it-swarm-eu.dev

Signal è un modo sicuro e segreto per comunicare tramite chiamate vocali?

Signal (ex RedPhone) fornisce la crittografia end-to-end per le tue chiamate, proteggendo le tue conversazioni in modo che nessuno possa ascoltare.

Ma davvero, come è ancora probabile che una conversazione vocale venga intercettata?

E i dettagli di contatto (come il numero di telefono) sono nascosti anche al provider? O il provider può creare un database di chissà chi?

21
rubo77

Navigando attraverso fonte su GitHub , si apprende che utilizza ZRTP.

Da Quali sono le vulnerabilità dei protocolli di sicurezza specifici del VOIP? :

Prateek Gupta, Vitaly Shmatikov (2006) Analisi di sicurezza dei protocolli Voice-over-IP

Dimostriamo anche un attacco man-in-the-middle su ZRTP che disabilita l'autenticazione e consente all'attaccante di impersonare un utente ZRTP e stabilire una chiave condivisa con un altro utente.

Per la crittografia, si basa su Spongy Castle v.1.46.99.3-UNOFFICIAL-ROBERTO-RELEASE

L'upstream di Spongy Castle, Bouncy Castle, ha il seguente CVE contro la sua testa:

CVE-2013-1624

Riepilogo: l'implementazione TLS nel castello gonfiabile Java prima di 1,48 e la libreria C # prima della 1.8 non considerano correttamente il tempismo degli attacchi del canale laterale su un'operazione di controllo MAC non conforme durante l'elaborazione del riempimento CBC non valido, che consente agli attaccanti remoti di condurre attacchi distintivi e attacchi di recupero del testo in chiaro tramite analisi statistica dei dati di temporizzazione per i pacchetti predisposti, un problema correlato a CVE-2013-0169.

Pubblicato: 02/08/2013 CVSS Gravità: 4.0 ( [~ # ~] medio [~ # ~] )

Il software utilizza i codec Speex e G.711 secondo la fonte. A seconda del codec, non solo i metadati, ma anche la lingua e i contenuti del dialogo may sono dedotti perché il Il codec Speex utilizza la codifica VBR (Variable Bit Rate) (in combinazione con Any Activity Detection e Comfort Noise Generation, per essere più precisi) (vedere le domande e risposte collegate per i dettagli).

Ti consiglio di guardare tu stesso attraverso la fonte, invece di fare affidamento su estranei ...

16
Deer Hunter

Non sarò d'accordo con la risposta di AJ. Quando effettuando una chiamata RedPhone sei prima autenticato da uno dei server di autenticazione e poi un server di inoltro gestisce la connessione al destinatario della chiamata. Tutte queste comunicazioni sono crittografate.

Poiché il chiamante non è direttamente connesso al destinatario (la maggior parte di cui hai bisogno NAT attraversamento su reti di dati mobili), il tuo provider non è in grado di sapere con chi stai parlando. could capisce quanto è durata la conversazione, ma non sono in grado di conoscere il destinatario o il contenuto. Solo RedPhone stesso può sapere chi stai chiamando.

Nel raro caso in cui il destinatario avesse effettivamente aperto la sua porta RedPhone ed è stato in grado di ricevere direttamente una connessione, quindi il tuo provider conosce solo il suo indirizzo IP, il che potrebbe essere utile per capire il suo numero di telefono.

9
Adi

Redphone non è progettato per impedire l'acquisizione di meta-informazioni. È ancora possibile per qualcuno che sta monitorando capire con chi stai parlando e per quanto tempo hai parlato dal momento che nessun instradamento di cipolle o un sistema simile è implementato da esso. Tuttavia, dovrebbe proteggere la sicurezza dei contenuti della comunicazione poiché le chiavi di crittografia sono sconosciute a chiunque lo stia ascoltando e non vi sono vulnerabilità note che consentirebbero di decifrare la crittografia.

6
AJ Henderson