145 meneos
2022 clics
¿Qué protocolo de cifrado utiliza Signal? [EN]
Es posible que ya conozca a Signal gracias a la popular aplicación de mensajería de texto cifrada de extremo a extremo con el mismo nombre, creada por cypherpunk Moxie Marlinspike y en los últimos años alojada por la organización sin fines de lucro Signal Foundation. Signal, la aplicación, tiene una reputación incomparable de seguridad y privacidad, con el respaldo de alto perfil del denunciante de la NSA Edward Snowden y el fundador de WhatsApp Brian Acton, quien dejó WhatsApp en 2018 para desempeñarse como director ejecutivo de la Signal Foun
|
comentarios cerrados
Ahora entiendo lo de Mecano: La cara oculta es un anuncio de Signal.
(ya me voy)
www.google.com/amp/s/www.xataka.com/privacidad/puigdemont-signal-y-la-
¿Qué usaban en mr robot? Que se autodestruia
Podría haber sido otra cosa si Moxie no se hubiera empeñado en mantener el control central.
Pero la noticia no va de eso, va de signal o de algoritmos de cifrado, yo solo contesto al hecho de que
a) no se puede comprobar que whatsapp use eso más allá de lo que ellos dicen y lo que Moxie ha dicho (ha publicado de hecho en varios posts, cargando contra los algoritmos de telegram , publicos, sin aportar ni una sola prueba, algo inaudito en criptografia) después de que le pagaran una pasta, pero sin más, no se puede comprobar
y
b) la seguridad por oscuridad no funciona, es una mala idea y se ha demostrado mil millones de veces que esto es así
¿Qué alternativa tienen? pues liberar la parte del cifrado y quedarse con sus "algoritmos secretos" si quieren. Es como decir que para ser lucrativo Google tiene que dejar de usar HTTPS (o TLS solo si quieres) porque joder.. tiene que proteger su propiedad intelectual.
Como mucho lo que puedes tener es un límite en el número de contactos con los que te puedes estar comunicando al mismo tiempo, pero eso existiría igualmente en el modelo (de)centralizado (en forma de número de conexiones simultaneas que el servidor permite) pero en este caso distribuido yo creo que antes llegas al tope de lo humanamente posible que sea para una persona mandar tantos mensajes a la vez.
Desde luego que tiene otros problemas (no poder mandar mensajes offline, dificultades en conectar a la misma cuenta desde diferentes dispositivos, etc), pero en teoría escalabilidad no debería ser uno de ellos, creo yo.
Si usas mi código y lo mejoras, tienes que poner en público tus mejoras. Así, ambos nos podemos beneficiar mutuamente, tú de mi trabajo y yo del tuyo y gracias a esto, el usuario.
Falso.
"la seguridad por oscuridad no funciona"
Esto no es seguridad por oscuridad.
"Es como decir que para ser lucrativo Google tiene que dejar de usar HTTPS (o TLS solo si quieres) porque joder.. tiene que proteger su propiedad intelectual."
Comparación deshonesta. Google no tiene que revelar su codigo para usar HTTPS.
Por ejemplo, ¿cuál es el problema en bittorrent para compartir un archivo cuando el número de personas son cientos de miles? ¿no debería ser de hecho una ventaja debido a la redundancia intrínseca en estos sistemas?
Pero "eso no es seguridad por oscuridad", te agradecería que si aportas algo al debate lo razones un poco .
es.wikipedia.org/wiki/Seguridad_por_oscuridad
Cumple absolutamente todo para ser seguridad por oscuridad, se oculta el código, la implementación, los algortimos, todo, que ellos digan que usan X o Y es irrelevante porque no se puede comprobar,
"Google no tiene que revelar su código para usar HTTPS"
Claro, Internet Explorar en windows tampoco tiene que revelar su código para usar HTTPS (ejemplo muy al caso porque les ha ido muy bien por cierto queriendo preservar el gran secreto de IE hasta el final fomentando la no-interoperabilidad, código secreto etc, al final se los han comido con patatas), Google tampoco, pero cualquiera puede ver que protocolo usan porque te puedes poner en el otro extremo de la comunicación y comprobarlo. Pero claro aquí se quiere no solo ocultar el código "parfa que no te copien" sino impedir la interoperabilidad.
En WhatsApp quieren tenerlo todo, quieren tener el servidor cerrado, el cliente también y por lo tanto el protocoo también porque es imposible auditarlo, pero luego decirnos que el protocolo es libre y seguro!. Es absurdo, no puedes vender la apertura como una ventaja cuando ni tu mismo lo aplicas, y los que comulgáis con eso tenéis unas tragaderas importantes.
Pues ya está, el ejemplo que dabas no era válido.
"Pero claro aquí se quiere no solo ocultar el código "para que no te copien" sino impedir la interoperabilidad."
No se de que hablas aquí.
no puedes vender la apertura como una ventaja cuando ni tu mismo lo aplicas, y los que comulgáis con eso tenéis unas tragaderas importantes.
¿Quién vende apertura? ¿Y con qué se supone que yo comulgo? ¿Es una chorrada aleatoria para faltarme?
es.wikipedia.org/wiki/Seguridad_por_oscuridad"
en.wikipedia.org/wiki/Security_through_obscurity
El propio artículo de la noticia que no se si has leido, porque te empeñas en hablar de otras cosas, es de un montón de gente implicada en el mundo de la criptografía comentando como funciona un protocolo criptográfico. Lo pueden hacer porque es abierto, en la propia página de Signal se menciona que es abierto, público y auditable como una ventaja (que además en este tema es de cajón), el propio Moxie ha cargado mil veces las tintas contra otras implementaciones por no ser abiertas, incluidas las del propio whatsapp antes de pagarle por hacer la migración.
Telegram por lo tanto si vende apertura al decir que usa signal y que eso es muy seguro, mucho más que otras alternativas, porque es auditable y emplea unos standares seguros y aceptados, es que es la razón de ser de hacer ese cambio, vender seguridad al usar ese protocolo, de eso va la cosa.
Lo que tiene tela es que nadie pueda comprobar esa implementación y aplaudamos con las orejas, porque bueno.. seguramente lo usa, sin embargo la gente que lo implementa y promociona mantiene otra aplicación de mensajería paralelamente con una non-profit.. vendiendo que es más segura y privada que el resto, ¿cómo es esto posible?.
De todas formas, dejo aquí el debate porque esto no lleva a ningún sitio, y no, no quiero faltarme ni contigo ni con nadie, pero está claro que no va a salir nada productivo de este debate, el ejemplo es #29, que me pegas un enlace pero o no lo has leido o no lo entiendes.
Un saludo
Lo de la actitud y demás tiene gracia, prueba a leer tu anterior comentario y me lo dices otra vez, es todo un ejemplo de respeto y entendimiento
www.gnu.org/licenses/gpl-faq.en.html#GPLRequireSourcePostedPublic
The GPL does not require you to release your modified version, or any part of it. You are free to make modifications and use them privately, without ever releasing them. This applies to organizations (including companies), too; an organization can make a modified version and use it internally without ever releasing it outside the organization.
Por supuesto que una app de mensajería no es uso interno, es distribución del programa, y el párrafo anterior no es aplicable, pero como otras veces he visto que interpretas la GPL "a tu manera" creo que es oportuno citar el trozo relevante de la FAQ para que lo compruebes tú mismo.
No conozco muchas compañías millonarias cuyo principal servicio sea un software y ese mismo software esté abierto.
Si vas por la primera vía, estarás sólo. Quizá no se aprovechen de tu trabajo, pero tampoco te aportarán nada.
Si vas por la segunda, todos podrán aprovecharse de tu trabajo sin garantizarte una compensación (salvo que elijan colaborar contigo en lugar de aprovecharse), con lo que tampoco te aportarán nada.
Si vas por la tercera, dependiendo de qué restricciones pongas, tendrás más o menos ventajas sobre los demás. Usando una licencia tipo GPL, te garantizas una compensación, si no colaboran contigo, al menos siempre que publiquen derivaciones de tu trabajo deben aportarlas a los demás.
Las compañías que abren el software lo hacen por más razones. Es una ventaja ser abiertamente auditables, garantizar que soportas ciertos estándares, que seas más confiable de cara a terceros, más accesible y adaptable a las necesidades de terceros, etc. ¿Que se puede hacer con software cerrado? a cambio de acuerdos y dinero se puede todo, claro, pero eso sólo está al alcance de otras grandes compañías, lo que las hace menos competitivas salvo que estén en una posición preponderante en el mercado. Porque claro, tú piensas en las grandes compañías que monopolizan ciertas partes del mercado, esas imponen su punto de vista. Si piensas más abiertamente verás que no es el caso de todas y que muchas se están haciendo daño a si mismas cerrándose.
Así que es normal que las compañías no sigan ese camino.
Empezando por las obvias:
-Red Hat
-Suse
-Canonical
-Unity
Y siguiendo con alguna menos obvia:
-Epic Games (por ahora, unreal engine sigue siendo su principal software, y es abierto e incluso gratuíto para ciertos casos de uso, lo que no, libre).
Podría decir muchas cuyo principal servicio no es abierto o libre, pero que tienen algunos "secundarios"
También hay muchas que no abren su soft principal pero usan muchas herramientas libres, a las que aportan bastante (algunas creadas y liberadas por ellos mismos, por ejemplo: facebook, google e incluso apple...)
Todas esas empresas se benefician de una manera u otra por tener parte o todo su software libre, o al menos abierto y accesible.