La mia scuola può leggere i miei messaggi GroupMe poiché non sono crittografati end-to-end?

0

Ho usato GroupMe sul mio telefono personale sul Wi-Fi della mia scuola e ho inviato alcuni messaggi molto privati. Ho confermato che la mia scuola non sta eseguendo un attacco MITM confrontando le impronte digitali grc.

Tuttavia, ho letto che GroupMe non fornisce la crittografia end-to-end ma solo la crittografia standard. Cosa significa questo? La mia scuola può vedere il contenuto esatto dei miei messaggi se lo desidera?

    
posta Mike 16.10.2018 - 17:11
fonte

2 risposte

2

Se l'applicazione esegue la crittografia sul traffico (e non hai configurato il tuo telefono in modo speciale per questa rete, come aggiungere una CA extra fornita da loro), la tua scuola non saprà cosa hai detto.

Per non parlare del fatto che anche se avevano l'abilità tecnica di visualizzare il traffico, potrebbe essere illegale per loro dare un'occhiata ai tuoi messaggi.

D'altra parte, dici che hai "confermato che la scuola non sta eseguendo un attacco MITM confrontando le impronte digitali grc". Immagino tu voglia dire che sei andato su link e ... confrontando le impronte digitali elencate qui con quelle mostrate dal tuo browser

Questo ha un paio di problemi:

  • Prima di tutto, un MITM che intercettava tutto il traffico potrebbe anche sostituire le impronte digitali mostrate dalla pagina (dovrebbero essere abbastanza determinate, ma sarebbe possibile). Sarebbe meglio confrontare le impronte digitali mostrate dal tuo browser nella rete sospetta, con quelle che si trovano su una rete ritenuta sicura (ad esempio la tua casa). Si noti che per impostazione predefinita nessun client accetta tali certificati MITM (il sistema dovrebbe essere configurato per fidarsi di essi). E se l'app GroupME è codificata correttamente , non accetterà un certificato non valido ...

  • Che non stanno facendo MITM su un server non significa che non lo facciano su nessuno. Potrebbero non essere le pagine MITM elencate come sicure in una loro soluzione proxy, ma OTOH intercetta con le proprie pagine dei certificati in una categoria diversa (ad esempio social) per eseguire controlli aggiuntivi.

Anche se la connessione non è stata intercettata, GroupMe stesso (o chiunque abbia un accesso adeguato a dove salva i dati) potrebbe tecnicamente accedere (potrebbe essere o non essere legale).

Questo è in contrasto con la crittografia end-to-end, in cui solo l'altro dispositivo può decodificare il messaggio (e dove controllare l'impronta digitale della conversazione con l'altro destinatario mostra che non c'è stata alcuna intercettazione).

Tuttavia, anche se il messaggio ha raggiunto l'altro dispositivo in sicurezza, una terza parte potrebbe ancora saperlo, incluso il fatto di essere inoltrato, mostrato ad un altro allievo (vedere ciò che Mike mi ha detto!), confiscato o persino dall'analisi di esterni fattori (un insegnante potrebbe non conoscere la propria comunicazione esatta durante un esame, ma se due studenti hanno le stesse risposte, concluderà che hanno imbrogliato).

    
risposta data 16.10.2018 - 17:47
fonte
1

Nel contesto della messaggistica istantanea, interpreterò questi termini in questo modo:

  • La crittografia end-to-end significa che i messaggi vengono crittografati dal telefono fino al telefono del ricevente. Quindi né un MITM né l'operatore del servizio possono leggere il testo in chiaro.
  • La crittografia "ordinaria" indica che i messaggi sono crittografati da e verso i server degli operatori. Quindi un MITM non può leggere il testo in chiaro, ma l'operatore del servizio può.

Supponendo che GroupMe stia usando una buona crittografia (non ho idea se lo fanno), il tuo shool non dovrebbe essere in grado di leggere i tuoi messaggi. Tuttavia, GroupMe o chiunque abbia accesso ai loro server (ad esempio polizia, hacker, ecc.) Potrebbe leggerli.

Qui presumo che tu non abbia dato alcun controllo sul tuo telefono alla scuola, e che tu non abbia installato alcun software o certificato da loro. Se lo hai, presume che possano vedere tutto .

    
risposta data 16.10.2018 - 17:34
fonte

Leggi altre domande sui tag