Come controllare e fidarsi del software di crittografia delle chiamate

4

Ci sono molti software per i sistemi operativi mobili che forniscono crittografia end-to-end. Qual è il modo migliore per decidere quale è affidabile se la loro fonte non viene rivelata? Eseguire il reverse engineering di Android .apk o provare a monitorare il traffico di rete?

    
posta Rápli András 01.04.2016 - 16:20
fonte

2 risposte

2

Monitorare il traffico di rete è un modo per vedere quanto sia facile interrompere la crittografia, ma non dirà nulla di quanto sia sicura l'app stessa, e solo se capiterà di scegliere uno standard molto debole sarebbe trovi qualcosa di interessante. Piuttosto, il rischio maggiore è un'app che rinuncerà alle chiavi in un modo specifico (locale o remoto) per consentire l'intercettazione. Questo è impossibile da sapere se non si dispone della fonte completa per l'app e di tutto il resto in esecuzione privilegiato sul telefono (che potrebbe curiosare nell'app). Il team dietro a Signal (Open Whisper systems) pubblica il proprio codice sorgente tramite Github.

    
risposta data 01.04.2016 - 16:38
fonte
0

Il modo migliore per decidere quale è affidabile secondo me è tornare alle verifiche professionali esterne. Se la fonte è chiusa e in aggiunta, non ci sono stati controlli, è davvero difficile dimostrare l'implementazione corretta della crittografia, l'assenza di bug e backdoor e punti deboli nella progettazione.

Se vuoi verificare personalmente l'applicazione, l'inversione dell'apk e il monitoraggio e l'analisi del traffico dovrebbero essere parte del processo.

Per ulteriori informazioni sulle applicazioni di comunicazione sottoposte a controllo, consultare EFF Secure Messaging Scorecard: collegamento

    
risposta data 01.04.2016 - 16:44
fonte

Leggi altre domande sui tag