Verifica della crittografia nelle conversazioni segrete di Facebook Messenger

Naviga le tue risposte
0

Ho appena provato la funzione di conversazione segreta di Facebook Messenger. Ho iniziato una conversazione con Alice su Facebook Messenger per iOS. Ho notato quanto segue in aiuto online di Facebook , sotto il titolo Come Verifica che la mia conversazione segreta in Messenger sia crittografata?

Both people in a secret conversation have a device key that you can compare to verify that the messages are end-to-end encrypted.

To verify that the conversation is encrypted, compare your device key with the other person's device key to confirm that they match.

Quando tocchi il riquadro dei tasti del dispositivo per una conversazione segreta, mi vengono presentati i tasti "TUA CHIAVE" e "CHIAVE DI ALICE". Non corrispondono. La formulazione qui sopra implica che dovrei vedere due chiavi identiche. Sebbene siano "chiavi del dispositivo", dovrebbero essere univoci per un dispositivo e quindi essere diversi. Ho concluso che la formulazione dell'aiuto non è chiara.

Sulla stessa schermata con i tasti, ho letto il seguente messaggio.

Your key is the same for all of your secret conversations on this device. Alice's key should match the one on their device.

Questo sembra dire che se Alice vede le stesse due chiavi sul suo dispositivo, la crittografia è "verificata". Quindi sembra che:

  1. Una chiave del dispositivo è la chiave pubblica di una coppia di chiavi generata dall'app Facebook Messenger.
  2. Confermando con Alice che la chiave del suo dispositivo è quella che sto usando, autenticherò la sua chiave pubblica e raggiungerò la "verifica" di cui sta parlando Facebook.

Se tutto ciò è corretto, allora devo chiedere:

Questa procedura di verifica è qui solo per fornire un po 'di conforto? Oppure Facebook Messenger è effettivamente vulnerabile agli attacchi MITM? Gli utenti paranoici richiedono un canale già protetto su cui verificare le chiavi? Infine, come posso scoprire di più sull'implementazione delle conversazioni segrete di Facebook?

    
posta 10.12.2016 - 07:10
fonte

2 risposte

3

Facebook Messenger utilizza il protocollo del segnale. Questo è lo stesso protocollo utilizzato in Signal e WhatsApp e funziona con i principi di crittografia a chiave pubblica standard.

La tua chiave è la tua chiave pubblica, che altri possono utilizzare per crittografare i messaggi destinati a te. La chiave di Alice è la chiave pubblica di Alice che tu (o chiunque altro) puoi usare per crittografare i messaggi destinati ad Alice. Le stringhe presentate nell'app sono in realtà firme crittografiche di queste chiavi.

Per verificare che tu e Alice abbiate le chiavi corrette, dovete confrontare la firma crittografica di la vostra chiave su il vostro dispositivo con la firma crittografica di la tua chiave su il dispositivo di Alice e la firma crittografica di la chiave di Alice su il dispositivo di Alice alla firma crittografica di la chiave di Alice su il tuo dispositivo . Questo dovrebbe essere fatto su un canale sicuro, ad es. incontrando di persona Alice e confrontando visivamente le firme.

Quando hai verificato entrambi i tasti, MITM non dovrebbe essere possibile. Ciò ovviamente presuppone che l'implementazione di Facebook del Protocollo del segnale sia corretta e sicura.

Puoi anche saltare interamente la verifica per ciò che è noto come Trust On First Use (TOFU). Con l'approccio TOFU, si presume semplicemente ciecamente che le chiavi siano corrette la prima volta, e in seguito se qualcuno tenta un attacco MITM, l'app ti avviserà che le chiavi sono cambiate.

C'è un white paper su Facebook su Conversazioni segrete di Messenger qui e un rapporto di verifica formale di lo stesso Protocollo del segnale qui .

    
risposta data 11.12.2016 - 01:50
fonte
0

Non ho ancora visto i dettagli per questo servizio. Tuttavia, sembra suggerire che entrambe le parti abbiano una coppia di chiavi.

Quindi, se confronti la tua copia della chiave di Alice con quella di lei, dovrebbero essere uguali. E viceversa.

Tuttavia, se questo è il caso, non vedo come ciò provi che nessuno può intercettare i messaggi poiché se, diciamo Facebook, ha accesso a tutte le chiavi allora sicuramente potrebbe effettivamente intercettare qualsiasi messaggio Forse, ad esempio, riuscire a estrarre i messaggi per la pubblicità, che dopotutto è l'unico modo per Facebook di guadagnare soldi!

Non sto suggerendo che lo facciano ma sembra a prima vista possibile.

Come una parte ,

Come Google, Facebook ha un problema di credibilità quando si tratta di sicurezza dei dati dei clienti perché la loro redditività dipende dalla possibilità di indirizzare la pubblicità. Entrambi hanno molto lavoro da fare per convincere le persone che i loro dati non vengono elaborati in modi che non sono trasparenti per i clienti.

    
risposta data 10.12.2016 - 16:00
fonte

Leggi altre domande sui tag

Da dove viene effettuata la ricerca Google per la mia geolocalizzazione? UTF-7 JSON dirottamento su Microsoft IE e Edge