¿Por qué es posible verificar RedPhone en línea mientras no son aplicaciones de texto OTR?

2

Usando RedPhone (de la manera correcta), uno llamaría, establecería una conexión y leería la verificación de texto en la pantalla a la otra parte. Si coinciden, es seguro para ZRTP, si no lo es, es MITM'd.

¿Por qué podemos hacer eso en RedPhone, mientras que no, digamos, en ChatSecure, Telegram o Wickr? ¿Por qué tenemos que utilizar OTROS medios para verificar la identidad?

También, ¿está bien verificar la identidad en un medio NO PROTEGIDO para el segundo caso? ¿Te gusta usar WhatsApp para verificar la identidad de Wickr ?!

    
pregunta Mars 09.02.2015 - 22:44
fuente

1 respuesta

2

La lectura del texto comprueba que tienes una conexión segura con la persona que leyó el texto. ¿Cómo sabes que esa es la persona con la que pretendías comunicarte? ZRTP esencialmente asume que sabes al reconocer su voz.

enlace

enlace

Obviamente, OTR no puede hacer esa suposición, por lo que debe establecer su identidad de alguna otra manera. Si utiliza el método de huella digital, no necesita un canal privado, solo uno verificable. Por ejemplo, si conoce la voz de la persona, puede hacer una llamada telefónica e intercambiar huellas dactilares.

Para los otros métodos, necesitas establecer un secreto compartido usando un canal ya seguro.

(Descargo de responsabilidad: nunca he usado RedPhone, Telegram o Wickr, pero supongo que son similares a otras aplicaciones ZRTP y OTR).

    
respondido por el John Morahan 10.02.2015 - 01:18
fuente

Lea otras preguntas en las etiquetas