I backup di WhatsApp su Drive non protetti dalla cifratura

[turcone]

Quote:

Originariamente inviato da Erotavlas_turbo

Si, mi pagano per spiegare all'utente medio come funziona la crittografia con parole semplici, ma vedo che non funziona .
[/url].

io lo so come funziona la crittografia e da quello che scrive mi sa che ti serve un corso se vuoi su udemy ci sono video semplici per farti capire
ma perchè continuate a confrontare email con messaggistica ?
sono due cose totalmente diverse cercate di giustificare una mancanza con un confronto logicamente sbagliato

[Erotavlas_turbo]

Quote:

Originariamente inviato da turcone

io lo so come funziona la crittografia e da quello che scrive mi sa che ti serve un corso se vuoi su udemy ci sono video semplici per farti capire
ma perchè continuate a confrontare email con messaggistica ?
sono due cose totalmente diverse cercate di giustificare una mancanza con un confronto logicamente sbagliato

Se non capisci la differenza tra crittografia in cloud di un gestore di posta elettronica (o spazio archiviazione) e crittografia in cloud di telegram, forse qualche domanda me la farei...
Io non sto difendendo nessuno, se hai letto correttamente il mio messaggio.
Wire e signal (e riot) sono superiori alla concorrenza dal punto di vista della sicurezza.
Tuttavia se occorre scegliere tra whatsapp (con backup su cloud non cifrato noto per vari problemi in passato (PRISM) e applicazione completamente closed source), molto meglio telegram con crittografia cloud in casa e solo server closed source.

[turcone]

Quote:

Originariamente inviato da Erotavlas_turbo

Se non capisci la differenza tra crittografia in cloud di un gestore di posta elettronica (o spazio archiviazione) e crittografia .

boh forse sei tu a sbagliare continuando a fare questo confrontro tra email e IM
cerco di spiegarti le differenze tra i due email : supporta la cifratura indipendentemente da chi fornisce il servizio e non importa dove salvo i messaggi perchè la cifratura è trasparente e gestita solo dall'utilizzatore
IM : la cifratura è solo tramite chi fa il servizio e non controllabile dall'utilizzatore in questo caso i termini di servizio sono imposti e non verificabili dall'utente
anni fa esistevano plugin per messenger per cifrare i messaggi in maniera indipendente M$ adesso con le app non è più possibile questa strada

PS : la cifratura server da parte di chi fornisce il servizio è abbastanza una c@zzata dato che di solito non rende noto le specifiche tramite verifiche di parti terze per farti un esempio posso cifrare i tuoi dati con chiavi a 10k bit se pero poi per la creazione delle chiavi privati uso server o algoritmi "riproducibili" posso ricreare la chiave privata in breve tempo se hai dubbi leggi un pò di veccchi report sull'nsa

[Erotavlas_turbo]

Quote:

Originariamente inviato da turcone

boh forse sei tu a sbagliare continuando a fare questo confrontro tra email e IM
cerco di spiegarti le differenze tra i due email : supporta la cifratura indipendentemente da chi fornisce il servizio e non importa dove salvo i messaggi perchè la cifratura è trasparente e gestita solo dall'utilizzatore
IM : la cifratura è solo tramite chi fa il servizio e non controllabile dall'utilizzatore in questo caso i termini di servizio sono imposti e non verificabili dall'utente
anni fa esistevano plugin per messenger per cifrare i messaggi in maniera indipendente M$ adesso con le app non è più possibile questa strada

PS : la cifratura server da parte di chi fornisce il servizio è abbastanza una c@zzata dato che di solito non rende noto le specifiche tramite verifiche di parti terze per farti un esempio posso cifrare i tuoi dati con chiavi a 10k bit se pero poi per la creazione delle chiavi privati uso server o algoritmi "riproducibili" posso ricreare la chiave privata in breve tempo se hai dubbi leggi un pò di veccchi report sull'nsa

Ti ripeto che un servizio di posta elettronica che salva i dati in cloud (gmail, hotmail, etc.) non è diverso da telegram dal punto di vista della crittografia impiegata.

• Servizio di posta. Gmail: crittografia simmetrica AES-128 (dati), scambio chiavi Curve25519 Diffie–Hellman con crittografia asimmetrica RSA-2048 (autenticazione). Hotmail: crittografia simmetrica AES-256 (dati), scambio chiavi Diffie–Hellman con crittografia asimmetrica RSA-2048 (autenticazione).
• Telegram: crittografia simmetrica AES-256 (dati), scambio chiavi Diffie–Hellman con crittografia asimmetrica RSA-2048 (autenticazione).

Come vedi non ci sono sostanziali differenze se non nel protocollo utilizzato. Standard HTTPS/TLS per gmail e outlook, protocollo non stardard, ma aperto e open source, mtproto per telegram.
In entrambi i casi, i gestori del servizio hanno le chiavi di cifratura e possono leggere il contenuto. La differenza sostanziale è che al momento gmail e outlook (hotmail) sono già state implicate in diverse situazioni in cui hanno fornito i dati alle agenzie governative mentre telegram no.

Inoltre, il fatto di poter aggiungere un ulteriore strato di crittografia per proteggere i propri dati è possibile sia per un servizio di posta, sia per un servizio di messaggistica.
Su PC, puoi benissimo cifrare manualmente un messaggio con GNUPG che implementa lo standard openPGP e inviarlo tramite posta elettronica o tramite telegram (o altro) in entrambi i casi il destinatario lo potrà leggere se vi siete scambiati le chiavi di cifratura. Su android puoi utilizzare OpenKeychain.
Per semplificare la vita, con un servizio di posta puoi usare mailvelope o enigmail con thunderbird (entrambi sfruttano openPGP) e su android K-9 Mail e OpenKeychain.

P.S. spero adesso ti sia chiaro.

[matteop3]

Quote:

Originariamente inviato da Erotavlas_turbo

Io includerei anche wire che supera il "maestro" signal permettendo la sincronizzazione tra dispositivi e di importare le chat in modo semplice e non con chiavi di ripristino complicate.

Parliamo però di un servizio che mantiene in chiaro sui propri server l'intera rubrica contatti di tutti i suoi utenti (come Telegram, peraltro).

[Erotavlas_turbo]

Quote:

Originariamente inviato da matteop3

Parliamo però di un servizio che mantiene in chiaro sui propri server l'intera rubrica contatti di tutti i suoi utenti (come Telegram, peraltro).

Mi dispiace per te, ma non sei informato. Wire non mantiene in chiaro niente sui server, come del resto telegram (crittografia cloud).
Inoltre, wire consente anche di iscriversi senza utilizzare il proprio numero di telefono attraverso un indirizzo di posta elettronica (anonimo per esempio su protonmail). Da questo punto di vista è molto più rispettoso della riservatezza rispetto a signal e telegram (naturalmente whatsapp).

A partire da android 6.0 puoi negare il permesso di caricare la rubrica su qualunque app.
Purtroppo solo telegram e wire prevedono gli username che permettono di evitare di dare il tuo numero. Comunque solo se hai deciso di fare upload della rubrica sui server di wire e telegram, i tuoi contatti vedranno il tuo numero e tu verrai avvisato quando qualcuno si iscrive (telegram).
Whatsapp e Signal utilizzano come ID il tuo numero di telefono e non hanno ancora implementato gli username (forse stanno arrivando con qualche anno di ritardo, come per il resto delle caratteristiche).

[turcone]

Quote:

Originariamente inviato da Erotavlas_turbo

Ti ripeto che un servizio di posta elettronica che salva i dati in cloud (gmail, hotmail, etc.) non è diverso da telegram dal punto di vista della crittografia impiegata.

• Servizio di posta. Gmail: crittografia simmetrica AES-128 (dati), scambio chiavi Curve25519 Diffie–Hellman con crittografia asimmetrica RSA-2048 (autenticazione). Hotmail: crittografia simmetrica AES-256 (dati), scambio chiavi Diffie–Hellman con crittografia asimmetrica RSA-2048 (autenticazione).
• Telegram: crittografia simmetrica AES-256 (dati), scambio chiavi Diffie–Hellman con crittografia asimmetrica RSA-2048 (autenticazione).

Come vedi non ci sono sostanziali differenze se non nel protocollo utilizzato. Standard HTTPS/TLS per gmail e outlook, protocollo non stardard, ma aperto e open source, mtproto per telegram.
In entrambi i casi, i gestori del servizio hanno le chiavi di cifratura e possono leggere il contenuto. La differenza sostanziale è che al momento gmail e outlook (hotmail) sono già state implicate in diverse situazioni in cui hanno fornito i dati alle agenzie governative mentre telegram no.

Inoltre, il fatto di poter aggiungere un ulteriore strato di crittografia per proteggere i propri dati è possibile sia per un servizio di posta, sia per un servizio di messaggistica.
Su PC, puoi benissimo cifrare manualmente un messaggio con GNUPG che implementa lo standard openPGP e inviarlo tramite posta elettronica o tramite telegram (o altro) in entrambi i casi il destinatario lo potrà leggere se vi siete scambiati le chiavi di cifratura. Su android puoi utilizzare OpenKeychain.
Per semplificare la vita, con un servizio di posta puoi usare mailvelope o enigmail con thunderbird (entrambi sfruttano openPGP) e su android K-9 Mail e OpenKeychain.

P.S. spero adesso ti sia chiaro.

vabbe dai non ci arrivi o forse non vuoi arrivarci saluti

[matteop3]

Quote:

Originariamente inviato da Erotavlas_turbo

Mi dispiace per te, ma non sei informato. Wire non mantiene in chiaro niente sui server, come del resto telegram (crittografia cloud).

Mi costringi sul serio a dover specificare ancora che se anche crittografi il mondo sui tuoi server ma detieni tutte le chiavi, per il tuo server (e chiunque ci entrasse) è come se fossero in chiaro?

[Erotavlas_turbo]

Quote:

Originariamente inviato da matteop3

Mi costringi sul serio a dover specificare ancora che se anche crittografi il mondo sui tuoi server ma detieni tutte le chiavi, per il tuo server (e chiunque ci entrasse) è come se fossero in chiaro?

Non confondere salvare dei dati in chiaro con salvarli con crittografia in cloud. Per i primi se hai accesso al server (o gruppi di server) puoi leggerli, per i secondi devi avere accesso alle chiavi di crittografia che generalmente sono distribuite su più server (vedi telegram) e quindi occorre compromettere una parte maggiore dell'infrastruttura.
Certo, una volta che hai accesso alle chiavi è come se fossero in chiaro.
Ricordiamoci che riuscire a entrare in un server (o gruppi di server) e quindi avere accesso alle chiavi è generalmente più complicato rispetto a riuscire a entrare in un terminale (spesso non aggiornato come android e usato da persone prive di competenze tecniche sulla sicurezza).
Quindi anche da questo punto di vista, purtroppo, la crittografia end-to-end non aiuta.

Come dimostrano i vari link nel mio messaggio precedente, whatsapp e signal hanno bisogno di salvare la rubrica dei contatti in cloud nei rispettivi server per funzionare.
Contrariamente, wire e telegram funzionano anche senza di essa.