edición general
145 meneos
2019 clics
¿Qué protocolo de cifrado utiliza Signal? [EN]

¿Qué protocolo de cifrado utiliza Signal? [EN]

Es posible que ya conozca a Signal gracias a la popular aplicación de mensajería de texto cifrada de extremo a extremo con el mismo nombre, creada por cypherpunk Moxie Marlinspike y en los últimos años alojada por la organización sin fines de lucro Signal Foundation. Signal, la aplicación, tiene una reputación incomparable de seguridad y privacidad, con el respaldo de alto perfil del denunciante de la NSA Edward Snowden y el fundador de WhatsApp Brian Acton, quien dejó WhatsApp en 2018 para desempeñarse como director ejecutivo de la Signal Foun

| etiquetas: signal , cifrado
Muy interesante, meneo.

Ahora entiendo lo de Mecano: La cara oculta es un anuncio de Signal.
(ya me voy)
#2 la de signal era la cara vista; la cara oculta es la resulta de mi idea genial de echarte. Que todo hay que decirlo.
#2 #3 Me va a costar tanto olvidaros... xD
En estos momentos me decantaría por algo "descentralizado", y actualmente creo solo se puede usar "Element" (Antes RiotX, antes Riot) como opción.
#10 XMPP, vulgarmente conocido como Jabber.
No es descentralizado, el servidor más popular no es libre, necesitas pagar un número de teléfono mensualmente (que en la mayoría de paises va vinculado a tu DNI, con lo que ya te compromete), lo han quitado de F-Droid porque no cumple los requisitos y, finalmente, no lo usa casi nadie, con lo que no puedes hablar con demasiada gente. Para usar algo minoritario ya estaban XMPP/Jabber con OTR, Element (Riot) o Retroshare, como apuntan #10, y #14.

Podría haber sido otra cosa si Moxie no se hubiera empeñado en mantener el control central.
#10 O puestos a elegir, algo "distribuido" (Jami, Tox), que no dependa de servidores de ningún tipo. El problema es convencer a la gente para usar esas cosas cuando todo el mundo, familiares y amigos, casi que identifícan la mensajería con "el whatsapp".
#16 Pero, siendo "tan distribuidos", ¿escalan bien? La federación escala bien seguro, mientras que Jami (que es el que conozco), no tanto.
#17 ¿Escalable en que sentido? Yo tampoco uso mucho Jami o Tox, más allá de algún test... pero en teoría precisamente uno de los puntos fuertes de ser distribuido sería el ser más escalable en términos de cantidad de cuentas que pueden existir, ya que no necesitas un servidor con capacidad limitada en número de usuarios o en número de conexiones entre servidores para la federación, y que debería existir una cierta redundancia de información del estado entre nodos de grupos de amigos.

Como…   » ver todo el comentario
#20 Todos los sistemas distribuidos tienen un problema de escalabilidad. Con unos cientos de usuarios no hay problemas, pero, ¿con unos cientos de miles?
#26 ¿Cuál es el problema en concreto que ves? ¿podrías elaborar sobre porque crees que todo sistema distribuido tiene ese problema?

Por ejemplo, ¿cuál es el problema en bittorrent para compartir un archivo cuando el número de personas son cientos de miles? ¿no debería ser de hecho una ventaja debido a la redundancia intrínseca en estos sistemas?
#18 Vamos a ver, yo no estoy hablando del modelo de negocio de nadie, que es un tema ya muy manido y la noticia no va de eso, aunque vamos, en el caso concreto de whatsapp no se que le podría copiar, es un programa de mensajería por dios, no aporta nada ni tiene nada que no tengan mil programas similares.

Pero la noticia no va de eso, va de signal o de algoritmos de cifrado, yo solo contesto al hecho de que
a) no se puede comprobar que whatsapp use eso más allá de lo que ellos dicen y lo que…   » ver todo el comentario
#19 "no aporta nada ni tiene nada que no tengan mil programas similares."
Falso.

"la seguridad por oscuridad no funciona"
Esto no es seguridad por oscuridad.

"Es como decir que para ser lucrativo Google tiene que dejar de usar HTTPS (o TLS solo si quieres) porque joder.. tiene que proteger su propiedad intelectual."
Comparación deshonesta. Google no tiene que revelar su codigo para usar HTTPS.
#24 Ya te digo que no voy a entrar en el modelo de negocio de nadie, aunque no esté de acuerdo.
Pero "eso no es seguridad por oscuridad", te agradecería que si aportas algo al debate lo razones un poco .

es.wikipedia.org/wiki/Seguridad_por_oscuridad

Cumple absolutamente todo para ser seguridad por oscuridad, se oculta el código, la implementación, los algortimos, todo, que ellos digan que usan X o Y es irrelevante porque no se puede comprobar,

"Google no tiene que…   » ver todo el comentario
#29 "Claro, Internet Explorar en windows tampoco tiene que revelar su código para usar HTTPS"
Pues ya está, el ejemplo que dabas no era válido.

"Pero claro aquí se quiere no solo ocultar el código "para que no te copien" sino impedir la interoperabilidad."
No se de que hablas aquí.

no puedes vender la apertura como una ventaja cuando ni tu mismo lo aplicas, y los que comulgáis con eso tenéis unas tragaderas importantes.
¿Quién vende apertura? ¿Y con qué se supone que yo comulgo? ¿Es una chorrada aleatoria para faltarme?
#30 ¿Que no se vende apertura?

El propio artículo de la noticia que no se si has leido, porque te empeñas en hablar de otras cosas, es de un montón de gente implicada en el mundo de la criptografía comentando como funciona un protocolo criptográfico. Lo pueden hacer porque es abierto, en la propia página de Signal se menciona que es abierto, público y auditable como una ventaja (que además en este tema es de cajón), el propio Moxie ha cargado mil veces las tintas contra otras implementaciones…   » ver todo el comentario
#33 Si no puedes auditar más, evidentemente es el principal método, de entrada cualqueira que quiera investigar el funcionamiento de whatsapp se va a dar en los morros con que está oculto, no se que entiendes por principal. Ese no es el caso de WhatsApp porque tu lo digas, puede que usen una implementación de mierda o con backdoors incluidos (la llave debajo del felpudo? que va, mejor llaves para los amigos) pero es que nisiquiera se puede empezar a investigar.

Lo de la actitud y demás tiene gracia, prueba a leer tu anterior comentario y me lo dices otra vez, es todo un ejemplo de respeto y entendimiento :-)
#34 Hombre, como comprenderás mi anterior no sale de la nada, es en respuesta a tus desplantes. Insisito, vigila tu actitud de mierda y ten debates más respetuosos.
#29 "Pero "eso no es seguridad por oscuridad", te agradecería que si aportas algo al debate lo razones un poco .

es.wikipedia.org/wiki/Seguridad_por_oscuridad"


en.wikipedia.org/wiki/Security_through_obscurity
#8 Mejor para correo tutanota...
#28 Estamos hablando qué usaban en Mr.Robot
#40 Ok! Disculpa
#41 No pasa nah!
Añade que está en inglés.
¿Y Colgate?
#7 Sí, claro, y escupite y matate.
#7: Yo iba a poner "el protocolo usado por Signal consiste en el uso de una máscara interpuesta entre el elemento emisor de fotones y la superficie de rebote de dichos fotones, dependiendo de la forma de dicha máscara se tiene unos tipos de señal o otra: Batseñal, Buitreseñal...". xD #Batsignal #Buitresignal #Buitreseñal
WhatsApp también lo usa.
#6 eso dicen, pero ya que no tenemos el código para comprobarlo y los datos están efectivamente cifrados no existe manera de verificar que eso es cierto ,es más bien un acto de fe :-P
#13 Pues ya me diras que otra alternativa tiene una empresa que quiera ser segura y al mismo tiempo sacar beneficio del codigo que ha creado sin que se lo copien.
#18 Muchos se quejan de la GPL, pero va justamente de esto:

Si usas mi código y lo mejoras, tienes que poner en público tus mejoras. Así, ambos nos podemos beneficiar mutuamente, tú de mi trabajo y yo del tuyo y gracias a esto, el usuario.
#23 Ya, pero si yo soy una compañia privada que me he dejado un dineral diseñando software no quiero que tu te beneficies de todo mi trabajo solo a cambio de que tu me des una pequeña mejora.
#36 #25 Todo depende de tus objetivos, evidentemente. Si te enfocas a vender licencias y desarrollos tienes prioridades y obligaciones diferentes a si te dedicas a vender mantenimiento y consultoría o si lo haces por hobbie. Igualmente no invalida mi punto: puedes hacer las cosas de manera que todos salgamos beneficiados, si no lo haces, es por política.
#37 Como por política? Lo hago por dinero.
#38 Porque tu política es ganar dinero vendiendo un binario. Hay quienes tienen la política de vender soporte, la política de dar la aplicación gratuíta y beneficiarse con publicidad, etc.
#39 Nope, no hablo de aplicaciones gratuitas. Whatsapp lo es. Se habla de dar el código.

No conozco muchas compañías millonarias cuyo principal servicio sea un software y ese mismo software esté abierto.
#43 Pues si no te lucras vendiendo binario tienes tres opciones. O no das acceso al código, o das acceso sin restricciones al código o das acceso al código con restricciones.

Si vas por la primera vía, estarás sólo. Quizá no se aprovechen de tu trabajo, pero tampoco te aportarán nada.

Si vas por la segunda, todos podrán aprovecharse de tu trabajo sin garantizarte una compensación (salvo que elijan colaborar contigo en lugar de aprovecharse), con lo que tampoco te aportarán nada.

Si vas por…   » ver todo el comentario
#44 Lo repito. No conozco muchas compañías millonarias cuyo principal servicio sea un software y ese mismo software esté abierto.

Así que es normal que las compañías no sigan ese camino.
#45 Vamos a ver.

Empezando por las obvias:
-Red Hat
-Suse
-Canonical
-Unity

Y siguiendo con alguna menos obvia:
-Epic Games (por ahora, unreal engine sigue siendo su principal software, y es abierto e incluso gratuíto para ciertos casos de uso, lo que no, libre).

Podría decir muchas cuyo principal servicio no es abierto o libre, pero que tienen algunos "secundarios"

También hay muchas que no abren su soft principal pero usan muchas herramientas libres, a las que aportan bastante (algunas creadas y liberadas por ellos mismos, por ejemplo: facebook, google e incluso apple...)

Todas esas empresas se benefician de una manera u otra por tener parte o todo su software libre, o al menos abierto y accesible.
#23 Las simplificaciones excesivas hacen que acabemos diciendo cosas que no son completamente ciertas. Solamente por usar un programa y mejorarlo para tu uso interno no hay obligatoriedad de distribuir la versión modificada.

www.gnu.org/licenses/gpl-faq.en.html#GPLRequireSourcePostedPublic

The GPL does not require you to release your modified version, or any part of it. You are free to make modifications and use them privately, without ever releasing them. This applies to

…   » ver todo el comentario
Yo signal lo asocio a...
www.google.com/amp/s/www.xataka.com/privacidad/puigdemont-signal-y-la-

¿Qué usaban en mr robot? Que se autodestruia
#5 Signal y para el correo Protonmail
#5 Wickr Me. Aunque otra apps como Telegram tienen opción de autodestruir mensajes también
Yo conozco a Signal de cepillarme los dientes.
Gracias por el meneo!
comentarios cerrados

menéame