выбор (платного) годного мессенджера

я имею в виду, что в whatsapp уже вшиты открытые ключи сервера. И в зашифрованном потоке отправляются два потока, один для собеседника, и один для сервера.

Уже объяснил, каким образом это проверить самостоятельно. Я проверял и сам, и никаких «двух потоков» там не обнаружил. E2EE действительно настоящий.

я не понял как понять нет ли там двух потоков. Ну ладно, допустим ты прав. А что как в вотсаппе бэкдорчик, что он просто всю историю втихаря сольет в ночной час, пока все спят.

при включённой настройке «Show Security Notifications» отправитель увидит уведомление о подобном факте после того, как сообщение будет перешифровано

Открою тебе страшную тайну — в любом месседжере точно также.

Любой сервер может делать атаку типа man-in-the-middle, и если ты не проверяешь отпечатки ключей — ты это не заметишь.

Будь это Wire, Signal или другие — если ты не сверяешь ключи, то E2EE не гарантирует тебе приватность переписки. Потому что, строго говоря, это и не будет E2EE в настоящем его смысле, ибо сверка ключей (вспомним «решения атаки социалиста миллионера») — важная его часть.

она в WhatsApp защищена end-to-end шифрованием, используется протокол Signal

а это инфа 100 процентов?

Да. Каким образом проверить это самостоятельно — описывал выше для dikiy, при желании можешь повторить.

я так и не понял, как выяснить по потоку чисел похожими на random два ли потока или один.

зачем ты рассказываешь мне о потенциальном слабом месте сквозного шифрования как такового?

сообщения из секретных чатов?

Нет, про regular.

Но концепция секретных чатов — провальная в плане приватности, так как оставляет большой след из метаданных о том, что «в этот момент времени с этого телефона товарищ Иванов общался в секретном чате с товарищем Петровым 10 минут, после чего товарищ Петров пошел на митинг».

Самая грамотная реализация из юзабельных — в Wire. Есть хорошие идеи у клиентов для Matrix, но, к сожалению, у них в коде содомия, на которую нельзя положиться.

зачем ты рассказываешь мне о потенциальном слабом месте сквозного шифрования как такового?

Потому что ты привел в пример «бэкдор», который на самом деле является «потенциальным слабым местом сквозного шифрования как такового».

оставляет большой след из метаданных

каких метаданных, где?

я привёл в пример бэкдор, который абсолютно точно используется фейсбуком

тогда как секретные чаты телеграма от этого свободны

не понял, ты перехватывал трафик вотсаппа до того, как вотсапп его шифровал? каким это образом?

я так и не понял, как выяснить по потоку чисел похожими на random два ли потока или один.

Так не рандом же.

Если ты повесишь хук до TLS, то ты будешь видеть все метаданные в открытом виде, которые идут до сервера. И непосредственно сообщение, серверу недоступное.

Если ты повесишь хук до шифрования с помощью libsignal, то ты увидишь каким ключом непосредственно происходит шифрование твоего сообщения, а также шифротекст, который будет 1 в 1 равен тому, который ты видел на первом этапе.

Имея под рукой два клиента с инструментацией — ты можешь видеть как работает протокол даже не имея непосредственного доступа к исходным кодам.

каких метаданных, где?

Уже объяснил выше. При использовании концепции секретных чатов (которые предполагается использовать только для чего-то, соответственно, «секретного») на сервере остается значительно больше метаданных, а следовательно и потенциальных проблем у пользователя.

я привёл в пример бэкдор, который абсолютно точно используется фейсбуком

Так а почему он бэкдор, если ты выше и сам согласен с тем, что это by design?

тогда как секретные чаты телеграма от этого свободны

С чего бы это? Не сверил ключи — получаешь тоже самое.

Подобный MITM полностью реализуется со стороны сервера, никакое изменение клиента для этого не нужно.

Хотя на самом деле не тоже самое, ибо в случае использования секретных чатов ты не можешь использовать Trust on first use (TOFU), ибо удобство использования E2EE ровным счетом никакое — даже синхронизации между устройствами нет.

с чего ты решил, что на сервере остаются метаданные о секретных чатах?

ну и в любом случае, в суде догадки типа «они там в секретном чате обсуждали качать лодку» не прокатят

Так а почему он бэкдор, если ты выше и сам согласен с тем, что это by design?

что бай дизайн? возможность провести mitm? вообще-то нет, не бай дизайн, тут надо смотретьн а реализацию конкретного протокола

Не сверил ключи — получаешь тоже самое

не сверил ключи - твою переписку читает майор? что за херню ты несёшь?

Подобный MITM полностью реализуется со стороны сервера, никакое изменение клиента для этого не нужно

интересно, как сервер подменит ключи, если в клиенте это не предусмотрено?

с чего ты решил, что на сервере остаются метаданные о секретных чатах?

А с чего ты решил, что эти метаданные кто-то удаляет?

ну и в любом случае, в суде догадки типа «они там в секретном чате обсуждали качать лодку» не прокатят

Как показала практика — им достаточно найти человека, а дальше шокер спасет товарища следователя от разваливающегося дела.

А с чего ты решил, что эти метаданные кто-то удаляет?

сначала принеси пруфы, что они туда вообще отправляются

им достаточно найти человека, а дальше шокер спасет товарища следователя от разваливающегося дела

из-за митинга? ты такой же спец в российской правоохранительной системе, как и в криптографии

сначала принеси пруфы, что они туда вообще отправляются

man mtproto

Факт переписки в секретном чате не является для сервера неизвестным.

из-за митинга? ты такой же спец в российской правоохранительной системе, как и в криптографии

Я не являюсь «спецом в криптографии», тем не менее — достаточно много о ней знаю, ибо с ней сталкиваюсь ежедневно.

В том числе и в собственных исследованиях, связанных с безопасностью месседжеров.

man mtproto

конкретнее

В том числе и в собственных исследованиях, связанных с безопасностью месседжеров

да, расскажи про исследование трафика вотсаппа, как ты перехватил его в открытом виде?

что бай дизайн? возможность провести mitm? вообще-то нет, не бай дизайн, тут надо смотретьн а реализацию конкретного протокола

By design. Так работает E2EE. Защита от MITM заключается в том, что ты сверяешь полученные отпечатки при личной встрече или с помощью SMP (Socialist Millionaires Problem).

не сверил ключи - твою переписку читает майор?

Нет, не так. Не сверил ключи — не можешь с уверенностью говорить о том, что твою переписку условный товарищ майор не читает.

Подобный MITM полностью реализуется со стороны сервера, никакое изменение клиента для этого не нужно

интересно, как сервер подменит ключи, если в клиенте это не предусмотрено?

Если у тебя возникает подобный вопрос, то ты не понимаешь что такое MITM.

man mtproto

конкретнее

Запрос через сервер о начале секретного чата, ответ другого клиента о подтверждении секретного чата.

Хотя и без этого должно быть очевидно, что сервер может иметь метаданные о том, как и с кем пользователь использует секретные чаты — просто по факту того, что между ними начал вдруг ходить зашифрованный трафик.

да, расскажи про исследование трафика вотсаппа, как ты перехватил его в открытом виде?

Выше уже рассказал весь алгоритм действий. Если тебе нужно проверить, какие данные отправляются на сервер, и у тебя есть доступ к клиенту, то никаких проблем в этом нет. Это не атака на протокол WhatsApp, это — способ проверить декларируемые свойства продукта, интерес к которым был у dikiy.

Так работает E2EE

если отпечатки не сверены, то чат взломан? в голос

Если у тебя возникает подобный вопрос, то ты не понимаешь что такое MITM

т.е. ты хочешь сказать, что серверы телеграма занимаются mitm-атаками на секретные чаты?

пожалуй, на сегодня хватит бреда от лоровских экспертов

Запрос через сервер о начале секретного чата, ответ другого клиента о подтверждении секретного чата

ок

это несущественно

Если тебе нужно проверить, какие данные отправляются на сервер, и у тебя есть доступ к клиенту, то никаких проблем в этом нет

ты дизассемблил клиент что ли?

если отпечатки не сверены, то чат взломан? в голос

С чего ты вообще такую чушь мог вывести?

В исходном сообщение очень ясно говорится о том, что речь о том, что если ты не проверил отпечатки ключей в E2EE — самостоятельно никакой магии по их проверке не произойдет. Соответственно если ты отпечатки не проверил, то и уверенности в том, что нее произошел MITM — у тебя быть не может.

т.е. ты хочешь сказать, что серверы телеграма занимаются mitm-атаками на секретные чаты?

У тебя совершился переход к троллингу глупостью? Зачем ты пишешь заведомо ложные высказывания, которые я очевидно не имел ввиду?

Я говорю о том, что приведенный тобой «бэкдор» будет работать точно таким же образом и с Telegram, и c Signal, и с любыми другими месседжерами, реализующими E2EE в том же виде.

А занимается ли, имеет ли реализацию со стороны сервера, и другие подобные вещи — неизвестно до тех пор, пока не было публичных фактов. Но тот факт, что возможность имеется — очевиден.

Соответственно если ты отпечатки не проверил, то и уверенности в том, что нее произошел MITM — у тебя быть не может

мы тут не про вселенскую уверенность в неприкосновенности переписки говорим, а о конкретном юзкейсе: скрыть от майора переписку об организации митинга (к примеру)

Я говорю о том, что приведенный тобой «бэкдор» будет работать точно таким же образом и с Telegram, и c Signal, и с любыми другими месседжерами, реализующими E2EE в том же виде

а я не понимаю, зачем ты мне перечисляешь теоретические уязвимости, если я даже не собирался искать абсолютную надёжность и безопасность

за хлебом в магазин я тоже не на танке выезжаю, представь себе

А занимается ли, имеет ли реализацию со стороны сервера, и другие подобные вещи — неизвестно до тех пор, пока не было публичных фактов. Но тот факт, что возможность имеется — очевиден.

речь о том, что вотсапп гарантированно может читать приватную переписку, тогда как телеграмм - возможно, может её читать

ну а если майор захочет получить доступ к переписке в телеграме, он скорее пойдёт через сотовых операторов, как это было в случае с какими-то навальными, не помню с кем именно

это несущественно

Ага. «Иванов переписывался в секретном чате за два часа до митинга с его организатором, но мы ведь не знаем о чем там шла речь, и мог ли он в этом митинге участвовать».

Если тебе нужно проверить, какие данные отправляются на сервер, и у тебя есть доступ к клиенту, то никаких проблем в этом нет

ты дизассемблил клиент что ли?

В этом нет ничего необычного. Это базовый скилл любого специалиста по информационной безопасности.

а я не понимаю, зачем ты мне перечисляешь теоретические уязвимости, если я даже не собирался искать абсолютную надёжность и безопасность

Ясно, это все-таки троллинг глупостью. Пожалуй, треду лучше побыть без анонимных троллей.

То, что ты называешь «теоретической уязвимостью» в начале сообщения, невероятным образом превращается в:

речь о том, что вотсапп гарантированно может читать приватную переписку

Ой, почему-то тут ты уже говоришь о данном типе уязвимостей как он чем-то, что происходит «гарантированно».

Но на самом деле нет, WhatsApp имеет возможность читать приватную переписку пользователей ровно такую же, как и имеет ее Telegram. При исходном условии, что отпечатки ключей пользователь не проверяет.

даже мне с опытом пришлось разбираться около 7-8 минут как добавить кого-то в контакт лист

Специально для вас в редизайне подумали насчёт этого. Теперь понятнее? (Бесполезные кнопки снизу снесли.)

А для десутопа оно как выглядит?

Это и есть шеб-версия. Оно WIP, но должно в конце концов превратиться в это через n недель, где n — одна цифра (это уточнение добавили 11 сентября).

вот кстати нарыл Signal.org, че это? Говорят все может. И GPL

Централизованный мессенджер с регистрацией только по номеру телефона и упоротыми разработчиками, что в своё время забанили форк клиента под Android, отвязывающего его от сервисов Google.

вот кстати нарыл Signal.org, че это? Говорят все может. И GPL

В плане безопасности один из лучших, но Moxie (основной разработчик) часто делает что-то странное в плане работы с комьюнити.

Централизованный мессенджер с регистрацией только по номеру телефона и упоротыми разработчиками, что в своё время забанили форк клиента под Android, отвязывающего его от сервисов Google.

как они могли его забанить? Там же GPL

А есть форк без привязки к номеру?

как они могли его забанить? Там же GPL

https://github.com/LibreSignal/LibreSignal/issues/37#issuecomment-217211165

А есть форк без привязки к номеру?

Нет.

Выше уже писали о https://wire.com, где привязка номера не нужна, есть синхронизация между устройствами и E2EE, а также открытые исходники.

Он чем тебе не подошел?

как они могли его забанить? Там же GPL

https://github.com/LibreSignal/LibreSignal/issues/37#issuecomment-217211165

странно. И что никто не решил просто забить и продолжить поддерживать форк?

А есть форк без привязки к номеру?

Нет.

мдэ. Ну видать не нужно никому...

Выше уже писали о https://wire.com, где привязка номера не нужна, есть синхронизация между устройствами и E2EE, а также открытые исходники.

Он чем тебе не подошел?

регистрация нужна. Хотя она в принципе она и на jabber нужна...

И для конференция они бабло хотят. И без гугл-стора не скачать. Фтопку

4 бакса в месяц)) жирно будет

с помощью SMP (Socialist Millionaires Problem)

Поясни, как специалист в ИБ, в чем суть этого протокола?
Ведь если общий секрет уже есть, можно же сразу симметричным шифром фигачить. Ну, для perfect forward secrecy можно шифровать им параметры, пересылаемые при DH - если этот ключ ещё не скомпрометирован, то mitm устроить не получится.

Но концепция секретных чатов — провальная в плане приватности, так как оставляет большой след из метаданных о том, что «в этот момент времени с этого телефона товарищ Иванов общался в секретном чате с товарищем Петровым 10 минут, после чего товарищ Петров пошел на митинг».

В чем проблема общатсья _только_ в секретных чатах? Кмк все только в них и общаются.

В чем проблема общатсья _только_ в секретных чатах?

Речь про Telegram, где отсутствует синхронизация для E2EE чатов.

Кмк все только в них и общаются.

Крайне маловероятно, что большая часть ими вообще пользуется.

В любом случае, основное общение там скорее в групповых чатах, где E2EE отсутствует в принципе.

с помощью SMP (Socialist Millionaires Problem)

в чем суть этого протокола?

В удостоверении общего секрета, непосредственно этот секрет не раскрывая.

Ведь если общий секрет уже есть, можно же сразу симметричным шифром фигачить

Общий секрет, как минимум — плохой источник энтропии для ключа.

В удостоверении общего секрета, непосредственно этот секрет не раскрывая.

А чем это лучше, чем если просто пересылать друг другу хэши этого секрета с солью?

А чем это лучше, чем если просто пересылать друг другу хэши этого секрета с солью?

В том, что это не решает исходной проблемы.

Попробуй нарисовать предложенный тобой протокол на бумаге — быстро поймешь почему.

Следует из того, что секретное слово простое, и чтобы для пассивного наблюдателя было не подобрать его перебором, а сводилось к DLP?

Следует из того, что секретное слово простое, и чтобы для пассивного было не подобрать его перебором, а сводилось к DLP?

Нет, дело даже не в этом.

Во-первых, в данном случае твоим секретом становится твой хеш с солью. Во-вторых, описанный тобой протокол (по всей видимости) основывается на возможности достоверно знать о том, что отправитель до отправки своего хеша не видел твоего — в реальности на данном этапе такой возможности у тебя не будет.

секретом становится твой хеш с солью
возможности достоверно знать о том, что отправитель до отправки своего хеша не видел твоего

Почему?

Вот так:
У Алисы секрет «x», у Боба «y».
А генерирует соль r1, пересылает r1 и хеш(x|r1)
B генерирует r2, пересылает r2 и хеш(y|r2)

А проверяет, что хеш(x|r2) (посчитанный) == хеш(y|r2) (полученный), В - аналогично.

Вот так: У Алисы секрет «x», у Боба «y».
А генерирует соль r1, пересылает r1 и хеш(x|r1)
B генерирует r2, пересылает r2 и хеш(y|r2)

А проверяет, что хеш(x|r2) (посчитанный) == хеш(y|r2) (полученный), В - аналогично.

А как подобная схема сама по себе противостоит MITM?

А как здесь реализовать этот MITM?
Кроме тупого случая, если пересылать назад те же данные (от этого надо просто проверять r1!=r2)

А как здесь реализовать этот MITM?

Классически — Ева стоит посередине, и для Алисы выступает Бобом, а для Боба — Алисой.