Popularny system „bezpiecznego” czatu Cryptocat okazał się zupełnie nie spełniać podstawowych kryteriów bezpieczeństwa. W sieci pojawił się bardzo szczegółowy (i niezwykle interesujący) opis błędów implementacji funkcji kryptograficznych w Cryptocat’cie. Na skutek prostych błędów programistycznych siła szyfrowania, którą rzeczywiście oferował, była wielokrotnie mniejsza, niż obietnice (i intencje) autora. Można przyjąć, że wszystkie rozmowy przeprowadzone z użyciem wersji wypuszczonych między 17 października 2011 a 15 czerwca 2013 mogły zostać podsłuchane.
04.07.2013 | 12:58
Komentarze
Przydałby się jakiś dodatek np.: do GG i/lub Facebook Chat który szyfrowałby wiadomości kluczem PGP.
Dla Pidgina można skonfigurować Off The Record plugin, tylko nie wiem, jaki schemat szyfrowania jest w nim użyty.
Pidgin + OTR
POLECAM eJabberd + psi + PGP.
Wymiana poufnych informacji rzadko odbywa się za pośrednictwem chatu. Lepiej jest skorzystać ze sprawdzonej i zaufanej (jak na razie) metody, czyli wymiana podpisanych szyfrogramów GPG.
@Piotrek do gg możesz używać alternatywnego klienta np. wtw używa on RSA+AES, do FB też się da. W komunikatorze tlen w wersji 6 była wtyczka cryptoPGP do szyfrowania z użyciem PGP (nie gpg) działało to całkiem fajnie.
W FB Instalujesz ( o ile jeszcze nie używasz) Firefox i dodatek LeetKey. Umożliwia on między innymi szyfrowanie tekstu algorytmem AES ze 128 bitowym kluczem. Fakt że to szyfrowanie symetryczne ale przecież hasło sesji można wysłać rozmówcy np. smsem.
@jan kowalski aż tak w 100% bym nie ufał GPG krążą plotki że nsa potrafi sprawnie faktoryzować klucze asymetryczne.
Szybka faktoryzacja olbrzymich liczb?
Absurd, gdyby coś takiego miało USA, to oznaczałoby to praktycznie wojnę z resztą świata – a PRISM na pewno nie był zaskoczeniem dla służb specjalnych.
@UP
Co sie tyczy GPG zawsze można używać rsa 4096, więc ciężko było by…
Co sie tyczy AES, nawet teraz przy słabym haśle jest to możliwe. To pomyśleć ile bruteforce będzie trwało za kilka lat, i wątpię by nawet złożone hasło wymieniane algorytmem Diffiego-Hellmana cokolwiek dało. Zresztą apropo znanych algorytmów wydaje mnie się że są specjalne SOC przystosowane do łamania.
Oprócz OTG ciekwie wygląda jeszcze to: http://pidgin-encrypt.sourceforge.net/