Все мессенджеры с «E2E», кроме jabber, могут читать ваши сообщения?

Question

[hostovik]

End-to-end шифрование, это когда "независимо от сервера" генерируются ключи в клиентах, которыми шифруется переписка.
Но как можно быть уверенным в том, что если в клиент падает "переписка с Васей, шифрованная его ключом" - то это ДЕЙСТВИТЕЛЬНО ключ, сгенерированный Васей?

Ключами надо обмениваться минуя сервер, например по email или при личной встрече, или сервер может делать mitm и читать вашу переписку, я прав?

Answer 1

[Армянское Радио]

Да, вы правы -

Ключами надо обмениваться минуя сервер, например по email или при личной встрече, или сервер может делать mitm и читать вашу переписку

Comments

[NSA-bot]

Это получается как в TOX, например. Там нужно или ключ пересылать или фоткать QR-код на телефоне своего собеседника, чтобы обменяться.

[Армянское Радио]

NSA-bot, нет. Ева может перехватить это сообщение и подменить его своим. Ключ нужно передавать отдельным способом - личной встречей, курьером, и тому подобное. Либо использовать разделение ключа и передачу его разными способами.

[NSA-bot]

Армянское Радио, ну так я и сказал, что можно переслать. А как Ева перехватит при фотографировании qr-кода, кроме как если не будет стоять рядом? :(

[Армянское Радио]

NSA-bot, именно так. Нужно фоткать там, где нет CCTV

[NSA-bot]

Армянское Радио, не ну это-то понятно, а то я совсем уже расстроился )

[hostovik]

А какие вообще мессенджеры более менее корректно с ключами работают? jabber tox... может еще matrix?

Answer 2

[Кот Абсолютный]

Ключами надо обмениваться минуя сервер, например по email или при личной встрече, или сервер может делать mitm и читать вашу переписку, я прав?

Несомненно правы. Когда я читаю в whatsapp, что переписка "не будет доступна никому", я всегда ржунимагу. "Никому, кроме админов whatsapp, конечно же" :)
Пример.
Контора, в которой переписка шифруется сертфикатами. AES256, все по-взрослому. Кто, кроме отправителя и получателя может прочитать письмо? Правильно, человек, который генерировал сертификат :D

Comments

[hostovik]

вы не знаете , есть ли легкий вариант jabber-а? мне не нужны расширения, список клиентов, передача файлов и пр . мне нужно просто поговорить с одним человеком. вариант из командной строки (без gui) - вполне годится

[Кот Абсолютный]

hostovik, нет, не знаю. Я бы на Вашем месте заморочился шифрованием почты своими сертификатами.