Portada
mis comunidades
otras secciones
![¿Qué protocolo de cifrado utiliza Signal? [EN]](https://cdn.mnmstatic.net/cache/34/2e/media_thumb_2x-link-3419768.jpeg?1606693506)
#2:
Muy interesante, meneo.
Ahora entiendo lo de Mecano: La cara oculta es un anuncio de Signal.
(ya me voy)
Ahora entiendo lo de Mecano: La cara oculta es un anuncio de Signal.
(ya me voy)
Comentarios
Muy interesante, meneo.
Ahora entiendo lo de Mecano: La cara oculta es un anuncio de Signal.
(ya me voy)
#2 la de signal era la cara vista; la cara oculta es la resulta de mi idea genial de echarte. Que todo hay que decirlo.
#2 #3 Me va a costar tanto olvidaros...
En estos momentos me decantaría por algo "descentralizado", y actualmente creo solo se puede usar "Element" (Antes RiotX, antes Riot) como opción.
#10 XMPP, vulgarmente conocido como Jabber.
No es descentralizado, el servidor más popular no es libre, necesitas pagar un número de teléfono mensualmente (que en la mayoría de paises va vinculado a tu DNI, con lo que ya te compromete), lo han quitado de F-Droid porque no cumple los requisitos y, finalmente, no lo usa casi nadie, con lo que no puedes hablar con demasiada gente. Para usar algo minoritario ya estaban XMPP/Jabber con OTR, Element (Riot) o Retroshare, como apuntan #10, y #14.
Podría haber sido otra cosa si Moxie no se hubiera empeñado en mantener el control central.
#10 O puestos a elegir, algo "distribuido" (Jami, Tox), que no dependa de servidores de ningún tipo. El problema es convencer a la gente para usar esas cosas cuando todo el mundo, familiares y amigos, casi que identifícan la mensajería con "el whatsapp".
#16 Pero, siendo "tan distribuidos", ¿escalan bien? La federación escala bien seguro, mientras que Jami (que es el que conozco), no tanto.
#17 ¿Escalable en que sentido? Yo tampoco uso mucho Jami o Tox, más allá de algún test... pero en teoría precisamente uno de los puntos fuertes de ser distribuido sería el ser más escalable en términos de cantidad de cuentas que pueden existir, ya que no necesitas un servidor con capacidad limitada en número de usuarios o en número de conexiones entre servidores para la federación, y que debería existir una cierta redundancia de información del estado entre nodos de grupos de amigos.
Como mucho lo que puedes tener es un límite en el número de contactos con los que te puedes estar comunicando al mismo tiempo, pero eso existiría igualmente en el modelo (de)centralizado (en forma de número de conexiones simultaneas que el servidor permite) pero en este caso distribuido yo creo que antes llegas al tope de lo humanamente posible que sea para una persona mandar tantos mensajes a la vez.
Desde luego que tiene otros problemas (no poder mandar mensajes offline, dificultades en conectar a la misma cuenta desde diferentes dispositivos, etc), pero en teoría escalabilidad no debería ser uno de ellos, creo yo.
#20 Todos los sistemas distribuidos tienen un problema de escalabilidad. Con unos cientos de usuarios no hay problemas, pero, ¿con unos cientos de miles?
#26 ¿Cuál es el problema en concreto que ves? ¿podrías elaborar sobre porque crees que todo sistema distribuido tiene ese problema?
Por ejemplo, ¿cuál es el problema en bittorrent para compartir un archivo cuando el número de personas son cientos de miles? ¿no debería ser de hecho una ventaja debido a la redundancia intrínseca en estos sistemas?
#18 Vamos a ver, yo no estoy hablando del modelo de negocio de nadie, que es un tema ya muy manido y la noticia no va de eso, aunque vamos, en el caso concreto de whatsapp no se que le podría copiar, es un programa de mensajería por dios, no aporta nada ni tiene nada que no tengan mil programas similares.
Pero la noticia no va de eso, va de signal o de algoritmos de cifrado, yo solo contesto al hecho de que
a) no se puede comprobar que whatsapp use eso más allá de lo que ellos dicen y lo que Moxie ha dicho (ha publicado de hecho en varios posts, cargando contra los algoritmos de telegram , publicos, sin aportar ni una sola prueba, algo inaudito en criptografia) después de que le pagaran una pasta, pero sin más, no se puede comprobar
y
b) la seguridad por oscuridad no funciona, es una mala idea y se ha demostrado mil millones de veces que esto es así
¿Qué alternativa tienen? pues liberar la parte del cifrado y quedarse con sus "algoritmos secretos" si quieren. Es como decir que para ser lucrativo Google tiene que dejar de usar HTTPS (o TLS solo si quieres) porque joder.. tiene que proteger su propiedad intelectual.
#19 "no aporta nada ni tiene nada que no tengan mil programas similares."
Falso.
"la seguridad por oscuridad no funciona"
Esto no es seguridad por oscuridad.
"Es como decir que para ser lucrativo Google tiene que dejar de usar HTTPS (o TLS solo si quieres) porque joder.. tiene que proteger su propiedad intelectual."
Comparación deshonesta. Google no tiene que revelar su codigo para usar HTTPS.
#24 Ya te digo que no voy a entrar en el modelo de negocio de nadie, aunque no esté de acuerdo.
Pero "eso no es seguridad por oscuridad", te agradecería que si aportas algo al debate lo razones un poco .
https://es.wikipedia.org/wiki/Seguridad_por_oscuridad
Cumple absolutamente todo para ser seguridad por oscuridad, se oculta el código, la implementación, los algortimos, todo, que ellos digan que usan X o Y es irrelevante porque no se puede comprobar,
"Google no tiene que revelar su código para usar HTTPS"
Claro, Internet Explorar en windows tampoco tiene que revelar su código para usar HTTPS (ejemplo muy al caso porque les ha ido muy bien por cierto queriendo preservar el gran secreto de IE hasta el final fomentando la no-interoperabilidad, código secreto etc, al final se los han comido con patatas), Google tampoco, pero cualquiera puede ver que protocolo usan porque te puedes poner en el otro extremo de la comunicación y comprobarlo. Pero claro aquí se quiere no solo ocultar el código "parfa que no te copien" sino impedir la interoperabilidad.
En WhatsApp quieren tenerlo todo, quieren tener el servidor cerrado, el cliente también y por lo tanto el protocoo también porque es imposible auditarlo, pero luego decirnos que el protocolo es libre y seguro!. Es absurdo, no puedes vender la apertura como una ventaja cuando ni tu mismo lo aplicas, y los que comulgáis con eso tenéis unas tragaderas importantes.
#29 "Claro, Internet Explorar en windows tampoco tiene que revelar su código para usar HTTPS"
Pues ya está, el ejemplo que dabas no era válido.
"Pero claro aquí se quiere no solo ocultar el código "para que no te copien" sino impedir la interoperabilidad."
No se de que hablas aquí.
no puedes vender la apertura como una ventaja cuando ni tu mismo lo aplicas, y los que comulgáis con eso tenéis unas tragaderas importantes.
¿Quién vende apertura? ¿Y con qué se supone que yo comulgo? ¿Es una chorrada aleatoria para faltarme?
#30 ¿Que no se vende apertura?
El propio artículo de la noticia que no se si has leido, porque te empeñas en hablar de otras cosas, es de un montón de gente implicada en el mundo de la criptografía comentando como funciona un protocolo criptográfico. Lo pueden hacer porque es abierto, en la propia página de Signal se menciona que es abierto, público y auditable como una ventaja (que además en este tema es de cajón), el propio Moxie ha cargado mil veces las tintas contra otras implementaciones por no ser abiertas, incluidas las del propio whatsapp antes de pagarle por hacer la migración.
Telegram por lo tanto si vende apertura al decir que usa signal y que eso es muy seguro, mucho más que otras alternativas, porque es auditable y emplea unos standares seguros y aceptados, es que es la razón de ser de hacer ese cambio, vender seguridad al usar ese protocolo, de eso va la cosa.
Lo que tiene tela es que nadie pueda comprobar esa implementación y aplaudamos con las orejas, porque bueno.. seguramente lo usa, sin embargo la gente que lo implementa y promociona mantiene otra aplicación de mensajería paralelamente con una non-profit.. vendiendo que es más segura y privada que el resto, ¿cómo es esto posible?.
De todas formas, dejo aquí el debate porque esto no lleva a ningún sitio, y no, no quiero faltarme ni contigo ni con nadie, pero está claro que no va a salir nada productivo de este debate, el ejemplo es #29, que me pegas un enlace pero o no lo has leido o no lo entiendes.
Un saludo
#32 Que cojones tendrá que ver lo que publicite Signal o Telegram? Manzanas traigo.
Claro que he entendido el enlace que te pongo. Te puedes meter ese tono de chulería por el culo. Te he pegado en enlace de la wikipedia en inglés porque ahí SÍ que está bien explicado el concepto de seguridad por oscuridad. Lo pone clarísimo en la primera línea pero te lo voy a resaltar:
"Security through obscurity (or security by obscurity) is the reliance in security engineering on design or implementation secrecy as the main method of providing security to a system or component. Security experts have rejected this view as far back as 1851, and advise that obscurity should never be the only security mechanism."
La seguridad por oscuridad ocurre cudo esa oscuridad es el principal método de seguridad y a veces incluso el único. De hecho en la versión más pobre del artículo en español te ponen el perfecto ejemplo clásico de las llaves debajo del felpudo. Es decir, otra persona podría romper la seguridad facilmente con esfuerzo minimo o incluso por accidente ya que su única seguridad era por oscuridad. Este NO es el caso de Whatsapp.
"De todas formas, dejo aquí el debate porque esto no lleva a ningún sitio, y no, no quiero faltarme ni contigo ni con nadie, pero está claro que no va a salir nada productivo de este debate"
Estoy de acuerdo, dificilmente se puede llegar a algo con la actitud de mierda que gastas.
#33 Si no puedes auditar más, evidentemente es el principal método, de entrada cualqueira que quiera investigar el funcionamiento de whatsapp se va a dar en los morros con que está oculto, no se que entiendes por principal. Ese no es el caso de WhatsApp porque tu lo digas, puede que usen una implementación de mierda o con backdoors incluidos (la llave debajo del felpudo? que va, mejor llaves para los amigos) pero es que nisiquiera se puede empezar a investigar.
Lo de la actitud y demás tiene gracia, prueba a leer tu anterior comentario y me lo dices otra vez, es todo un ejemplo de respeto y entendimiento
#34 Hombre, como comprenderás mi anterior no sale de la nada, es en respuesta a tus desplantes. Insisito, vigila tu actitud de mierda y ten debates más respetuosos.
#29 "Pero "eso no es seguridad por oscuridad", te agradecería que si aportas algo al debate lo razones un poco .
es.wikipedia.org/wiki/Seguridad_por_oscuridad"
https://en.wikipedia.org/wiki/Security_through_obscurity
#8 Mejor para correo tutanota...
#28 Estamos hablando qué usaban en Mr.Robot
#40 Ok! Disculpa
#41 No pasa nah!
Añade que está en inglés.
¿Y Colgate?
#7 Sí, claro, y escupite y matate.
#7: Yo iba a poner "el protocolo usado por Signal consiste en el uso de una máscara interpuesta entre el elemento emisor de fotones y la superficie de rebote de dichos fotones, dependiendo de la forma de dicha máscara se tiene unos tipos de señal o otra: Batseñal, Buitreseñal...".
#Batsignal #Buitresignal #Buitreseñal
WhatsApp también lo usa.
#6 eso dicen, pero ya que no tenemos el código para comprobarlo y los datos están efectivamente cifrados no existe manera de verificar que eso es cierto ,es más bien un acto de fe
#13 Pues ya me diras que otra alternativa tiene una empresa que quiera ser segura y al mismo tiempo sacar beneficio del codigo que ha creado sin que se lo copien.
#18 Muchos se quejan de la GPL, pero va justamente de esto:
Si usas mi código y lo mejoras, tienes que poner en público tus mejoras. Así, ambos nos podemos beneficiar mutuamente, tú de mi trabajo y yo del tuyo y gracias a esto, el usuario.
#23 Ya, pero si yo soy una compañia privada que me he dejado un dineral diseñando software no quiero que tu te beneficies de todo mi trabajo solo a cambio de que tu me des una pequeña mejora.
#36 #25 Todo depende de tus objetivos, evidentemente. Si te enfocas a vender licencias y desarrollos tienes prioridades y obligaciones diferentes a si te dedicas a vender mantenimiento y consultoría o si lo haces por hobbie. Igualmente no invalida mi punto: puedes hacer las cosas de manera que todos salgamos beneficiados, si no lo haces, es por política.
#37 Como por política? Lo hago por dinero.
#38 Porque tu política es ganar dinero vendiendo un binario. Hay quienes tienen la política de vender soporte, la política de dar la aplicación gratuíta y beneficiarse con publicidad, etc.
#39 Nope, no hablo de aplicaciones gratuitas. Whatsapp lo es. Se habla de dar el código.
No conozco muchas compañías millonarias cuyo principal servicio sea un software y ese mismo software esté abierto.
#43 Pues si no te lucras vendiendo binario tienes tres opciones. O no das acceso al código, o das acceso sin restricciones al código o das acceso al código con restricciones.
Si vas por la primera vía, estarás sólo. Quizá no se aprovechen de tu trabajo, pero tampoco te aportarán nada.
Si vas por la segunda, todos podrán aprovecharse de tu trabajo sin garantizarte una compensación (salvo que elijan colaborar contigo en lugar de aprovecharse), con lo que tampoco te aportarán nada.
Si vas por la tercera, dependiendo de qué restricciones pongas, tendrás más o menos ventajas sobre los demás. Usando una licencia tipo GPL, te garantizas una compensación, si no colaboran contigo, al menos siempre que publiquen derivaciones de tu trabajo deben aportarlas a los demás.
Las compañías que abren el software lo hacen por más razones. Es una ventaja ser abiertamente auditables, garantizar que soportas ciertos estándares, que seas más confiable de cara a terceros, más accesible y adaptable a las necesidades de terceros, etc. ¿Que se puede hacer con software cerrado? a cambio de acuerdos y dinero se puede todo, claro, pero eso sólo está al alcance de otras grandes compañías, lo que las hace menos competitivas salvo que estén en una posición preponderante en el mercado. Porque claro, tú piensas en las grandes compañías que monopolizan ciertas partes del mercado, esas imponen su punto de vista. Si piensas más abiertamente verás que no es el caso de todas y que muchas se están haciendo daño a si mismas cerrándose.
#44 Lo repito. No conozco muchas compañías millonarias cuyo principal servicio sea un software y ese mismo software esté abierto.
Así que es normal que las compañías no sigan ese camino.
#45 Vamos a ver.
Empezando por las obvias:
-Red Hat
-Suse
-Canonical
-Unity
Y siguiendo con alguna menos obvia:
-Epic Games (por ahora, unreal engine sigue siendo su principal software, y es abierto e incluso gratuíto para ciertos casos de uso, lo que no, libre).
Podría decir muchas cuyo principal servicio no es abierto o libre, pero que tienen algunos "secundarios"
También hay muchas que no abren su soft principal pero usan muchas herramientas libres, a las que aportan bastante (algunas creadas y liberadas por ellos mismos, por ejemplo: facebook, google e incluso apple...)
Todas esas empresas se benefician de una manera u otra por tener parte o todo su software libre, o al menos abierto y accesible.
#23 Las simplificaciones excesivas hacen que acabemos diciendo cosas que no son completamente ciertas. Solamente por usar un programa y mejorarlo para tu uso interno no hay obligatoriedad de distribuir la versión modificada.
https://www.gnu.org/licenses/gpl-faq.en.html#GPLRequireSourcePostedPublic
The GPL does not require you to release your modified version, or any part of it. You are free to make modifications and use them privately, without ever releasing them. This applies to organizations (including companies), too; an organization can make a modified version and use it internally without ever releasing it outside the organization.
Por supuesto que una app de mensajería no es uso interno, es distribución del programa, y el párrafo anterior no es aplicable, pero como otras veces he visto que interpretas la GPL "a tu manera" creo que es oportuno citar el trozo relevante de la FAQ para que lo compruebes tú mismo.
Yo signal lo asocio a...
https://www.google.com/amp/s/www.xataka.com/privacidad/puigdemont-signal-y-la-privacidad-por-que-siempre-el-punto-mas-debil-de-la-seguridad-somos-los-usuarios/amp
¿Qué usaban en mr robot? Que se autodestruia
#5 Signal y para el correo Protonmail
#5 Wickr Me. Aunque otra apps como Telegram tienen opción de autodestruir mensajes también
Yo conozco a Signal de cepillarme los dientes.
Gracias por el meneo!