Re: [Lista Criptica] Pregunta sobre Signal

Delete this message

Reply to this message
Author: al
Date:  
To: Criptica - Llista de debat
Subject: Re: [Lista Criptica] Pregunta sobre Signal
On 02/01/17 12:07, javier de rivera wrote:
> Hola a todos,
>
> Quizás habéis hablado ya de esto, pero tengo algunas dudas sobre Signal
> que me gustaría plantearos.
>
> Primero está el tema de que sea necesario el número de teléfono, lo cual
> hace que de entrada se guarden todos los metadatos (que parece ser la
> parte más jugosa de la información que generamos).


Sí, y en la mayoría de legislaciones del mundo los números de teléfono
están vinculados a un sistema de identificación (aquí es el DNI español)
unívoco vinculado a todos tus datos personales por sistemas de
vigilancia gubernamentales.
>
> Luego, que no se pueda descargar más que de las aplicaciones oficiales
> de Google Play y Apple Store. Ni están en F-Droid, ni permiten la
> descarga directa de la web... Lo que no sé es si por su licencia, sería
> posible descargar la aplicación y subirla a servidores para que la gente
> la pudiera descargar por otros medios, pero ellos no lo hacen.


Estuvo en F-Droid, pero el desarrollador de Signal pidió que la
quitaran. Hubo un gran revuelo e incluso un fork. El fork no prosperó.
>
> Y tercero, está el anuncio de que ahora todas las aplicaciones de
> mensajería dicen usar el mismo sistema de encriptación punto por punto
> de Whisper Systems
> https://whispersystems.org/blog/whatsapp-complete/
> https://whispersystems.org/blog/facebook-messenger/


Sí, si un sistema de vigilancia descifra una, las descifra todas. No
podemos concluir que directamente no se lo han dado hecho (aunque
tampoco podemos concluir lo contrario).
>
> Así que... si esas noticias son ciertas, la lógica parece de decir que
> esos sistemas también son seguros porque usan el mismo sistema de
> encriptación (lo cual no nos vamos a creer, obviamente).
>
> Son bastantes señales de que algo no es lo que parece, y que quizás no
> nos tendríamos que creer tanto las recomendaciones de Snowden, que
> suenan bastante a campaña de PR...


Para mí una persona que ha trabajado para la CIA y la NSA lo siento,
pero ya nunca será de fiar. ¿Cambia tanto una persona que no tuvo
principios en su momento y ahora sigue viva y en libertad? Es como
cuando el FBI secuestró un servidor de RiseUp. Pasado un tiempo el FBI
lo devolvió. La gente de RiseUp lo revisó y aparentemente nada había
cambiado. Óbviamente podían reinstalar todo el software, podían separar
los componentes. Lo cierto es que simplemente no lo volvieron a usar, no
podían saber qué les habían colado, si les habían colado algo. Ahí lo
tienen apagado.

El paralelismo es para decir que me parece bien escuchar a Snowden, pero
no hacerle caso. Ya tenemos nuestras propias herramientas: como dices:
el software libre con su F-Droid; usar el móvil sin Google Play
Services, usarlo sin nada de Google. Usar sistemas de mensajería sin
estar vinculados a un número de teléfono, como se había hecho toda la
vida. Usar nuestros propios servidores o usar servicios distribuidos.

Por todo ello (sumado al motivo práctico de la poca bolsa de usuarias
que tiene) no veo motivo para usar ni recomendar Signal.
>
> ¿Qué pensáis del tema?
>
> Como alternativa, me recomendaron hace tiempo SureSpot, para
> comunicación asincrónica segura (que no pide número de teléfono) y se
> puede descargar de F-Droid (aunque me dió error, y la tuve que descargar
> de G-play...). No sé si alguien la conoce.


No, imagino que hay un montón. Ahora mismo en la lista del hackmeeting
están hablando de otra. De hecho podríamos hacer una tabla para ver qué
valores y tecnologías soporta cada una, ¿qué os parece?

> Salud y feliz año,
> Javier.


Si os interesa os paso un texto que estoy escribiendo sobre los valores
a tener en cuenta a la hora de valorar tecnologías de comunicación
(Software Libre, Autonomía, Seguridad, Privacidad, Estandarización,
Control sobre los contenidos).

Bon any!