По поводу Всемирного дня шифрования, задам #вопрос: какой должен быть правильный способ и порядок использования *отпечатков ключей*? В Гугле толкового описания не находится. Я правильно понимаю, что ими нужно предварительно *обменяться* по **дополнительному** каналу (e-mail?), а в начале диалога *сверить* с тем, что покажет мессенджер ~~ручками~~ глазками? И так для каждого устройства и периодически заново?
Выглядит не слишком «френдли юзерс» ©. Есть какие-то еще варианты (Ватсап же ничего такого не просит)?
И еще: при неподтвержденном ключе шифрование работает или нед?
@ru@lor.sh @rf #Jabber #OMEMO #Matrix #мессенджеры
@johan Для начала обмена сообщениями, стадия дискавери, необязательно сверять отпечатки ключей. Просто, пока отпечатки не сверены, этот канал считается непроверенным, т.е. ничего сверхчувствительного по нему пересылать не рекомендуется, пока не будут сверены ключи. Ключи, т.е. их отпечатки, конечно лучше всего сверять при личной встрече, просканировав обоими устройствами отпечатки друг у друга с экранов. Но личная встреча не всегда возможна, даже скажем, чаще нет, чем да. Поэтому надо найти другой, проверенный канал, для передачи отпечатка. Если такого канала ещё не было, то на худой конец, хотя бы какой-нибудь другой канал, альтернативный рассматриваемому. Емейл там, или видео, голосом по телефону надиктовать. Все зависит от аппетита риска рассматриваемой коммуникации. Для семейного чата, например, атака человек посередине очень маловероятна. А если это какой-нибудь комитет по стратегии политической партии, то такие вещи придется прорабатывать очень скрупулезно.
@johan Пока ключ не подтвержден, шифрование все равно работает, с тем ключом, какой есть. Просто этот канал должен быть помечен как неподтвержденный, пока подлинность не будет подтверждена вручную.
Вотсап примерно так и должен поступать, раз он использует протокол Сигнала. Но у Вотсапа задача проще. В Вотсапе все сидят с Фейсбук аккаунтами, поэтому он может поручиться за каждого пользователя. Т.е. если доверяешь Фейсбуку, значит остается просто доверить и каналу связи в Вотсапе. Обратное, причем, тоже верно: не доверяешь Фейсбуку, не пользуйся Вотсапом.
@ever И-и-и-и? У Ватсапа только мой номер телефона, никакой привязки к фейсбуку же.
@johan А да? Ну я точно не знаю, я оттуда выпилился, когда Фейсбук пообещал единый аккаунт вводить на все его сервисы. Но так или иначе, хотя бы известно, что Ватсап знает кто кому когда писал, потому что он сохраняет всю метадату у себя на серверах. Т.е. Ватсап видит, что это именно Вася пишет Пете, а не кто-то другой. И ему нет никакого резона (мы надеемся) укрывать разных негодяев. Ну разве что, только, если негодяй не скажет не говорить ничего Васе и Пете, потому что они у него (негодяя) в разработке в целях государственно безопасности.
@johan Фейсбук владеет Вацапом