Una parte crítica del Protocolo de señal , utilizado por Google Allo, WhatsApp, Facebook Messenger y Signal, entre otros) Es una infraestructura de clave pública. Las claves públicas son necesarias para configurar las sesiones. Por lo que puedo ver, no especifica una manera de autenticar las claves. Es decir, cuando Alice establece una sesión con Bob, ¿cómo puede estar segura de que recibe su clave pública y la de nadie más?
En segundo lugar, suponiendo que la pregunta anterior tenga una respuesta satisfactoria, ¿podemos verificar qué sucede en el cable? Es decir, ¿puede Alice (tener acceso a sus claves privadas) examinar el protocolo en el cable, extraer la clave pública de Bob y autenticarla a mano (tomar una huella digital, llamar a Bob y pedirle que compare)?
Esto probablemente difiere por implementación, supongo. Para comenzar, no veo una respuesta en WhatsApp encriptación en general papel blanco . Entonces, ¿cómo se implementa esto?
En un contexto más amplio, la verdadera pregunta es, por supuesto, ¿hasta qué punto debemos confiar en las implementaciones, es decir, los proveedores de servicios? Honestamente, es extraño para mí que haya tanto alboroto por el cifrado de extremo a extremo de estos servicios; Me parece (¡NO un experto en el protocolo!) que es bastante fácil que los proveedores de servicios escuchen, si lo desean. Es posible que no quieran o intenten hacerlo, pero para quien la privacidad es lo suficientemente importante, sigue siendo una responsabilidad.