Wire vs Threema

-2

Sfondo

L'app di messaggistica Wire è sicura? è l'unica domanda Lo trovo su Wire qui.

Sto aiutando un gruppo (non tecnico, non commerciale) a decidere se utilizzare Wire o Threema per il coordinamento degli eventi / chat generale. Hanno scelto questi due candidati perché sono apparentemente simili - per il loro marketing che fornisce crittografia end-to-end, non memorizza nulla sul server, non cerca di catturare la tua anima ecc.

La decisione non si basa sull'effettiva crittografia dei messaggi: si tratta di un gruppo sportivo, non di un'organizzazione terroristica. Diverse persone sono però rigorose con la gestione delle loro identità e si oppongono al collegamento di account, al collegamento di account su server e così via.

Personalmente sto avendo questa impressione, ordinata dal crescente impatto.

Impressioni sui due

  • Open source: tit per tat, entrambi sono essenzialmente closed source (Wire finge di essere open source avendo un github, ma parti essenziali come server Account Management sono closed source, e ovviamente il repository github (a giudicare da il loro README lì dentro) non è il loro repository interno "reale" ma uno specchio modificato). Non puoi compilare il componente server di nessuno dei due, o eseguire il tuo server.

  • Revisione tra pari: Threema ha, se ricordo bene, recensioni ufficiali (accettate) da parte dei loro software lato server, così come il client. Non sono chiaro su Wire: commercializzano con esso sul loro sito web, ma non ricordo di aver visto nulla su che in realtà è stato sottoposto a peer review. Direi che è tit per tat.

  • Crittografia end-to-end: Threema, 100%. Cavo, solo per i messaggi di chat; il resto sembra non essere end-to-end.

  • Modello di business: entrambi hanno dietro di sé regolari società svizzere a scopo di lucro. Threema sembra essere aperto con questo. Prendono i soldi per l'app, punto. Wire sembra non ricevere denaro dai propri utenti; sembra esserci una società di supporto dietro di loro, ed è così poco chiaro (per me) come dovrebbero generare entrate.

  • Account: quello grande. Threema genera un account casuale (PPK) localmente, punto. Non è collegato a un indirizzo di posta o a un numero di telefono: puoi usarlo subito dopo averlo creato; e se usi qualcosa come Xprivacy, l'app non può ottenere quegli ID alle tue spalle. È possibile trasferire la chiave pubblica offline con un qcode. Wire ti obbliga a inserire un numero di telefono (che in realtà viene verificato tramite SMS), collegando quindi il tuo account Wire ad altri account immediatamente. Per me, questo è il più grande no-no (i punti precedenti che posso ignorare essendo troppo paranoico), un blocco completo, puramente basato sul mio livello personale di paranoia, che è una scelta che ti chiedo di accettare come dato per questo domanda particolare.

. Per entrambi, in realtà non sappiamo (in un contesto di paranoia / sicurezza) cosa sta succedendo sul lato server. Per Wire, sappiamo che hanno immediatamente le nostre identità (supponendo che un gruppo di non-tech, non-sec persone non abbiano uno smartphone dedicato solo per usare questa app con un numero di telefono separato e nome falso, indirizzo ecc. ;)

Domande

Puoi condividere alcune considerazioni sui miei punti? Si prega di attenersi al livello di paranoia che ho dato nella domanda, questa è una parte non negoziabile. Non mi interessa sapere se la NSA ha i nostri testi di chat, ma negli usi commerciali delle nostre identità, la linkabilità delle identità e simili, e le tue impressioni generali sull'etica di queste due società.

Soprattutto mi interessa sapere se conosci fonti attendibili (vale a dire esperti di sicurezza affidabili, indipendenti e noti) che dissipano la mia visione piuttosto squallida di Wire, o che gettano più dubbi su Threema.

Anche a me non interessano le app alternative, per questa particolare domanda - i due sono stati scelti da qualcun altro, e sono semplicemente interessato a valutare entrambi gli uni contro gli altri.

    
posta AnoE 22.06.2017 - 11:57
fonte

1 risposta

0

Alcune informazioni aggiuntive, che potrebbero non riguardare tutti i punti ma mirati specificamente a Wire: ho avuto lo stesso tipo di domande e ho deciso di contattare direttamente Wire. Ho avuto alcune chiamate di conf e ho avuto alcune domande inviate avanti e indietro. Sulla base di tali informazioni e di ciò che ho trovato su twitter e su Internet (il loro blog di media ad esempio link ) direi che provano gestire la sicurezza abbastanza diligentemente, ma non sono alla pari con quelli come Signal e forse Threema. Come ho capito, questo è anche dovuto ad alcune scelte specifiche che hanno reso il bilanciamento della facilità d'uso / facilità d'uso e sicurezza. Ad esempio, penso che gli utenti non tecnologici potrebbero adottare più facilmente Wire rispetto a Threeam.

Principalmente da una prospettiva Wire: non ho usato il threema ma ho usato Wire per un bel po '.

Open source: in effetti non lo sono, e non entrerò nel dibattito sull'opportunità o meno di farlo, ma secondo la mia esperienza aperta o chiusa dice solo qualcosa sul modello di business, non tanto sulla sicurezza.

E2E: Wire non usava E2E prima, ma da quello che ho trovato non sono solo le chat che sono E2E ma anche le chiamate e gli allegati. (come Wire mi ha detto che questo era un problema pochi anni fa e sembra essere molto difficile ottenere le informazioni là fuori che l'hanno cambiato).

Per quanto riguarda il modello di business: come ho capito, il loro sostegno da parte di VC consente loro di offrire l'app gratuitamente ora e di ruotare verso un'offerta commerciale che sarà un abbonamento a pagamento.

Account: dalla mia esperienza Wire potrebbe essere collegato a un account con un indirizzo e-mail bene, nessun numero di telefono necessario?

Alcune informazioni aggiuntive, che potrebbero non riguardare tutti i punti ma mirati specificamente a Wire: ho avuto lo stesso tipo di domande e ho deciso di contattare direttamente Wire. Ho avuto alcune chiamate di conf e ho avuto alcune domande inviate avanti e indietro. Sulla base di tali informazioni e di ciò che ho trovato su twitter e su Internet (il loro blog di media ad esempio link ) direi che provano gestire la sicurezza abbastanza diligentemente, ma non sono alla pari con quelli come Signal e forse Threema. Come ho capito, questo è anche dovuto ad alcune scelte specifiche che hanno reso il bilanciamento della facilità d'uso / facilità d'uso e sicurezza. Ad esempio, penso che gli utenti non tecnologici potrebbero adottare più facilmente Wire rispetto a Threeam.

    
risposta data 22.06.2017 - 12:53
fonte

Leggi altre domande sui tag