安全人员称 XChat “端到端加密”是误导性的
- 内容介绍
- 文章标签
- 相关推荐
image898×1206 260 KB
https://x.com/mysk_co/status/2047807880124911701
网友解答:--【壹】--:
并非。只要制定一个密码学上有效的算法,双方用开源客户端,就没问题,参考 matrix
--【贰】--:
是的,交换过公钥的hash就行了,你就知道收到的公钥是不是真的了。
--【叁】--: EVELance:
线下交换过公钥
或者说线下交换过能证明有效的东西,比如指纹
--【肆】--:
这个还要手动加一堆好友吗,这也太累了。。。刚刚试用了感觉好像没啥使用场景
--【伍】--:
如果是真心在乎安全的话,安全码截个图在其他平台交换一下,也不麻烦。问题主要还是考虑到 UX 不会强制要求验证,而大多数用户又不可能愿意对每个联系人做一遍验证 最后就是形同虚设
--【陆】--:
Signal是开源软件,包括服务端,感觉这比tg高太多了(
--【柒】--:
不是全同态,可以了解一下 Signal(应该算商业软件)的 Double Ratchet 算法
--【捌】--:
佬说的是全同态加密嘛,这种目前感觉还是很难在商业软件上看到吧,
不过着4位pin加密确实感觉没那么可靠,还不如私钥
--【玖】--:
TG的替代品应该是Signal吧
或许是matrix呢
再不行discord也行吧,起码功能相还
什么叫 微信 XChat
--【拾】--:
你需要跟对方交换公钥呀,中间人MITM就行了,和你客户端没有关系。
除非通信双方在线下交换过公钥,否则你们就无法知道自己收到的公钥是真的还是假的。
--【拾壹】--:
对的,你是对的。但是可以把公钥 map 到一串短字符之类的东西,然后通过其他可信途径交换,不用交换完整公钥,比如 matrix 用的是 emoji,挺方便的
--【拾贰】--:
想要便捷,你逃不掉依赖一个可信中间人帮你交换密钥。
如果这个中间人变得不可信,问题就出现了。
--【拾叁】--:
是这个道理,但是这样就不够便捷了,就成PGP的那样了。
我觉得iMessage也有类似的状况
image898×1206 260 KB
https://x.com/mysk_co/status/2047807880124911701
网友解答:--【壹】--:
并非。只要制定一个密码学上有效的算法,双方用开源客户端,就没问题,参考 matrix
--【贰】--:
是的,交换过公钥的hash就行了,你就知道收到的公钥是不是真的了。
--【叁】--: EVELance:
线下交换过公钥
或者说线下交换过能证明有效的东西,比如指纹
--【肆】--:
这个还要手动加一堆好友吗,这也太累了。。。刚刚试用了感觉好像没啥使用场景
--【伍】--:
如果是真心在乎安全的话,安全码截个图在其他平台交换一下,也不麻烦。问题主要还是考虑到 UX 不会强制要求验证,而大多数用户又不可能愿意对每个联系人做一遍验证 最后就是形同虚设
--【陆】--:
Signal是开源软件,包括服务端,感觉这比tg高太多了(
--【柒】--:
不是全同态,可以了解一下 Signal(应该算商业软件)的 Double Ratchet 算法
--【捌】--:
佬说的是全同态加密嘛,这种目前感觉还是很难在商业软件上看到吧,
不过着4位pin加密确实感觉没那么可靠,还不如私钥
--【玖】--:
TG的替代品应该是Signal吧
或许是matrix呢
再不行discord也行吧,起码功能相还
什么叫 微信 XChat
--【拾】--:
你需要跟对方交换公钥呀,中间人MITM就行了,和你客户端没有关系。
除非通信双方在线下交换过公钥,否则你们就无法知道自己收到的公钥是真的还是假的。
--【拾壹】--:
对的,你是对的。但是可以把公钥 map 到一串短字符之类的东西,然后通过其他可信途径交换,不用交换完整公钥,比如 matrix 用的是 emoji,挺方便的
--【拾贰】--:
想要便捷,你逃不掉依赖一个可信中间人帮你交换密钥。
如果这个中间人变得不可信,问题就出现了。
--【拾叁】--:
是这个道理,但是这样就不够便捷了,就成PGP的那样了。
我觉得iMessage也有类似的状况