> 1) https://github.com/signalapp/libsignal-protocol-cЭто не сорцы васапа... поэтому какая разница что там? Не обязано коррелировать с фактическими действиями бинаря.
> 2) А как ты собрался сравнить сорцы с тем что ставят на трубу миллионы пользователей?
Я отвечаю за свою сторону линка, ремота за свою. И таки да, если с другой стороны тупарь с трояном - вообще совсем ничего не поможет. Задача секурного обмена не решается в этой формулировке даже чисто теоретически. И горе тому кто не учтет этот момент.
> Тебе ведь надо защитить оба конца линка.
В этом месте мы замечаем что корреспондент-тупарь - одна большая уязвимость сам по себе. Поэтому обсуждать с таким что-то важнее покупки картошки - не стоит. А картошку и по GSM линку вроде не особо страшно.
> Ну как сказать.. На 36C3 люди кучу вещей ковыряли. Даже прошивки новых
> Epyc. Так что не суди по себе.. Всякое есть.
Годно ковыряли, слайды понравились. Но для себя на будущее я таки просто предпочту платформы где так делать не требуется :]. А амд... ну, жаль, хорошая была фирма, но увы, процики теперь придется у других покупать. Потому что так хакать систему чтобы рули себе вернуть - а ну нафиг, в вире где толпа стартапов печет сотни SoC это просто странно.
> 3) Нужно быть дятлом, чтобы доверять смскам.
Однако эксперименты с чьим-то гейтом на 1 апреля показали что ведутся и довольно качественно. Ну нет, совсем гур безопасности так не обмануть, конечно.
> И еще ты всегда можешь позвонить воисом и спросить (ватсап показывает что ключи
> поменялись например) это ты Вася или не ты?
А кто сказал что звонок попадет тому кому адресован? SS7 штука занятная, вон тот зимбабвийский оператор может сообщить что Вася роумится у него. И улетит звонок черту на куличики. На этом эффекте даже была забавная анонимоус симка умеющая юзать любого подручного оператора. Но тарифы там довольно злые - потому что она с логической точки зрения всегда в роуминге а выпущена каким-то карманным оператором в каких-то пердях.
> И если Вася подтвердит, что да я ватсап переставлял, трубку менял или еще что...
> т.е если реально Вася, то всё хорошо.
В этот момент гарантий что это именно Вася - не сильно много.
> Да и неважно кто... Адекватных людей хватает.
Жадных, наглых и любопытных больше.
> 5) Ну может чтобы скрыть свое присутствие? И чтобы труба внешне не
> отличалась от неинфицированной?
А как лишняя программа читающая данные с микрофона внешне проявляется? Гуя у нее может не быть совсем, не говоря уж про какие там еще ярлыки. И заметить ее сможет только махровый системщик, твердо знающий что искать, да прочие forensic'и. Они и аномалии в ядре заметят, собственно, половина руткитов себя аномалиями и глюками успешно демаскируют.
> 6) не понял вопрос.. но если отвечать как я его понял, то основание - здравый смысл.
Это какое-то очень лажовое обоснвоание.
> а) мне нужен на трубе ватсап для общения с широким кругом людей,
> а не только коллегами параноиками у которых может быть матрикс к примеру
Тогда я не понимаю какую защиту ты ожидаешь там увидеть. Они сами же и инстальнут троян через 15 минут после того как это станет хоть кому-нибудь интересно. Или их просто отымеют через вулны на которые в их китайском андроиде все давно забили - и владелец, и китайцы.
> б) что телеграм для этого совсем не подходит и намного хуже в
> этом плане чем ватсап (который тоже конечно неидеальный)
Телеграм по крайней мере соответствует тому что декларирует - и это можно проверить. А вот мало чем подкрепленные обещания - в вопросах безопасности штука очень плохая, т.к. дает ложное чувство защищенности. Неверно оценить безопасность - хорошая заявка на залет.
> есть какие-то доводы по поводу некорректности эти утверждений, то я их
> не услышал этих доводов. А по сему не толкаемся, проходим, проходим ребята.
Ну я попытался. Не знаю получилось ли, но если TL;DR то я не считаю security through obscurity сколь-нибудь работоспособным и заслуживающим внимания вариантом. Равно как не считаю что есть какие-то шансы в случае когда на той стороне линка совсем уж дилетант.