Sfondo
L'app di messaggistica Wire è sicura? è l'unica domanda Lo trovo su Wire qui.
Sto aiutando un gruppo (non tecnico, non commerciale) a decidere se utilizzare Wire o Threema per il coordinamento degli eventi / chat generale. Hanno scelto questi due candidati perché sono apparentemente simili - per il loro marketing che fornisce crittografia end-to-end, non memorizza nulla sul server, non cerca di catturare la tua anima ecc.
La decisione non si basa sull'effettiva crittografia dei messaggi: si tratta di un gruppo sportivo, non di un'organizzazione terroristica. Diverse persone sono però rigorose con la gestione delle loro identità e si oppongono al collegamento di account, al collegamento di account su server e così via.
Personalmente sto avendo questa impressione, ordinata dal crescente impatto.
Impressioni sui due
-
Open source: tit per tat, entrambi sono essenzialmente closed source (Wire finge di essere open source avendo un github, ma parti essenziali come server Account Management sono closed source, e ovviamente il repository github (a giudicare da il loro README lì dentro) non è il loro repository interno "reale" ma uno specchio modificato). Non puoi compilare il componente server di nessuno dei due, o eseguire il tuo server.
-
Revisione tra pari: Threema ha, se ricordo bene, recensioni ufficiali (accettate) da parte dei loro software lato server, così come il client. Non sono chiaro su Wire: commercializzano con esso sul loro sito web, ma non ricordo di aver visto nulla su che in realtà è stato sottoposto a peer review. Direi che è tit per tat.
-
Crittografia end-to-end: Threema, 100%. Cavo, solo per i messaggi di chat; il resto sembra non essere end-to-end.
-
Modello di business: entrambi hanno dietro di sé regolari società svizzere a scopo di lucro. Threema sembra essere aperto con questo. Prendono i soldi per l'app, punto. Wire sembra non ricevere denaro dai propri utenti; sembra esserci una società di supporto dietro di loro, ed è così poco chiaro (per me) come dovrebbero generare entrate.
-
Account: quello grande. Threema genera un account casuale (PPK) localmente, punto. Non è collegato a un indirizzo di posta o a un numero di telefono: puoi usarlo subito dopo averlo creato; e se usi qualcosa come Xprivacy, l'app non può ottenere quegli ID alle tue spalle. È possibile trasferire la chiave pubblica offline con un qcode. Wire ti obbliga a inserire un numero di telefono (che in realtà viene verificato tramite SMS), collegando quindi il tuo account Wire ad altri account immediatamente. Per me, questo è il più grande no-no (i punti precedenti che posso ignorare essendo troppo paranoico), un blocco completo, puramente basato sul mio livello personale di paranoia, che è una scelta che ti chiedo di accettare come dato per questo domanda particolare.
. Per entrambi, in realtà non sappiamo (in un contesto di paranoia / sicurezza) cosa sta succedendo sul lato server. Per Wire, sappiamo che hanno immediatamente le nostre identità (supponendo che un gruppo di non-tech, non-sec persone non abbiano uno smartphone dedicato solo per usare questa app con un numero di telefono separato e nome falso, indirizzo ecc. ;)
Domande
Puoi condividere alcune considerazioni sui miei punti? Si prega di attenersi al livello di paranoia che ho dato nella domanda, questa è una parte non negoziabile. Non mi interessa sapere se la NSA ha i nostri testi di chat, ma negli usi commerciali delle nostre identità, la linkabilità delle identità e simili, e le tue impressioni generali sull'etica di queste due società.
Soprattutto mi interessa sapere se conosci fonti attendibili (vale a dire esperti di sicurezza affidabili, indipendenti e noti) che dissipano la mia visione piuttosto squallida di Wire, o che gettano più dubbi su Threema.
Anche a me non interessano le app alternative, per questa particolare domanda - i due sono stati scelti da qualcun altro, e sono semplicemente interessato a valutare entrambi gli uni contro gli altri.