Dal mio googling limitato ho notato che molte delle principali applicazioni di messaggistica crittografate sono tutte o (o una combinazione di!) closed-source, gestiscono un server di terze parti non controllato, usano un algoritmo proprietario o usano algoritmi obsoleti. A mio parere, questo è semplicemente inaccettabile.
Il mio piano era di creare un'app scheletro open source che implementasse un'interfaccia utente di messaggistica di base, quindi creare un sistema che gestisca gli algoritmi di crittografia personalizzati tramite plugin open source.
Spero che usando un sistema di plugin, gli utenti siano liberi di scegliere quale algoritmo usare e che i plug-in stessi si trovino ad affrontare un serio esame da parte della comunità di sicurezza generale.
Perché sto postando questo qui: attualmente so molto poco su come gestire correttamente i dati crittografati. Quali sono i punti deboli in questa implementazione? In che modo si impongono plug-in open source?
Note generali:
- So che gli SMS di un fornitore di servizi contano come servizi di terze parti. Sto pensando di includere funzionalità per indirizzare l'app su un server di tua scelta, in modo da avere un maggiore controllo sui tuoi canali di comunicazione (anche se suppongo che il tuo ISP possa ancora tenere traccia dei meta-dati e di quello che hai)
- Inizialmente, il mio piano è di supportare solo gli scambi di chiavi di persona (o qualsiasi altro metodo di autenticazione è richiesto). Nel tempo, se l'app si rivela utile e utilizzata, l'implementazione del server personalizzato sopra menzionata potrebbe essere utilizzata per le autenticazioni remote