Verificar el cifrado en las conversaciones secretas de Facebook Messenger

Navega tus respuestas
0

Acabo de probar la función de conversaciones secretas de Facebook Messenger. Comencé una conversación con Alice en Facebook Messenger para iOS. Noté lo siguiente en ayuda en línea de Facebook , bajo el encabezado ¿Cómo ¿Verifico que mi conversación secreta en Messenger esté encriptada?

  

Ambas personas en una conversación secreta tienen una clave de dispositivo que usted puede   comparar para verificar que los mensajes están cifrados de extremo a extremo.

     

Para verificar que la conversación esté cifrada, compare la clave de su dispositivo   con la clave del dispositivo de la otra persona para confirmar que coinciden.

Cuando toco el panel de teclas del dispositivo para una conversación secreta, me presentan las teclas llamadas "TU CLAVE" y "CLAVE DE ALICE". No coinciden. La redacción anterior me implica que debería ver dos claves idénticas. Aunque si son "claves de dispositivo", deberían ser exclusivas de un dispositivo y, por lo tanto, ser diferentes. Llegué a la conclusión de que la redacción de la ayuda no está clara.

En esa misma pantalla que muestra las teclas, leí el siguiente mensaje.

  

Tu clave es la misma para todas tus conversaciones secretas en este   dispositivo. La clave de Alice debe coincidir con la de su dispositivo.

Eso parece decir que si Alice ve las mismas dos claves en su dispositivo, el cifrado se "verifica". Entonces parece que:

  1. Una clave de dispositivo es la clave pública de un par de claves generado por la aplicación Facebook Messenger.
  2. Al confirmar con Alice que la clave de su dispositivo es la que estoy usando, autentico su clave pública y logro la "verificación" de la que habla Facebook.

Si todo esto es correcto, entonces tengo que preguntar:

¿Este proceso de verificación está aquí solo para proporcionar algo de comodidad? ¿O es Facebook Messenger realmente vulnerable a los ataques MITM? ¿Los usuarios paranoicos requieren un canal ya seguro sobre el cual verificar las claves? Finalmente, ¿cómo puedo encontrar más información sobre la implementación de las conversaciones secretas de Facebook?

    
pregunta 10.12.2016 - 07:10
fuente

2 respuestas

3

Facebook Messenger utiliza el protocolo de señal. Este es el mismo protocolo que se usa en Signal y WhatsApp, y funciona con los principios de criptografía de clave pública estándar.

Su clave es su propia clave pública, que otros pueden usar para cifrar los mensajes destinados a usted. La clave de Alicia es la clave pública de Alicia que usted (o cualquier otra persona) puede usar para cifrar los mensajes destinados a Alicia. Las cadenas presentadas en la aplicación son en realidad firmas criptográficas de estas claves.

Para verificar que tanto usted como Alice tienen las claves correctas, debe comparar la firma criptográfica de su clave en su dispositivo con la firma criptográfica de su clave en dispositivo de Alice y la firma criptográfica de clave de Alice en dispositivo de Alice a la firma criptográfica de clave de Alicia en su dispositivo . Esto debe hacerse a través de un canal seguro, por ejemplo. Reuniéndonos con Alicia en persona y comparando visualmente las firmas.

Cuando haya verificado ambas claves, MITM no debería ser posible. Esto es, por supuesto, asumiendo que la implementación de Facebook del Protocolo de Señal es correcta y segura.

También puede omitir la verificación por completo para lo que se conoce como Confianza en el primer uso (TOFU). Con el enfoque de TOFU, simplemente asume ciegamente que las claves son correctas la primera vez y, más adelante, si alguien intenta un ataque MITM, la aplicación le notificará que las claves han cambiado.

Hay un informe técnico de Facebook sobre las conversaciones secretas de Messenger aquí y un informe de auditoría formal de el propio Protocolo de Señal aquí .

    
respondido por el jupenur 11.12.2016 - 01:50
fuente
0

Todavía no he visto los detalles de este servicio. Sin embargo, parece sugerir que ambas partes tienen un par de claves.

Entonces, si comparas tu copia de la llave de Alice con la de ella, deberían ser iguales. Y viceversa.

Sin embargo, si ese es el caso, no veo cómo eso prueba que nadie puede interceptar los mensajes ya que si, digamos Facebook, tiene acceso a todas las claves, entonces seguramente podrían interceptar cualquier mensaje. Tal vez, por ejemplo, para poder minar los mensajes de inteligencia publicitaria, que es, después de todo, ¡la única forma en que Facebook puede hacer dinero!

No estoy sugiriendo que hagan esto, pero a primera vista parece que podrían hacerlo.

A un lado ,

Al igual que Google, Facebook tiene un problema de credibilidad cuando se trata de la seguridad de los datos de los clientes, ya que su rentabilidad depende de la posibilidad de orientar la publicidad. Ambos tienen mucho trabajo por hacer para convencer a las personas de que sus datos no se procesan de manera que no sean transparentes para los clientes.

    
respondido por el Julian Knight 10.12.2016 - 16:00
fuente

Lea otras preguntas en las etiquetas

Convertir un sitio de intranet a internet [cerrado] ¿Pueden saber qué computadora individual estaba corriendo en torrente en la conexión compartida de internet?