Cómo verificar y confiar en el software de cifrado de llamadas

4

Hay una gran cantidad de software para sistemas operativos móviles que proporcionan cifrado de extremo a extremo. ¿Cuál es la mejor manera de decidir cuál es confiable si su fuente no se revela? ¿Invertir los archivos android .apk de ingeniería o intentar monitorear el tráfico de red?

    
pregunta Rápli András 01.04.2016 - 16:20
fuente

2 respuestas

2

La supervisión del tráfico de la red es una forma de ver lo fácil que puede ser romper el cifrado, pero no le dirá qué tan segura es la aplicación, y solo si eligen un estándar muy débil Encuentras algo de interés. Más bien, el mayor riesgo es una aplicación que renuncie a las claves de una manera específica (ya sea de forma local o remota) para permitir las escuchas ilegales. Esto es imposible de saber a menos que tenga la fuente completa de la aplicación y todo lo demás que se ejecute con privilegios en el teléfono (que podría detenerse en la aplicación). El equipo detrás de Signal (sistemas Open Whisper) publica su código fuente a través de Github.

    
respondido por el Jeff Meden 01.04.2016 - 16:38
fuente
0

En mi opinión, la mejor forma de decidir cuál es la más confiable es recurrir a auditorías profesionales externas. Si la fuente está cerrada y, además, no se han realizado auditorías, es realmente difícil probar la implementación correcta del cifrado, la ausencia de errores y puertas traseras y los puntos débiles en el diseño.

Si desea auditar la aplicación usted mismo, la reversión de la apk y el monitoreo y análisis del tráfico deben ser parte del proceso.

Para obtener más información sobre las aplicaciones de comunicación auditadas, consulte el cuadro de mandos de mensajería segura EFF: enlace

    
respondido por el hub 01.04.2016 - 16:44
fuente

Lea otras preguntas en las etiquetas