Re: [Hackmeeting] Wire

Supprimer ce message

Répondre à ce message
Auteur: boyska
Date:  
À: hackmeeting
Sujet: Re: [Hackmeeting] Wire
samba:
>On 10/12/2016 12:35 PM, caparossa wrote:
>> voi che ci capite di computer, che ne pensate di 'sto robo qui?
>> https://wire.com/
>
>il paper tecnico sulla security:
>https://wire.com/resource/Wire%20Security%20Whitepaper/download/
>
>personalmente sembra interessante, ma non saprei quanto fidarmi ancora.
>
>Tecnicamente e' slack


slack?

>in OTR e SRTP implementato via coffeescript


più che OTR mi pare segua il protocollo di signal:

End-to-end encryption (E2EE) takes place between two clients (cf. 3.2).
Axolotl [9] is the main cryptographic protocol. It is derived from the
Off-the-Record protocol, using a diferent ratchet[10]. Furthermore Wire
uses the concept of prekeys [7] to use the protocol in an asynchronous
environment. It is not necessary for two parties to be online at the
same time to initiate an encrypted conversation. The actual Axolotl
implementation used in Wire is Proteus [8].
(dal Wire Security Whitepaper)

Ma a differenza di OTR dice anche

    To rule out man-in-the-middle attacks users need to compare identity key
    fingerprints out-of-band.


Quindi non c'è un supporto alla domanda di sicurezza o cose del genere,
ci si incontra e si controllano i fingerprint, che è quello che
lamentavamo di GPG da una vita.

I file mi pare di capire che non siano autenticati, stando alla sezione
5.3.

>c'e' anche una parte di videocall in WebRTC e per quello che ho capito
>le chat e chiamate di gruppo sono crittografate 1:1 il che lo rende
>meglio di jitsi, per esempio.


anche se poi usa N volte la banda necessaria, visto che in pratica fa
tutte connessioni 1:1 con ognuno degli N partecipanti.

>Ho dato un occhiata agli sviluppatori
>https://github.com/orgs/wireapp/people
>https://github.com/wireapp/wire-audio-video-signaling/network/members
>
>e non ne riconosco nessuno, ma questo non vuol dir nulla..


beh sono sfizzeri, cosa hai da ridire! :P

Io non ho tanto capito cosa fa di meglio di Signal, a parte il fatto che
magari sono meno stronz^W esuberanti di moxie. Mi pare che il problema
grosso di signal sia che non supporta alcuna federazione, anzi
propone[1] un modello in cui piantarla con le federazioni perché sono un
modello che non permette cambiamenti rapidi di tecnologia, mentre un
sistema centralizzato con client che si aggiornano in automatico
permette molta più "innovazione", e nel caso specifico anche una
sicurezza più all'avanguardia. Possiamo (anzi dovremmo) discutere se
abbia ragione o se vogliamo continuare sul modello federato, però fare
le copie non credo ci serva molto.

[1] https://whispersystems.org/blog/the-ecosystem-is-moving/

--
boyska