No tengo ningún tipo de experiencia en seguridad, solo en el desarrollo de API y aplicaciones, y estoy desarrollando una aplicación para médicos y pacientes que tiene una función de mensajería privada adicional entre médico: paciente.
También debería poder recuperar los mensajes intercambiados en caso de problemas legales entre el médico: paciente, básicamente un hombre en el medio.
Invertí el día estudiando XMPP, OTR , etc. y decidí que usaré un punto final POST REST simple para publicar mensajes. utilizando sockets, en lugar de XMPP, et. todos.
He leído que incluso las aplicaciones de chat de los consumidores utilizan OTR para el cifrado de extremo a extremo, pero ¿no es suficiente HTTPS? Entiendo el concepto de encriptación de extremo a extremo, pero tanto el médico como el paciente se conectarán a través del protocolo HTTPS al servidor, ¿no es suficiente? ¿No es eso ya un tipo de encriptación de extremo a extremo?
Entonces, ¿hay algún beneficio en el uso de HTTPS Y OTR?
¿Existe otra opción y / o técnica segura pero más fácil de implementar que no sea OTR? (compatible con iOS, Android, Windows Phone, Web).
EDITAR: OTR tiene "Deniabilidad: una vez finalizada la sesión de chat, los mensajes no pueden identificarse como originados por su interlocutor o por usted". - pero en este caso, los mensajes deben identificarse, especialmente para cuestiones de responsabilidad frente a las decisiones / instrucciones / etc del médico.