this post was submitted on 15 Feb 2021
4 points (100.0% liked)

Hakt! – Hakuj i działaj

4 readers
1 users here now

Haktywizm -- użycie komputerów i sieci do promowania celów społecznych i politycznych, zwłaszcza wolności słowa, praw człowieka i dostępu do informacji.

Źródło: Wikipedia

Przydatne:

Inne społeczności o pokrewnych tematach:

founded 4 years ago
MODERATORS
[email protected]
[email protected]
4
Co myślicie o Signalu pod względem bezpieczństwa? (szmer.info)
submitted 3 years ago* (last edited 3 years ago) by [email protected] to c/[email protected]
3 comments fedilink hide all child comments
 

Z tego co wiem sam algorytm jest przezajebisty i trudno o coś lepszego, szczególnie że najpopularniejszą konkurencją do tej pory są fejsbuk (messenger + whatsapp) i telegram pozostawiajace bardzo wiele do życzenia w kwestiach bezpieczeństwa. Ostatnio jednak trafiłem na krytykę Signal choćby tutaj:

https://resist.berlin/goodbye_signal.txt

Kluczowe wydają mi się następujące punkty

  • Numer telefonu, aczkolwiek Moxie nigdy nie obiecywał anonimowości, wszak Signal jest reklamowany jako zapewniający prywatność.

  • Scentralizowana infrastruktura i brak woli przejścia na federacyjność

  • Spora zależność od rządowego finansowania z rąk USA

  • Z założenia niebezpieczne endpointy w postaci Androidów i iOS-ów, a wiadomo że większośc osób ma na telefonie zaguglowaną wersję z nakładką producenta.

Czy w związku z powyższymi pomimo ogromnej wygody Signala warto się skupić na alternatywach jak Matrix, stare dobre PGP, apkach z założenia desktopowych itp? Bo rzeczywiście Signal jest świetny jeśli chodzi o upowszechnienie prywatności w życiu codziennym ale czy to wystarcza osobom wymagającym więcej bezpieczeństwa poprzez narażanie się państwom czy prawicowym ekstremistom?

Jak to jest u was? Jak bardzo ufacie Signalowi?

top 3 comments
sorted by: hot top controversial new old
[–] [email protected] 1 points 3 years ago* (last edited 3 years ago)

Przed udzieleniem odpowiedzi na to czy dany system uważamy dla nas za względnie "bezpieczny" czy nie ważne jest określenie tego jaki jest nasz model zagrożenia i co jest właściwie tym co staramy się ochronić. Nie da się ugrać wszystkiego.

Dla niektórych bardziej liczy się prywatność komunikacji, dla innych anonimowość wobec serwerów które pośredniczą w komunikacji (i dlatego kręcą nosem na podawanie swoich numerów telefonów w Signalu albo na korzystanie z identity servers przez Matrix), dla jeszcze innych liczy się przede wszystkim anonimowość wobec rozmowców (bez dodatkowego zabezpieczenia np. przez VPN w Matrix jako że jest to protokół oparty o WebRTC bardzo łatwo o expose Twojego adresu IP). Dla osób które chcą jakoś zbilansować zarówno anonimowość jak i prywatność problemem może natomiast nagle okazać się usability w codziennej komunikacji (i będą niemile zaskoczone gdy zauważą że w Briar wiadomości mogą wysłać sobie tylko gdy obydwie strony komunikacji są online, a w komunikatorze brakuje wielu "standardowych" funkcji jak voice calle czy miłych pierdoletów jak przesyłanie naklejek).

Dla mnie Signal jest jak najbardziej w porządku na potrzeby codziennych rozmów i aplikacją zdecydowanie lepszą od wszystkich normikowych komunikatorów pokroju WhatsAppa, ale nie uważam go za perfekcyjne rozwiązanie każdego problemu. Co do listy mankamentów mogę tylko dodać że developerki&developerzy Signala pracują nad tym żeby identyfikować można się było przy użyciu m. in. uuidów a nie jedynie numeru telefonu.

[–] [email protected] 1 points 3 years ago

Prywatność i anonimowość to dwie jednak tylko powiązane kategorie, reszta jest w zasadzie aplikowalna do wszystkiego innego. Matrix też nie jest jakimś cudem jeśli chodzi o bezpieczeństwo i jeśli ma być wykorzystywany na telefonie wracamy do tych samych problemów.

Z signala korzystam na co dzień do absolutnie codziennej komunikacji i tej nieprzesadnie wrażliwej. Pewnie nie pisałbym tam gdybym robił coś o czym na pewno nie chciałbym żeby wiedziały jakieś złe siły, chociażby właśnie ze względu na niemożliwe do osiągnięcia bezpieczeństwo samego telefonu. Gdybym chciał faktycznie komunikować prywatnie i anonimowo pewnie szedłbym w kierunku Briara, Toxa czy czegoś w podobnym modelu, krok wcześniej byłoby XMPP z OTR albo PGP. Tylko ponownie, ciężko ufać telefonom, więc bardziej ufałbym PGP na bezpiecznym systemie i hardwarze do którego nikt nie ma dostępu, ale tu ponownie jest problem przesyłania, już nie mówiąc o overheadzie trzymania takiego sprzętu...
Wcześniej czy później można dojść do poziomu zabezpieczania śrubek w laptopie, żeby wiedzieć czy ktoś przy nich manipulował, podobno dobrze sprawdza się lakier z brokatem - ciężko idealnie odtworzyć konfigurację, więc ze zdjęciami można weryfikować ew. dostęp. No i warto pamiętać, że są badania wskazujące na możliwość analizy wciskanych klawiszy po skokach napięcia w sieci, z sąsiedniego pomieszczenia...
Inaczej mówiąc - prywatność i bezpieczeństwo zawsze trzeba zbalansować z komfortem i kosztem (ekonomicznym/czasowym) zabezpieczeń. Jeśli nie planujesz rewolucji, Signal powinien moim zdaniem wystarczać, chociaż pewnie nie pisałbym tam pewnych słów kluczowych.

[–] [email protected] 1 points 3 years ago

Kilka moich subiektywnych uwag: Bezpieczeństwo telefonu: polecam /e/ foundation, deGoogled, można wgrać samemu lub kupić refurbished albo nówkę, Link Buy /e/ smartphone: https://e.foundation Mozna wgrać na telefon również deGoogled Lineage OS (/e/ na nim bazuje), na wybrane modele. PGP, Signal - nie zapewnia anonimowości. Dyskusja o bezpieczeństwie na Googlowym smartfonie / iPhone: ten czy ten komunikator - darujmy sobie. Matrix, Mattermost - na własnych serwerach tak, ale wystarczy jedna osoba z grupy ze smartfonem od Google lub robiąca screen-y i można zapomnieć o bezpieczeństwie, ale anonimowość może być zachowana. Cóż więc: można po prostu zaakceptować, że fabryczny smartfon i np. Signal daje jakieś minimalne bezpieczeństwo. Tutaj porównanie komunikatorów: https://www.securemessagingapps.com