En todas partes se menciona que se debe usar SSL/TLS debido a la alta seguridad y privacidad que proporcionan.
Mi pregunta es: si esto es cierto, ¿por qué los terroristas y otras personas usan otras alternativas como tox.chat en su lugar?
¿Por qué SSL/TLS no es suficiente para ellos? ¿No significa esto que no son tan seguros como se afirma?
La pregunta aquí es de quién quieres protegerte. El uso de SSL / TLS con certificados firmados no es tan seguro para alguien que está jugando con casi todos los estados del mundo. Esto se debe a que las CA pueden ser obligadas a entregar las claves privadas que emitieron a un sitio web específico a las autoridades. Esto permite que los países en los que se ubican las CA para descifrar el tráfico SSL de este sitio. Como muchos servicios de inicio de la cooperación cooperan con otros países "amigables", puede asumir que el cifrado basado en certificados firmados no es tan seguro para un enemigo del estado.
En teoría, esto se puede solucionar mediante la emisión de un certificado autofirmado, pero luego las autoridades también pueden acudir a una CA y pedirles que emitan un certificado firmado para ese sitio y luego cambien el certificado autofirmado por el firmado en su propio MITm ataque.
Incluso si sugerimos que las autoridades no podrían descifrar este tráfico, el problema es que pueden determinar qué sitios web visita. Esto se debe a que los nombres de host deben resolverse mediante DNS y DNS no está cifrado en casi todos los casos. Y los sitios web que visitan ISIS o Al Qaida que lo visitan con frecuencia lo pondrán definitivamente en las listas de la inteligencia, incluso si no saben qué es exactamente lo que está haciendo ahí afuera.
Usan TOR porque tor agrega otra capa de encriptación y también enruta cada paquete a través de tres hosts, lo que dificulta la obtención de quién inicialmente quiso visitar un sitio web específico.
SSL / TLS es una solución para un problema específico de seguridad y no es la solución todo en uno para todos los problemas de seguridad que uno pueda tener.
El alcance de SSL / TLS se limita a asegurar la conexión directa entre dos puntos finales, es decir, el cliente y un servidor. En protocolos como HTTP, el intercambio de datos se realizará de esta manera, pero en protocolos como el correo, se incluyen múltiples saltos, por lo que TLS no proporciona seguridad de extremo a extremo. Lo mismo ocurre con otros protocolos de mensajes asíncronos en los que no tiene una conexión directa entre el remitente y el destinatario.
Aparte de eso, TLS solo proporciona cifrado y resistencia a la manipulación. La privacidad que proporciona está limitada a la protección contra el olfateo de los datos. Pero no oculta los puntos finales de la conexión, es decir, no proporciona ninguna forma de anonimato. Tampoco protege los datos después del transporte en sí, por lo que cualquier información transferida con TLS estará disponible de forma clara en cada uno de los puntos finales. Por lo tanto, debe tener herramientas adicionales para proteger los datos después del transporte.