È possibile dimostrare che la funzione end-to-end di Facebook Messenger è in realtà la crittografia del dispositivo e non il dispositivo Facebook che Facebook è l'uomo nel mezzo?
È possibile dimostrare che la funzione end-to-end di Facebook Messenger è in realtà la crittografia del dispositivo e non il dispositivo Facebook che Facebook è l'uomo nel mezzo?
Non c'è modo di provarlo a meno che tu non controlli ogni riga del codice sorgente pertinente. Se hai accesso a ogni riga di codice, allora sì, puoi dimostrare con soddisfazione che hai a che fare con la crittografia end-to-end.
Tuttavia, poiché il codice può essere modificato a piacere da Facebook, non avrai modo di sapere se la comunicazione rimarrà sicura dopo l'ispezione del codice o se è stata protetta prima di aver ispezionato il codice.
Quindi, sfortunatamente, la risposta è che, proprio come con gran parte del resto della nostra vita, dovrai fidarti di ciò che altre persone - Facebook, in questo caso - ti dicono. Dovrai decidere se vuoi investire quella fiducia o no.
La tua idea di monitorare il traffico di rete ti dà un indicatore, ma non è affatto conclusivo.
Se Facebook desiderava segretamente intercettare la conversazione, non avrebbe dovuto instradare il protocollo di messaggistica attraverso i propri server. Il messenger potrebbe semplicemente registrare ciò che si digita e utilizzare un canale segreto per inviarlo successivamente ad un server dall'aspetto innocuo. Il canale usato per esfiltrare i tuoi messaggi potrebbe essere abbastanza facile da rilevare (connessione diretta ai server di Facebook - ma dal momento che sarebbe crittografato, non sapresti che faceva parte di qualche altra funzione del messenger), qualcosa come le false query DNS a un server DNS fasullo o qualsiasi altra forma di connessione di rete dall'aspetto innocuo. Se fosse ritardato nel tempo, la probabilità che tu lo catturi sarebbe praticamente nulla.
Inoltre, anche se il messenger instrada il traffico attraverso i propri server, questo non è affatto un segno di errore. Se vuoi che i messaggi vengano conservati mentre il destinatario è fuori dalla portata e li hai consegnati una volta tornati online, devi archiviarli da qualche parte. La crittografia end-to-end non significa che i messaggi non vengano memorizzati da qualche parte; significa solo che i messaggi possono essere letti solo dal mittente e dal destinatario. Quindi il messenger potrebbe fare qualcosa di molto semplice: potrebbe criptare ogni messaggio due volte: una volta per il destinatario e una volta per Facebook. Quindi invierà entrambi messaggi ai server di Facebook, impacchettati per sembrare un singolo messaggio, e non sapresti mai la differenza.
Nota che NON sto dicendo che Facebook ti sta mentendo; in effetti credo che prendano seriamente la crittografia end-to-end. Se non credi nell'inerente onestà delle persone o nell'adesione di Facebook alla legge, potresti essere più convinto pensando al disastro delle pubbliche relazioni che l'esposizione significherebbe, e che Facebook, essendo bloccato in una lotta per gli utenti con i concorrenti, potrebbe non voler rischiare una percentuale significativa di utenti rispetto a qualcosa che offre loro così pochi vantaggi. Perché se ci pensi, cosa otterrebbe, esattamente, Facebook dalla lettura dei tuoi messaggi? Hanno già qualcosa di molto prezioso dal tuo utilizzo di Messenger: sanno chi stai comunicando e sanno quanto spesso e quando. Questi metadati potrebbero effettivamente essere più preziosi del contenuto dei messaggi.
Leggi altre domande sui tag cryptography facebook asymmetric