Tecnología, Internet y juegos
90 meneos
250 clics
Lo que afirma una nueva demanda sobre el cifrado de extremo a extremo de WhatsApp (EN)

Lo que afirma una nueva demanda sobre el cifrado de extremo a extremo de WhatsApp (EN)

Según la denuncia, el personal de Meta puede solicitar acceso a los mensajes de WhatsApp a través de un sistema interno de tareas. Una vez aprobado, según la denuncia, los mensajes pueden verse casi en tiempo real y de forma histórica, sin necesidad de un paso adicional de descifrado. A medida que se desarrolla este caso, se refuerza un principio fundamental de la privacidad: el cifrado debe ser verificable, no una cuestión de confianza.

| etiquetas: whatsapp , cifrado , va a ser que no
44 46 0 K 264
25 comentarios
44 46 0 K 264
Comentarios destacados:        
Ramen #2 Ramen
Still, the case raises a familiar and uncomfortable question: when a platform is closed-source and controlled by a single company, can users ultimately trust assurances they cannot independently verify?

Tal cual.
16 K 155
#8 guillersk
#2 ostia, pues claro que no, pero es que eso ya se sabia
2 K 30
#15 Setis
#8 Pero es que las empresas prometen y prometen y contratan a los mejores mentirosos especialistas en márketing para convencernos.
0 K 7
Waves #23 Waves
#2 Siempre puedes enviar mensajes cifrados con otro sistema, de forma que WhatsApp (la app en sí) nunca reciba el mensaje sin cifrar.

Tipor tie tijem tiplo, tide ties tita tima tine tira ticu titre. :tinfoil:
0 K 8
jonolulu #1 jonolulu
Uncle Sam in the middle
10 K 99
#14 Sacapuntas
¿Quieres cifrado? ¡El que tengo aquí colgado! xD xD xD
1 K 24
baraja #9 baraja
Denuncia anónima sin una prueba. Que puede ser verdad o no, a saber.

The complaint does not include technical evidence demonstrating a cryptographic backdoor or otherwise proving that WhatsApp’s encryption has been compromised. At this stage, the claims remain unproven.

La denuncia no incluye pruebas técnicas que demuestren la existencia de una puerta trasera criptográfica ni que prueben de otro modo que el cifrado de WhatsApp se haya visto comprometido. En este momento, las acusaciones siguen sin estar probadas.
1 K 21
Ormuzd #19 Ormuzd
#9 Se puede dar la vuelta.
Meta no incluye las pruebas tecnicas que demuestren la inexistencia de una puerta trasera criptografica ni que prueben de otro modo que el cifrado de WhatsApp no se haya comprometido. En este caso, las defensas siguen sin estar probadas.

Y ahora pensadlo bien con el pasado que tiene Meta, ¿creeis de verdad que no tiene acceso a las conversaciones "cifradas"?
1 K 17
#16 la_gusa
#12 yo no tengo ese problema, externalizo la generación a mi computador cuántico
1 K 21
fredpalas #21 fredpalas
#16 tu debes ser como los de cloudflare y su cruzada contra la Liga que usan el muro de lamparas de lava para tener una entropia real y post cuántica.

{0x1f602} {0x1f602} {0x1f602}
0 K 6
ccguy #11 ccguy
#5 sí, tu propio WhatsApp... Para qué sirve?
0 K 20
#17 euacca
#12 Hay generadores de random de hardware abierto. Los fábricas tú, los enchufas en el USB y los configuras en Linux. Lo peor puede ser auditar por tu cuenta en kernel de Linux {0x1f602} . Al final tienes que confiar en alguien.
1 K 20
fredpalas #20 fredpalas
#17 no te puedes fiar al final el hardware no es open source si no es un RISC V no se puede auditar, quizas tu fuente alimentación sea pro ICE y sabe como calcular una semilla predisible el cheto naranja controla todo.
:troll: :troll: :troll:
0 K 6
#22 euacca
#20 no sé tanto de matemáticas pero pienso que se puede comprobar cuán aleatorio es, y hacer que lo parezca sin serlo no es fácil, no tan fácil como para meterlo como puerta trasera en un microcontrolador generalista. Según el hardware que uses y en software que hagas puede que ningún componente no hecho por ti sepa lo que estás tratando de hacer. Me parece que uno usaba un contador Geiger y medía el tiempo entre partículas. El compilador solo puede ver que estás midiendo el tiempo entre dos cosas, no sabe qué ni para qué.
0 K 8
fredpalas #24 fredpalas *
#22 estaba de cachondeo.
Ahora fuera de coñas.

Los números aleatorios de los pc no son aleatorios, se usan una semilla, esta semilla se suele usar un señal analogica de la fuente de alimentación y el cristal de cuarzo que genera la primera señal para sincronizar hay un video de Derivando que lo explica mejor que yo youtu.be/J1439VvmnJs

El tema es que los números aletorios (en este caso PRNG), son muy importantes para poder encriptar las comunicaciones, si alguien sabe tu semilla…   » ver todo el comentario
0 K 6
#25 mcfgdbbn3 *
#17 y #12: Y las puertas traseras de los chips.

De todas maneras. generar claves para Enigma con un dado no lo veo pwneable, eso sí, es largo y tedioso. Con impresoras 3D creo que sería viable hacer rotores de muchas letras, de manera que sea más complicado sacar la clave y si no se pone reflector obligarías a probar todas las claves.

Incluso se me ocurre esto: junto a la clave indicar un número que significa el número de carácter donde empieza la validez del mensaje, de forma que metes cinco mensajes y solo uno es el correcto, los otros serían "válidos" con otras claves al azar. Quizás usando electrónica discreta se pueda conseguir una máquina que no se pueda pwnear más que probando todas las combinaciones.
0 K 12
capitan__nemo #7 capitan__nemo *
Puede estar encriptado de extremo a extremo y que aun asi puedan acceder a los mensajes. Dependera de cuantas son las claves privadas y publicas que se usen para encriptarlo y quien las tenga.
1 K 18
#13 otro_nick_mas_nuevo *
#7 Ni eso, los mensajes se descifran en el cliente (la app) para mostrarlos en pantalla. De tenerlos ahí a guardarlos o enviarlos a algún server hay un paso. Nunca lo sabremos, porque no es software libre.
0 K 9
#3 mcfgdbbn3
El único cifrado confiable es que construyáis una máquina Enigma con una impresora 3D y evitéis el uso de palabras previsibles escritas tal cual, o sea, meted faltas de ortografía.
0 K 12
nemeame #4 nemeame
#3 O también se puede usar software libre que se puede auditar y distribuir libremente, no se, por proponer una idea loca
12 K 90
jonolulu #5 jonolulu
#4 Y si ya lo autoalojas, lo bordas
0 K 16
#6 mcfgdbbn3 *
#4: Si no tienes hardware libre, estás vendido.

Incluso la Enigma podría ser pwneada si la impresora 3D cambia los planos por su cuenta, o el ordenador con el que la diseñas, pero ya sería algo bastante burdo. :-P Eso sí, la generación de claves debe ser realizada mediante dados, porque un ordenador pwneado podría generarte claves que parecen aleatorias pero no lo son, así que tus mensajes estarían comprometidos.
4 K 56
fredpalas #12 fredpalas *
#6 es peor tu hardware que genera la semilla para tu PRNG (pseudo random number generator) es controlado por los fabricantes de chips que son Intel y AMD 2 empresas americanas Estadounidenses, no te puedes fiar de nada, has sido pwneado por el estado de tu maquina controlado por el gran y libre gobierno de los Estados Unidos de America.
1 K 18
Aokromes #10 Aokromes
me parto el eje de que proton venga con cuestiones de confianza.
0 K 10
#18 euacca
El problema es que en "extremo a extremo", ¿Qué es un extremo? Con algo manual estilo gpg está claro, pero con una aplicación de software cerrado, y tan automática, tienes poco control de lo que sucede dentro de tu propio teléfono.

Meta no puede leer tus mensajes cuando pasan por sus servidores, pero pueden modificar la app para que cuando los recibas y los descifres les envíes una copia. Hay otra alternativa, que es que le dicen a tu contacto, a su app, la versión código máquina del…   » ver todo el comentario
0 K 8

menéame