..... Pac nic silnejsiho jak pgp neni bych rekl, čemu se dá opravdu věřit..
PGP eventuelne opensource verze GnuPG (
https://en.wikipedia.org/wiki/GNU_Privacy_Guard )
je system ktery dosud nebyl kompromitovan/cracknut cili pomerne spolehlivy (jen klice se pouzivaji cim dal delsi tak jak narusta crackovaci kapacita soucasneho HW)
Ale tva domnenka ze neni nic silnejsiho je mylna= existuji systemy (nepouzivaji se ale pro emaily jako PGP) kde se nejen generujou stale nove klice "za pochodu" ale dokonce se i meni sifrovaci algoritmus "za pochodu" coz pri spravne implementaci cini system realne neprustrelny.
Jinak doporuceni "Cokoliv, co umí OTR a Jabber" je dobra volba. Napr.
ChatSecure pouziva prave tyto 2 technologie.
Vzhledem k tomu že signal hledi do kontaktu s musi se lidi pozyvat pres sms bych rekl ze signal je spatnej. V tom treba wickr tohle vubec nepotrebuje
tahle veta ukazuje ze z sifrovane komunikace neovladas ani zaklady
To ze si musis kontakt pozvat/overit/pridat/potvrdit znamena ze vyvojari pouzivali mozek.
Mimochodem vzajemne overeni identity (authentication) s protistranou je naprostej zaklad aby se vubec dalo mluvit o jakekoliv "secured communication".
Podobny princip je u https kde ale za tebe "pravost=autenticitu" druhe strany overuje tzv.certifikacni autorita=treti strana..... jak "dobre" cele tohle divadlo funguje urcite vis sam.
Proto JEDINA OPRAVDU SAFE VOLBA je provest overeni SAM a manualne coz je sice vopruz ale existuje zlate heslo kryptografie ktere rika ze "the convenience is the enemy of the security" a kdyz se podivas na vsechny ty prusery ktery se odehraly v PKI za posledni roky tak pochopis jak to heslo vypada v praxi.
Na neco podobeho byl tusim nejaky plugin do Pidginu. Ale OTR by melo resit jak overeni, ze mluvite s tim, s kym si myslite, tak to, ze muzete poprit, ze jste kdy neco takoveho napsal, kdyby se nekdo zmocnil desifrovacich klicu, coz muze mit sve vyhody.
Je to presne tak. OTR je sifrovaci/overovaci plugin ktery v Pidginu umi prevzit kontrolu nad externima IM appkama napr. ICQ, Aim, IRC, XMPP, Google Talk, Skype atd (napocital jsem jich v defaultu 17) a zatimco uzivatel pise do OTR okna plain-text tak do appek uz se sype zasifrovanej blabol, cili i pres Skype je mozny vest soukromou debatu, coz me osobne sice pripada jako drbat se levou rukou za pravym uchem ale budiz, hodne BFU drepi na skypu a nedokazou se "osvobodit".
Podminka je ze oba konce komunikace pouzivaji OTR a nezridka je nutnost mit i stejnou verzi. OTR provadi autentizaci protistrany tak aby byla co nejvic "BFU user-friendly" cili staci kdyz oba konce odpovi SHODNE na otazku kterou si vymysli nejdriv 1 strana a pak druha. Napr. ja kdyz sem to kdysi testoval se svym spoluzakem ze stredni tak jsem vepsal jmeno ucitele dejepisu v prvaku
dokud protistrana neuvedla STEJNE JMENO, OTR nas sice nechal komunikovat ale neustale hlasil ze "protistrana nebyla overena a proto nelze vyloucit MiTM utok. Je jasne ze pokud se obe strany "overi=shodnou na odpovedi" OTR na pozadi sparuje fingerprinty verejnych klicu (alias hodi je do known hosts tak jak to zname z Linuxu) ktere si kazda ze stran SAMA LOKALNE vygenerovala.....
A tak je to spravne- tak to ma byt
Dost dobre nechapu proc neni OTR defaultne pribaleny v Linux-instalacce Pidginu, a musi se dodatecne sosat
https://apps.ubuntu.com/cat/applications/precise/pidgin-otr/ https://ssd.eff.org/en/module/how-use-otr-windowsMozna je zamerem "donutit" uzivatele aby si vzdycky vyhledal a sosnul nejnovejsi verzi....?
Šifrování pomocí PGP není pro IM vhodné, protože nepotvrzuje, kdo je odesílatel. Pokud přidáte podpisy, tak sice potvrdíte odesílatele, ale před soudem prokazatelným způsobem, což není úplně žádoucí. OTR je bezpečnější, s každým kontaktem sdílíte vygenerovaný klíč, takže to potvrzuje, kdo je odesílatel, ale zachovává to deniable authentication, příjemce nemá jak prokázat třetí straně, že komunikoval s vámi, a umí forward secrecy, tedy pokud jedné straně utečou klíče, neumožní to dešifrovat starší konverzaci (na rozdíl od PGP).
Napsal's to v kostce celkem OK ja bych to jen upresnil:
PGP je deterministicke cili stejny obsah da po desifrovani stejny stejny plain-text. Pri "podepsani" elektronickym podpisem je naprosto nevyvratitelne KDO je puvodcem zpravy= to muze byt vyzadovano pri uzavirani smluv ci vkladu do katastru ale pro soukrome online konverzaci to muze byt nezadouci. Proto se pouziva kombinace asymetrickeho +symetrickeho sifrovani cili oba konce si vygeneruji svuj par klicu= 1 verejny+ 1 privatni.
Verejne klice si navzajem prohodi a nasledne provedou autentizaci PRAVOSTI toho co jim vlastne prislo= cili overeni ze nedoslo cestou k podstrceni ciziho klice= MiTM napr u ISP nebo na verejnem WiFi hotspotu. To se da resit nekolika zpusoby. Provede se hash verejneho klice a POROVNANI HASHE, zda souhlasi s tim co bylo odeslano a to budto manualne ze si ho navzajem prectou nahlas pred kamerou, anebo se z hashe vygeneruje QR kod kterej si druha strana oskenuje pres kameru (
Ring to tak dela a
Threema take) pripadne to cele divadlo udela v zakulisi SW a staci jen se shodnout na klicovem slovu =metoda v OTR, lehce modifikovana u Signalu, kde SW SAM vygeneruje nahodne heslo a zobrazi ho OBEMA uzivatelum na jejich zarizenich soucasne- uzivatele si pak zavolaji a nahlas si prectou vzajemne co vidi= pokud se vysledek shoduje sifrovany tunel je natazen a endpointy overeny.
Pokud je identita protistrany overena ten kdo navazuje spojeni pouzije VEREJNY KLIC (casto velmi dlouhy 2048 ci 4096 bitovy) protistrany a navrhne/vygeneruje (zpravidla) vlastni SYMETRICKY A TUDIZ MNOHEM KRATSI zpravidla 512bit klic kterym se pak zacne sifovat vlastni komunikace. Protoze symetricke sifrovani je take deterministicke aby bylo dosazeno "perfect forward secrecy" generuji se za pochodu stale nove a nove klice a ty stare se okamzite zahazuji. Pokud by tedy doslo ke kompromitaci prvotnich nebo jinych dilcich klicu utocnikovi to sice umozni cracknout cast konverzace nikdy vsak neziska cely obsah.........a votom to je
Bystry chlapec ci devcatko by se mohlo zeptat PROC je nutno pouzivat symetricke sifrovani pro komunikaci kdyz vymena klicu probiha pres asymetricke crypto (zpravidla Diffie-Helman key exchange) Krome toho ze sifrovat 512ti bity je mnohem snadnejsi pro CPU nez pres 4096bitu tak pro stejnou "silu sifry" asymetricke staci mnohem kratsi symetricky klic...... Je potreba si uvedomit ze asymetricke crypto spociva v obtiznosti rozkladu (extremne dlouheho) soucinu zpet na prvocisla tzv.faktorizace. Neexistuje zpusob (lepe receno nikdo na nej zatim neprisel) jak urychlit rozklad jinak nez metodou pokus-omyl. Na druhou stranu ve dne v noci jedou na max (zejmena u NSA a podobnych spolku) superpocitace ktere nedelaji nic jineho nez procesavaji matematicky prostor a hledaji stale nova VYSSI prvocisla + do neceho na zpusob znamych "rainbow-tables" ukladaji jejich faktorizovane souciny, coz cini utok na asymtericke crypto realnejsim. U symetricke sifry nic takoveho nehrozi (a udajne ani quantovy computer nema na symetricke crypto zadne paky) takze pro real-time komunikaci je vyhodnejsi.