Non ho alcun tipo di esperienza nella sicurezza, ma solo sullo sviluppo di API e app, e sto sviluppando un'applicazione per medici e pazienti che ha una funzionalità aggiuntiva di messaggistica privata tra medico: paziente.
Dovrei anche essere in grado di recuperare i messaggi scambiati in caso di problemi legali tra medico: paziente, fondamentalmente un uomo-in-the-middle.
Ho investito la giornata studiando XMPP, OTR , ecc. e ho deciso di utilizzare un semplice endpoint POST REST per inviare messaggi, utilizzando prese, invece di XMPP, et. tutti.
Ho letto che anche le app di chat dei consumatori utilizzano OTR per la crittografia end-to-end, ma non è abbastanza HTTPS? Comprendo il concetto di crittografia end-to-end, ma sia il medico che il paziente saranno collegati tramite HTTPS al server, non è abbastanza? Non è già una specie di crittografia end-to-end?
Quindi c'è qualche vantaggio sull'uso di HTTPS AND OTR?
Esiste un'altra opzione sicura e più semplice da implementare e / o tecnica diversa da OTR? (compatibile con iOS, Android, Windows Phone, Web).
EDIT: OTR ha "Negazione: al termine della sessione di chat, i messaggi non possono essere identificati come provenienti dal tuo corrispondente o da te." - ma in questo caso i messaggi devono essere identificati, specialmente per problemi di responsabilità di fronte alle decisioni / istruzioni del medico / ecc.