首页      常见问题      下载      论坛      联系方式     


主页 >> 安全通讯 >> 发表新贴 我要登录

作者: aright     2015-03-22 11:32:44

加密通讯 app 简评


自从 Edward Snowden 事件后, 通讯安全受到关注. 市场上出现了一些(也不多)的安全通讯软件. 但我发现,
这些软件基本上都把注意力集中到了加密本身. 即通讯是加密的. 但在认证方面并没有引起重视.

加密通讯只能防止旁听, 并不能防止营运商或黑客介入通讯的建立过程并且窃听. 实际上, headcall 也不能防
止营运商(即 headcall 自己)或攻破 headcall 网站的黑客窃听. 但在通讯开始时, 通讯双方就知道了有人在
窃听, 立即挂掉电话. 基于这一点, headcall 自己去窃听或者黑客去窃听, 都没有得逞的机会. 这就是我们
强调的, headcall 通讯安全, 基于国际认可的加密算法(ECC AES)和我们的安全设计, 并不依赖于 headcall
的诚信和 headcall 系统的安全
. 当 headcall 系统被攻破, 你只是不能打电话, 并不会失密. 正因为这样, 黑
客们也就不会打 headcall 的坏主意了.

从目前上线的加密通讯软件来看, 大都在做加密短信, 实时通讯(电话)的很少. 先从容易的做起吧. 象 headcall
这样全功能的还不多.

Signal

ios 版本的 Signal 说要把 android 版本的 redphone 和 secureText 合起来.

下载测试,只有短信功能. 但从宣传的截图来看, 应该是有电话功能的. 或许还在开发中...
看起来, 这个软件还只是起步. 已经上线大半年了, 动作比较慢.

下面的报导文字, 可能指 redphone(红色电话)

ZRTP的反监控武器库中有一点非常有趣:为了保护不受中间人攻击(Man-in-the-Middle attack),它会为每一个通话生成一对随机的单词——也就是上面截图中的“hockey publisher”。用户只要互相报一下这个单词,就能确认是否匹配。不匹配的话,就说明正受到中间人攻击。

这样的措施不仅烦人, 也不能防止营运商窃听. 事实上, 加密通讯主要是防营运商, 而不是黑客.
姜还是老的辣, redphone 和 PGP 作者同款 :), 他想到了认证的重要性, 只是方法不正确.

致命优点: PGP 作者站台.
致命缺点: 没有让使用者确信的机制.

CryptoCat

下载了. 开始第一个 chat, 名字 还没有输完, 就死机了.
从宣传界面看, 看起来好象是一个 聊天 软件. 暂时不可用.

据说 Edward Snowden 在香港期间就是用这个接受采访的. 它的服务器放在欧州核掩体下面.
对比一下, headcall 服务器就放在闹市区. headcall 服务器被攻击, 并不影响用户的通讯安全.


WhatsApp

只有短信. 加密功能基本不可信.







©2015 www.headcall.com