Portada
mis comunidades
otras secciones
#42 La cosa es que si están investigando a una persona, pueden pedir información al banco con orden judicial y ellos la podrán proporcionar. Sin embargo, si quieren acceder a los mensajes de dicha persona investigada, no podrían hacerlo sin que él se enterara de ello, ya que requieren acceso a su terminal. La diferencia entre cifrar comunicación para que no sea capturada y llegue de forma segura al servidor con el cifrado extremo a extremo es ese, que no hay un intermediario que pueda facilitar la información sin tu consentimiento u orden directa dirigida a ti.
#85 Claro, pero lo importante no es que no haya un servidor por en medio o no, sino que ese servidor intermedio no se almacenen las claves de cifrado. Tú has dicho en tu otro comentario que todos los que tienen servidor por en medio caerían, pero no, un servidor puede almacenar tus mensajes cifrados, sin tener ellos la clave de cifrado, y se sigue manteniendo el E2EE.
Lo máximo que podrían hacer los del servidor es dar tus mensajes cifrados a la justicia, cosa que no les valdría de nada porque no tienen la clave de cifrado, sería lo mismo que si te interceptan la comunicación y ven los paquetes con tus mensajes cifrados, o sea que no les valdría para nada.
#67 Eso no significa que el servidor pueda ver los mensajes, ya que aunque no tengas que tener el móvil conectado en todo momento como antes, sí necesitas hacer login/sync con él, por lo tanto el cliente de escritorio también puede tener acceso a tus claves. No seré yo el que defienda a Facebook/Whatsapp, pero se supone que usa el mismo protocolo de Signal, del cual sí me fio, y también permite lo mismo con el cliente de escritorio, ya que existe una sincronización previa a su uso que sincroniza usuario/claves.
Resumiendo: Lo único que quiero decir es que eso no es indicativo de que puedan leer los mensajes, ya que técnicamente es posible realizar lo que comentas de forma que todo siga cifrado de extremo a extremo.
#23 No, no lo es. TLS/SSL en el caso de una pasarela bancaria cifra la comunicación pero todo se almacena en el servidor, del cual pueden sacar datos a través de ordenes judiciales. Lo mismo para el chat de Facebook, Instagram o cualquier otra red social/chat que use un servidor como intermediario donde se almacenen los datos. Sin embargo en el cifrado extremo a extremo no hay intermediarios con acceso y solo el que envia y el que recibe tendrían visibilidad del mensaje. Éste último es del que hablan, porque el otro no es un problema para ellos.
#29 Ein? Qué tiene que ver que haya un servidor por en medio o no?
Lo que importa en el E2EE es que solo los extremos tengan las claves de cifrado. Se puede tener perfectamente un servidor por en medio, como hay servicios de almacenamiento en nube que lo ofrecen (o el mismo Whatsapp para copias de seguridad como mínimo) y sigue siendo E2EE.
Realmente si hablas de "acceso" siguen sin tener "acceso", a menos que con "acceso" contemos el poder disfrutar de un montón de bits pseudoaleatorios e ininteligibles.
Lo que importa es que el servidor del tercero no almacene las claves de cifrado, no el fichero cifrado.
Y las operaciones bancarias sí utilizan E2EE muchas de ellas. Otra cosa son nuestros datos, o el resultado de la operación, que sí podrán almacenarlos los bancos (obviamente, para poder tener nuestro historial de transferencias y otras operaciones) y al que podrían acceder por orden judicial. Pero las operaciones en vuelo tienen muchas de ellas E2EE.
cc #23 #27
#42 En la noticia parece que le dan un significado diferente a Extremo a Extremo del que tú le das.
#44 No veo que en la noticia le den un significado diferente, además de que E2EE es lo que digo y no otra cosa.
Puede haber cifrado que no sea E2EE? Claro. Por ejemplo, el servidor intermedio podría almacenar las claves de cifrado, ya sea por alguna ley autoritaria que le obligase, o bien para poder ofrecer servicios extra (por ejemplo catalogación de imágenes y ficheros, etc.). Mientras el usuario confíe en el servidor para ello, pues bien.
Pero que haya un servidor por en medio no cambia nada en cuanto a si es E2EE. Lo que importa para el E2EE es que el servidor no almacene las claves de cifrado. De esa forma sigue sin ver nada, y es exactamente lo mismo que si cualquier tercero viese las comunicaciones, que al estar cifrada no las vería.
Por qué un servidor almacenaría ficheros y no las claves de cifrado? Pues hombre, porque es un servicio y se cobra por ello Y normalmente se publica el código cliente para que cualquier usuario pueda auditar que no se están almacenando las claves de cifrado en el lado del servidor.
#42 La cosa es que si están investigando a una persona, pueden pedir información al banco con orden judicial y ellos la podrán proporcionar. Sin embargo, si quieren acceder a los mensajes de dicha persona investigada, no podrían hacerlo sin que él se enterara de ello, ya que requieren acceso a su terminal. La diferencia entre cifrar comunicación para que no sea capturada y llegue de forma segura al servidor con el cifrado extremo a extremo es ese, que no hay un intermediario que pueda facilitar la información sin tu consentimiento u orden directa dirigida a ti.
#85 Claro, pero lo importante no es que no haya un servidor por en medio o no, sino que ese servidor intermedio no se almacenen las claves de cifrado. Tú has dicho en tu otro comentario que todos los que tienen servidor por en medio caerían, pero no, un servidor puede almacenar tus mensajes cifrados, sin tener ellos la clave de cifrado, y se sigue manteniendo el E2EE.
Lo máximo que podrían hacer los del servidor es dar tus mensajes cifrados a la justicia, cosa que no les valdría de nada porque no tienen la clave de cifrado, sería lo mismo que si te interceptan la comunicación y ven los paquetes con tus mensajes cifrados, o sea que no les valdría para nada.
#29 Es lo mismo. Van a necesitar orden judicial para sacar datos de un extremo ya sea el banco o uno de los terminales. El problema es lo que puedan estar sacando sin orden judicial y eso es lo que puede estar buscando esa ley. Definir legalmente lo que le es fácil o no espiar sin garantías judiciales no es un aspecto técnico. Técnicamente https también es cifrado extremo a extremo.
#3 Yo tengo una especie de lucha interna con Amazon un poco en ese sentido, pero también es cierto que cualquier empresa puede usar su plataforma para llegar a más clientes: https://services.amazon.es/servicios/vender-por-internet/planes-y-precios.html
Así que aquellas empresas que hayan espabilado, entiendo que Amazon les está proporcionando más beneficios que desventajas, pero no tengo números sobre ésto...
#3 Yo tengo una especie de lucha interna con Amazon un poco en ese sentido, pero también es cierto que cualquier empresa puede usar su plataforma para llegar a más clientes: https://services.amazon.es/servicios/vender-por-internet/planes-y-precios.html
Así que aquellas empresas que hayan espabilado, entiendo que Amazon les está proporcionando más beneficios que desventajas, pero no tengo números sobre ésto...
#3 Yo tengo una especie de lucha interna con Amazon un poco en ese sentido, pero también es cierto que cualquier empresa puede usar su plataforma para llegar a más clientes: https://services.amazon.es/servicios/vender-por-internet/planes-y-precios.html
Así que aquellas empresas que hayan espabilado, entiendo que Amazon les está proporcionando más beneficios que desventajas, pero no tengo números sobre esto...
#58 Para W7 ya estaba disponible aquí: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
#9 Al final han sacado parche hasta para XP: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
#58 Para W7 ya estaba disponible aquí: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
#49
Sería igual. A ver. ¿que sentido tiene el poder acceder a los mensajes directamente en lugar de pedirlos a la empresa sino es para ir fisgando?
Pero
¿y como contra sabe el destinatario el contenido del mensaje? Quiero decir que la empresa bien podrá hacer lo mismo y obtener el contenido dado que posee todo y le circula todos datos incluidos los relativos a la desencriptación. O debería poder...
"Se supone " Pero eso es mucho suponer como que no almacenarán información para obtener el contenido de los mensajes
Además una orden judicial les podría obligar a almacenarlo para poder desencriptar
Lo que no le veo sentido es que se quiera algo para prescindir de la empresa y acceder directamente a fisgar el contenido de los mensajes sin más...
Si se quiere que se le ordene judicialmente a la empresa y si hace falta que tome medidas sobre los mensajes que pesa la orden judicial concretos
#63 Me da la impresión de que te falta por conocer los sistemas de cifrado asimétrico, a mí me encanta saber de ellos, son la base de la seguridad y confianza online hoy día:
https://es.m.wikipedia.org/wiki/Criptograf%C3%ADa_asim%C3%A9trica
Las claves se crean (si todo es correcto) en los clientes, no hay forma de que luego el "mensajero" descifre los mensajes por mucha orden judicial que llegue. Tendrían que haber falseado el sistema desde el principio, pero en un cliente java como whatsapp rápido se enteraría alguien. (No sólo porque la verificación de claves no coincidiese con la pantalla de su amigo, también descompilando el código para verificar que la clave privada nunca se manda)
#96
**
#96 #63 Me da la impresión de que te falta por conoce
**
me da la impresión que no me has entendido.
**
Las claves se crean (si todo es correcto) en los clientes, no hay forma de que luego el "mensajero"
**
Y se han de compartir ¿Cómo el otro va a leer el contenido si no la tiene?
la ha de comunicar al otro.
Es eso a lo que me refería. Ha de haber un tráfico entre uno y otro (y la empresa puede controlar el tráfico entre ellos )
**
no hay forma de que luego el "mensajero" descifre los mensajes por mucha orden judicial que llegue. T
*
Luego no. Pero sí si se avisa antes y la empresa intercepta el tráfico de llaves antes que se envíen los mensajes.
Es decir si hay orden judicial. O podría retener las llaves y los mensajes encriptados un tiempo sin destruirlas ni leer los mensajes por si hubiera una orden y después de ese tiempo borrarlas.
O simplemente que si hay orden judicial retenga las llaves y los mensajes y lo entregue. Pero cuando haya orden
#100 Pues para no haberte entendido repites el error de concepto ¿Has leído el enlace a la Wikipedia? En la introducción misma explican por qué esta frase es un error: "Y se han de compartir [las claves] ¿Cómo el otro va a leer el contenido si no la tiene?"
La clave privada de cada parte nunca se transmite, eso es lo que garantiza un cifrado end-to-end.
#107
**
#107 #100 Pues para no haberte entendido repites el error de concepto
*
No. Hombre
*
La clave privada de cada parte nunca se transmite, eso es lo que garantiza un cifrado end-to-end.
*
¿quien ha nombrado la clave privada?
La clave privada no, pero la pública sí (que se cuelga en un servidor de claves). Contra que llevo años usando ese tipo de encriptado y no creo haber metido la pata
Ha de haber algo que se comparta entre los dos o un tercero para poderse leer los mensajes de uno con los del otro sino sería magia...
Y se trata que la empresa que hace el soft puede modificar tranquilamente este por si se los piden los mensajes bajo orden judicial. Pero no dejar que sean pinchados sin más
#146 Coño, la clave privada es parte del cifrado asimétrico...
A ver, si yo te paso la clave pública y la utilizas para cifrar un mensaje sólo yo con la clave privada puedo descifrarlo (clave que no he compartido ni ha pasado nunca por la comunicación). Haces lo mismo en el otro sentido y ya tienes comunicación secreta.
La clave pública no tiene por qué colgarse en ningún lado, por otro lado.
#150
**
#150 #146 Coño, la clave privada es parte del cifrado asimétrico..
**
Claro. ¿y qué?
Te estoy hablando de otra cosa
*
A ver, si yo te paso la clave pública y la utilizas para cifrar un mensaje sólo yo con la clave privada puedo descifrarlo (clave que no he compartido ni ha pasado nunca por la comunicación). Haces lo mismo en el otro sentido y ya tienes comunicación secreta.
La clave pública no tiene por qué colgarse en ningún lado, por otro lado.
**
¿y? Si eso estaba diciendo (si no se pasara nada seria magia pero...). Pero es que, a ver
la pública la pasa la empresa que hace el whatsapp y telegram. Las privadas las administran ellas (más precisamente su software)
Pueden fácilmente modificar todo si hiciera falta (por ejemplo guardar claves públicas, mensajes encriptados y claves privadas) para entregar mensajes bajo orden judicial.
Resalto que lo que quiero decir es que:
Lo que creo que no es de recibo es hacer el cifrado tan débil para que supuestas autoridades puedan leer los mensajes cuando les de la gana porque no habrá seguridad de que haya por medio una orden judicial
#151 pero a eso ya respondí al principio, las clave se generan en el dispositivo. El código java es tan fácil de descompilar (queda bastante legible) y el protocolo de WhatsApp es bastante conocido como para que nadie se de cuenta si se manda en alguna parte del código la clave privada.
¿Se podría alterar el cliente para que envíe la clave privada a quien sea? Sí, pero no es tan sencillo, y eso es lo que molesta a las autoridades.
En el caso de Telegram además es código abierto, si hubiese un supuesto en el que se mandase la clave privada sería muy evidente. Más con todos los jankers que hay intentando dejarlo en evidencia.
Si lo que quieres decir es que (en el supuesto de que se prepare todo para servir las peticiones de un juez desde la empresa) el protocolo no sería seguro, entonces estamos de acuerdo. Pero parecía que hablabas de que no puede ser seguro en ningún caso.
#152
*
Si lo que quieres decir es que (en el supuesto de que se prepare todo para servir las peticiones de un juez desde la empresa) el protocolo no sería seguro, entonces estamos de acuerdo. Pero parecía que hablabas de que no puede ser seguro en ningún caso.
*
NO no y no
En fin, me rindo. No hay forma de hacerme entender o no es mi día
#146 Como te ha dicho el anterior meneante no has comprendido como funciona realmente la criptografía asimética. Un ejemplo sencillo de comprender es suponer la clave pública (lo que se comparte) como una caja con un candado abierto que se utiliza para enviar el mensaje. Tú me envías o me proporcionas personalmente la clave pública (el mayor riesgo es el de usurpación de identidad), es decir, la caja con el candado abierto. Yo introduzco mi mensaje en ella y cierro el candado. Esto me asegura que solamente tú puedas abrir la caja y leer el contenido ya que tú eres la única persona que dispone la llave (clave privada) que abre el candado y que nunca has de compartir con nadie ni tendrás necesidad de hacerlo.
Me da igual quien sea el que transporte la caja ya que nadie, salvo el poseedor de la clave privada va a poder acceder a su contenido. Para tu respuesta utilizamos el mismo mecanismo, con la salvedad de que ahora introduces tu mensaje en la caja con el candado abierto (mi clave pública) que te he pasado yo y tú tendrás la seguridad de que solamente yo podré ver su contenido.
#167
*
#167 #146 Como te ha dicho el anterior meneante no has comprendido como funciona realmente la criptografía asimética. U
*
Y dale con la tontería. Que la entiendo. El que no entiende lo que intento decir eres tu
**
Un ejemplo sencillo de comprender es suponer la clave pública (lo que se comparte) como una caja con un candado abierto que se utiliza para enviar el mensaje. Tú me envías o me proporcionas personalmente la clave pública (el mayor riesgo es el de usurpación de identidad), es decir, la caja con el candado abierto. Yo introduzco mi mensaje en ella y cierro el candado. Esto me asegura que solamente tú puedas abrir la caja y leer el contenido ya que tú eres la única persona que dispone la llave (clave privada) que abre el candado y que nunca has de compartir con nadie ni tendrás necesidad de hacerlo.
**
¿y qué? ¿lo he negado?
Que no es eso lo que digo. Macho
Estoy hablando de OTRA COSA sobre esto no de esto
#10 ¿Cuanto tiempo has vivido allí? Es solo por ver si encuentro a alguien que haya vivido allí y después en España que opine que todo va bien después de haberlo vivido de verdad. Y no solo hablo de la época post-Chávez. Me sirve desde años antes, que ya la inseguridad ciudadana era suficientemente alta.
Mi historia:
#1 El objetivo de la mayoría de los troyanos actuales es pasar desapercibido para poder hacerse con el mayor número de información/credenciales posibles que luego serán revendidas o usadas para otros fines. Que no notes nada no significa que no tengas o hayas tenido nada.
La mejor protección actual es el sentido común y mantener todos los elementos del sistema actualizados.
Dentro del artículo anterior se da información suficiente como para que podamos identificar si hemos sido afectados por la campaña sin necesidad de mencionar las entidades objetivo. Es la diferencia entre un artículo profesional y técnico contra otro creado para generar miedo y publicidad.
Dentro del mundillo de la seguridad informática se está criticando fuertemente esta "noticia" ya que versa sobre la botnet "Sopelka" de la que se ha escrito ya anteriormente desde S21sec (Empresa española de seguridad): http://blog.s21sec.com/2012/10/botnet-sopelka-tres-troyanos-bancarios.html cuya historia han maquillado para generar FUD, ya que en las cifras que manejan se cree que hay un alto nivel de invención y ningún método empírico de medición.
#42 La cosa es que si están investigando a una persona, pueden pedir información al banco con orden judicial y ellos la podrán proporcionar. Sin embargo, si quieren acceder a los mensajes de dicha persona investigada, no podrían hacerlo sin que él se enterara de ello, ya que requieren acceso a su terminal. La diferencia entre cifrar comunicación para que no sea capturada y llegue de forma segura al servidor con el cifrado extremo a extremo es ese, que no hay un intermediario que pueda facilitar la información sin tu consentimiento u orden directa dirigida a ti.
#85 Claro, pero lo importante no es que no haya un servidor por en medio o no, sino que ese servidor intermedio no se almacenen las claves de cifrado. Tú has dicho en tu otro comentario que todos los que tienen servidor por en medio caerían, pero no, un servidor puede almacenar tus mensajes cifrados, sin tener ellos la clave de cifrado, y se sigue manteniendo el E2EE.
Lo máximo que podrían hacer los del servidor es dar tus mensajes cifrados a la justicia, cosa que no les valdría de nada porque no tienen la clave de cifrado, sería lo mismo que si te interceptan la comunicación y ven los paquetes con tus mensajes cifrados, o sea que no les valdría para nada.
#67 Eso no significa que el servidor pueda ver los mensajes, ya que aunque no tengas que tener el móvil conectado en todo momento como antes, sí necesitas hacer login/sync con él, por lo tanto el cliente de escritorio también puede tener acceso a tus claves. No seré yo el que defienda a Facebook/Whatsapp, pero se supone que usa el mismo protocolo de Signal, del cual sí me fio, y también permite lo mismo con el cliente de escritorio, ya que existe una sincronización previa a su uso que sincroniza usuario/claves.
Resumiendo: Lo único que quiero decir es que eso no es indicativo de que puedan leer los mensajes, ya que técnicamente es posible realizar lo que comentas de forma que todo siga cifrado de extremo a extremo.
#23 No, no lo es. TLS/SSL en el caso de una pasarela bancaria cifra la comunicación pero todo se almacena en el servidor, del cual pueden sacar datos a través de ordenes judiciales. Lo mismo para el chat de Facebook, Instagram o cualquier otra red social/chat que use un servidor como intermediario donde se almacenen los datos. Sin embargo en el cifrado extremo a extremo no hay intermediarios con acceso y solo el que envia y el que recibe tendrían visibilidad del mensaje. Éste último es del que hablan, porque el otro no es un problema para ellos.
#29 Ein? Qué tiene que ver que haya un servidor por en medio o no?
Lo que importa en el E2EE es que solo los extremos tengan las claves de cifrado. Se puede tener perfectamente un servidor por en medio, como hay servicios de almacenamiento en nube que lo ofrecen (o el mismo Whatsapp para copias de seguridad como mínimo) y sigue siendo E2EE.
Realmente si hablas de "acceso" siguen sin tener "acceso", a menos que con "acceso" contemos el poder disfrutar de un montón de bits pseudoaleatorios e ininteligibles.
Lo que importa es que el servidor del tercero no almacene las claves de cifrado, no el fichero cifrado.
Y las operaciones bancarias sí utilizan E2EE muchas de ellas. Otra cosa son nuestros datos, o el resultado de la operación, que sí podrán almacenarlos los bancos (obviamente, para poder tener nuestro historial de transferencias y otras operaciones) y al que podrían acceder por orden judicial. Pero las operaciones en vuelo tienen muchas de ellas E2EE.
cc #23 #27
#42 En la noticia parece que le dan un significado diferente a Extremo a Extremo del que tú le das.
#44 No veo que en la noticia le den un significado diferente, además de que E2EE es lo que digo y no otra cosa.
Puede haber cifrado que no sea E2EE? Claro. Por ejemplo, el servidor intermedio podría almacenar las claves de cifrado, ya sea por alguna ley autoritaria que le obligase, o bien para poder ofrecer servicios extra (por ejemplo catalogación de imágenes y ficheros, etc.). Mientras el usuario confíe en el servidor para ello, pues bien.
Pero que haya un servidor por en medio no cambia nada en cuanto a si es E2EE. Lo que importa para el E2EE es que el servidor no almacene las claves de cifrado. De esa forma sigue sin ver nada, y es exactamente lo mismo que si cualquier tercero viese las comunicaciones, que al estar cifrada no las vería.
Por qué un servidor almacenaría ficheros y no las claves de cifrado? Pues hombre, porque es un servicio y se cobra por ello Y normalmente se publica el código cliente para que cualquier usuario pueda auditar que no se están almacenando las claves de cifrado en el lado del servidor.
#42 La cosa es que si están investigando a una persona, pueden pedir información al banco con orden judicial y ellos la podrán proporcionar. Sin embargo, si quieren acceder a los mensajes de dicha persona investigada, no podrían hacerlo sin que él se enterara de ello, ya que requieren acceso a su terminal. La diferencia entre cifrar comunicación para que no sea capturada y llegue de forma segura al servidor con el cifrado extremo a extremo es ese, que no hay un intermediario que pueda facilitar la información sin tu consentimiento u orden directa dirigida a ti.
#85 Claro, pero lo importante no es que no haya un servidor por en medio o no, sino que ese servidor intermedio no se almacenen las claves de cifrado. Tú has dicho en tu otro comentario que todos los que tienen servidor por en medio caerían, pero no, un servidor puede almacenar tus mensajes cifrados, sin tener ellos la clave de cifrado, y se sigue manteniendo el E2EE.
Lo máximo que podrían hacer los del servidor es dar tus mensajes cifrados a la justicia, cosa que no les valdría de nada porque no tienen la clave de cifrado, sería lo mismo que si te interceptan la comunicación y ven los paquetes con tus mensajes cifrados, o sea que no les valdría para nada.
#29 Es lo mismo. Van a necesitar orden judicial para sacar datos de un extremo ya sea el banco o uno de los terminales. El problema es lo que puedan estar sacando sin orden judicial y eso es lo que puede estar buscando esa ley. Definir legalmente lo que le es fácil o no espiar sin garantías judiciales no es un aspecto técnico. Técnicamente https también es cifrado extremo a extremo.
#3 Yo tengo una especie de lucha interna con Amazon un poco en ese sentido, pero también es cierto que cualquier empresa puede usar su plataforma para llegar a más clientes: https://services.amazon.es/servicios/vender-por-internet/planes-y-precios.html
Así que aquellas empresas que hayan espabilado, entiendo que Amazon les está proporcionando más beneficios que desventajas, pero no tengo números sobre ésto...
#3 Yo tengo una especie de lucha interna con Amazon un poco en ese sentido, pero también es cierto que cualquier empresa puede usar su plataforma para llegar a más clientes: https://services.amazon.es/servicios/vender-por-internet/planes-y-precios.html
Así que aquellas empresas que hayan espabilado, entiendo que Amazon les está proporcionando más beneficios que desventajas, pero no tengo números sobre ésto...
#3 Yo tengo una especie de lucha interna con Amazon un poco en ese sentido, pero también es cierto que cualquier empresa puede usar su plataforma para llegar a más clientes: https://services.amazon.es/servicios/vender-por-internet/planes-y-precios.html
Así que aquellas empresas que hayan espabilado, entiendo que Amazon les está proporcionando más beneficios que desventajas, pero no tengo números sobre esto...
#58 Para W7 ya estaba disponible aquí: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
#9 Al final han sacado parche hasta para XP: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
#58 Para W7 ya estaba disponible aquí: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
#49
Sería igual. A ver. ¿que sentido tiene el poder acceder a los mensajes directamente en lugar de pedirlos a la empresa sino es para ir fisgando?
Pero
¿y como contra sabe el destinatario el contenido del mensaje? Quiero decir que la empresa bien podrá hacer lo mismo y obtener el contenido dado que posee todo y le circula todos datos incluidos los relativos a la desencriptación. O debería poder...
"Se supone " Pero eso es mucho suponer como que no almacenarán información para obtener el contenido de los mensajes
Además una orden judicial les podría obligar a almacenarlo para poder desencriptar
Lo que no le veo sentido es que se quiera algo para prescindir de la empresa y acceder directamente a fisgar el contenido de los mensajes sin más...
Si se quiere que se le ordene judicialmente a la empresa y si hace falta que tome medidas sobre los mensajes que pesa la orden judicial concretos
#63 Me da la impresión de que te falta por conocer los sistemas de cifrado asimétrico, a mí me encanta saber de ellos, son la base de la seguridad y confianza online hoy día:
https://es.m.wikipedia.org/wiki/Criptograf%C3%ADa_asim%C3%A9trica
Las claves se crean (si todo es correcto) en los clientes, no hay forma de que luego el "mensajero" descifre los mensajes por mucha orden judicial que llegue. Tendrían que haber falseado el sistema desde el principio, pero en un cliente java como whatsapp rápido se enteraría alguien. (No sólo porque la verificación de claves no coincidiese con la pantalla de su amigo, también descompilando el código para verificar que la clave privada nunca se manda)
#96
**
#96 #63 Me da la impresión de que te falta por conoce
**
me da la impresión que no me has entendido.
**
Las claves se crean (si todo es correcto) en los clientes, no hay forma de que luego el "mensajero"
**
Y se han de compartir ¿Cómo el otro va a leer el contenido si no la tiene?
la ha de comunicar al otro.
Es eso a lo que me refería. Ha de haber un tráfico entre uno y otro (y la empresa puede controlar el tráfico entre ellos )
**
no hay forma de que luego el "mensajero" descifre los mensajes por mucha orden judicial que llegue. T
*
Luego no. Pero sí si se avisa antes y la empresa intercepta el tráfico de llaves antes que se envíen los mensajes.
Es decir si hay orden judicial. O podría retener las llaves y los mensajes encriptados un tiempo sin destruirlas ni leer los mensajes por si hubiera una orden y después de ese tiempo borrarlas.
O simplemente que si hay orden judicial retenga las llaves y los mensajes y lo entregue. Pero cuando haya orden
#100 Pues para no haberte entendido repites el error de concepto ¿Has leído el enlace a la Wikipedia? En la introducción misma explican por qué esta frase es un error: "Y se han de compartir [las claves] ¿Cómo el otro va a leer el contenido si no la tiene?"
La clave privada de cada parte nunca se transmite, eso es lo que garantiza un cifrado end-to-end.
#107
**
#107 #100 Pues para no haberte entendido repites el error de concepto
*
No. Hombre
*
La clave privada de cada parte nunca se transmite, eso es lo que garantiza un cifrado end-to-end.
*
¿quien ha nombrado la clave privada?
La clave privada no, pero la pública sí (que se cuelga en un servidor de claves). Contra que llevo años usando ese tipo de encriptado y no creo haber metido la pata
Ha de haber algo que se comparta entre los dos o un tercero para poderse leer los mensajes de uno con los del otro sino sería magia...
Y se trata que la empresa que hace el soft puede modificar tranquilamente este por si se los piden los mensajes bajo orden judicial. Pero no dejar que sean pinchados sin más
#146 Coño, la clave privada es parte del cifrado asimétrico...
A ver, si yo te paso la clave pública y la utilizas para cifrar un mensaje sólo yo con la clave privada puedo descifrarlo (clave que no he compartido ni ha pasado nunca por la comunicación). Haces lo mismo en el otro sentido y ya tienes comunicación secreta.
La clave pública no tiene por qué colgarse en ningún lado, por otro lado.
#150
**
#150 #146 Coño, la clave privada es parte del cifrado asimétrico..
**
Claro. ¿y qué?
Te estoy hablando de otra cosa
*
A ver, si yo te paso la clave pública y la utilizas para cifrar un mensaje sólo yo con la clave privada puedo descifrarlo (clave que no he compartido ni ha pasado nunca por la comunicación). Haces lo mismo en el otro sentido y ya tienes comunicación secreta.
La clave pública no tiene por qué colgarse en ningún lado, por otro lado.
**
¿y? Si eso estaba diciendo (si no se pasara nada seria magia pero...). Pero es que, a ver
la pública la pasa la empresa que hace el whatsapp y telegram. Las privadas las administran ellas (más precisamente su software)
Pueden fácilmente modificar todo si hiciera falta (por ejemplo guardar claves públicas, mensajes encriptados y claves privadas) para entregar mensajes bajo orden judicial.
Resalto que lo que quiero decir es que:
Lo que creo que no es de recibo es hacer el cifrado tan débil para que supuestas autoridades puedan leer los mensajes cuando les de la gana porque no habrá seguridad de que haya por medio una orden judicial
#151 pero a eso ya respondí al principio, las clave se generan en el dispositivo. El código java es tan fácil de descompilar (queda bastante legible) y el protocolo de WhatsApp es bastante conocido como para que nadie se de cuenta si se manda en alguna parte del código la clave privada.
¿Se podría alterar el cliente para que envíe la clave privada a quien sea? Sí, pero no es tan sencillo, y eso es lo que molesta a las autoridades.
En el caso de Telegram además es código abierto, si hubiese un supuesto en el que se mandase la clave privada sería muy evidente. Más con todos los jankers que hay intentando dejarlo en evidencia.
Si lo que quieres decir es que (en el supuesto de que se prepare todo para servir las peticiones de un juez desde la empresa) el protocolo no sería seguro, entonces estamos de acuerdo. Pero parecía que hablabas de que no puede ser seguro en ningún caso.
#152
*
Si lo que quieres decir es que (en el supuesto de que se prepare todo para servir las peticiones de un juez desde la empresa) el protocolo no sería seguro, entonces estamos de acuerdo. Pero parecía que hablabas de que no puede ser seguro en ningún caso.
*
NO no y no
En fin, me rindo. No hay forma de hacerme entender o no es mi día
#146 Como te ha dicho el anterior meneante no has comprendido como funciona realmente la criptografía asimética. Un ejemplo sencillo de comprender es suponer la clave pública (lo que se comparte) como una caja con un candado abierto que se utiliza para enviar el mensaje. Tú me envías o me proporcionas personalmente la clave pública (el mayor riesgo es el de usurpación de identidad), es decir, la caja con el candado abierto. Yo introduzco mi mensaje en ella y cierro el candado. Esto me asegura que solamente tú puedas abrir la caja y leer el contenido ya que tú eres la única persona que dispone la llave (clave privada) que abre el candado y que nunca has de compartir con nadie ni tendrás necesidad de hacerlo.
Me da igual quien sea el que transporte la caja ya que nadie, salvo el poseedor de la clave privada va a poder acceder a su contenido. Para tu respuesta utilizamos el mismo mecanismo, con la salvedad de que ahora introduces tu mensaje en la caja con el candado abierto (mi clave pública) que te he pasado yo y tú tendrás la seguridad de que solamente yo podré ver su contenido.
#167
*
#167 #146 Como te ha dicho el anterior meneante no has comprendido como funciona realmente la criptografía asimética. U
*
Y dale con la tontería. Que la entiendo. El que no entiende lo que intento decir eres tu
**
Un ejemplo sencillo de comprender es suponer la clave pública (lo que se comparte) como una caja con un candado abierto que se utiliza para enviar el mensaje. Tú me envías o me proporcionas personalmente la clave pública (el mayor riesgo es el de usurpación de identidad), es decir, la caja con el candado abierto. Yo introduzco mi mensaje en ella y cierro el candado. Esto me asegura que solamente tú puedas abrir la caja y leer el contenido ya que tú eres la única persona que dispone la llave (clave privada) que abre el candado y que nunca has de compartir con nadie ni tendrás necesidad de hacerlo.
**
¿y qué? ¿lo he negado?
Que no es eso lo que digo. Macho
Estoy hablando de OTRA COSA sobre esto no de esto
#10 ¿Cuanto tiempo has vivido allí? Es solo por ver si encuentro a alguien que haya vivido allí y después en España que opine que todo va bien después de haberlo vivido de verdad. Y no solo hablo de la época post-Chávez. Me sirve desde años antes, que ya la inseguridad ciudadana era suficientemente alta.
Mi historia:
#1 El objetivo de la mayoría de los troyanos actuales es pasar desapercibido para poder hacerse con el mayor número de información/credenciales posibles que luego serán revendidas o usadas para otros fines. Que no notes nada no significa que no tengas o hayas tenido nada.
La mejor protección actual es el sentido común y mantener todos los elementos del sistema actualizados.
Dentro del artículo anterior se da información suficiente como para que podamos identificar si hemos sido afectados por la campaña sin necesidad de mencionar las entidades objetivo. Es la diferencia entre un artículo profesional y técnico contra otro creado para generar miedo y publicidad.
Dentro del mundillo de la seguridad informática se está criticando fuertemente esta "noticia" ya que versa sobre la botnet "Sopelka" de la que se ha escrito ya anteriormente desde S21sec (Empresa española de seguridad): http://blog.s21sec.com/2012/10/botnet-sopelka-tres-troyanos-bancarios.html cuya historia han maquillado para generar FUD, ya que en las cifras que manejan se cree que hay un alto nivel de invención y ningún método empírico de medición.
#103 Estamos de acuerdo entonces. Yo lo enfocaba hacia donde van los tiros con lo que buscan aquí en concreto.