Facebook Messenger végpontok közötti tiktosítás?

Végpontok közötti titkosításnak is vannak fokozatai. A pin kódos feloldás közel sem az erősek közé tartozik. Egy titkosító fájl azért nem begépelendő opció.

Egy jó P2P encryption, úgy néz ki, hogy ha telefonon nincs meg a kulcs, akkor MINDEN üzenet leves. Még, akkor is, ha csak kulcsot cserélsz/letörlöd, hiába tárolt az üzenet, vissza fejteni más nem lehet. Így a köztes szerver, aki továbbítja az üzenetet, az se tud segíteni. Így működik pl. a Signal.

Gyakorlatilag úgy működik, hogy 2 eszköz generál 1-1 publikus kulcsot, amit átküld a másiknak, azaz ezzel titkosít. Míg a privát kulcs a feloldást szolgálja, amit szigorúan megtart magának. Így működik eleve az SSH, HTTPS, ... kommunikáció is kliens-szerver között.

Egy PIN kódos feloldás, maximum egy authentikáció, hogy te vagy. Így a kulcsot nyilván leküldi a fő szerver vagy megosztja veled az üzeneteket. De mivel a Privát kulcs már eleve több helyen van (ha kulcsot használ), akkor már eleve nem biztonságos P2P, mert a központi szervernek is megvan a kulcsal az a képessége, hogy belelásson az üzenetekbe.

Így a FB P2P titkosítási dolga, már eleve marketing szagú, semmint valós P2P. Jah igen, a Telegram se teljesen P2P, Hanem a Kliens és központi szerver között P2P csak, de a szerveren már olvashatóak az üzenetek, majd visszatitkosítva küldi a fogadónak.

A 6 jegyű PIN kódot beütve fel fognak tárulni a teljes beszélgetések, mintha nem lenne titkosítás.

Nekem böngészőben így működött. Miután törlöm a sütiket, a fb messengerre belépve a böngészőben, az kéri a 6 jegyű PIN kódot, ugyanúgy folytathatom utána a beszélgetést.

#1: Pár apró nüansz:

- A P2P nem titkosítás, hanem hálózati modell, ahol nincsen központi szerver (mondjuk például egy webszerver), amire kapcsolódnak a kliensek (például webböngészővel), hanem a hosztok ("peer") egymáshoz közvetlenül kapcsolódnak ("to peer"). A Signal például nem teljesen P2P (teljesen P2P-kapcsolatot nehéz létrehozni, mert ahhoz a kommunikáló feleknek ismerni kell a publikus IP-címüket, és az egyik félnek "szerverként" kell funkcionálnia, ami például CgNAT mögül kissé nehézkes), bár megpróbálkozik vele ("By default, Signal will only attempt to establish a P2P connection if you are initiating the call or if you are receiving a call from someone in your contacts. If you are receiving a call from someone not in your address book, Signal will relay that call through the Signal service." [link]

- A végpontos közötti titkosítás a centralizált rendszereknél - legyen az bármilyen azonnali üzenetküldő/levelezési szolgáltatás, felhőtárhely - azért lényeges, mert az üzenet egy központi szerveren tárolódik, így a titkosítatlan üzenethez a központi szerver üzemeltetője hozzáfér.

- Különbség van az átvitelkori - SSH, HTTPS, SMTPS, IMAPS, POP3S, FTPS, SFTP, SCP,... - és a végpontok közötti titkosítás között.

Az átvitelkori titkosítás esetén az üzenet a szerveren titkosítatlanul kerül tárolásra, csak az átvitel közben titkosítják (így köztes fél - teszem azt a szolgáltató - nem férhet hozzá az üzenethez).

A végpontok közötti titkosítás esetében az üzenet már a feladó gépén titkosításra kerül, így a központi szerveren is úgy kerül tárolásra, tehát még ők sem férhetnek hozzá az üzenet tartalmához.

- Az FB végpontok közötti titkosításával főleg az a gond, hogy az egész zárt forrású, így nem lehet tudni, hogy pontosan hogyan működik, hogyan történik a titkosítási kulcsok generálása és azoknak a beszélgető felek közötti elosztása (amit ajánlatos lenne egy, a jelen kommunikációs rendszertől független csatornán eljuttatni), mindezeket megbízható 3. fél nem auditálta.