНИМУМ.
Что хранится зависит от сервера, у Wire и Signal тоже есть privacy policy: https://www.whispersystems.org/signal/privacy/
> Ты говоришь о супер защищенности!?
Нет.
> Зайди в TOR , сколько там людей пользуються твоим сигналом и wire? Никто.
Мы на http://brchanansdnhvvnm.onion
> Чего ты хотел? Что кто-то будет подставлять себя защищая преступников? В сигнале и wire такие же условия использования.
Нет, такого в privacy policy нет. Это вообще не должно быть частью privacy policy, хотя бы потому, что определить, является ли пользователь преступником, админ не может. "Required by the police" это значит по требованию следака, то есть на этапе, когда вина не доказана. Уважающие себя компании (Google, Apple, Facebook) выдают данные по решению суда, а не требованию полиции.
> Ему прийдут номера телефонов контактов (которые ты скрыл галочкой не собирать)
Это permission на уровне операционной системы, Wire просто не имеет доступа к адресной книге в этом случае.
> индификаторы этих устройств, айпишки, местоположение приема смс, окружающие Wi-Fi сети.
Где в клиенте wire или signal код, что-либо вообще делающий с Wi-Fi? Исходники открыты если что. У них даже разрешений соответствующих нет.
> В Signal, Wire и прочем дерьме сбор этих метаданных идет в БОЛЬШЕМ размере, чем в джаббере. В джаббере хранится возможный МИНИМУМ.
Что хранится зависит от сервера, у Wire и Signal тоже есть privacy policy: https://www.whispersystems.org/signal/privacy/
> Ты говоришь о супер защищенности!?
Нет.
> Зайди в TOR , сколько там людей пользуються твоим сигналом и wire? Никто.
Мы на http://brchanansdnhvvnm.onion
> Чего ты хотел? Что кто-то будет подставлять себя защищая преступников? В сигнале и wire такие же условия использования.
Нет, такого в privacy policy нет. Это вообще не должно быть частью privacy policy, хотя бы потому, что определить, является ли пользователь преступником, админ не может. "Required by the police" это значит по требованию следака, то есть на этапе, когда вина не доказана. Уважающие себя компании (Google, Apple, Facebook) выдают данные по решению суда, а не требованию полиции.
>>811
Самая писечка в том, что OMEMO это порт протокола из Signal в Jabber.
Самая писечка в том, что OMEMO это порт протокола из Signal в Jabber.
>>799
> Надежность шифрования
> Jabber - высокая. Даже, при компрометации шифра, легко сменить на другой.
Как раз таки одна из причин, почему Signal не делает федерализацию и распространение через альтернативные репозитории - возможность быстрого обновления всех юзеров и смены протокола. В XMPP переходный период будет дольше, из-за обратной совместимости старые шифры поддерживаются еще как минимум несколько лет. Это проблема всех открытых протоколов, посмотри сколько времени уже от SHA1 в TLS избавляемся.
> Надежность шифрования
> Jabber - высокая. Даже, при компрометации шифра, легко сменить на другой.
Как раз таки одна из причин, почему Signal не делает федерализацию и распространение через альтернативные репозитории - возможность быстрого обновления всех юзеров и смены протокола. В XMPP переходный период будет дольше, из-за обратной совместимости старые шифры поддерживаются еще как минимум несколько лет. Это проблема всех открытых протоколов, посмотри сколько времени уже от SHA1 в TLS избавляемся.
>>799
Все permissions ты зачем в слив метаданных записал? Исходники клиента полностью открыты.
Все permissions ты зачем в слив метаданных записал? Исходники клиента полностью открыты.
>>817
> Немного таких, но это в очередной раз доказывает, что телеграмм красный. Создают иллюзию его безопасности, для ловли рыбы по-крупнее.
А если бы таких не было, то доказывало бы, что телеграм небезопасен и барыги его сторонятся, да? Технически телеграм говно, потому что секретные чаты отстали от state of the art (Signal protocol и OMEMO) и шифрование звонков не интегрировано, но претензий по политике пока нет. Известно только о модерации "каналов", но они открыты, их можно через поиск найти. О закрытии групп я не знаю.
> Опозиционеров они быстро находят и взламывают, а наркоманы им просто ненужны.
Взламывают оппозиционеров, у которых не включена двухфакторная аутентификация, просто перехватывая SMS с кодом. Наиболее вероятно, что просто операторы "сотрудничают".
> Немного таких, но это в очередной раз доказывает, что телеграмм красный. Создают иллюзию его безопасности, для ловли рыбы по-крупнее.
А если бы таких не было, то доказывало бы, что телеграм небезопасен и барыги его сторонятся, да? Технически телеграм говно, потому что секретные чаты отстали от state of the art (Signal protocol и OMEMO) и шифрование звонков не интегрировано, но претензий по политике пока нет. Известно только о модерации "каналов", но они открыты, их можно через поиск найти. О закрытии групп я не знаю.
> Опозиционеров они быстро находят и взламывают, а наркоманы им просто ненужны.
Взламывают оппозиционеров, у которых не включена двухфакторная аутентификация, просто перехватывая SMS с кодом. Наиболее вероятно, что просто операторы "сотрудничают".
>>817
> Поэтому и требует столько прав сигнал - отрабатывают денежки из АНБ.
Клиент открыт, пруфани что он сливает.
https://support.whispersystems.org/hc/en-us/articles/212535858-What-are-all-these-permissions-
> Поэтому и требует столько прав сигнал - отрабатывают денежки из АНБ.
Клиент открыт, пруфани что он сливает.
https://support.whispersystems.org/hc/en-us/articles/212535858-What-are-all-these-permissions-
>>822
> Сигнал на порядок лучше зоопарка выше. Почему? e2e по умолчанию. И на звонках, и в групчатах.
This. Неотключаемый E2E по умолчанию это большое преимущество. Conversations из Google Play платный, а в Gajim по дефолту нет плагина для OMEMO и он требует зависимости вроде python-axolotl. В итоге каждому собеседнику нужно объяснять, что это и зачем надо, а Signal просто работает.
Создание изкоробочного решения это основная миссия OWS: https://www.whispersystems.org/blog/they-live/
> Сигнал на порядок лучше зоопарка выше. Почему? e2e по умолчанию. И на звонках, и в групчатах.
This. Неотключаемый E2E по умолчанию это большое преимущество. Conversations из Google Play платный, а в Gajim по дефолту нет плагина для OMEMO и он требует зависимости вроде python-axolotl. В итоге каждому собеседнику нужно объяснять, что это и зачем надо, а Signal просто работает.
Создание изкоробочного решения это основная миссия OWS: https://www.whispersystems.org/blog/they-live/
>>821
>Как установить личность? Через номер телефона?
Берем покупаем левую симку в телефоне. Берем покупаем телефон с рук. Вставляем внутрь сим-ку и примаем смс . Поздравляю! Вы спались! Вы забыли отключить свой смартфон в кармане, оператор установил что два телефона находились в одном месте.
Это лишь один из тысячи примеров, как пробить, по всем этим данным которые собирает Сигнал.
>Пруф?
Ищи сам пруфы. Ты используешь эти программы и тебе нужно беспокоиться о своей безопасности.
>Почему? e2e по умолчанию.
Заебись аргумент.
В xabber и conversation тоже, после нажатия 1 кнопки. Может умесно сравнивать не весь мир джаббера, а лишь отдельные клиенты?
Иначе в у Вас какая-то путаница в понимании, что такое джаббер и как его использовать, и как в нем включают шифрование.
Как есть Сигнал, Ватсап, Телеграм, внутри протокола джаббера есть свои Gajim, Xabber, Conversation, Pidgin. Джаббер не один клиент, а взаимодействие между несколькими.
Это тоже самое, что Сигнал, Ватсап, и Телеграм, неожиданно стали друг, другу сообщения отправлять и взаимозаменяемы.
>Как раз таки одна из причин, почему Signal не делает федерализацию
Они не делают федерализацию, потому что хотят срубить бабла, как раскрутятся.
Не усложняй без необходимости, а то так до теории массонского заговора и то что джаббер придумали рептилоиды недалеко.
>Как установить личность? Через номер телефона?
Берем покупаем левую симку в телефоне. Берем покупаем телефон с рук. Вставляем внутрь сим-ку и примаем смс . Поздравляю! Вы спались! Вы забыли отключить свой смартфон в кармане, оператор установил что два телефона находились в одном месте.
Это лишь один из тысячи примеров, как пробить, по всем этим данным которые собирает Сигнал.
>Пруф?
Ищи сам пруфы. Ты используешь эти программы и тебе нужно беспокоиться о своей безопасности.
>Почему? e2e по умолчанию.
Заебись аргумент.
В xabber и conversation тоже, после нажатия 1 кнопки. Может умесно сравнивать не весь мир джаббера, а лишь отдельные клиенты?
Иначе в у Вас какая-то путаница в понимании, что такое джаббер и как его использовать, и как в нем включают шифрование.
Как есть Сигнал, Ватсап, Телеграм, внутри протокола джаббера есть свои Gajim, Xabber, Conversation, Pidgin. Джаббер не один клиент, а взаимодействие между несколькими.
Это тоже самое, что Сигнал, Ватсап, и Телеграм, неожиданно стали друг, другу сообщения отправлять и взаимозаменяемы.
>Как раз таки одна из причин, почему Signal не делает федерализацию
Они не делают федерализацию, потому что хотят срубить бабла, как раскрутятся.
Не усложняй без необходимости, а то так до теории массонского заговора и то что джаббер придумали рептилоиды недалеко.
>>832
> а в Gajim по дефолту нет плагина для OMEMO
Виндой не пользуюсь, на линуксе есть.
Сигнал вообще не работает на компе (или какие-то уезвимости в веб-версии не помню, что там у них)
>Conversations из Google Play платный
Xabber бесплатный и тоже клевый. Специально, для тех кто не оссилит f-droid
>Клиент открыт, пруфани что он сливает.
Ты не ту ссылку дал, скинь ссылку на готовый пакет в Google Play и аудит его кода от экспертов.
Но зачем столько сложностей?
В джаббере это не нужно. Смотрешь с чем соеденияться клиент, если с тем адрессом с каким должен, значит все окей.
Незнаю как для Вас, но для меня кажется очевидным факт, если приватный мессенджер требует номер телефона и использует больше прав чем должен, значит что-то здесь не так.
> а в Gajim по дефолту нет плагина для OMEMO
Виндой не пользуюсь, на линуксе есть.
Сигнал вообще не работает на компе (или какие-то уезвимости в веб-версии не помню, что там у них)
>Conversations из Google Play платный
Xabber бесплатный и тоже клевый. Специально, для тех кто не оссилит f-droid
>Клиент открыт, пруфани что он сливает.
Ты не ту ссылку дал, скинь ссылку на готовый пакет в Google Play и аудит его кода от экспертов.
Но зачем столько сложностей?
В джаббере это не нужно. Смотрешь с чем соеденияться клиент, если с тем адрессом с каким должен, значит все окей.
Незнаю как для Вас, но для меня кажется очевидным факт, если приватный мессенджер требует номер телефона и использует больше прав чем должен, значит что-то здесь не так.
>>830
>А если бы таких не было, то доказывало бы, что телеграм небезопасен и барыги его сторонятся, да?
Как сообщил СК РФ, ими совместно с ГУ МВД России был найден и задержан подозреваемый в призывах к массовым беспорядкам 2 апреля - им оказался гражданин 1992 года рождения, считавший себя неуязвимым анонимом из-за использования Tor, VPN и купленных заграничных прокси-серверов.
Фраза и из интерью следователя:
"Человек сидел с настроенным VPN и с TOR, у него на мобильных даже был настроен VPN, диски зашифрованные, куча аккаунтов в разных соцсетях, а еще он надеялся не неуязвимость Телеграма."
Телеграм слил местоположение. Если им это сильно нужно, они посылают запросы к мессенджерам. Дальше, при наличии такого большого колличества прав, деанон это формальность.
М..Да…Раздел для криптоархистов, похож на форум домохозяек.
Джаббер, Линукс, ТОР, биткоины и криптография это стандартный набор шифропанка
>А если бы таких не было, то доказывало бы, что телеграм небезопасен и барыги его сторонятся, да?
Как сообщил СК РФ, ими совместно с ГУ МВД России был найден и задержан подозреваемый в призывах к массовым беспорядкам 2 апреля - им оказался гражданин 1992 года рождения, считавший себя неуязвимым анонимом из-за использования Tor, VPN и купленных заграничных прокси-серверов.
Фраза и из интерью следователя:
"Человек сидел с настроенным VPN и с TOR, у него на мобильных даже был настроен VPN, диски зашифрованные, куча аккаунтов в разных соцсетях, а еще он надеялся не неуязвимость Телеграма."
Телеграм слил местоположение. Если им это сильно нужно, они посылают запросы к мессенджерам. Дальше, при наличии такого большого колличества прав, деанон это формальность.
М..Да…Раздел для криптоархистов, похож на форум домохозяек.
Джаббер, Линукс, ТОР, биткоины и криптография это стандартный набор шифропанка
>>838
>Джаббер, Линукс, ТОР, биткоины и криптография это стандартный набор шифропанка
Да, деды этим пользовались.
>Джаббер, Линукс, ТОР, биткоины и криптография это стандартный набор шифропанка
Да, деды этим пользовались.
>>836
>Незнаю как для Вас, но для меня кажется очевидным факт, если приватный мессенджер требует номер телефона и использует больше прав чем должен, значит что-то здесь не так.
Ты очень зря упускаешь из вида открытый код. Для тебя что вотсап, что сигнал - одно и тоже. Ты боишься лишних разрешений (которые успешно обрезаются на современных андроидах), но твои привычные инструменты тебя сольют в итоге.
>Незнаю как для Вас, но для меня кажется очевидным факт, если приватный мессенджер требует номер телефона и использует больше прав чем должен, значит что-то здесь не так.
Ты очень зря упускаешь из вида открытый код. Для тебя что вотсап, что сигнал - одно и тоже. Ты боишься лишних разрешений (которые успешно обрезаются на современных андроидах), но твои привычные инструменты тебя сольют в итоге.
>>838
>"Человек сидел с настроенным VPN и с TOR, у него на мобильных даже был настроен VPN, диски зашифрованные, куча аккаунтов в разных соцсетях, а еще он надеялся не неуязвимость Телеграма."
>Телеграм слил местоположение. Если им это сильно нужно, они посылают запросы к мессенджерам. Дальше, при наличии такого большого колличества прав, деанон это формальность.
Если человек не понимает зачем разделять активность, если он IRL всем кричит, под каким ником он известен в TOR и чем занимается, то ему ничто не поможет.
Мессенджеры привязанные к телефону вообще не об анонимности, они о приватности. А то вот ты тут такой пиаришь жабу, а в IRL поди пользуешься открытыми звонками и СМС? Или ты уже всех IRL знакомых пересадил на жаббер?
>"Человек сидел с настроенным VPN и с TOR, у него на мобильных даже был настроен VPN, диски зашифрованные, куча аккаунтов в разных соцсетях, а еще он надеялся не неуязвимость Телеграма."
>Телеграм слил местоположение. Если им это сильно нужно, они посылают запросы к мессенджерам. Дальше, при наличии такого большого колличества прав, деанон это формальность.
Если человек не понимает зачем разделять активность, если он IRL всем кричит, под каким ником он известен в TOR и чем занимается, то ему ничто не поможет.
Мессенджеры привязанные к телефону вообще не об анонимности, они о приватности. А то вот ты тут такой пиаришь жабу, а в IRL поди пользуешься открытыми звонками и СМС? Или ты уже всех IRL знакомых пересадил на жаббер?
>>843
>ты боишься лишних разрешений (которые успешно обрезаются
Прием 1 смс-ки уже есть зло. Паспорт потребовали, тоже бы прислал?
В джаббере нет, того что нужно блокировать в сигнале.
>>843
У меня в джаббере больше контактов, чем в других мессенджерах. Все друзья в джаббере есть.
Подсадить на джаббер, уже не так сложно как раньше. Ничем не сложнее, чем тот же на сигнал.
В джаббере много народа, в основном програмисты и анимешники. Девушки тоже есть, но их процентов 10%.
Джаббер в чем-то даже удобней даже. Создаешь закрытый чат со всеми друзьями и болтаешь сколько влезет.
Я не говорю, что другие мессенджеры не нужны звонков и т.д. Я говорю о том, что они не настолько хорошы насколько себя позиционируют
>ты боишься лишних разрешений (которые успешно обрезаются
Прием 1 смс-ки уже есть зло. Паспорт потребовали, тоже бы прислал?
В джаббере нет, того что нужно блокировать в сигнале.
>>843
У меня в джаббере больше контактов, чем в других мессенджерах. Все друзья в джаббере есть.
Подсадить на джаббер, уже не так сложно как раньше. Ничем не сложнее, чем тот же на сигнал.
В джаббере много народа, в основном програмисты и анимешники. Девушки тоже есть, но их процентов 10%.
Джаббер в чем-то даже удобней даже. Создаешь закрытый чат со всеми друзьями и болтаешь сколько влезет.
Я не говорю, что другие мессенджеры не нужны звонков и т.д. Я говорю о том, что они не настолько хорошы насколько себя позиционируют
Заходишь в группу в телеге, смотришь - подобие очередной быдло социалочки.
Заходишь в конфу в джаббере - все свои, хакеры, анимешники, програмисты, параноики, девушки-хиккомори, битарды
Теплооооо, уютнооо, ламповоооо…Прям как на имиджборде
Заходишь в конфу в джаббере - все свои, хакеры, анимешники, програмисты, параноики, девушки-хиккомори, битарды
Теплооооо, уютнооо, ламповоооо…Прям как на имиджборде
>>842
Открытый код 100% не гарантия безопасности мессенджера. Тот же телеграмм, на открытом исходном коде и что мы имеем?
Высокая гарантия безопастности, когда сам можешь проверить свой траффик С джаббером - это просто. Если соедение только с джаббер сервером, значи клиент не крассный.
Открытый код 100% не гарантия безопасности мессенджера. Тот же телеграмм, на открытом исходном коде и что мы имеем?
Высокая гарантия безопастности, когда сам можешь проверить свой траффик С джаббером - это просто. Если соедение только с джаббер сервером, значи клиент не крассный.
>>841
Для звонков сигнал само то, но это не насколько безопасный мессенджер, насколько пиарят. Это блеф, они легли под NSA
Для звонков сигнал само то, но это не насколько безопасный мессенджер, насколько пиарят. Это блеф, они легли под NSA
Мессенджеру который не собираеться за мной следить, не нужен мой номер телефона, е-майл, чтение моих смс.
Ему незачем искать другие аккаунты на моем устройстве, смотреть GPS, журналы устройства, знать мои звонки и какие вокруг меня сети.
Джаббер лучше всего подходит по эти критерии. Он просто пересылает сообщения и все
>>846
>Прием 1 смс-ки уже есть зло. Паспорт потребовали, тоже бы прислал?
Паспорт умеет принимать смски?
>>846
>В джаббере нет, того что нужно блокировать в сигнале.
Можно вообще калькулятором пользоваться без доступа к сети и иных разрешений.
>>848
>Открытый код 100% не гарантия безопасности мессенджера
Не гарантия, но учитывать это стоит все равно.
>>850
сорян
У сигнала тут есть ещё фича. Он всем ставит E2E по умолчанию. И если нет MiTM от оператора или со стороны сервера Signal, то можно вовсе не сверять отпечаток ключа. Да, лучше сверять и нужно сверять. Но если кто-то не сверил, не так страшно. Точечные атаки сразу станут заметны, это и потеря репутации. Нельзя проверить, сверил ли человек ключи или нет, потому выход только честное поведение по отношению ко всем. А во всех этих сервисах с опциональным шифрованием и федеративных протоколах, мало кто пользуется шифрованием. Сервисы так вообще никогда практически. Даже емейл, где уже давно PGP им пользуются только единицы энтузиастов. Куча сервисов с регой по email, нигде нет включения PGP.
>Прием 1 смс-ки уже есть зло. Паспорт потребовали, тоже бы прислал?
Паспорт умеет принимать смски?
>>846
>В джаббере нет, того что нужно блокировать в сигнале.
Можно вообще калькулятором пользоваться без доступа к сети и иных разрешений.
>>848
>Открытый код 100% не гарантия безопасности мессенджера
Не гарантия, но учитывать это стоит все равно.
>>850
сорян
У сигнала тут есть ещё фича. Он всем ставит E2E по умолчанию. И если нет MiTM от оператора или со стороны сервера Signal, то можно вовсе не сверять отпечаток ключа. Да, лучше сверять и нужно сверять. Но если кто-то не сверил, не так страшно. Точечные атаки сразу станут заметны, это и потеря репутации. Нельзя проверить, сверил ли человек ключи или нет, потому выход только честное поведение по отношению ко всем. А во всех этих сервисах с опциональным шифрованием и федеративных протоколах, мало кто пользуется шифрованием. Сервисы так вообще никогда практически. Даже емейл, где уже давно PGP им пользуются только единицы энтузиастов. Куча сервисов с регой по email, нигде нет включения PGP.
>>851
>е-майл, чтение моих смс.
А чем тебя так волнует чтение твоих СМС, если их у тебя не должно быть вовсе?
>е-майл, чтение моих смс.
А чем тебя так волнует чтение твоих СМС, если их у тебя не должно быть вовсе?
>>853
>Паспорт умеет принимать смски?
Номер телефона = паспорт
>А чем тебя так волнует чтение твоих СМС, если их у тебя не должно быть вовсе?
Даже по смс, можно вычислить местоположение, узнать о других аккаунтах.
Не волнует, но это лишние права для секретного мессенджера.
>А во всех этих сервисах с опциональным шифрованием и федеративных протоколах, мало кто пользуется шифрованием
Совсем не так. Почти все. В топовых клиентах есть шифрование. В хаббере и коверсацион, если один собеседник включает и у другого включаеться тоже.
Если кто и не включает, значит ему это ненужно. Зайди в джаббер конфу и спроси сколько из всех использует шифрование, тебе скажут что почти все.
Если кто-то не использует, то из идеалогических соображений, а не потому что не может.
>Паспорт умеет принимать смски?
Номер телефона = паспорт
>А чем тебя так волнует чтение твоих СМС, если их у тебя не должно быть вовсе?
Даже по смс, можно вычислить местоположение, узнать о других аккаунтах.
Не волнует, но это лишние права для секретного мессенджера.
>А во всех этих сервисах с опциональным шифрованием и федеративных протоколах, мало кто пользуется шифрованием
Совсем не так. Почти все. В топовых клиентах есть шифрование. В хаббере и коверсацион, если один собеседник включает и у другого включаеться тоже.
Если кто и не включает, значит ему это ненужно. Зайди в джаббер конфу и спроси сколько из всех использует шифрование, тебе скажут что почти все.
Если кто-то не использует, то из идеалогических соображений, а не потому что не может.
Чем мне нравиться джаббер? В джаббере такая же атмосфера, как в TOR и на бордах
>>855
Зашел в группы в телеге, там школьники-дрочилы, наркоманы и вконтактные хомячки
Зашел в группы в телеге, там школьники-дрочилы, наркоманы и вконтактные хомячки
>>822
> К Wire у меня одна притензия - закрытая серверная часть, но они это уже поправили/правят в ближайшее время.
Странная претензия. Во-первых, код сервера открыт.
Во-вторых, это неважно.
Код сервера ничего не даст в плане безопасности. Нет никакого способа проверить, что на сервере работать будет тот же код, что показали.
С наличием правильно реализованого e2e код сервера не важен для безопасности e2e. Поэтому аудит нужен для протокола и клиента.
с точки зрения приватности нужно проверять, что приложение не отправляет на сервер ничего лишнего (как например телеграм адресную книгу открытым текстом передаёт). Но для этой проверки код сервера, опять же, не нужен; нужно смотреть клиент.
> К Wire у меня одна притензия - закрытая серверная часть, но они это уже поправили/правят в ближайшее время.
Странная претензия. Во-первых, код сервера открыт.
Во-вторых, это неважно.
Код сервера ничего не даст в плане безопасности. Нет никакого способа проверить, что на сервере работать будет тот же код, что показали.
С наличием правильно реализованого e2e код сервера не важен для безопасности e2e. Поэтому аудит нужен для протокола и клиента.
с точки зрения приватности нужно проверять, что приложение не отправляет на сервер ничего лишнего (как например телеграм адресную книгу открытым текстом передаёт). Но для этой проверки код сервера, опять же, не нужен; нужно смотреть клиент.
>>838
Это история про того математика, который экзит-ноду тора у себя держал? Так телеграм-то тут причём?
Это история про того математика, который экзит-ноду тора у себя держал? Так телеграм-то тут причём?
>>849
> Это блеф, они легли под NSA
Пруфов, конечно, не будет?
> Для звонков сигнал само то
То есть легли, но для звонков самое то?
Ты уж определись.
> Это блеф, они легли под NSA
Пруфов, конечно, не будет?
> Для звонков сигнал само то
То есть легли, но для звонков самое то?
Ты уж определись.
>>829
В торе есть аналог гитхаба? Разместить там репу и принимать/обсуждать пул реквесты было бы идеально.
В торе есть аналог гитхаба? Разместить там репу и принимать/обсуждать пул реквесты было бы идеально.
>>859
Нет. Это история про парня, который создал группу в телеге. В группе он призывал, к действиями, которые можно расценить как крайне радикальные.
Ментам не понравилась инциатива парня и они выпили вначале группу, а потом и самого парня.
Парень подключался к телеге, через ВПН. Номер и телефон был левыми, но смс-ку он принял дома. Опсосы детектят положение мобил, вполодь до пары ментров.
Вот почему номер телефона = паспорт. Не будешь же каждый раз новый телефон покупать и бежать в лес, когда в новом анонимном гавномессенджере регаешься?
Да и не поможет это. Помимо телеграмы, сигналы, wire еще много другого отсылают.
Нет. Это история про парня, который создал группу в телеге. В группе он призывал, к действиями, которые можно расценить как крайне радикальные.
Ментам не понравилась инциатива парня и они выпили вначале группу, а потом и самого парня.
Парень подключался к телеге, через ВПН. Номер и телефон был левыми, но смс-ку он принял дома. Опсосы детектят положение мобил, вполодь до пары ментров.
Вот почему номер телефона = паспорт. Не будешь же каждый раз новый телефон покупать и бежать в лес, когда в новом анонимном гавномессенджере регаешься?
Да и не поможет это. Помимо телеграмы, сигналы, wire еще много другого отсылают.
>>861
Есть что-то. Спецслужбы запили, какой-то сервер что бы анонам было удобно
Есть что-то. Спецслужбы запили, какой-то сервер что бы анонам было удобно
>>860
>Пруфов, конечно, не будет?
Пруфы надо просить у АНБ, но они вряд ли их предоставят. Можно предположить по коственным причинам.
Расположенный в США, требуют прав в приложении больше, чем это нужно для передачи сообщений.
>То есть легли, но для звонков самое то?
Более безопасной альтернативы wire и signal, для звонков на смартах нет.
Еще есть то дурь, для шифрования обычных звонков, но майоры охуееют от такой наглости
>Пруфов, конечно, не будет?
Пруфы надо просить у АНБ, но они вряд ли их предоставят. Можно предположить по коственным причинам.
Расположенный в США, требуют прав в приложении больше, чем это нужно для передачи сообщений.
>То есть легли, но для звонков самое то?
Более безопасной альтернативы wire и signal, для звонков на смартах нет.
Еще есть то дурь, для шифрования обычных звонков, но майоры охуееют от такой наглости
>>865
Для e2e в групповой чате, все участники чата должны вручную подвердить ключ нового участника. До подверждения нового ключа их сообщения нельзя будет прочитать.
Неужели 30 человек подверждают ключ, когда к ним захидит новый хрен с горы?
Для e2e в групповой чате, все участники чата должны вручную подвердить ключ нового участника. До подверждения нового ключа их сообщения нельзя будет прочитать.
Неужели 30 человек подверждают ключ, когда к ним захидит новый хрен с горы?
>>866
Другой вариант реализации это подпись центром сертификации, но в этом случае это уже не e2e. Мало отличаеться от накрытия чата https. Поле раздолья для Mitm-аттак на ключи
Другой вариант реализации это подпись центром сертификации, но в этом случае это уже не e2e. Мало отличаеться от накрытия чата https. Поле раздолья для Mitm-аттак на ключи
>>423
Забавно, что Дуров упорно кукарекает о том, что все остальные мессенджеры на рынке - говно и корчит из себя неистового борцуна за свободу. Вообще можно найти массу противоречий между его пиздежом и действиями.
Забавно, что Дуров упорно кукарекает о том, что все остальные мессенджеры на рынке - говно и корчит из себя неистового борцуна за свободу. Вообще можно найти массу противоречий между его пиздежом и действиями.
Скоро забанят все не крассные мессенжеры, кроме сигнала и джаббера
https://rublacklist.net/29109/
Сигнал хостится на гугле
Джаббер работает через TOR
https://rublacklist.net/29109/
Сигнал хостится на гугле
Джаббер работает через TOR
>>872
>Парень подключался к телеге, через ВПН. Номер и телефон был левыми, но смс-ку он принял дома. Опсосы детектят положение мобил, вполодь до пары ментров.
Эм. Я правильно понимаю, что оный анонимус сидел в телеграме через TOR-VPN из дома с мобилы, к которой был привязан телеграм СМС-кой? Но это же абсурд. Смысл тогда торы всякие наворачивать?
>Парень подключался к телеге, через ВПН. Номер и телефон был левыми, но смс-ку он принял дома. Опсосы детектят положение мобил, вполодь до пары ментров.
Эм. Я правильно понимаю, что оный анонимус сидел в телеграме через TOR-VPN из дома с мобилы, к которой был привязан телеграм СМС-кой? Но это же абсурд. Смысл тогда торы всякие наворачивать?
>>876
И собственно одна годнота - wire, который неплох сам по себе и не требует телефона.
Рикошет - тоже крут, этакая замена торчату.
Сигнал, ясное дело.
И собственно одна годнота - wire, который неплох сам по себе и не требует телефона.
Рикошет - тоже крут, этакая замена торчату.
Сигнал, ясное дело.
>>879
Забян Wire, за то что не привязан к телефону и не захочет сотрудничать с рашен майором
Забян Wire, за то что не привязан к телефону и не захочет сотрудничать с рашен майором
И всё таки, Signal или Wire?
>>886
Signal для переписки, и если пользуешься преимущественно смартфоном.
Wire для звонков и видео, и если активно используешь несколько устройств и не хочешь привязывать номер телефона.
Signal для переписки, и если пользуешься преимущественно смартфоном.
Wire для звонков и видео, и если активно используешь несколько устройств и не хочешь привязывать номер телефона.
>>835
> Они не делают федерализацию, потому что хотят срубить бабла, как раскрутятся.
Да нихуя они не раскрутятся, деньги у них из грантов и от контрактов с WhatsApp. Сам Signal это не коммерческий продукт.
> Они не делают федерализацию, потому что хотят срубить бабла, как раскрутятся.
Да нихуя они не раскрутятся, деньги у них из грантов и от контрактов с WhatsApp. Сам Signal это не коммерческий продукт.
>>836
> Сигнал вообще не работает на компе (или какие-то уезвимости в веб-версии не помню, что там у них)
Звонки только не работают. Signal Desktop есть для хрома, но его планируют переносить в Firefox Marketplace.
> Сигнал вообще не работает на компе (или какие-то уезвимости в веб-версии не помню, что там у них)
Звонки только не работают. Signal Desktop есть для хрома, но его планируют переносить в Firefox Marketplace.
>>890
>или какие-то уезвимости в веб-версии не помню
>Signal Desktop есть для хрома, но его планируют переносить в Firefox Marketplace.
https://brchan.org/rus/src/1496659835578.png
>или какие-то уезвимости в веб-версии не помню
>Signal Desktop есть для хрома, но его планируют переносить в Firefox Marketplace.
https://brchan.org/rus/src/1496659835578.png
>>889
>> Они не делают федерализацию, потому что хотят срубить бабла, как раскрутятся.
>Да нихуя они не раскрутятся, деньги у них из грантов и от контрактов с WhatsApp. Сам Signal это не коммерческий продукт.
Если бы они сделали федерализацию, WhatApp обонкротился и не было бы грантов. Главным сервером, никто бы не пользовался.
Они не делают федерализацию, потому что это ударит по их кошельку. Сказки про некомеческую организацию, для маленьких девочек, они там тоже бабла хотят.
Да и потом, джаббер в случаи их федерализации сразу спиздит все, добавив в новый хеп
>> Они не делают федерализацию, потому что хотят срубить бабла, как раскрутятся.
>Да нихуя они не раскрутятся, деньги у них из грантов и от контрактов с WhatsApp. Сам Signal это не коммерческий продукт.
Если бы они сделали федерализацию, WhatApp обонкротился и не было бы грантов. Главным сервером, никто бы не пользовался.
Они не делают федерализацию, потому что это ударит по их кошельку. Сказки про некомеческую организацию, для маленьких девочек, они там тоже бабла хотят.
Да и потом, джаббер в случаи их федерализации сразу спиздит все, добавив в новый хеп
>>887
Джаббер - для анонимусов и хиккомори. Самый защищенний и безопасный, но нет звонков и смайлов.
WhatApp - для социоблядей. Самый большой охват аудитории и псевдозащита.
Signal - для свидетелей опенсурс. Не многим безопасней ватсапа, но зато опенсурс.
Wire - для роскомнадзора. Все равно забят.
Джаббер - для анонимусов и хиккомори. Самый защищенний и безопасный, но нет звонков и смайлов.
WhatApp - для социоблядей. Самый большой охват аудитории и псевдозащита.
Signal - для свидетелей опенсурс. Не многим безопасней ватсапа, но зато опенсурс.
Wire - для роскомнадзора. Все равно забят.
Где нибудь кроме джаббера, так можно?
https:[email protected]
Перешел по ссылке, сразу подключился к групповому чату
https:[email protected]
Перешел по ссылке, сразу подключился к групповому чату
А если я скажу, что Жаббер - для роскомнадзора и вообще там зонд на зонде, не приводя никаких пруфов, анончики поверят мне и начнут сносить свои клиенты?
>>901
>А если я скажу, что Жаббер - для роскомнадзора и вообще там зонд на зонде, не приводя никаких пруфов, анончики поверят мне и начнут сносить свои клиенты?
Покажи свои соедения на джаббере, где он отправляет данные росскомнадзору.
У меня они открыты 5222 порт и ip сервера.
Что же делает сигнал, по списку соедений не поймешь.
Ты так и не ответил, нахуй секрьюному мессенджеру номер телефона и столько прав?
Для начала:
- Зачем он требует индификацию личности по телефону и поиск аккаунтов на устройстве, которые нельзя отключить?
Секьюти мессенджер занимаеться деаноном с первой секунды установки. Это уже есть очевидные доказательства, что это зонд, без всяких пруфов
>А если я скажу, что Жаббер - для роскомнадзора и вообще там зонд на зонде, не приводя никаких пруфов, анончики поверят мне и начнут сносить свои клиенты?
Покажи свои соедения на джаббере, где он отправляет данные росскомнадзору.
У меня они открыты 5222 порт и ip сервера.
Что же делает сигнал, по списку соедений не поймешь.
Ты так и не ответил, нахуй секрьюному мессенджеру номер телефона и столько прав?
Для начала:
- Зачем он требует индификацию личности по телефону и поиск аккаунтов на устройстве, которые нельзя отключить?
Секьюти мессенджер занимаеться деаноном с первой секунды установки. Это уже есть очевидные доказательства, что это зонд, без всяких пруфов
>Что. Ты. Вообще. Несешь.
Протокол джаббера состоит из стандартов. XEPO-в , которые может написать любой.
Мессенджер сигнал можно копировать в джаббере, написав ХЕПЫ, но увы у джаббера нет спосоров и никого это за бесплатно делать не ебет.
Протокол джаббера состоит из стандартов. XEPO-в , которые может написать любой.
Мессенджер сигнал можно копировать в джаббере, написав ХЕПЫ, но увы у джаббера нет спосоров и никого это за бесплатно делать не ебет.
>>902
> - Зачем он требует индификацию личности по телефону и поиск аккаунтов на устройстве, которые нельзя отключить?
Затем, что этот permission требуется, чтобы сохранить твой аккаунт (логин, токен) в защищеном account manager андроида, а не просто в каком-нибудь текстовом файле на карте памяти.
> Это уже есть очевидные доказательства, что это зонд, без всяких пруфов
Triggered. Даже отвечать ничего не буду, лучше сразу нахуй пошлю.
> - Зачем он требует индификацию личности по телефону и поиск аккаунтов на устройстве, которые нельзя отключить?
Затем, что этот permission требуется, чтобы сохранить твой аккаунт (логин, токен) в защищеном account manager андроида, а не просто в каком-нибудь текстовом файле на карте памяти.
> Это уже есть очевидные доказательства, что это зонд, без всяких пруфов
Triggered. Даже отвечать ничего не буду, лучше сразу нахуй пошлю.
>>902
Ты ебанутый?
В упор не видишь разницы между секьюрностью и анонимностью?
Мне для общения с родней и друзьями не нужно скрывать личность. Мне нужно только приватное, секьюрное общение.
Для общения с барыгой, анонимными анархистами и прочими веселыми личностями - мне нужна ещё и анонимность.
В первом случае сигнал - отличное решение.
Во втором - только токс/жаба/рикошет
Ты ебанутый?
В упор не видишь разницы между секьюрностью и анонимностью?
Мне для общения с родней и друзьями не нужно скрывать личность. Мне нужно только приватное, секьюрное общение.
Для общения с барыгой, анонимными анархистами и прочими веселыми личностями - мне нужна ещё и анонимность.
В первом случае сигнал - отличное решение.
Во втором - только токс/жаба/рикошет
>>904
Можешь пояснить за каждый permission Сигнала? Он требует на порядок больше, чем Телеграм и WIre.
Можешь пояснить за каждый permission Сигнала? Он требует на порядок больше, чем Телеграм и WIre.
# Они не только номер телефона пиздят, но IMEI при регистрации, что бы спалить анона наверняка:
Идентификатор устройства и информация о вызове
• считывать статус телефона и личность.
Позволяет определить свой номер телефона и идентификатор устройства.Это используется для регистрации сигнала.
# Но если это недосточно, всегда можно отправить местоположение "друзьям")
Место нахождения
• приблизительное местоположение (на основе сети) - см. Ниже.
• точное местоположение (GPS и сетевое). Позволяет делиться своим текущим местоположением, отправляя его как сообщение своим друзьям.
Идентификатор устройства и информация о вызове
• считывать статус телефона и личность.
Позволяет определить свой номер телефона и идентификатор устройства.Это используется для регистрации сигнала.
# Но если это недосточно, всегда можно отправить местоположение "друзьям")
Место нахождения
• приблизительное местоположение (на основе сети) - см. Ниже.
• точное местоположение (GPS и сетевое). Позволяет делиться своим текущим местоположением, отправляя его как сообщение своим друзьям.
#Этот пунка не понятен. Для чегго это им?
• отправить широковещательную передачу WAP-PUSH - используется для получения квитанций о доставке SMS / MMS.
#Использую обычно для геолокации. По Wi-fo точкам можно определить местоположение
Информация о подключении Wi-Fi
• просмотр соединений Wi-Fi - требуется для приема SMS, MMS и сигнальных сообщений в различных сетевых условиях (например, 3G, WiFi, LTE и т. Д.). Сигнальные сообщения отправляются и принимаются по Интернету и не используют традиционные SMS / MMS. Это также позволяет Signal определять, когда услуги недоступны. Например, MMS, отправленный по T-Mobile, требует, чтобы сотовая сеть и Wi-Fi отключились, чтобы добиться успеха, а Signal обрабатывает этот случай сам
#Еще один странный пунк, о сливе отладочных логов Это можно отключить? Я не хочу что бы история браузера кому-то отправлялась, даже для благих целей.
История устройств и приложений
• чтение конфиденциальных данных журнала. Это разрешение используется для аварийных ситуаций, связанных с приложением, чтобы вы могли отправлять нам журналы, чтобы помочь в отладке некоторых распространенных проблем.
#А это просто так, Вы не придумали зачем нам это надо, но уже запроси
Календарь
• читать события календаря плюс конфиденциальную информацию - см. Ниже.
• добавлять или изменять события календаря и отправлять электронную почту гостям без
ведома владельцев. В настоящее время разрешения на использование календаря не используются, но они будут использоваться в будущем, поэтому вы можете делиться своими событиями календаря, отправляя их в качестве сообщения своим друзьям.
#Что это за бред? Плохой перевод? Мы читаем ваши смс что бы спиздить их в нашу базу
• читать текстовые сообщения (SMS или MMS) - см. Ниже.
• получать текстовые сообщения (MMS) - см. Ниже.
• получать текстовые сообщения (SMS) - см. Ниже.
• отправлять SMS-сообщения - см. Ниже.
• редактировать текстовые сообщения (SMS или MMS). Сигнал способен функционировать как полная замена приложения обмена сообщениями вашего телефона. Чтобы сделать это, он должен иметь возможность отправлять и получать текстовые сообщения (как SMS, так и MMS). Вы также можете импортировать свои существующие сообщения в Signal, когда они впервые установлены, и эти разрешения позволяют эту базу данных также читать.
• отправить широковещательную передачу WAP-PUSH - используется для получения квитанций о доставке SMS / MMS.
#Использую обычно для геолокации. По Wi-fo точкам можно определить местоположение
Информация о подключении Wi-Fi
• просмотр соединений Wi-Fi - требуется для приема SMS, MMS и сигнальных сообщений в различных сетевых условиях (например, 3G, WiFi, LTE и т. Д.). Сигнальные сообщения отправляются и принимаются по Интернету и не используют традиционные SMS / MMS. Это также позволяет Signal определять, когда услуги недоступны. Например, MMS, отправленный по T-Mobile, требует, чтобы сотовая сеть и Wi-Fi отключились, чтобы добиться успеха, а Signal обрабатывает этот случай сам
#Еще один странный пунк, о сливе отладочных логов Это можно отключить? Я не хочу что бы история браузера кому-то отправлялась, даже для благих целей.
История устройств и приложений
• чтение конфиденциальных данных журнала. Это разрешение используется для аварийных ситуаций, связанных с приложением, чтобы вы могли отправлять нам журналы, чтобы помочь в отладке некоторых распространенных проблем.
#А это просто так, Вы не придумали зачем нам это надо, но уже запроси
Календарь
• читать события календаря плюс конфиденциальную информацию - см. Ниже.
• добавлять или изменять события календаря и отправлять электронную почту гостям без
ведома владельцев. В настоящее время разрешения на использование календаря не используются, но они будут использоваться в будущем, поэтому вы можете делиться своими событиями календаря, отправляя их в качестве сообщения своим друзьям.
#Что это за бред? Плохой перевод? Мы читаем ваши смс что бы спиздить их в нашу базу
• читать текстовые сообщения (SMS или MMS) - см. Ниже.
• получать текстовые сообщения (MMS) - см. Ниже.
• получать текстовые сообщения (SMS) - см. Ниже.
• отправлять SMS-сообщения - см. Ниже.
• редактировать текстовые сообщения (SMS или MMS). Сигнал способен функционировать как полная замена приложения обмена сообщениями вашего телефона. Чтобы сделать это, он должен иметь возможность отправлять и получать текстовые сообщения (как SMS, так и MMS). Вы также можете импортировать свои существующие сообщения в Signal, когда они впервые установлены, и эти разрешения позволяют эту базу данных также читать.
>Снес жаббер. Мессенджер для общения с упоротыми фанатиками мне не нужен.
И отписался об этом в разделя для упоротых фанатиков
>Криптоанархизм, Шифропанк, Практическая информационная безопасность
Может быть тебе в Ватсап тогда?
>Мне для общения с родней и друзьями не нужно скрывать личность. Мне нужно только приватное, секьюрное общение.
Для уровня твоих задач подходит и просить никого ставить ненужно. У всех уже есть.
И отписался об этом в разделя для упоротых фанатиков
>Криптоанархизм, Шифропанк, Практическая информационная безопасность
Может быть тебе в Ватсап тогда?
>Мне для общения с родней и друзьями не нужно скрывать личность. Мне нужно только приватное, секьюрное общение.
Для уровня твоих задач подходит и просить никого ставить ненужно. У всех уже есть.
>>932
>#Что это за бред? Плохой перевод? Мы читаем ваши смс что бы спиздить их в нашу базу
Сигнал может заменять собой дефолтный messaging. Это удобно и к тому же база данных signal зашифрована, даже если телефон нет.
>#Что это за бред? Плохой перевод? Мы читаем ваши смс что бы спиздить их в нашу базу
Сигнал может заменять собой дефолтный messaging. Это удобно и к тому же база данных signal зашифрована, даже если телефон нет.
То есть, он отправляет шифрованные сообщения по смс-кам без интернета и обычные шифрует звонки?
>>934
Отпишись, шифрует сигнал обычные телефонные разворы и смс или нет. Там написанно, типо да. Если другой пользователей тоже поставил сигнал.
Отпишись, шифрует сигнал обычные телефонные разворы и смс или нет. Там написанно, типо да. Если другой пользователей тоже поставил сигнал.
>>934
Это 100% годный мессенджер, если он шифрует звонки и смс без интернета. Роскомнадзор взял и заблокировал всь интернет. Хуякс, а он продолжает работать без интернета
Это 100% годный мессенджер, если он шифрует звонки и смс без интернета. Роскомнадзор взял и заблокировал всь интернет. Хуякс, а он продолжает работать без интернета
>>935
Нет. Идея в том, что будет использоваться Singna вместо СМС всякий раз когда отправляешь сообщение тому, у кого установлен Signal.
Нет. Идея в том, что будет использоваться Singna вместо СМС всякий раз когда отправляешь сообщение тому, у кого установлен Signal.
>>897
>Самый защищенний и безопасный, но нет звонков и смайлов.
Смайлы есть. Нет эмодзи для хипстеров.
>WhatApp - для социоблядей. Самый большой охват аудитории и псевдозащита.
>Signal - для свидетелей опенсурс. Не многим безопасней ватсапа, но зато опенсурс.
Они против массовой прослушки, а не целевой. Свою функцию предотвращения сбора BigData они выполняют, а социоблядям и болтунам не поможет даже суперзащищенный канал передачи информации.
Проблемы возникают, когда Signal и Telegram выдают за средство защиты для тех, кому есть, что скрывать.
>Самый защищенний и безопасный, но нет звонков и смайлов.
Смайлы есть. Нет эмодзи для хипстеров.
>WhatApp - для социоблядей. Самый большой охват аудитории и псевдозащита.
>Signal - для свидетелей опенсурс. Не многим безопасней ватсапа, но зато опенсурс.
Они против массовой прослушки, а не целевой. Свою функцию предотвращения сбора BigData они выполняют, а социоблядям и болтунам не поможет даже суперзащищенный канал передачи информации.
Проблемы возникают, когда Signal и Telegram выдают за средство защиты для тех, кому есть, что скрывать.
>>941
Поддерживаю. Это средства против сбора BigData. Их недостататок, в том что их безопасность зависит напрямую от тех людей, кто в их руководстве.
Telegram и Threema и уже скрысятничили, так могут и другие. Прийдут в руководство Signal новые люди, могут поступить подобно.
Когда-то скайп даже был безопасным, теперь сливает все вместе с ключами шифрования.
Twitter и LJ , теперь переносят сервера в Россию.
В джаббере не нужно верить в кого-то, в джаббере можно быть уверенным, как и в ТОХ, Bitmessenge и всех других дентрализованный / федерализованных проектах
Чем больше людей в джаббере, ТОКСЕ, биттмесанже, тем лучше становяться сами программы. клиенты для них
У по-настоящему безопасных и децентрализованных проектов нет финансирования и серьезной поддержки
Поддерживаю. Это средства против сбора BigData. Их недостататок, в том что их безопасность зависит напрямую от тех людей, кто в их руководстве.
Telegram и Threema и уже скрысятничили, так могут и другие. Прийдут в руководство Signal новые люди, могут поступить подобно.
Когда-то скайп даже был безопасным, теперь сливает все вместе с ключами шифрования.
Twitter и LJ , теперь переносят сервера в Россию.
В джаббере не нужно верить в кого-то, в джаббере можно быть уверенным, как и в ТОХ, Bitmessenge и всех других дентрализованный / федерализованных проектах
Чем больше людей в джаббере, ТОКСЕ, биттмесанже, тем лучше становяться сами программы. клиенты для них
У по-настоящему безопасных и децентрализованных проектов нет финансирования и серьезной поддержки
>>937
Нет, SMS и обычные звонки не шифрует. Просто если у обоих пользователей есть Signal, то сообщения передаются через Signal, а если у твоего собеседника нет, то передается обычная SMS, при этом рядом нет значка замочка и в поле написано unsecured SMS.
Пересылать шифрованные SMS это верный способ привлечь к себе внимание майора, лучше не надо так делать.
Нет, SMS и обычные звонки не шифрует. Просто если у обоих пользователей есть Signal, то сообщения передаются через Signal, а если у твоего собеседника нет, то передается обычная SMS, при этом рядом нет значка замочка и в поле написано unsecured SMS.
Пересылать шифрованные SMS это верный способ привлечь к себе внимание майора, лучше не надо так делать.
>>896
> Если бы они сделали федерализацию, WhatApp обонкротился и не было бы грантов.
WhatsApp не обанкротится, они пока на юзерах не зарабатывают и может и не планируют. Он нужен Facebook для сбора информации о связях между телефонными номерами.
>Да и потом, джаббер в случаи их федерализации сразу спиздит все, добавив в новый хеп
Уже спиздили OMEMO, что ты еще хочешь спиздить? Звонки уже спиздите наконец. Как федерализация Signal поможет, всё и так открыто.
> Если бы они сделали федерализацию, WhatApp обонкротился и не было бы грантов.
WhatsApp не обанкротится, они пока на юзерах не зарабатывают и может и не планируют. Он нужен Facebook для сбора информации о связях между телефонными номерами.
>Да и потом, джаббер в случаи их федерализации сразу спиздит все, добавив в новый хеп
Уже спиздили OMEMO, что ты еще хочешь спиздить? Звонки уже спиздите наконец. Как федерализация Signal поможет, всё и так открыто.
>>953
> Telegram и Threema и уже скрысятничили, так могут и другие.
Telegram пока что заявляет, что не передает данные государствами. Есть какие-то свидетельства обратного?
> Telegram и Threema и уже скрысятничили, так могут и другие.
Telegram пока что заявляет, что не передает данные государствами. Есть какие-то свидетельства обратного?
На https://gultsch.de/ есть эссе автора Conversations.
Вот тут он против того, что верификация вслед за WhatsApp в Signal тоже движется в сторону предупреждений вместо блокировки: https://gultsch.de/trust.html
Вот тут спорит с Moxie по поводу федерализации и стандартов: https://gultsch.de/objection.html
Вот тут он против того, что верификация вслед за WhatsApp в Signal тоже движется в сторону предупреждений вместо блокировки: https://gultsch.de/trust.html
Вот тут спорит с Moxie по поводу федерализации и стандартов: https://gultsch.de/objection.html
>>953
> Когда-то скайп даже был безопасным, теперь сливает все вместе с ключами шифрования.
В скайпе никогда не было e2e.
> Когда-то скайп даже был безопасным, теперь сливает все вместе с ключами шифрования.
В скайпе никогда не было e2e.
>>961
>В скайпе никогда не было e2e.
Шифрование - это не только e2e.
>Telegram пока что заявляет, что не передает данные государствами. Есть какие-то свидетельства обратного?
Есть
>Уже спиздили OMEMO, что ты еще хочешь спиздить?
Звонки
>В скайпе никогда не было e2e.
Шифрование - это не только e2e.
>Telegram пока что заявляет, что не передает данные государствами. Есть какие-то свидетельства обратного?
Есть
>Уже спиздили OMEMO, что ты еще хочешь спиздить?
Звонки
>>965
Можешь привести пример хотя бы? И если телега всё таки подмайорная, что использовать вместо неё для совершения звонков, например? Я склоняюсь к Wire, но тут говорят, что у них были проблемы с защитой звонков. И что он вообще для РКН, что настораживает.
Можешь привести пример хотя бы? И если телега всё таки подмайорная, что использовать вместо неё для совершения звонков, например? Я склоняюсь к Wire, но тут говорят, что у них были проблемы с защитой звонков. И что он вообще для РКН, что настораживает.
Поставь одновренно джаббер и еще какой-нибудь мессенджер. Мессенджер используй для звонков, для остального джаббер.
Я так пользуюсь.
Сторонись телеги
Я так пользуюсь.
Сторонись телеги
Для роскомнадзора, всмысле вероятная жертва роскомназора. Роскомнадзор обещает блокировать все мессенджеры , которые не станут сдавать пользователей.
Signal и джаббер - защищены от блокировки.
Signal и джаббер - защищены от блокировки.
>>983
Там вообще всё есть - и звонки, и видео, и (!)шифрогрупчаты, и файлы, и шара столов.
Там вообще всё есть - и звонки, и видео, и (!)шифрогрупчаты, и файлы, и шара столов.
Телеграм и Сигнал поссорились в Твиттере.
Дуров обвинил Сигнал в том, что он на содержании у АНБ.
Дурова обвинили, в том что он агент КГБ
Прикольно, что и те и те правы
Дуров обвинил Сигнал в том, что он на содержании у АНБ.
Дурова обвинили, в том что он агент КГБ
Прикольно, что и те и те правы
>1002
То есть, наоборот, сигнал кгбшный, а телега анбшная?
То есть, наоборот, сигнал кгбшный, а телега анбшная?
>>1002
Ссылка будет?
Нашел только вот это:
https://twitter.com/durov/status/872900098111492100
По ссылке вот такая фигня:
https://surveillancevalley.com/blog/government-backed-privacy-tools-are-not-going-to-protect-us-from-president-trump
Аргументы все сводятся к тому, что Tor и Signal финансируются грантами штатов, поэтому они забекдорены. Давайте уже смотреть на дела, а не финансирование. Да, штатам невыгодны закрытые неуправляемые режимы, поэтому они вкладывают средства в действительно рабочие технологии, помогающие защитить диссидентов и активистов в других странах.
Ссылка будет?
Нашел только вот это:
https://twitter.com/durov/status/872900098111492100
По ссылке вот такая фигня:
https://surveillancevalley.com/blog/government-backed-privacy-tools-are-not-going-to-protect-us-from-president-trump
Аргументы все сводятся к тому, что Tor и Signal финансируются грантами штатов, поэтому они забекдорены. Давайте уже смотреть на дела, а не финансирование. Да, штатам невыгодны закрытые неуправляемые режимы, поэтому они вкладывают средства в действительно рабочие технологии, помогающие защитить диссидентов и активистов в других странах.
>>1007
Еще больше денег они вкладывают в тотальный контроль и закладки.
Еще больше денег они вкладывают в тотальный контроль и закладки.
Нет смысла встраивать бекдоры в железо и софт, которыми сами же штаты и пользуются для шатания режимов. Информация о бекдорах рано или поздно будет слита шпионами или обнаружена специалистами по безопасности, работающими на другие государства. Выгоднее ставить на пропаганду и распространение своих ценностей, а не пытаться ограничивать распространение чужих идей.
>>1007
> https://surveillancevalley.com/blog/government-backed-privacy-tools-are-not-going-to-protect-us-from-president-trump
> For what it's worth, I personally heard activists protesting the Democratic National Convention in Philadelphia tell me that the cops seemed to know their every move, despite the fact they were using Signal to organize.
Не удивительно что копы знали о всех их перемещениях, если они таскали с собой телефон.
Алсо, еще не обсудили https://en.wikipedia.org/wiki/FireChat (проприетарщина) и аналоги: https://briarproject.org/
http://www.servalproject.org/
> https://surveillancevalley.com/blog/government-backed-privacy-tools-are-not-going-to-protect-us-from-president-trump
> For what it's worth, I personally heard activists protesting the Democratic National Convention in Philadelphia tell me that the cops seemed to know their every move, despite the fact they were using Signal to organize.
Не удивительно что копы знали о всех их перемещениях, если они таскали с собой телефон.
Алсо, еще не обсудили https://en.wikipedia.org/wiki/FireChat (проприетарщина) и аналоги: https://briarproject.org/
http://www.servalproject.org/
>>1017
И даже если бы сигнал был забекдорен, пиздец наивно думать, что обычным ментам бы дали юзать бекдор. Слишком велик риск утечки.
И даже если бы сигнал был забекдорен, пиздец наивно думать, что обычным ментам бы дали юзать бекдор. Слишком велик риск утечки.
>>1018
>И даже если бы сигнал был забекдорен
Он забекдорен.
В сигнале есть хранилище файлов? Его можно использовать как файлохранилище?
>И даже если бы сигнал был забекдорен
Он забекдорен.
В сигнале есть хранилище файлов? Его можно использовать как файлохранилище?
>>1021
В РФ тайно практикуется установка подкожных чипов под видом обязательных прививок. Таким образом чип попадет в кровь, потом в мозг, и глаза. В каждом вашем глазе - бекдор для КГБ
В РФ тайно практикуется установка подкожных чипов под видом обязательных прививок. Таким образом чип попадет в кровь, потом в мозг, и глаза. В каждом вашем глазе - бекдор для КГБ
>>813
Ты надоел уже со своими пруфами. Это очевидное, если АНБ могут вставить, они вставляют. Вставить бекдор в сигнал, это из уровня "отобрать игрушку у младенца"
Ты надоел уже со своими пруфами. Это очевидное, если АНБ могут вставить, они вставляют. Вставить бекдор в сигнал, это из уровня "отобрать игрушку у младенца"
>>1023
Зря ты смешься. Чипы уже вставляют в документы, не подкожные, но тоже задетектят тебя на расстоянии 300 метров.
Зря ты смешься. Чипы уже вставляют в документы, не подкожные, но тоже задетектят тебя на расстоянии 300 метров.
>>813
Котаны! Хелп! хелп! Подскажите мессенджер, или какую нибудь бесплатную прогу в кой можно хранить файлы.
Что бы это было доступно и через браузер на ПК и смарте
Котаны! Хелп! хелп! Подскажите мессенджер, или какую нибудь бесплатную прогу в кой можно хранить файлы.
Что бы это было доступно и через браузер на ПК и смарте
>>1036
Telegram.
Только предупреждаю, что это нихуя не секьюрно. Передавай файлы напрямую, не надо их слать хуй знает кому в интернет.
Telegram.
Только предупреждаю, что это нихуя не секьюрно. Передавай файлы напрямую, не надо их слать хуй знает кому в интернет.
>>1007
Еще по поводу
> I’m pretty sure that Google could serve a specially modified update or version of Signal to specific targets for surveillance, and they would be none the wiser that they installed malware on their phones
Нихуя гугл не может подсунуть просто так модифицированный апдейт, потому что он должен быть подписан тем же ключом, что и софтина.
Еще по поводу
> I’m pretty sure that Google could serve a specially modified update or version of Signal to specific targets for surveillance, and they would be none the wiser that they installed malware on their phones
Нихуя гугл не может подсунуть просто так модифицированный апдейт, потому что он должен быть подписан тем же ключом, что и софтина.
>>1041
Разработчик сам может загрузить программу отличную от исходников?
Разработчик сам может загрузить программу отличную от исходников?
>>1042
Может.
Но чтобы залить одному конкретному юзеру забекдоренный апдейт, который еще и не будет совпадать с reproducible build, нужно содействие гугла и разработчиков.
Может.
Но чтобы залить одному конкретному юзеру забекдоренный апдейт, который еще и не будет совпадать с reproducible build, нужно содействие гугла и разработчиков.
>>1041
>потому что он должен быть подписан тем же ключом, что и софтина.
А цифровую подпись кто будет проверять? Гугловская софтина.
>потому что он должен быть подписан тем же ключом, что и софтина.
А цифровую подпись кто будет проверять? Гугловская софтина.
>>1041
>they installed malware on their phones
ОС смартфонов уже являются malware, ворующими данные пользователя. Гуглосервисы - еще один зонд.
>they installed malware on their phones
ОС смартфонов уже являются malware, ворующими данные пользователя. Гуглосервисы - еще один зонд.
>>1022
Держи пруфы. Дуров расписал американскую кухню, для незатейливых
Держи пруфы. Дуров расписал американскую кухню, для незатейливых
>>1045
И что с этим можно сделать? Полностью отказаться от телефона? Встречал мнение, что нужно переходить на Циан. Почему? И есть ли понятные даже домохозяйкам гайды?
И что с этим можно сделать? Полностью отказаться от телефона? Встречал мнение, что нужно переходить на Циан. Почему? И есть ли понятные даже домохозяйкам гайды?
Пизда рулю:
https://twitter.com/mulander/status/874370124932943874
WhatsApp даже хуже соснул, чем когда-то Skype (он скармливал бингу все ссылки, пересылаемые клиентом)
Тоже хотел запостить эту новость, как в очередной раз неумело пиарится этот подмайорный дегенерат.
Вся эта хуета напоминает историю с nomx. Чувак постит во всех подробностях и с пруфами про то, насколько nomx потенциально небезопасен: https://scotthelme.co.uk/nomx-the-worlds-most-secure-communications-protocol/. После публикации поста, Will (создатель этой хуйни), который до этого морозился пару месяцев, пишет: «nomx Passes Security Tests After Blogger Claims to Have Penetrated nomx» (https://www.nomx.com/). И никаких пруфов, только пиздёж про «real world» и что в этом «real world» никого ещё пока не взломали.
А не взломали потому, что нахуй никому пользователи nomx в real world не сдались. Насколько понимаю, ЦА nomx - технически неграмотные параноики.
А что с Токсом-то? Разрабы на него забили?
По замыслу он мог бы легко заменить все скайпы-вайберы-вотсапы.
Быдло любит централизацию и привязку к мобильному телефону. Даже то быдло, которому есть что скрывать. Такое быдло гордится тем, что зарегистрировало телегу на симку от ашота или сервис по приему смс. Зачем это делать при наличии джаббера и прочих сервисов без привязки к мобильному - ничего внятного сказать не может. Кукарекает, что все петухи сидят в телеграме и вайбере - значит и я буду.
Главный разработчик пропил все пожертвования на разработку софта, забил хуй и на этом все закончилось
Не слушай этого, чекай новости разработки на гитхабе. Съебал важный для проекта чувак, но без него всё не развалится.
Не разбрасывался бы ты пояснениями, кто быдло, а кто нет.
Тебе уже пару раз поясняли, что есть разные задачи, есть приватность, есть анонимность, и это, сука, разные вещи!
> есть приватность, есть анонимность, и это, сука, разные вещи
Конфиденциальность и анонимность. А приватность их объединяет, это более общий термин.
> По замыслу он мог бы легко заменить все скайпы-вайберы-вотсапы.
Мне не нравится идея прямых соединений между юзерами. Через Tor, конечно, можно что угодно запустить, но смысл прямых соединений теряется, с тем же успехом можно свой сервер джаббера на hidden service выставить.
>Не разбрасывался бы ты пояснениями, кто быдло, а кто нет.
Привязанный к мобильному зонд разогрелся от критики и тебе припекло?
Ничуть.
Просто заявления, подобные твоим, не способствуют привлечению масс к действительно безопасным продуктам.
Есть псевдобезопасные меседжеры, о чем людям нужно неприменно сказать: телега, к примеру. Пользоваться ими - нельзя.
Есть вполне безопасные продукты, типа сигнала. Но они регаются на телефон и централизованы. (в случае обычного, не libre сигнала ещё и требуют привязки к push от гугла).
Но рега по телефон не позволяет оставаться анонимным.
С другой стороны - зато удобно разворачивать в организациях, между родственниками, благодаря сверхнизкому порогу вхождения.
А есть и те IM, что позволяют быть анонимным - тот же токс, при условии proxy:tor, или жаба, при том же условии.
Важно не срываться в оголтелый хейт всего, что имеет изъяны, а спокойно пояснять, какие минусы есть, и для чего такой IM подходит.
А мне наоборот, по нраву.
Потому что централизация = единая точка отказа.
Можно заблокировать IM, положив сервер/заблокировав к нему доступ.
А токс так положить нельзя.
Удваиваю, всё так.
> Потому что централизация = единая точка отказа.
Я тоже поддерживаю децентрализацию, но я не понимаю, какие преимущества дает Tox перед Jabber. По-моему тут уже начинается больше проблем с возможными атаками на сеть (DHT достаточно легко положить, набив левыми записями), неуправляемой утечкой метаданных (в Jabber можно всем сидеть на одном сервере, а тут все соединения видны), синхронизацией множества устройств, а вот преимуществ значительных я не вижу.
К тому же если для анонимности нужен Tor, то это уже не полностью децентрализованная система. Tor держится за счет сервисов директорий, он не полностью децентрализован. Полная децентрализация без сети доверия невозможна, opennet подвержен sybil-атаке.
> Можно заблокировать IM, положив сервер/заблокировав к нему доступ.
Справедливости ради, domain fronting решает эту проблему для централизованных сервисов.
>Тебе уже пару раз поясняли, что есть разные задачи, есть приватность, есть анонимность, и это, сука, разные вещи!
Аннимность неотъемлемая часть конфеденциальности в групповых чатах.
Мы приватны на бордах потому, что анонимны.
>А токс так положить нельзя.
Сейчас токс положить не сложнее централизованного сервера.
Джаббер это децентрализованная сеть серверов, а не централизованный сервер.
Чужой джаббер сервер создает дополнительную прослойку анонимности.
Для прямого соединения нужно запустить свой джаббер сервер.
>я не понимаю, какие преимущества дает Tox перед Jabber
1) Порог вхождения нулевой: поставил, запустил, пользуйся.
2) Возможность связаться голосом. Анонимус не всё время анонимус, ему иногда надо с тянкой или мамкой пообщаться.
3) Сеть децентрализована, но она одна. А для Жаббера надо знать, на какой сервер лезть (а сервер может быть чекистами запущен).
> 1) Порог вхождения нулевой: поставил, запустил, пользуйся.
Смешно. Нулевой порог вхождения - это Whatsapp/Signal/Telegram, но никак не жаббер и уж тем более не tox.
> Возможность связаться голосом.
Signal/Wire.
>1) Порог вхождения нулевой: поставил, запустил, пользуйся.
Порог вхождения в джаббере ниже, чем в токсе.
>2) Возможность связаться голосом. Анонимус не всё время анонимус, ему иногда надо с тянкой или мамкой пообщаться.
На мобильниках токс не работает. Лучше уж Signal/Wire/Whatsappо-зонд.
>3) Сеть децентрализована, но она одна. А для Жаббера надо знать, на какой сервер лезть
Анонимус это воспринимает как недостаток. Децентрализованная сеть муссорит метаданными.
> (а сервер может быть чекистами запущен).
Expliot.im - запущен чекистами. Похуй, все накрывают e2e и пользуются.
Чиновники: принятый Госдумой законопроект о запрете анонимности в мессенджерах защищает интересы граждан и бизнеса
>о запрете анонимности в мессенджерах защищает интересы граждан и бизнеса
Пиздаболы, интересы мафиозного синдиката Усманова он защищает.
Майл.ру, вконтакте, однокласники и мегафон в одном лице.
Скорей бы эти мрази убрались с гос.думы
Антимонопольные службы должны обложить миллиардными штрафами мыло уже.
Кто может пояснить за Телегу? В этом треде все советуют обходить её стороной, но хорошо бы ещё пруфы.
В телеграме нет шифрования. Есть только секретные чаты, которые неюзабельны с несколькими устройствами и эквивалентны OTR, в то время как все мессенджеры переходят на OMEMO/Signal.
Проверить сервер телеграм невозможно, так как исходиники недоступны и владельцы могут читать все ваши сообщения.
Эээ, а где в новой версии сигнала можно сверить ключи собеседника?
три точки сверху > настройки разговора > проверить код безопасности
Второй пункт снизу.
Если пункта нет, значит ты смотришь на группу либо на контакт, у которого не установлен Signal.
Если ты про ссылку на https://eprint.iacr.org/2016/1013.pdf,
то она и так в двух шагах тут.
В связи с "бекдором" в WhatsApp на этот аудит ссылались, потому что обмен ключами там тоже подробно разобран.
Что за «бэкдор» в WhatsApp? Это та «новость» про то, что 3-буквенные пидорахи могут в твою систему установить руткит и читать сообщения из всех защищённых мессенджеров?
>>1179
> Что за «бэкдор» в WhatsApp? Это та «новость» про то, что 3-буквенные пидорахи могут в твою систему установить руткит и читать сообщения из всех защищённых мессенджеров?
Нет, смотри пункт "В WhatsApp была найдена уязвимость, позволяющая подменить ключ шифрования. Signal protocol небезопасен?" в FAQ: >>752
Но слово бекдор не зря в кавычках написано.
На аудит ссылка была именно потому, что там вопрос уведомлений о смене ключа подробно разобран, и глупо думать, что блоггер обнаружил ниибаца дыру.
> Что за «бэкдор» в WhatsApp? Это та «новость» про то, что 3-буквенные пидорахи могут в твою систему установить руткит и читать сообщения из всех защищённых мессенджеров?
Нет, смотри пункт "В WhatsApp была найдена уязвимость, позволяющая подменить ключ шифрования. Signal protocol небезопасен?" в FAQ: >>752
Но слово бекдор не зря в кавычках написано.
На аудит ссылка была именно потому, что там вопрос уведомлений о смене ключа подробно разобран, и глупо думать, что блоггер обнаружил ниибаца дыру.
Надо составить мнение о:
Pidgin
Miranda IM/NG
http://rambox.pro/
https://manageyum.com/
https://allinone.im/
http://meetfranz.com/
Pidgin
Miranda IM/NG
http://rambox.pro/
https://manageyum.com/
https://allinone.im/
http://meetfranz.com/
>>1204
Кроме Pidgin (де-факто стандарт для OTR) и Miranda (виндософт, пусть и неплохой), вебота какая-то перечислена.
Кроме Pidgin (де-факто стандарт для OTR) и Miranda (виндософт, пусть и неплохой), вебота какая-то перечислена.
>>1208
> вебота какая-то перечислена
Ну хуй его. Может, это open-source, самоподнимаемая вебота. Я по ссылкам ещё не ходил. Вчера их нашёл, но слишком хуёво себя чувствовал, чтобы что-то изучать. Сегодня надо будет посмотреть.
> Pidgin (де-факто стандарт для OTR)
Да, знаю, сам пользовал его ради OTR. Но он написан на сях, и говорят, код там достаточно хуёвый, а потенциал для ещё не открытых уязвимостей широкий.
> вебота какая-то перечислена
Ну хуй его. Может, это open-source, самоподнимаемая вебота. Я по ссылкам ещё не ходил. Вчера их нашёл, но слишком хуёво себя чувствовал, чтобы что-то изучать. Сегодня надо будет посмотреть.
> Pidgin (де-факто стандарт для OTR)
Да, знаю, сам пользовал его ради OTR. Но он написан на сях, и говорят, код там достаточно хуёвый, а потенциал для ещё не открытых уязвимостей широкий.
>>1215
> По сведениям газеты, ведомство предупредило компанию, что ресурс может быть заблокирован. По сведениям источника издания, руководители Telegram пока уклоняются от переговоров и отказываются вступать в реестр.
Заблокируют — тогда приходите. А коль не заблокируют, тогда всё с ними понятно. Пока что, всё это напоминает фарс.
> По сведениям газеты, ведомство предупредило компанию, что ресурс может быть заблокирован. По сведениям источника издания, руководители Telegram пока уклоняются от переговоров и отказываются вступать в реестр.
Заблокируют — тогда приходите. А коль не заблокируют, тогда всё с ними понятно. Пока что, всё это напоминает фарс.
>>1217
> Пока что, всё это напоминает фарс.
Ты хотел сказать "блеф" или что-то в этом роде?
> А коль не заблокируют, тогда всё с ними понятно.
От того заблокируют или не заблокируют понятнее не станет. Википедию тоже не блокируют, но потому, что тогда политизированных людей в стране станет явно больше. А они РКН посылали явным образом со статьей "гашиш". Пришлось сделать вид, что после переименования претензий больше нет.
Я предлагаю основывать свое мнение о телеграме не на том, заблокируют его или нет, а отказаться от него уже сейчас, потому что шифрования там нет.
> Пока что, всё это напоминает фарс.
Ты хотел сказать "блеф" или что-то в этом роде?
> А коль не заблокируют, тогда всё с ними понятно.
От того заблокируют или не заблокируют понятнее не станет. Википедию тоже не блокируют, но потому, что тогда политизированных людей в стране станет явно больше. А они РКН посылали явным образом со статьей "гашиш". Пришлось сделать вид, что после переименования претензий больше нет.
Я предлагаю основывать свое мнение о телеграме не на том, заблокируют его или нет, а отказаться от него уже сейчас, потому что шифрования там нет.
О качестве кода в Tox: https://habrahabr.ru/post/276665/.
Про потенциальный бэкдор (не тот, который здесь уже обсудили) в Signal: https://blogs.fsfe.org/larma/2017/signal-backdoors/.
>>1227
You can of course also fix the Signal app. LibreSignal was a fork of Signal that does not use any Google services and thus does not suffer from the problems mentioned, but releases were halted following WhisperSystems request to do so.
You can of course also fix the Signal app. LibreSignal was a fork of Signal that does not use any Google services and thus does not suffer from the problems mentioned, but releases were halted following WhisperSystems request to do so.
>>1234
> Совсем хуита какая-то написана.
Да не, по делу написано. Код гуглокарт исполняется внутри сэндбокса сигнала.
Правда если не жать кнопку отправить местоположение, то походу не исполняется.
> Совсем хуита какая-то написана.
Да не, по делу написано. Код гуглокарт исполняется внутри сэндбокса сигнала.
Правда если не жать кнопку отправить местоположение, то походу не исполняется.
Аноны, поясните в очередной раз за Токс. Допустим, я устанавливаю соединение с юзером. Палится ли мой реальный айпишник? Я так понимаю, что только тот, с кем я установил коннект, видит мой реальный айпи. Как мне может это выйти боком? Как решить эту проблему, помимо юзания tails или whonix?
>>1114
>Важно не срываться в оголтелый хейт всего, что имеет изъяны, а спокойно пояснять, какие минусы есть, и для чего такой IM подходит.
Важно, но телегу пиарят как средство безопасного общения для тех, кто что-то скрывает от властей. В нем заводят оппозиционные чаты, вербуют в игил, обсуждают информационную безопасность… Позиционировали бы как средство общения с родственниками и коллегами на бытовые темы - хейта бы не возникало. Телеграмы и сигналы годятся для бытового общения с теми, кто знает твою личность и номер телефона.
>Важно не срываться в оголтелый хейт всего, что имеет изъяны, а спокойно пояснять, какие минусы есть, и для чего такой IM подходит.
Важно, но телегу пиарят как средство безопасного общения для тех, кто что-то скрывает от властей. В нем заводят оппозиционные чаты, вербуют в игил, обсуждают информационную безопасность… Позиционировали бы как средство общения с родственниками и коллегами на бытовые темы - хейта бы не возникало. Телеграмы и сигналы годятся для бытового общения с теми, кто знает твою личность и номер телефона.
>>1277
> Телеграмы и сигналы годятся для бытового общения с теми, кто знает твою личность и номер телефона.
Телеграм для этого не годится, в нем неюзабельное шифрование. Кто пробовал юзать знает, что уговорить всех юзать секретные чаты практически нереально, просто потому, что они в десктопном клиенте не отображаются.
Для бытового общения Signal отстает только из-за отсутствия двухфакторной аутентификации.
> Телеграмы и сигналы годятся для бытового общения с теми, кто знает твою личность и номер телефона.
Телеграм для этого не годится, в нем неюзабельное шифрование. Кто пробовал юзать знает, что уговорить всех юзать секретные чаты практически нереально, просто потому, что они в десктопном клиенте не отображаются.
Для бытового общения Signal отстает только из-за отсутствия двухфакторной аутентификации.
