По поводу Всемирного дня шифрования, задам #вопрос: какой должен быть правильный способ и порядок использования *отпечатков ключей*? В Гугле толкового описания не находится. Я правильно понимаю, что ими нужно предварительно *обменяться* по **дополнительному** каналу (e-mail?), а в начале диалога *сверить* с тем, что покажет мессенджер ~~ручками~~ глазками? И так для каждого устройства и периодически заново?

Выглядит не слишком «френдли юзерс» ©. Есть какие-то еще варианты (Ватсап же ничего такого не просит)?

И еще: при неподтвержденном ключе шифрование работает или нед?
@ru@lor.sh @rf #Jabber #OMEMO #Matrix #мессенджеры

@johan Для начала обмена сообщениями, стадия дискавери, необязательно сверять отпечатки ключей. Просто, пока отпечатки не сверены, этот канал считается непроверенным, т.е. ничего сверхчувствительного по нему пересылать не рекомендуется, пока не будут сверены ключи. Ключи, т.е. их отпечатки, конечно лучше всего сверять при личной встрече, просканировав обоими устройствами отпечатки друг у друга с экранов. Но личная встреча не всегда возможна, даже скажем, чаще нет, чем да. Поэтому надо найти другой, проверенный канал, для передачи отпечатка. Если такого канала ещё не было, то на худой конец, хотя бы какой-нибудь другой канал, альтернативный рассматриваемому. Емейл там, или видео, голосом по телефону надиктовать. Все зависит от аппетита риска рассматриваемой коммуникации. Для семейного чата, например, атака человек посередине очень маловероятна. А если это какой-нибудь комитет по стратегии политической партии, то такие вещи придется прорабатывать очень скрупулезно.

@johan Пока ключ не подтвержден, шифрование все равно работает, с тем ключом, какой есть. Просто этот канал должен быть помечен как неподтвержденный, пока подлинность не будет подтверждена вручную.

Вотсап примерно так и должен поступать, раз он использует протокол Сигнала. Но у Вотсапа задача проще. В Вотсапе все сидят с Фейсбук аккаунтами, поэтому он может поручиться за каждого пользователя. Т.е. если доверяешь Фейсбуку, значит остается просто доверить и каналу связи в Вотсапе. Обратное, причем, тоже верно: не доверяешь Фейсбуку, не пользуйся Вотсапом.

@ever А, вот. В Гаджиме если поставить «ненадежный» — сообщение не уйдет, но появится выбор между «надежный» и «blind trust».

@𝕵𝖔𝖍𝖆𝖓 ⛧ у Psi'ны очень кривая поддержка OMEMO.
потренируйся на том же Gajim на первых порах, там давно всё обкатано.

и не смешивай OMEMO с тем как работает Signal, поскольку реализация несколько разная.
например, в том же Signal сделали так, чтобы серваки не знали кто с кем переписывается. т.е. несколько вперёд ушли в развитии протокола и взаимодействия клиент-сервер.

@erua А я и не лезу в дебри сигналов/телеграмов/ватсапов, там хочешь-не хочешь клиент единственный, делает «всё сам», настроек нет.

P.S. Странно, вроде псина всегда была наиболее продвинутой в плане поддержки джабберов 😞