web-dev-qa-db-ja.com

OTRテキストアプリではなく、RedPhoneをインラインで検証できるのはなぜですか?

RedPhoneを使用して(正しい方法)、電話をかけ、接続を確立し、画面上のテキスト検証を相手に読み上げます。それらが一致する場合、それはZRTPで保護され、一致しない場合、MITMされます。

たとえば、ChatSecure、Telegram、Wickrではなく、RedPhoneでそれを実行できるのはなぜですか?なぜ私たちは身元を確認するために他の手段を使わなければならないのですか?

また、2番目のケースのUNSECUREメディアでIDを確認しても大丈夫ですか? WhatsAppを使用してWickrのIDを確認するのが好きですか?!

2
Mars

テキストを読み上げると、テキストを読み上げた人との安全な接続があることが確認されます。それがあなたがコミュニケーションをとろうとしていた人であることをどうやって知っていますか? ZRTPは基本的に、あなたが彼らの声を認識することによってあなたが知っていることを前提としています。

https://silentcircle.com/faq-zrtp#2

https://silentcircle.com/faq-zrtp#26

OTRは明らかにその仮定を行うことができないため、他の方法でIDを確立する必要があります。フィンガープリント方式を使用する場合、プライベートチャネルは必要なく、検証可能なチャネルのみが必要です。たとえば、その人の声がわかっている場合は、電話をかけて指紋を交換することができます。

他の方法では、すでに安全なチャネルを使用して共有シークレットを確立する必要があります。

(免責事項:RedPhone、Telegram、またはWickrを使用したことはありませんが、他のZRTPおよびOTRアプリと類似していると思います)。

2
John Morahan