Il segnale è un modo sicuro e segreto per comunicare tramite chiamate vocali?

20

Signal (former RedPhone) provides end-to-end encryption for your calls, securing your conversations so that nobody can listen in.

Ma in realtà, qual è la probabilità che una conversazione vocale venga intercettata ancora?

E i dettagli del contatto (come il numero di telefono) sono nascosti anche al fornitore? Oppure il provider può creare un database di chi-sa-chi?

    
posta rubo77 23.07.2013 - 23:55
fonte

3 risposte

15

Navigando attraverso il sorgente su GitHub , si impara che usa ZRTP.

Da Quali sono le vulnerabilità specifiche di VOIP protocolli di sicurezza? :

Prateek Gupta, Vitaly Shmatikov (2006) Security Analysis of Voice-over-IP Protocols

We also demonstrate a man-in-the-middle attack on ZRTP which disables authentication and allows the attacker to impersonate a ZRTP user and establish a shared key with another user.

Per la crittografia, si basa su Spongy Castle v.1.46.99.3-UNOFFICIAL-ROBERTO-RELEASE

L'upstream di Spongy Castle, Bouncy Castle, ha il seguente CVE contro il suo capo:

CVE-2013-1624

Summary: The TLS implementation in the Bouncy Castle Java library before 1.48 and C# library before 1.8 does not properly consider timing side-channel attacks on a noncompliant MAC check operation during the processing of malformed CBC padding, which allows remote attackers to conduct distinguishing attacks and plaintext-recovery attacks via statistical analysis of timing data for crafted packets, a related issue to CVE-2013-0169.

Published: 02/08/2013 CVSS Severity: 4.0 (MEDIUM)

Il software utilizza Speex e G.711 codec come sorgente. A seconda del codec, non solo i metadati, ma anche la lingua e il contenuto del dialogo possono essere dedotti perché il codec Speex utilizza la codifica VBR (Variable Bit Rate) (combinata con Qualsiasi rilevamento di attività e generazione di rumore di comfort, per essere più precisi) (vedi il link Q & A per i dettagli).

Ti consiglio comunque di guardare attraverso la fonte, invece di affidarti a estranei ...

    
risposta data 24.07.2013 - 02:52
fonte
9

Non sarò d'accordo con la risposta di AJ. Quando effettui una chiamata RedPhone , verrai prima autenticato da uno dei server di autenticazione e quindi un server relay gestirà la connessione tu al destinatario della chiamata. Tutte queste comunicazioni sono crittografate.

Poiché il chiamante non è direttamente collegato al destinatario (la maggior parte di NAT attraversa le reti mobili), il tuo provider non è in grado di sapere con chi stai parlando. potrebbe capire per quanto tempo è durata la conversazione, ma non sono in grado di conoscere il destinatario o il contenuto. Solo gli stessi RedPhone possono sapere chi stai chiamando.

Nel raro caso in cui il destinatario avesse effettivamente la sua porta RedPhone aperta e fosse in grado di ricevere una connessione direttamente, allora il tuo provider conosce solo il suo indirizzo IP, che potrebbe essere utile per capire il suo numero di telefono.

    
risposta data 24.07.2013 - 00:56
fonte
5

Redphone non è progettato per impedire l'acquisizione di meta-informazioni. È ancora possibile per qualcuno che sta monitorando per capire con chi stai parlando e per quanto tempo hai parlato dal momento che nessun instradamento di cipolla o sistema simile è implementato da esso. Tuttavia, dovrebbe proteggere la sicurezza dei contenuti della tua comunicazione poiché le chiavi di crittografia sono sconosciute da chiunque ti stia ascoltando e non ci sono vulnerabilità note che potrebbero consentire la crittazione della crittografia.

    
risposta data 24.07.2013 - 00:20
fonte

Leggi altre domande sui tag