Wire vs Threema

Navega tus respuestas
-2

Fondo

¿Es segura la aplicación de mensajería de Wire? es la única pregunta Encuentro en Wire aquí.

Estoy ayudando a un grupo (no técnico, no comercial) a decidir si usar Wire o Threema para la coordinación de eventos / chat general. Han escogido a esos dos candidatos porque son aparentemente similares, según su mercadotecnia que proporciona encriptación de extremo a extremo, no almacena nada en el servidor, no intenta capturar su alma, etc.

La decisión no se basa en el cifrado real de los mensajes, se trata de un grupo deportivo, no de una organización terrorista. Sin embargo, varias personas están siendo estrictas con la administración de sus identidades, y se oponen a vincular cuentas, tener vínculos de cuentas en servidores y demás.

Personalmente tengo esta impresión, ordenada por un impacto creciente.

Impresiones sobre los dos

  • Fuente abierta: tit para tat, ambas son esencialmente de fuente cerrada (Wire pretende ser de fuente abierta al tener un github, pero las partes esenciales como la administración de cuentas del lado del servidor son de fuente cerrada, y el repositorio de github obviamente (a partir de su propio README allí no es su repositorio interno "real" sino un espejo editado). No puede compilar el componente del servidor de ninguno de los dos, ni ejecutar su propio servidor.

  • Revisión por pares: Threema, si recuerdo correctamente, ha tenido revisiones por pares oficiales y aceptadas (por invitación) de su software del lado del servidor, así como del cliente. No tengo claro qué hacer con Wire, lo comercializan en su sitio web, pero no recuerdo haber visto nada sobre qué en realidad fue revisado por pares. Yo diría que es tit for tat.

  • Encriptación de extremo a extremo: Threema, 100%. Wire, solo para mensajes de chat; el resto parece no ser extremo a extremo.

  • Modelo de negocios: ambos tienen empresas suizas con fines de lucro que los respaldan. Threema parece estar abierto con esto. Toman dinero para la aplicación, punto. Wire parece no obtener dinero de sus usuarios; Parece que hay una compañía de respaldo detrás de ellos, y hasta ahora no está claro (para mí) cómo se supone que generarán ingresos.

  • Cuentas: la grande. Threema genera una cuenta aleatoria (PPK) localmente, punto. No está vinculado a una dirección de correo ni a un número de teléfono; puede usarlo inmediatamente después de crearlo; y si usa algo como Xprivacy, la aplicación no puede poner esas ID a la espalda. Puede transferir su clave pública fuera de línea con un qcode. Wire te obliga a ingresar un número de teléfono (que en realidad se verifica por SMS), lo que vincula tu cuenta de Wire con otras cuentas de inmediato. Para mí, ese es el mayor no-no (los puntos anteriores que puedo ignorar como demasiado paranoicos), un bloqueador completo, basado puramente en mi nivel personal de paranoia, que es una opción que le pido que acepte como se indica para esto. pregunta particular.

Entonces. Para ambos, efectivamente no sabemos (en un contexto de paranoia / seguridad) qué está sucediendo en el lado del servidor. Para Wire, sabemos que tienen nuestras identidades de inmediato (asumiendo que un grupo de personas que no son de tecnología y no de seguridad no van a obtener un teléfono inteligente dedicado solo para usar esta aplicación con un número de teléfono y nombre falso, dirección, etc.). ;)

Preguntas

¿Puedes compartir algunos pensamientos sobre mis puntos? Por favor, apéguese al nivel de paranoia que he dado en la pregunta, esta es una parte no negociable. No me interesa si la NSA tiene nuestros textos de chat, sino los usos comerciales de nuestras identidades, la vinculación de identidades y demás, y sus impresiones generales sobre la ética de esas dos compañías.

Especialmente me interesa saber si conoces fuentes confiables (es decir, expertos de seguridad confiables, independientes y bien conocidos) que disipen mi visión sombría de Wire, o que arroja más dudas sobre Threema.

Tampoco estoy interesado en aplicaciones alternativas, para esta pregunta en particular: las dos han sido elegidas por otra persona, y simplemente estoy interesada en comparar ambas.

    
pregunta AnoE 22.06.2017 - 11:57
fuente

1 respuesta

0

Alguna información adicional, que puede que no aborde todos sus puntos, pero está dirigida específicamente a Wire: tuve el mismo tipo de preguntas y decidí contactar a Wire directamente. Recibí algunas llamadas de confianza y me enviaron algunas preguntas. Basándome en esa información y en lo que he encontrado en Twitter y en Internet (su blog mediano, por ejemplo enlace ), diría que lo intentan. para manejar la seguridad bastante diligentemente, pero no están a la par con los gustos de Signal y quizás de Threema. Como lo entendí, esto también se debe a algunas elecciones específicas que hicieron para equilibrar la facilidad de uso / facilidad de uso y la seguridad. Por ejemplo, creo que los usuarios no tecnológicos podrían adoptar más fácilmente Wire que Threeam.

Principalmente desde una perspectiva de Wire: no he usado threema, pero he usado Wire por bastante tiempo.

Código abierto: de hecho no lo son, y no entraré en el debate de si deberían o no, pero en mi experiencia, abierto o cerrado solo dice algo sobre el modelo de negocio, no tanto sobre seguridad.

E2E: Wire no usó E2E antes, pero por lo que descubrí, no son solo los chats que son E2E, sino también las llamadas y los archivos adjuntos. (Como Wire me dijo que esto era un problema hace unos años y parece ser muy difícil obtener la información que lo cambiaron).

En lo que respecta al modelo de negocio: como lo entendí, su respaldo por parte de VC les permite ofrecer la aplicación de forma gratuita ahora y pasar a una oferta de negocios que será una suscripción de pago.

Cuentas: según mi experiencia, Wire podría estar vinculado a una cuenta con una dirección de correo electrónico muy bien, ¿no necesita un número de teléfono?

Alguna información adicional, que puede que no aborde todos sus puntos, pero está dirigida específicamente a Wire: tuve el mismo tipo de preguntas y decidí contactar a Wire directamente. Recibí algunas llamadas de confianza y me enviaron algunas preguntas. Basándome en esa información y en lo que he encontrado en Twitter y en Internet (su blog mediano, por ejemplo enlace ), diría que lo intentan. para manejar la seguridad bastante diligentemente, pero no están a la par con los gustos de Signal y quizás de Threema. Como lo entendí, esto también se debe a algunas elecciones específicas que hicieron para equilibrar la facilidad de uso / facilidad de uso y la seguridad. Por ejemplo, creo que los usuarios no tecnológicos podrían adoptar más fácilmente Wire que Threeam.

    
respondido por el user3244085 22.06.2017 - 12:53
fuente

Lea otras preguntas en las etiquetas

¿Cómo encuentro vulnerabilidades en el software? [cerrado] ¿Qué tan alto es el riesgo de seguridad si un pirata informático obtiene su archivo wordpress wp-config.php y un volcado de su base de datos?