Turvallinen pikaviestittelysovellus älypuhelimille

[ztec]

Laitetaan tähän lankaan vielä pari jakamisen arvoista linkkiä:

Turvalliseen viestintään liittyvistä riskeistä, aika pinnallisesti, mutta nimenomaisesti ilman liiallista teknistä jargonia.

Expensify.cash end-to-end encryption proposal

Expensify.cash end-to-end encryption proposal. GitHub Gist: instantly share code, notes, and snippets.

gist.github.com

Sekä sitten tämä kuva, pikaviestintäsovellusten arkkitehtuuri visualisoituna:

https://pbs.twimg.com/media/Es18llWW4AM5ST2?format=png&name=large

 

[=JP=]

Element appi laitettiin jäähylle Google Play Storesta, viesti appi joka hyödyntää Matrix protokollaa. Se on jo palautettu takaisin kauppaan, kun kehittäjätä ottivat yhteyttä Googleen ja selvittivät asiaa yhdessä.
Matrix protokolla on aikas turvallinen, kun on avoin, salattu ja hajautettu järjestelmä, myöskin itse voi asentaa serverin halutessaan. Ei mitenkään hirveän suosittu käsittääkseni, ainakaan normaali käyttäjien keskuudessa.

Element suspended on Google Play Store: now resolved.

Hi all, At 2021-01-29 at 21:35 UTC Google suspended Element from the Play Store without warning or notification. We submitted an appeal asking for clarification at 23:18, and at 05:31 received a generic update from the Google Play Policy team citing that the app has been removed

element.io

UPDATE: At 2020-01-30 23:17 UTC we received a call from a VP at Google who apologised for the bad communication from Google and explained the situation, which related to some extremely abusive content which was accessible on the default matrix.org homeserver. Our Trust and Safety team had already identified and acted on this content to enforce the server's terms of use, and so we've explained how Element and Matrix works, established a channel for communication over any future moderation concerns, and expect the app to be restored shortly.

UPDATE: The app is restored as of 2020-01-31 00:30 UTC. Huge thanks to everyone for your patience and support while we sorted this out, and to the wider Element team who spent their Saturday on this. Thanks also to Google for being transparent and apologetic and the rapid resolution once we'd established contact.

 

[tjkoo]

Expensify ja Cash kuulostavat todella turvalliselta (tavalta sijoittaa eläkesäästöt, mistä saa ladata?)

 

[pekka666]

Näitä Matrix-instansseja tulisi varmaan useampiakin ellei nykyisen palvelinsoftan (Synapse) vaatimukset olisi aivan järjettömät. Onneks kevyempää vaihtoehtoa (Dendrite / Condtuit) on tuloillaan, mutta saapa nähdä kauanko menee, että on jotain julkaisuvalmista.

Joo, synapsen resurssienkäyttö on aikamoista. Tuo johtuu sekä huonosta implementaatiosta että protokollasta itsestään. Erityisen suurta kuormaa tuon matrixin kanssa aiheuttavat suuret keskusteluhuoneet, joissa on ihmisiä kymmeniltä tai jopa sadoilta eri palvelimilta. Yhdessä huoneessa olevat palvelimet kommunikoi full-mesh topologian mukaisesti, mikä on aika tehotonta kun niitä palvelimia alkaa olla paljon.

Pitää toivoa, että nuo uudemmat implementaatiot (dendrite/conduit) parantavat suorituskykyä. Ja myös protokolla toivon mukaan paranee ajan myötä. Jonkin kaikille avoimen julkisen matrix palvelimen hostaaminen taitaa vaatia aika järeän koneen (tai useamman), mutta yksityiset ihmiset joilla on varaa tai halua rahoittaa tuollaista ovat aika vähissä.

 

[ztec]

Tässä yksi postaus jossa on erilaisista pikavistintäsovelluksista ja niiden hyvistä ja huonoista puolista analyysiä:

Secure Messaging: Choosing a chat app

In today's modern world, there are many "secure" messengers to choose from. Some are good, while others are borderline fraudulent. Some h...

serpentsec.1337.cx

Matrixista ei kyllä voi olla tykkäämättä. Ei välttämättä sen takia, että se olisi mikään covert ops appi, vaan sen takia mitä se noin geneerisellä tasolla tarjoaa.

 

[pekka666]

Tämä Session on kyllä todella kiinnostavan oloinen viestin. Vaikuttaa olevan tällä hetkellä vielä hieman "karkea" (kunnollinen multi-device tuki esim puuttuu), mutta kyllä tässä on mielestäni potentiaalia. Tuossa kaikki viestit välitetään sellaisen onion routing verkon kautta ja kehittäjät ainaki lupaavat että se ei vuoda ollenkaan metadataa. Ehkä suurin ongelma on mainittu tuolla @ztec yläpuolella linkkaamassa jutussa, eli tuota ei ole vielä mikään ulkopuolinen taho kunnolla auditoinut.

 

[JokuHullu]

Tommonen tuli hiljan vastaan:

Spoileri: Kuva oli hieman isohko joten laitoin spoilerin alle

Löytyy täältä: Better than WhatsApp: Try these Free Software Apps and Services — Free Software Foundation India

 

[ztec]

Pakko lisätä tähän väliin, että kiitos tuon WhatsApp:n aiheuttaman härväyksen oli helpompi saada kavereitakin liikkeelle. Käytänössä ollaan aina päädytty Matrixiin pienen testailun jälkeen. Nyt on käytössä Matrix Desktop clientit koneilla, puhelimessa appina ja on myös testattu video ja audio puhelut jne. Hienosti toimii.

Tuossa oli muuten epäkohta tuossa kuvassa, Telegrammi sentään sallii botit, joka mahdollistaa siis viestinnän ulos telegrammista. Se ei ole yhtään niin "pullotettu" kuin Signal ja WhatsApp. Meillä on muutama huone jossa on sekalaista sakkia ja on laitettu ne niin, että ne toimii IRC:ssä, Telegrammissa, Discordissa ja Matrixissa. Hah, kiitos näiden ei niin suljettujen järjestelmien tuo on helppoa ja mahdollista. Käyttäjät saa käyttää sitten sitä clienttiä, mikä parhaiten sattuu itselle sopimaan. WhatsApp bridgetys olisi myös mahdollista, mutta ei ole koettu sitä tarpeelliseksi, vaatii siihen dedikoidun puhelimen, vaikka joku vanha androidi prepaidilla, joka sitten juttelee matrixin ja whatsappin välillä.

 

[ztec]

Ei ole vielä täällä mainittu, mutta yksi mielenkiintoinen ja ainakin vanhan nörtin hermoja kutkutteleva plattari on myös Delta Chat.

Jep, se on chat-appi sähköpostin yli.

 

[=JP=]

Olkaahan sitten varovaisia, ku näitä myös asentelette ihan tietokoneelle, ku joskus näppärä sieltäkin on päästä käsiksi keskusteluihin, esim. Telegram näkyy olevan malware levittäjien suosiossa:

https://suid.ch/research/Telegram_Malware_Analysis.html

Eli varmistetaan, että ladataan sieltä oikeasti viralliselta sivulta, eikä mistään hakukoneen tuloksista, joka näyttää "viralliselta"...
Näyttäisi nyt nuo domainit kadonneen hakukoneista jo, mutta uusia saattaa tulla.

 

[ztec]

Juuh, ihan nopealla etsimisellä löytyy myös N+1 fake Telegram Webbiä, sitä voi sitten arvailla mitä ne tekee käyttäjätunnuksilla, otp koodeilla, jne...

Joku kerta vana katoin nopeasit, täs on nyt jotain outoa... Kun tutkin asiaa, noita on pilvin ja pimein. Pitää siis, öh, kuten aina, katsoa mihin ne tunnukset syötetään ja mitä ladataan jne.

 

[Ormu]

Joskus puhuttiin muistaakseni, että Telegramin rahapuoli olisi kunnossa, kun Pavel Durov rahoittaa sitä omilla miljoonillaan. Näköjään totuus ei ole ainakaan enää niin huoleton.

 

[ztec]

Signaliin tulossa kryptovaluutta tuki. Tuo mielestäni on vähän kyseenalainen juttu, kuuluuko se integroituna osana pikaviestittelyyn vai ei.

Mielestäni tämä vain tukee Matrixin asemaa.

Niille jotka inhoavat bloattia ja rakastavat leania, löytyy Hydrogen, joka on todella todella kevyt Matrix clientti. Tosin se on niin kevyt, että siinä ei ole esimerkiksi huoneisiin liittymiseen tai chattien aloittamiseen tarvittavia ominaisuksia. Mutta kun on ensin hoitanut nuo asiat, niin sittne voi käyttää normaaliin päivittäiseen viestintään tuota kevyttä clienttiä jos niikseen tykkää.

Kyllä, siinä on Signal tyyline double-racthet salaus käytössä. Ehdottomasti tutustumisen arvoinen. Telegrammissa kuin salaus on edelleen käytössä vain secret chateissa.

 

[=JP=]

Signaliin tulossa kryptovaluutta tuki. Tuo mielestäni on vähän kyseenalainen juttu, kuuluuko se integroituna osana pikaviestittelyyn vai ei.

Mielestäni tämä vain tukee Matrixin asemaa.

Niille jotka inhoavat bloattia ja rakastavat leania, löytyy Hydrogen, joka on todella todella kevyt Matrix clientti. Tosin se on niin kevyt, että siinä ei ole esimerkiksi huoneisiin liittymiseen tai chattien aloittamiseen tarvittavia ominaisuksia. Mutta kun on ensin hoitanut nuo asiat, niin sittne voi käyttää normaaliin päivittäiseen viestintään tuota kevyttä clienttiä jos niikseen tykkää.

Kyllä, siinä on Signal tyyline double-racthet salaus käytössä. Ehdottomasti tutustumisen arvoinen. Telegrammissa kuin salaus on edelleen käytössä vain secret chateissa.

Just kirjoitin samaisesta aiheesta tuonne Signal ketjuun...

 

[ztec]

Tässä on artikkeli XRD viestintäprotokollasta ja designistä. Tuossa on vieti yksityisyys ajatukset paljon pidemmälle kuin Signalissa.

Suosittelen myös lukemaan ihan siksi, että niille jotka eivät ole asiaan vihkiytyneitä tuossa on hyvin selitetty erilaiset ratkaisut ja syyt. Sekä paljon referenssejä aikaisempiin protokolliin ja niiden hyviin ja huonoihin puoliin. Samalla siinä myös sivutaan vielä sitä, mitkä ongelmat moniin nykyisiin sovelluksiin, kuten Signaliin ja Tor verkkoon liittyy ja miten niitä koitetaan ratkoa tulevaisuudessa.

 

[ztec]

Olin ihan yllättynyt, ettei kukaan ole vielä maininnut tätä:

AWS welcomes Wickr to the team | Amazon Web Services

We’re excited to share that AWS has acquired Wickr, an innovative company that has developed the industry’s most secure, end-to-end encrypted, communication technology. With Wickr, customers and partners benefit from advanced security features not available with traditional communications...

aws.amazon.com

Eli Wickr myytiin Amazonille? Onko se vielä jatkossakin niin turvallinen, että huumediilerit ja rikolliset käyttävät site? Saapi nähdä, mielenkiintoista sinänsä.

Oikea privacy / (pseudo)anonymity kun erittäin harvoin sopii "corporate" tuotteiden kanssa yhteen, kun niillä on täysin ristiriitaiset vaatimukset usein.

Linkin otsikko, jos e joskus hajoaa, oli:
AWS welcomes Wickr to the team | Amazon Web Services

 

[ztec]

Tuo johti erilaisilla foorumeilla ja chateissa pitkällisiin keskusteluihin. Lopputulema oli se, että tällä hetkellä ei taida olla yhtään oikein hyvää viestintäsovellusta, joka tarjoaisi vahvan anonymiteetin ja salauksen. Briar on kaikkein lähimpänä, mutta siitä puuttuu muutama avainominaisuus, jotka rajoittavat käytettävyyttä:
1) Ajastimet, jotta viestit tuhoutuvat maksimi / luvun jälkeen (uusimmassa verisossa on mahdollista valita kiinteä 7 päivän maksimi-aika viesteille, mutta tämä rajoitus tuntuu keinotekoiselta)
2) Salausavainten automattinen rotaatio.
3) Esittelytoiminto, jolla käyttäjät voidaan lisätä yksipuolisesti ja anonyymisti, ilmoitetun tunnisteen perusteella.

Ajatuksia?

 

[runboy93]

Android: Signal FOSS

Signal forkki josta kaikki google seurannat otettu pois käytöstä.

GitHub - tw-hx/Signal-Android: Patches to Signal for Android removing dependencies on closed-source Google Mobile Services and Firebase libraries. In branches whose names include "-FOSS". Uses new "foss" or "gms" flavor dimension: build with "./gradl

Patches to Signal for Android removing dependencies on closed-source Google Mobile Services and Firebase libraries. In branches whose names include "-FOSS". Uses new "foss" or &...

github.com

F-droidin keskustelupalstalla myös juttua tuosta:

I've degoogled Signal Messenger

Hi F-Droid, I’ve degoogled Signal Messenger’s website build so it can be compiled and runs without any Google Play Services / Firebase code, and is completely open source. Patches are available on my Github - look for the most recent branch with -FOSS in its name. I’m not distributing builds...

forum.f-droid.org

 

[ztec]

Kirjoitin itse aiheesta toisaalle, koska aihe on paljon laajempi kuin vain turvallinen pikaviestittely:

Nym - nymtech.net

Tietoturvasta, turvallisesta salauksesta, viestinnästä, tietoliikenteestä ja kryptovaluutoista on monta lankaa, kuten myös pimeästä verkosta (Tor, Tor-verkko, Tor Browser, Tails, Darknet). Mutta Nym tulee mahdollisesti olemaan kaiken tämän tulevaisuus, yhdistäen teknologiat...

bbs.io-tech.fi

Tuosta avauksesta päästään varmaan mielenkiintoisiin keskusteluihin.

 

[ztec]

Facebook tutkii miten Whatsappin kryptattyja viestejä voisi analysoida ja käyttää mainostarkoituksiin. Olisi mielenkiintoista tietää miten tuo toimii käytännössä ilman, että salausta oikeasti heikennetään, tai metadataa & muuta infoa lähetetään viestien ulkopuolella analytiikkatietoina. Joka tapauksessa, täyttä bullshittiä.

Todennäköisesti se toimii just niin, että salattujen viestien lisäksi lähetetään sitten ulkopuolista dataa. Apple käsittäkseni lanseerasi juuri samanlaisen valvontakoneiston iPhoneihin. Eli puhelin tarkkailee ja raportoi. Sinänsä siis salausta ei tarvitse murtaa, jos kaikki tarvittavat tiedot saadaan ilmankin. Vähän kuten Google uusi vakoilujärjestelmä joka kohtasi kyllä onneksi kovaa vastarintaa, jossa selain itse ryhmittelee käyttäjän tiettyyn käyttäjäryhmään paikallisen datan perusteella. Näin tietoja ei tarvitse lähettää, mutta saadaan kuitenkin tietää mihin ennalta määriteltyyn käyttäjäryhmään käyttäjä kuuluu.

 

[Hammer Schultz]

Onko kukaan vielä tutustunut sekur.com ? Paperilla ainakin vahvat lupaukset, toki maksullinen mutta mitä näitä tutkinut niin näyttäisi olevan aika vakuuttavat speksit (datacenter Sveitsissä, viestien autodelete, vahva kryptaus jne).

 

[Ormu]

Suljettu lähdekoodi herättää heti epäilykset. Maksullisuus on hyväkin juttu siinä mielessä, että rahoitusmalli on silloin selkeä. Mutta maksullisuuden pitäisi olla palvelussa ja ohjelman pitäisi olla avointa koodia. Mielellään asiakkaalla pitäisi olla mahdollisuus käyttää myös mitä tahansa kolmannen osapuolen tekemää ohjelmaa.

 

[Hammer Schultz]

Tuosta ei löydy oikein mitään validia tietoa mistään. Avointa koodiakaan tuo ei ole. Lähinnä törmää vain mainospuheisiin ympäri Internetiä. Suhtautuisin siis erittäin varauksella

Suljettu lähdekoodi herättää heti epäilykset. Maksullisuus on hyväkin juttu siinä mielessä, että rahoitusmalli on silloin selkeä. Mutta maksullisuuden pitäisi olla palvelussa ja ohjelman pitäisi olla avointa koodia. Mielellään asiakkaalla pitäisi olla mahdollisuus käyttää myös mitä tahansa kolmannen osapuolen tekemää ohjelmaa.

Mitä tätä seurannut niin firma on ehdottomasti sitä mieltä että avoin koodi on suuri riski tietoturvalle, avoin/suljettu taitaa jakaa aika voimakkaasti näkemyksiä,

Tässä viimeisin presis mitä olen nähnyt yritykseltä

Tämän sisällön näkemiseksi tarvitsemme suostumuksesi kolmannen osapuolen evästeiden hyväksymiseen.
Lisätietoja löydät evästesivultamme.

Hyväksy kolmannen osapuolen evästeet

 

[Ormu]

Mitä tätä seurannut niin firma on ehdottomasti sitä mieltä että avoin koodi on suuri riski tietoturvalle, avoin/suljettu taitaa jakaa aika voimakkaasti näkemyksiä,

Tässä viimeisin presis mitä olen nähnyt yritykseltä

Tämän sisällön näkemiseksi tarvitsemme suostumuksesi kolmannen osapuolen evästeiden hyväksymiseen.
Lisätietoja löydät evästesivultamme.

Hyväksy kolmannen osapuolen evästeet

Täytyy katsoa tuo esitys myöhemmin, mutta kuulostaa kyllä siltä, että tuosta kannattaa pysyä kaukana.

Ainoa tietoturvariski, jos sitä sellaisena haluaa pitää, avoimen koodin ohjelmassa on, että haavoittuvuudet ovat helpommin ja useamman henkilön löydettävissä. Mutta silloin ne tulevat myös korjatuksi helpommin, ja suljetun koodin haavoittuvuudet pysyvät helpommin vain asiansa osaavien rikollisten ja valtiollisten tahojen tiedossa.

Ehkä merkittävämpi asia sen sijaan on se, että suljetun koodin ohjelmassa mahdollinen takaovi, huonot koodaustavat ja kelvottomat salausalgoritmit pysyvät piilossa varmemmin. Sen takia avoin koodi on tärkeä lähtökohta, jos kaipaa luottamuksellista viestintää.

 

[Hammer Schultz]

Täytyy katsoa tuo esitys myöhemmin, mutta kuulostaa kyllä siltä, että tuosta kannattaa pysyä kaukana.

Ainoa tietoturvariski, jos sitä sellaisena haluaa pitää, avoimen koodin ohjelmassa on, että haavoittuvuudet ovat helpommin ja useamman henkilön löydettävissä. Mutta silloin ne tulevat myös korjatuksi helpommin, ja suljetun koodin haavoittuvuudet pysyvät helpommin vain asiansa osaavien rikollisten ja valtiollisten tahojen tiedossa.

Ehkä merkittävämpi asia sen sijaan on se, että suljetun koodin ohjelmassa mahdollinen takaovi, huonot koodaustavat ja kelvottomat salausalgoritmit pysyvät piilossa varmemmin. Sen takia avoin koodi on tärkeä lähtökohta, jos kaipaa luottamuksellista viestintää.

Tämä tosiaan jakaa asiantuntijoitakin aika vahvasti, olen aika usein asiasta lukenut ja päässyt keskustelemaan oikeiden tietoturvaeksperttien kanssa ja he sanovat ette asia ole noin yksinkertainen.

Mutta joo, lähtökohtaisesti kaikki ilmaiset ratkaisut eivät ole oikeasti tietoturvallisia, vanha sanonta "if the product is free, you're the product" pitää aika hyvin kutinsa näissä.

 

[Ormu]

Tämä tosiaan jakaa asiantuntijoitakin aika vahvasti, olen aika usein asiasta lukenut ja päässyt keskustelemaan oikeiden tietoturvaeksperttien kanssa ja he sanovat ette asia ole noin yksinkertainen.

Mutta joo, lähtökohtaisesti kaikki ilmaiset ratkaisut eivät ole oikeasti tietoturvallisia, vanha sanonta "if the product is free, you're the product" pitää aika hyvin kutinsa näissä.

Kai siinä jotain logiikkaa voi nähdä, että koodi halutaan pitää suljettuna. Yleinen näkemys taitaa kuitenkin olla, että julkinen arviointi on paras perusta tämäntyyppisissä softissa.

Esim. Whatsapp on teettänyt lähdekoodeilleen ulkopuolisen auditoinnin, vaikka koodi ei ole avointa. Sillä tavalla saadaan vähän arviota koodin laadusta. Whatsappissa on ollut viime vuosina useita tietoturvaongelmia, mutta sitä on hankalampi sanoa, olisivatko ne paljastuneet avoimesta koodista vai eivät.

Maksullisessa palvelussa asiakkaan ohjelma voi hyvin olla ilmainen ja avointa koodia, jos asiakas maksaa palvelusta eikä ohjelmasta.

 

[Hammer Schultz]

Esim. Whatsapp on teettänyt lähdekoodeilleen ulkopuolisen auditoinnin, vaikka koodi ei ole avointa. Sillä tavalla saadaan vähän arviota koodin laadusta. Whatsappissa on ollut viime vuosina useita tietoturvaongelmia, mutta sitä on hankalampi sanoa, olisivatko ne paljastuneet avoimesta koodista vai eivät.

Whatsapp on niin karmea tietoturvaltaan että se on melkein aivan sama miten sitä auditoidaan, facebook myy datan kuitenkin mainostajille.

 

[ztec]

Parissa privacy foorumissa juteltin tuosta ja täällä näyttäisi olevan aika samat tuomiot:
1) Closed source
2) Paid service

Riippuu ihan käyttötarkoituksesta, onko se turvallinen vai ei. Mutta oikeasti siis oikein suunnitellut privacy toolit, on sellaisia, että niiden privacyä / tieto / identiteetti suojaa, ei voi rikkoa mitenkän helposti / järkevästi, vaikka kuinka haluaisi. mm. Signal, Whatsapp jne sovellukset, eivät sen takia kuulu oikeiden privacy toolien kategoriaan. Pitää toki huomoida myös thread model. Hyvä privacy järjestelmä suojaa käyttäjiä kaikesta huolimatta. Ei ole mitään mitä voisi luovuttaa, eikä sovellustakaan voi salaa backdoorata. En esim koskaan henkilökohtaiseti ymmärtänyt mihin Wickerin maine hyvänä ohjelmana / alustana perustui.

Jos em. kriteerit ei haittaa, niin onhan sitä sitten vaikka millaisia corporate tooleja käytettävissä, Threemat, Elementit jne. Teamssinkin on kuulemma tulossa E2EE. Aina kun sanotaan turvallinen, pitäisi määritellä mikä on uhka kuva. Itse en luota edes alustoihin, vaikka sovellus oli täysin absoluuttisesti ja todistettavasti turvallinen ja aukoton, se ei auta, jos käyttöjärjestelmä, firmis tai laitteisto jossa ajat ohjelmistoa on itsessään backdoorattu / haavoittuva.

Käytännössä taitaapi olla niin, että jos on jotain oikeasti salattavaa, siihen ei ainakaan puhelimella kannata koskea lainkaan. Aina TFC tyylinen ratkaiksu, jossa data, salausavaimet ja tietoliikenne pidetään erillään ja minimoituna.

 

[ztec]

Yleisesti turvallisista ja salatuista viestintäalustoista voitaisiin todeta seuraavaa. Tällä hetkellä tuntuu kaksi projektia dominoivan:
1. Session - Tuli vahvasti Wickr Me:n tilalle, kun se myytiin Amazonille.
2. Briar - Viestit kulkevat Tor-verkon kautta, mutta tällä hetkellä kontaktin lisääminen vaatii yhteystietojen molemminpuolisen vaihtamisen ennen kuin yhteys voidaan muodostaa.

Loin muuten Matrixista erillisen keskustelulangan, koska se on aika diippi aihe. Eikä suoranaisesti liity tähän.

Mikä on Matrix - Pikaviestit, puhelut, avoinkoodi, salattu ja fedroitu

Mikä Matrix on? Matrix.org Se on oikein hyvää vauhtia kehittyvä ja jo varsin käytettävä salattu pikavistintä standardi, joka tarjoaa puhelut ja viestit miltei kaikilla alustoilla. Muita karkeasti verrattavia tuttuja projekteja on muummoassa: WhatsApp, Facebook Messenger, Telegram, Discord...

bbs.io-tech.fi

 

[SRP]

Android: Signal FOSS

Signal forkki josta kaikki google seurannat otettu pois käytöstä.

GitHub - tw-hx/Signal-Android: Patches to Signal for Android removing dependencies on closed-source Google Mobile Services and Firebase libraries. In branches whose names include "-FOSS". Uses new "foss" or "gms" flavor dimension: build with "./gradl

Patches to Signal for Android removing dependencies on closed-source Google Mobile Services and Firebase libraries. In branches whose names include "-FOSS". Uses new "foss" or &...

github.com

F-droidin keskustelupalstalla myös juttua tuosta:

I've degoogled Signal Messenger

Hi F-Droid, I’ve degoogled Signal Messenger’s website build so it can be compiled and runs without any Google Play Services / Firebase code, and is completely open source. Patches are available on my Github - look for the most recent branch with -FOSS in its name. I’m not distributing builds...

forum.f-droid.org

Ihmettelin alunperin syvästi, että miksi Signal ei toimi ollenkaan ilman Google Play Serviceä. Puhelinnumerolla rekisteröityminenkään ei herätä luottamusta.

Facebook tutkii miten Whatsappin kryptattyja viestejä voisi analysoida ja käyttää mainostarkoituksiin. Olisi mielenkiintoista tietää miten tuo toimii käytännössä ilman, että salausta oikeasti heikennetään, tai metadataa & muuta infoa lähetetään viestien ulkopuolella analytiikkatietoina. Joka tapauksessa, täyttä bullshittiä.

Facebook Reportedly Researching Ways to Use Encrypted WhatsApp Messages for Targeted Advertisements

Facebook is researching ways to analyze encrypted data, such as WhatsApp messages, without actually decrypting the information, according to a new report from The Information. The report cites that Facebook has confirmed it is building a team of artificial intelligence researchers to "study ways...

www.macrumors.com

Eikö nuo Whatsappin pilvi-backupit ole aina olleet täysin dekryptattyja yhteystietoineen ja viesteineen?

Yleisesti turvallisista ja salatuista viestintäalustoista voitaisiin todeta seuraavaa. Tällä hetkellä tuntuu kaksi projektia dominoivan:
1. Session - Tuli vahvasti Wickr Me:n tilalle, kun se myytiin Amazonille.
2. Briar - Viestit kulkevat Tor-verkon kautta, mutta tällä hetkellä kontaktin lisääminen vaatii yhteystietojen molemminpuolisen vaihtamisen ennen kuin yhteys voidaan muodostaa.

Loin muuten Matrixista erillisen keskustelulangan, koska se on aika diippi aihe. Eikä suoranaisesti liity tähän.

Mikä on Matrix - Pikaviestit, puhelut, avoinkoodi, salattu ja fedroitu

Mikä Matrix on? Matrix.org Se on oikein hyvää vauhtia kehittyvä ja jo varsin käytettävä salattu pikavistintä standardi, joka tarjoaa puhelut ja viestit miltei kaikilla alustoilla. Muita karkeasti verrattavia tuttuja projekteja on muummoassa: WhatsApp, Facebook Messenger, Telegram, Discord...

bbs.io-tech.fi

Kiitos. Pitää tutustua Matrixiin. Eikö Session ole kuitenkin aika vahvoilla tällä hetkellä, vaikka saman käyttäjätunnuksen yhdistäisikin useammalle laitteelle?

 

[ztec]

Signalin tarkoitus ei ole olla anonyymi, vaan turvallinen.

Ensinnäkin, palvelu jossa käyttäjällä on mikä tahansa identiteetti (kuten Signal) ei ole anomyymi koskaan, vaan se on pseudonymi. Se miten helppoa tai vaikeaa tuon yhdistäminen sitten muihin identiteetteihin riippuu taas tehdyistä toimenpiteistä.

Kuten sanottu, toimenpiteet pitää suhteuttaa uhkiin. Ja silloinkin on otettava hyväksyttävä riskitaso, koska muuten kaikki on mahdotonta.

Tää on oikeastaan off-topic, mutta ei sitten kuitenkaan, kun puhuttiin "turvallisuudesta" - The Hitchhiker’s Guide to Online Anonymity

 

[kaakau<"'\\/>]

Palvelulla on ollut muitakin ongelmia laiskan moderointinsa suhteen:


Mitähän Telegram meinaa tehdä asialle, jos moderointi ei ole tarpeeksi toimiva ratkaisu? Rikolliset löytävät kuitenkin aina jonkin kanavan, ja mikäs sen parempi kuin mahdollisimman iso ja suosittu palvelu jonka kulisseissa toimia.

Miksi Telegramin pitäisi moderoida keskusteluja samalla tavalla kuin esim. Facebook tai Twitter? Se on yksityinen yritys ja saa valita niin lepsun moderoinnin kuin haluaa. Selvät rikollisuudet pitää tietenkin poistaa jos he vaan näkevät sen.

 

[ztec]

Miksi Telegramin pitäisi moderoida keskusteluja samalla tavalla kuin esim. Facebook tai Twitter? Se on yksityinen yritys ja saa valita niin lepsun moderoinnin kuin haluaa. Selvät rikollisuudet pitää tietenkin poistaa jos he vaan näkevät sen.

Noi on kyllä oikein hyviä kysymyksiä. Eikä mitenkään uusia, esim. miten salatuilla alustoilla voidaan sensuroida sisältöä? Vain silloin jos joku raportoi sen. Mutta homma tehdään oikein, ei raportteja koskaan tule, koska kukaan joka osallistuu siihen toimintaan, ei sitä toimintaa tietenkään halua raportoida.

 

[ztec]

Telegramin tapauksessa tosin ryhmät eivät ole salattuja, ja juuri niissä tämä laiton sisältö tiettävästi kulkeekin. Eli mahdollisuus moderointiin kyllä on. Eri asia sitten missä mittakaavassa he aikovat sitä tehdä, vai tekevätkö lainkaan.

Jos ryhmä ei ole julkinen, se on yksityinen ja jos se on yksityinen, niin millä oikeudella (ja mielenkiinnolla ja rahoituksella) sitä moderoitaisiin?

 

[Xiyng]

Jos ryhmä ei ole julkinen, se on yksityinen ja jos se on yksityinen, niin millä oikeudella (ja mielenkiinnolla ja rahoituksella) sitä moderoitaisiin?

Heitän villin veikkauksen, että Telegramin käyttöehdot sallivat ylläpidon moderoida yksityisiäkin ryhmiä. Mielenkiinto ja rahoitus ovatkin sitten parempia kysymyksiä, ja niistä voisi veikata mielenkiinnon olevan lähinnä ilmiannoissa.

 

[ztec]

Taas uusi tulokas tälle sektorille, ei tainnut olla vielä mainittuna missään:

Cwtch | Cwtch

Metadata-Resistant Messaging

cwtch.im

Tähtää aitoon pseudonyymiyteen ja yksityisyyteen, mihin monet sovellukset eivät valitettavasti pyri.

 

[=JP=]

Tämäkin aina välillä tulee vastaan:

OnionShare

OnionShare is a tool for anonymous peer-to-peer file sharing, chatting, and web hosting.

onionshare.org

Mahdollistaa anonyymin chatin, web sivun pystyttämisen taikka tiedostojen jaon Tor verkon kautta, miten turvallinen tuo on, ei omakohtaista kokemusta, mutta monessa paikkaa aina suositellaan.
Liekkö jollain kokemuksia täällä?

 

[ztec]

Tämäkin aina välillä tulee vastaan:

OnionShare

OnionShare is a tool for anonymous peer-to-peer file sharing, chatting, and web hosting.

onionshare.org

Mahdollistaa anonyymin chatin, web sivun pystyttämisen taikka tiedostojen jaon Tor verkon kautta, miten turvallinen tuo on, ei omakohtaista kokemusta, mutta monessa paikkaa aina suositellaan.
Liekkö jollain kokemuksia täällä?

Onhan tuota tullut käytettyä paljonkin. Mutta ei liity mitenkään älypuhelimiin, kun ei ole tarjolla mobiili-plattareille ollenkaan.

Vastaavaa konseptia toteuttaa juuri mainitut Cwtch ja Briar.

 

[Elvis Jagger]

Signal postannut blogiinsa enemmän kuriositeettina oikeuden määräyksen Kaliforniasta luovuttaa tietoja (joita ilmeisesti saavat useinkin) ja vastauksen siihen, ja edelleen ainoa dataa mitä voivat luovuttaa on tilin luontiaika ja edellinen kirjautuminen.

Grand jury subpoena for Signal user data, Central District of California (again!)

Signal still knows nothing about you, but inexplicably the government continues to ask.

signal.org

Once again, this subpoena requested a wide variety of information we don’t have, including the target’s name, address, correspondence, contacts, groups, calls.

As usual, we couldn’t provide any of that. It’s impossible to turn over data that we never had access to in the first place. Signal doesn’t have access to your messages; your chat list; your groups; your contacts; your stickers; your profile name or avatar; or even the GIFs you search for. As a result, our response to the subpoena will look familiar. It’s the same set of “Account and Subscriber Information” that we can provide: Unix timestamps for when each account was created and the date that each account last connected to the Signal service.

 

[=JP=]

Ihan mielenkiintoista luettavaa, että mitä tietoa eri softat voi antaa, mikäli viranomainen vaatii (FBIn dokumentti asiasta)...

Here's what data the FBI can get from WhatsApp, iMessage, Signal, Telegram, and more

A disclosed FBI training document reveals what information can be revealed about your usage of an end to end encrypted instant messaging app.

blog.malwarebytes.com

If there is one thing clear from the information in this document it’s that most, if not all, of your messages are safe from prying eyes in these apps, unless you’re using WeChat in China.

Eli viestit näyttäisi olevan suurimmalla osalla turvassa, mutta sitten muuta tietoa kyllä irtoaa joiltakin enemmänkin kuin toisilta...

 

[ztec]

Hyvä nosto aiheesta, vaikka varmaan asiaa seuraavat on jo kaikki tämän nähneetkin:

Viestipalvelu Signalin perustajalta kovasanainen ulostulo kilpailijasta – ”yksityisyyden ja tietojen keräämisen osalta ei ole huonompaa vaihtoehtoa kuin Telegram”

Esimerkiksi WhatsAppin käyttöehtojen päivittämisen ympärille syntynyt kohu sai aiemmin vuoden 2021 aikana monet etsimään vaihtoehtoja Facebookin leir

mobiili.fi

Eipä paljon lisättävää, toisaalta artikkeli ei sisällä myöskään mitään uutta. Ehkä se hieman ärsyttää, että Signal kuitenkin kerää käyttäjien pitkäaikaiset identiteetit, oikeasti hyvin tehdyn softan ei tarvitse tietää mitään tuosta. Lisäksi tuo mahdollistaa sekä palvelimien, että käyttäjien, tunnistaa käyttäjät, joka on yksitysyys ja varsinkin anonymiteetti aspektista todella huono juttu.

 

[REALhjelm]

element

 

[ztec]

element

Siitä on kokonaan oma lankansa.

Mikä on Matrix - Pikaviestit, puhelut, avoinkoodi, salattu ja fedroitu

Mikä Matrix on? Matrix.org Se on oikein hyvää vauhtia kehittyvä ja jo varsin käytettävä salattu pikavistintä standardi, joka tarjoaa puhelut ja viestit miltei kaikilla alustoilla. Muita karkeasti verrattavia tuttuja projekteja on muummoassa: WhatsApp, Facebook Messenger, Telegram, Discord...

bbs.io-tech.fi

Mutta kun nyt kerran postasin, niin otetaan vielä yksi toinen aspekti esille. Kun todettiin turvallisista viestintäsovelluksista ja alustoista, niin mm. Virallisten turvallisuusohjeiden mukaan puhelimella ei saisi kuitenkaan käsitellä mitään salaista. Tuo on aina hyvä pitää mielessä. Edes luottamuksellisia tietoja ei saa käsitellä puhelimella, riippumatta sovelluksesta.

 

[ztec]

Tämmöinen uusi yllättäjä ilmestyi, open sourcea:

Olvid - Home

Olvid - Private messaging for everyone.

olvid.io

En, en ole tutustunut aiheeseen, on sen verran uusi. Mutta moni on tutkimassa aisaa. Myös Session kovasti jaksaa joka välissä mainostaa privacy featureja.

 

[Hammer Schultz]

Ilmeisesti Telegram on useaan otteeseen antanut tietoja käyttäjistä Saksan tiedusteluviranomaisille, vaikka väittävät etteivät ole koskaan tehneet sellaista:

Telegram reportedly surrendered user data to authorities despite insisting '0 bytes' had ever been shared

Government pressure may have finally won out

www.androidpolice.com

Hyvä esimerkki siitä, että jos olet oikeasti huolissasi yksityisyydestä, älä käytä palveluita joissa viestejäsi ei salata palvelimen päässä.

Ei kai se salaus palvelin päässä auta mitään ellet tarkoita että se on salattu siten ettei palveluntarjoakaan pääse siihen käsiksi?

Mutta kaikki ilmaiset viestintäsovellukset ovat lähtökohtaisesti epäluotettavia koska jostain ne rahat pitää ottaa, jos ei suoraan käyttäjältä niin sitten joltain muulta maksajalta joka haluaa hyödyntä dataa sinusta.

 

[=JP=]

Lisäksi nyt on Telegramiin tullut Premium mahdollisuus, eli maksamalla saa laajennettua ominaisuuksia, mutta mites yksityisyys, koska jos aletaan rahaa vaatimaan, pitää alkaa pitämään tarkkaa asiakasrekisteriä lakien mukaan silloin.

700 Million Users and Telegram Premium

Telegram now has over 700 million monthly active users. Today we're launching Telegram Premium – a subscription that lets you support Telegram's continued development and gives access to exclusive additional features.

telegram.org

 

[ztec]

NATO:n strategisen kommunikaatiokeskuksen johtaja varoittaa ettei Telegram ole turvallinen alusta:

Telegram is 'not a secure platform,' NATO-backed strategic comms chief warns

<mediadc-video-embed

www.washingtonexaminer.com

Tämä linkki oli mun postaa tänne listalla. Mutta siis tuossakin artikkelissa on virhe heti ekassa kappaleessa. "Encrypted", niin siis eihä normit chatit ole salattuja Telegrammissa, vain secret chatit on. Mut tää on jo niin kulunut aihe, että ei taida enää jaksaa.

Harvassa on ne sovellukset joissa salaukseen on panostettu, Matrix esim. on ehkä yksi vahvimmista kandidaateista. Eikä avainhallintaakaan ole ulkoistettu jollekkin tuntemattomalle taholle, vaan suosittelevat aktiivisesti kontaktien verifointia ja varoittavat jos kontaktit on verifioimatta. Toisaalta toisille se on ylitsepääsemätön ongelma, mutta sitä ongelmaa valitettavasti mikään sovellus ei voi korjata.

Pikaviestin - Suomesta suomalaisille. Sekä tietysti TechBBS keskustelu Pikaviestimestä ja Matrixista.

 

[nihao]

Onko muut käytellyt Sekuria? Sekur - Swiss Privacy and Security for Data and Communications

Itse oon n. 6kk nyt käyttänyt (lähinnä sähköpostia) ja tyytyväinen ollut.

Ei tosin ole ilmainen, 5-7usd/kk riippuen paketista.

 

[ztec]

Onko muut käytellyt Sekuria? Sekur - Swiss Privacy and Security for Data and Communications

Miten tuossa Sekur:issa on hoidettu mm. salausavainten hallinta ja uusinta? Noihan on ne perinteiset ongelmatkohdat, vaikka appi olisi teknisesti miten turvallinen.

 

[Sally_Spectra]

Onko muut käytellyt Sekuria? Sekur - Swiss Privacy and Security for Data and Communications

Itse oon n. 6kk nyt käyttänyt (lähinnä sähköpostia) ja tyytyväinen ollut.

Ei tosin ole ilmainen, 5-7usd/kk riippuen paketista.

Mihin olet ollut tyytyväinen?

Nykyään palvelimen sijainti Sveitsissä ei tarkoita, että eivät jakaisi dataa. Lisäksi jos olet heille maksanut, niin heillä on sinun henkilötiedot. Täten jos pyyntö tulee niin jakavat ne.