Fondo
¿Es segura la aplicación de mensajería de Wire? es la única pregunta Encuentro en Wire aquí.
Estoy ayudando a un grupo (no técnico, no comercial) a decidir si usar Wire o Threema para la coordinación de eventos / chat general. Han escogido a esos dos candidatos porque son aparentemente similares, según su mercadotecnia que proporciona encriptación de extremo a extremo, no almacena nada en el servidor, no intenta capturar su alma, etc.
La decisión no se basa en el cifrado real de los mensajes, se trata de un grupo deportivo, no de una organización terrorista. Sin embargo, varias personas están siendo estrictas con la administración de sus identidades, y se oponen a vincular cuentas, tener vínculos de cuentas en servidores y demás.
Personalmente tengo esta impresión, ordenada por un impacto creciente.
Impresiones sobre los dos
-
Fuente abierta: tit para tat, ambas son esencialmente de fuente cerrada (Wire pretende ser de fuente abierta al tener un github, pero las partes esenciales como la administración de cuentas del lado del servidor son de fuente cerrada, y el repositorio de github obviamente (a partir de su propio README allí no es su repositorio interno "real" sino un espejo editado). No puede compilar el componente del servidor de ninguno de los dos, ni ejecutar su propio servidor.
-
Revisión por pares: Threema, si recuerdo correctamente, ha tenido revisiones por pares oficiales y aceptadas (por invitación) de su software del lado del servidor, así como del cliente. No tengo claro qué hacer con Wire, lo comercializan en su sitio web, pero no recuerdo haber visto nada sobre qué en realidad fue revisado por pares. Yo diría que es tit for tat.
-
Encriptación de extremo a extremo: Threema, 100%. Wire, solo para mensajes de chat; el resto parece no ser extremo a extremo.
-
Modelo de negocios: ambos tienen empresas suizas con fines de lucro que los respaldan. Threema parece estar abierto con esto. Toman dinero para la aplicación, punto. Wire parece no obtener dinero de sus usuarios; Parece que hay una compañía de respaldo detrás de ellos, y hasta ahora no está claro (para mí) cómo se supone que generarán ingresos.
-
Cuentas: la grande. Threema genera una cuenta aleatoria (PPK) localmente, punto. No está vinculado a una dirección de correo ni a un número de teléfono; puede usarlo inmediatamente después de crearlo; y si usa algo como Xprivacy, la aplicación no puede poner esas ID a la espalda. Puede transferir su clave pública fuera de línea con un qcode. Wire te obliga a ingresar un número de teléfono (que en realidad se verifica por SMS), lo que vincula tu cuenta de Wire con otras cuentas de inmediato. Para mí, ese es el mayor no-no (los puntos anteriores que puedo ignorar como demasiado paranoicos), un bloqueador completo, basado puramente en mi nivel personal de paranoia, que es una opción que le pido que acepte como se indica para esto. pregunta particular.
Entonces. Para ambos, efectivamente no sabemos (en un contexto de paranoia / seguridad) qué está sucediendo en el lado del servidor. Para Wire, sabemos que tienen nuestras identidades de inmediato (asumiendo que un grupo de personas que no son de tecnología y no de seguridad no van a obtener un teléfono inteligente dedicado solo para usar esta aplicación con un número de teléfono y nombre falso, dirección, etc.). ;)
Preguntas
¿Puedes compartir algunos pensamientos sobre mis puntos? Por favor, apéguese al nivel de paranoia que he dado en la pregunta, esta es una parte no negociable. No me interesa si la NSA tiene nuestros textos de chat, sino los usos comerciales de nuestras identidades, la vinculación de identidades y demás, y sus impresiones generales sobre la ética de esas dos compañías.
Especialmente me interesa saber si conoces fuentes confiables (es decir, expertos de seguridad confiables, independientes y bien conocidos) que disipen mi visión sombría de Wire, o que arroja más dudas sobre Threema.
Tampoco estoy interesado en aplicaciones alternativas, para esta pregunta en particular: las dos han sido elegidas por otra persona, y simplemente estoy interesada en comparar ambas.