Názory k článku
Mnoho uživatelů přechází z WhatsApp na Signal

Signal je určitě lepší jak WhatsApp - používají sice stejné šifrování, ale Signal je open source. Kvůli čemu Signal ale stále nepoužívám je jeho vázanost na telefonní číslo, málo klientů a jeho centralizovanost. Lepší by bylo, kdyby uživatelé přecházeli na XMPP.

Osobně taky preferuji Matrix (alespoň potom, co Signal donutil své uživatele odeslat seznamy kontaktů na vlastní servery - sice zašifrovaně, ale stalo se).

Co se týká klientů, Element se dost výrazně zlepšil, ale mému oblíbenému Fractalu stále scházi E2EE, což je velká škoda.

Já kvůli tomu Fractal používat nemůžu vůbec. Ale teď už by jim k podpoře e2ee nemělo chybět mnoho. Rust-sdk e2ee podporuje :)

(ještě se dá tedy použít Pantalaimon jako e2ee proxy, ale to je docela meh UX)

Co to plácáte za nesmysl? Signal kontakty nikam na server neposílá, zustávají ve vašem telefonu a jen zkontroluji ktery z vašich kontaktu pouziva signal...takže vše se deje primo v telefonu.

Jedinou vec kterou Signal o vas má je vaše telefonni cislo. To je vše, žadné jiné metadata.

Jak by mělo fungovat zjišťování, které ktontakty z telefonního seznamu používají Signal, aniž by se ke zjištění použily servery Signalu?

A když se podívám na "Security FAQ" na webu Signalu, tak píšou, že na server posílají hashovaná čísla. A v blogu popisují, že je to SHA256.
I když teoreticky vzato máte pravdu a kontakty se nikam neposílají, technicky vzato je možných telefonních čísel tak malé množství, že je to vlastně jedno, jestli se na server posílají čísla nebo jejich hashe.

Akorát od září 2017 používají techniky, jak na jejich serverech zabránit nechtěným modifikacím služeb a únikům dat. (SGX a ORAM; neptejte se mě na detaily, nerozumím jim. Ale mají to popsané na blogu.)

Na mobilu opravdu doporučuju vyzkoušet Fluffychat :) (Desktop verze ještě není dokonalá, ale taky se na ní pracuje)

Zprávy ve všemožném pořadí nějak nepozoruju i přes hodně přes sto místností ve kterých se pohybuji. Pomalé odesílání může být celkem permanentním overloadem matrix.org homeserveru, doporučuju zkusit jiný :) (Ale poslední dobou i matrix.org ujde)

Problem je, ze XMPP nema oficialniho klienta. Pro mnohe lidi je pochopeni toho, ze existuje nejaky komunikacni protokol nad jejich moznosti. Pro ne je to jen "appka".

s/XMPP/matrix

Stejné šifrování jako Signal, decentralizované, už v základu má vlastnosti na které je u XMPP potřeba válčit s XEPy.

Matrix je taky fajn, ale spousta klientů co jsem zkoušel ono šifrování (které používá i XMPP) neumí. Takže i tady si člověk musí hlídat, co daný klient podporuje (jako u XMPP XEPy) - i když by to mělo být, jak říkáte, v základu. Ale výhoda (nu dobrá, pro někoho nevýhoda) u XMPP je právě v oné rozšiřitelnosti.

Umí: Element (všechny platformy), Fluffychat (Nejvyspělejší mobilní alternativa), Schildichat, Nheko a spousta dalších. Teď když přešel na matrix-rust-sdk se snad brzo přidá i GNOME Fractal.
Edit: Ale hlavně, standard šifrování je jeden a když ho klient umí, tak ho prostě umí a není potřeba řešit dál kompatibilitu. Což je pro laiky ideál, klienta jim stejně někdo poradí a většinou skončí s Elementem.

Mezi základní funkcionalitu kterou umí už z principu protokolu všechny Matrix klienty patří historie zpráv, už s tím je u XMPP problém a zkoušet to prosadit pro laika bylo pro mě vždycky utrpení.

Btw, Matrix protokol je rozšiřitelný úplně stejně jako XMPP. V zásadě je to jen eventuelně konzistentní federovaný JSON storage, pokud si klient vyrobí vlastní extension protokolu, nic mu v tom nebrání a servery to normálně federují. (ostatně na tom stojí třeba náš produkt :) )

8. 1. 2021, 13:22 editováno autorem komentáře

Signal je z hlediska bezpecnosti urcite lepsi nez WhatsApp, bohuzel ma stejne omezene pouziti. Pouze jedno mobilni zarizeni a zadny web client :( V tomhle ohledu je daleko lepsi Element v matrix.org siti, decentralizovany, klienti na vsechny platformy, sifrovani a nevyzaduje zadne osobni udaje (ani telefonni cislo). XMPP je bohuzel mrtvy, bez telefonie a videohovoru je to tezko pouzitelne.

Přímo web client není, ale desktop appka ano - https://flathub.org/apps/details/org.signal.Signal Takže není problém používat jej na vícero zařízení zároveň.

Bylo mysleno na vice mobilnich zarizeni, to muze byt jen jedno a musi mit sim kartu. To je dost velke omezeni.

Musí k němu být přiřazené nějaké telefonní číslo. Fyzická přítomnost SIM v zařízení není nutná (ani pro registraci).

> Signal je z hlediska bezpecnosti urcite lepsi nez WhatsApp, bohuzel ma stejne omezene pouziti. Pouze jedno mobilni zarizeni a zadny web client

https://web.whatsapp.com

Problem s webovym WhatsApp klientom je ten, ze ak ho pouziteje co i len raz, vase E2EE je na nic, lebo tym date svoj privatny kluc Facebooku a potom moze desifrovat vsetky vase spravy.

když se do věcí zapojí "influencer" Muskova formátu, je vymalováno :-) To musí letět nahoru. Každopádně je to jen dobře, pokud tedy nehrozí, že roztoucí Signal ten moloch jednoduše koupí a z opensource komunikátoru zbude jen další Zuckerbergova privátní značka.

8. 1. 2021, 09:52 editováno autorem komentáře

Každopádně je to jen dobře, pokud tedy nehrozí, že roztoucí Signal ten moloch jednoduše koupí a z opensource komunikátoru zbude jen další Zuckerbergova privátní značka.

To hrozí vždycky, zejména když je něco "zadarmo". Viz Mozilla či CenOS. Nemusíte to přímo koupit, stačí to začít sponzorovat a vytvořit si závislost na svých penězích.

Trochu bych doufal, že poté co Brian Acton odešel z WhatsAppu k Signalu kvůli nespokojenosti s vlivem Facebooku, nebude mít chuť nechat se Facebookem koupit podruhé. Moxie mi na to taky nevypadá.

protože lidi jsou obecně hloupí... Doník také včera jděte, a voni šli. Tak co by jste od lidí chtěl ;-)

Osobně tyhle kecálky nepoužívám, k čemu. POkud mi nekdo chce, může mi zavolat / napsat SMS či mail. Nehledě na to, že každý používá něco jiného a opravdu nebudu mít v telefonu 5 kecálků, abych mohl si mohl s lidmi psát :-D

Ano ta roztříštěnost je peklo ...

Na Androidu fungoval aplikace Disa která umožňovala mít jedno rozhraní pro SMS, FB messenger, WhatsUP, Telegram ... Bohužel provozovatelé začali odřezávat alternativní klieny ...

A když Vám píše 5 lidí na 4 různých službách o stejné věci a nemáte šanci si dát sit ty konverzace dohromady (to v Dise šlo) tak je to peklo.

S ohledem na aktuální legislativu EU to odřezávání alternativních klientů do budoucna moc nepůjde :)

Zatím se to moc neprojevuje ... tak snad je to jen setrvačností.

Signal nejde koupit, jak to již nekolikrát bylo zmíněno je to neziskový projekt, který jednoduše prodat a ani koupit nejde. Mrkněte na jejich blog, píšou tam hodně takových zajímavostí.

To je oprpoti whatsappu velký rozdíl, whatsapp byla od začátku firma, která měla i svoje akcie a jednoduše se koupit dala.

Zajímlo by mě, co je "mnoho". Já neznám nikoho. Většině populace jsou takové nepodstatné detaily jako je sdílení dat s FB zcela u zadku.

Treba my jsme se v nasem zajmovem krouzku hromadne domluvili, ze prejdeme. To je nekolik desitek lidi. There you go.

vzhledem k tomu, že změna podmínek ohledně spojení data FB a WA se zatím netýká EU, tak tahle vlna bude nejspíš z USA či jiných kontinentů.

WA je každopádně s FB extra šmírovací věc a je dobré jí nepoužívat i bez těhle změn.

Je otazka, jestli se to sharovani uz nedeje. Viz https://www.wired.com/story/whatsapp-facebook-data-share-notification/

konkretne:

When WhatsApp launched a major update to its privacy policy in August 2016, it started sharing user information and metadata with Facebook. At that time, the messaging service offered its billion existing users 30 days to opt out of at least some of the sharing. If you chose to opt out at the time, WhatsApp will continue to honor that choice. The feature is long gone from the app settings, but you can check whether you're opted out through the “Request account info” function in Settings.

Meanwhile, the billion-plus users WhatsApp has added since 2016, along with anyone who missed that opt-out window, have had their data shared with Facebook all this time.

Ted bude tech dat asi jeste vice a samozrejme je otazka jak moc WA respektuje GDPR, resp. sve vlasti privacy policy pro EU uzivatele (odlisne od globalnich privacy policy).

Tu volbu Request account info jsem zkusil a vysledek dostanu za 4 dny, coz uplne nesvedci o tom, ze nic neskryvaji.

no Signal pouzivam od 2015 . whatsapp som si neoblubil ale kvoli rodine do minuleho augusta som mal.
Je zaujimave ze odkedy som zrusil whatsapp a facebook zvysila sa mi na androide stale ponuka fb :-)

Ja pouziva wechat ... i signal a itelegram, wechat je velmi bezpecny a vim 100% ze jej nesleduji USA, ani EU natoz CR ... a cinani at si poctou ;-))

Tak bud "je velmi bezpecny" nebo "at si poctou", oboji dohromady nedava smysl.

Bezpečné je, když mu nemůžou uškodit ani kdyby každý den poslal kapitolu z Medvídka Pů :-)
Od většiny lidí (většinou vysokoškolsky vzdělaných), se kterými se přijde řeč na téma soukromí, dostávám odpověď v tomto duchu - co si na mě autority vezmou? V podstatě mají pravdu, jsou obyčejní, nevedou po kecálkovi utajená obchodní jednání... Nebezpečí je dost nepřímé: co kdyby nakonec silně zabezpečené prostředky používali jen grázlové a disidenti, nenastane útlak od zdivočelých autorit? Ale to je příliš mnoho kdyby.

Smutny je, ze lidi soukromi vubec nezajima. Odpoved "ja tam nic tajnyho nepisu, at si to klidne prectou" je docela desiva. Oni si neuvedomuji, ze je to vsechno archivovany navzdy a kdykoliv to muze byt v budoucnosti pouzito proti nim, v jakykomliv smeru. Cestovani, zdravotnictvi, zamestnani, pojisteni apod. nehlede na ovlivnovani ala CambridgeAnalytica.

Btw tady u te aktualni zmeny nejde o obsah konverzaci, ta by mela byt stale E2E, nebo kvazi E2E, ale o dodatecna data (lokalizace, contact listy, atd.)

"Korporace má postytovat kecálek výměnou za reklamu." Tohle je celej problém. Běžná reklama, která se zobrazuje jen tak není účinná tudíž té korporaci nevydělá peníze a nevyplatí se dnes skoro cokoliv provozovat za reklamu (nemířenou). Na druhé straně lidé mají celkem odpor k placení služeb. Přitom jestli se nepletu tak fb získá na vaších datech cca $10 za rok. To je 5 piv ?
Takže dokud se lidi nenaučí platit za služby soukromí prostě nebude. Ještě jedna věc opravdu si myslíte, že někoho zajímají vaše data ? Podle mě ne, ty firmy mají celkem solidní politiky přístupu k nim. Jde o automatické zpracování, kde ví že token s id 157 zajímají pračky. Ano kdyby někdo chtěl tak to asi půjde přeložit na konkrétní osobu, ale kdyby tohle umožnili tak končí.
Proto se ptejte kde Signal nebo jiná společnost bere peníze na provoz aplikací zdarma. Podle mě to vše co je zdarma skončí prodejem metadat. A pokud se tomu bude dařit máte tu další facebook.
Jinými slovy, firmy maji poskytovat služby za peníze a ne za reklamu a budete mít klid.

No a po prvnim teroristickem utoku zacnou rozumbradove s otazkou co delali tajne sluzby.

Odkedy prakticky umrelo ICQ (mal som aj Jabber/XMPP na jabber.sk, ale tam som mal tak do 5 kontaktov), nepoužívam nič podobné (iba v práci Skype for Business a Teams). Aj tak som introvert.

hlavně aby pořád fungovaly smsky a ostatní at se vykecávaj kde chtěj

Používam Google Messages (RCS) a ak druhá strana nemá klienta tak SMS. Basta. Ak niekto niečo chce, vždy si vieme zavolať...

Jaký server umí zobrazovat status? Já mám server Matrix a někdo s kým jsem i psal matrix.org. a status to neposílá. Prý to matrix.org neumí kvůli přetížení.
Nějaký článek jak je to v současnosti s XMPP? Pro místo OTR, xepy na historii zpráv? Přivonění klientů a podpora VoIP?
Element prý má velké nároky na provoz na serveru.. :'(
Zajímavý je projekt jami.net a tox.chat protože to je plně P2P, síťované a open. Ten první mám pocit že má více funkcí ale chybí mu myslím ještě muktichat. Signál prý neumí také posílat status. Ještě dost lidí používá Matrix ale ten ve výchozím nastavení nemá e2e šifrování a když už někdo píše nešifrovaně tak ochota psát jinam nebo znalost jak to funguje je nízká. Navíc dělám hodně překlepů a u šifrovaných zpráv nejdou opravovat narozdíl třeba od elementu. Tam zase nešlo u e2e sirflrovanych zpráv použít vyhledávání

Je to tak, matrix.org ma vypnutou presence featuru. Jinak Synapse server je celkem nenarocny, pry jde provozovat na RPi. Me bezi na i3-4130T a bere si < 1% cpu i se zapnutou presenci. Jen databaze docela bobtna, zalezi k jakym mistnostem jsou klienti pripojeni, treba ty Elementi, kde je 5000+ lidi dost rostou, ale bezny p2p konverzace neberou skoro nic.

Pro XMPP používám 3 klienty (mobily/pc): Dino (PC/mobil - pinephone), Gajim (PC), Conversations (Android), ale dobrých klientů co nepoužívají JavaScripty a jím podobný je víc. Všechny zmiňované skvěle podporují E2E šifrování 1) (OMEMO - v podstatě to co má Signal) , OTR bych se vyhnul - dneska nemá smysl. Dále synchronizace zpráv napříč klienty 2), stažení zpráv ze serveru, pokud byl daný klient offline 3) - pro mě osobně asi nejdůležitější rozšíření.

Asi před rokem jsem XMPP v podstatě znovuobjevil právě díky těmto moderním klientům - synchronizace napříč různými klienty a zařízeními funguje naprosto perfektně (i šifrování). Dřív jsem používal Pidgin, což byla chyba - umí spousta protokolů, ale žádný ne pořádně.

Dále jsou dobré srandičky jako stav uživatele v sezení 4) , potvrzení přijetí zprávy 5) (neznamená to ale, že si ji uživatel přečetl - to řeší 6) - první zmíněný případ se tuším typicky rozlišuje jednou fajfkou, druhý dvěmi fajfkami). 6) Dino i Conversations umí (například Android s Conversation bliká ledkou, že mám nepřečtenou zprávu - po přečtení na PC sám tuto signalizaci vypne, jelikož pozná, že jsem si to přečetl). Gajim to bude umět od 1.3.0, která vyjde každým dnem.

XMPP umí i volat (minimálně Conversations to umí), ale to jsem přiznám se ještě nezkoušel (mělo by jít audio/video). Osobně jsem si myslel, že Signal/Matrix/What­sApp jsou díky takovým fičurám o dost uživatelsky přívětivější (holt jsem používal nemoderní klient), ale XMPP drží krok a stojí za to ho vyzkoušet. Nebo zmíněný Matrix, jak zmiňují jiní - je to asi jedno.

1) OMEMO Encryption
https://xmpp.org/extensions/xep-0384.html
2) Message Carbons
https://xmpp.org/extensions/xep-0280.html
3) Message Archive Management
https://xmpp.org/extensions/xep-0313.html
4) Chat State Notifications
https://xmpp.org/extensions/xep-0085.html
5) Message Delivery Receipts
https://xmpp.org/extensions/xep-0184.html
6) Chat Markers
https://xmpp.org/extensions/xep-0333.html

Ono se obecně doporučuje jít jinam než na matrix.org, ideálně selfhostovat :) Ale Dendrite psaný v Go už bude brzo production ready, snad matrix.org přejde co nejdřív. V nadějném stavu je i v Rustu psaný Conduit.

Ja pouzivam iba overene enterprise nastroje preto mam na instant messaging HCL Sametime.

Myslím že něco podobného si zcela jistě říkali uživatelé SolarWinds :-D ... Dokud to nemá otevřené zdrojáky a nelze se do toho podívat, nelze to považovat za bezpečné.

Je to pôvodne od IBM, nemôže to byť zlé. IBM je v enterprise pojem.

Ze zlatého fondu:

http://www.ahajokes.com/com028.html

To si jako Signal zaplatil u Vás reklamu? Proč by lidé přecházeli zrovna na Signal, když má jen 10 mil stažení a mě osobně nezaujal. Kdybych hledal náhradu, bude to Viber, ten má spousta mých známých a má 50 mil stažení na google play. Telegram má dokonce 500 mil. A nebo placená Threema, ta se mi osobně líbí nejvíc, ale kvůli toho, že lidem se zdá 90 Kč za bezpečný messenger moc, přestal jsem Threemu používat.

Tak nekdo si vybira kecalek podle barvy ikony, ceny, poctu uzivatelu a nekdo podle nabizenych funkci no. A tech co maji otevreny kod, sifrovani, jsou bezpecne, maji plno funkci a velkou podporu platforem moc neni. Kazdy ma jine preference.

Někteří dokonce podle toho, jak vypadají a jaké jsou k dispozici emotikony. Původně jsme třeba se ženou také používali on-premise XMPP, resp. Pidgin, ale před půl rokem jsme přešli na Slack a ten u ní měl nepřekonatelný úspěch právě kvůli nim.

Viber neřeší problém se soukromím a obsahuje reklamu.
Používejte prosím něco co je svobodný software a má E2E šifrování. Komunikační platformy se šíří jako mor a ovlivňujete tím ostatní :)
Tipy: matrix/element, XMPP viz výše, signál, jami.net nebo něco co prostě je svobodné a má E2E šifrování :)
Je otrava mít 100 komunikátorů.. Je škoda že se XMPP neprosadilo do běžného používání, protože to je universální standard a už je tu s námi pár let..

Threema snad už nyní definici svobodného SW splňuje také.

Ale ono se XMPP jednu dobu celkem prosadilo, využíval ho i Facebook v Messengeru a Google ve službě Talk, ale pak asi nějak vývoj XMPP ustrnul (?) a v roce 2015 ho jak Facebook tak Google přestali ve svých službách používat.

Telegram by default nepoužívá E2E šifrování vůbec, a to volitelně zapnutelné je podle všeho pochybných kvalit (Signal, Wire, Threema ... všechny prošli nějakým nezávislým pentestem a se slušnými výsledky - o bezpečnosti Telegramu se naopak člověk málokdy dočte něco pozitivního, na profesionálně udělaný nezávislý audit či aspoň pentest jsem zatím nenarazil vůbec) . Požadavek na telefonní číslo je, pokud vím, stejný jako u Signalu, servery jsou taktéž centralizované. Oproti WhatsAppu to tedy nevypadá na výrazný upgrade soukromí.

Vas komentar neni uplne tak pravda, signal nabizi apk oficialne na svych strankach, ktery nevyžaduje google services viz:
https://signal.org/android/apk/

Co je na tom „špatné e2e“? V Matrixu si zařízení nepředají klíče a tudíž nové zařízení nemůže číst konverzace probíhající ve druhém device, dokud se staré a nové zařízení navzájem (interaktivně) neověří. Smysl e2e je že server nemůže číst moje zprávy a konverzace. Tady i kdyby admin serveru zneužil svou pravomoc a přihlásil si k mému accountu nový device, nemá šanci ho ověřit a já to hned zjistím.

Ano, k šifrovacím algoritmům Telegramu jsou výhrady. I ty se ale vyvíjí. Dřív byl třeba Telegram kritizovaný za to, že E2E šifrování nemá perfect forward secrecy. Dneska už ho má.

Za mě pro Telegram mluví dosavadní historie. Ta služba funguje už skoro 8 let a za tu dobu neměla jediný zásadní bezpečnostní problém. A to i nabízeli statisíce dolarů za jejich odhalení. To je pro službu o tolika uživatelích celkem unikátní. Stejně tak nemají jediný známý případ předání dat uživatelů třetím stranám. A to ani metadat, což je třeba slabina Signalu. Ten má všechny servery v USA a když tamní autority požádají, tak prostě musí aspoň ta metadata vydat. Telegram má proti tomuto výrazně odolnější strukturu (servery v různých lokalitách, části šifrovacích klíčů v různých jurisdikcích, několik právních entit v různých zemích...).

A co jako vydají když jediná metadata co signal má je:
- datum a cas kdy se clovek zaregistroval
- datum a cas kdy byl clovek naposledy online

viz.: https://signal.org/bigbrother/

Zrovna metadata Signal řeší velice dobře, viz např. https://signal.org/blog/sealed-sender/

A proč nepřechází na Wire? Já mám tedy víc důvěry u Švýcarska (Wire) než u USA (Signal).

Wire je, myslím, podstatně méně známý a používaný než Signal a jeho současné webovky jsou postavené tak, že i pro člověka obeznámeného s existencí otevřené verze zdarma pro nefiremní uživatele může být problém se na odkaz na ní proklikat. Pokud vím, někdo z vedení Wire se i explicitně vyjádřil ve smyslu, že další vývoj Wire pro nefiremní uživatele pro ně není prioritní.

Lidi jsou naivní a pak se diví, že se jm např. začínají objevovat personalizované zeklamy (a to je jen minimum k čemu data využívá)... V každém případě, já s WA končím. Ne jen kvůli tomu provázání s FB, ale také kvůli tomu, jak jim několikrát unikla data uživatelů na net. Není bezpečný... Mám Signal a pro notifikace výpadku zařízení používám Telegram a jeho roboty.

9. 1. 2021, 12:26 editováno autorem komentáře

Tak nechce si mi hledat ale neco malo je tady
https://euractiv.cz/section/aktualne-v-eu/news/116264-2/

Presne, ja to mam takto se školkou, nemit WA znamena nemit vubec zadne operativni informace.

Toto se povedlo: https://www.lidovky.cz/byznys/firmy-a-trhy/akcie-nezname-firmy-nahle-vzrostly-o-stovky-procent-k-jejich-nakupu-omylem-vyzval-elon-musk.A210111_130231_firmy-trhy_livs

Nemáte někdo informace o aplikaci Silence, fork Signalu? Jak si tato stojí? Děkuji.