linux user group brescia

 Dopo aver disinstallato Telegram ho provato Threema, listato anche nella
scorecard di EFF, e devo dire che mi convince molto di più:
 1) non chiede il mio numero di cellulare (optional, per certe funzioni: non
l'ho fornito e funziona tutto ugualmente)
 2) non chiede cellulari di amici
 3) non chiede nemmeno la mia mail (come già il cellulare, è optional per certe
funzioni: non l'ho fornita e funziona tutto ugualmente)
 4) mi crea un ID interno loro on the fly ed a questo mi permette di
"agganciare" un nick a volontà (che può anche esser duplicato, in quanto l'ID è
univoco)
 5) crea al momento una coppia di chiavi in stile PKI (e mi ricorda molto la
modalità PgP di misurare gli intervalli fra le battute dei tasti per avere un
seed randomico)
 6) avverte, correttamente, che ci sono tre livelli di sicurezza, nello scambio
della ID con corrispondenti: anche se non vengono mai (ovviamente) scambiate
chiavi private, scambiare "pubblicamente" (su canale insicuro) l'ID comporta
rischi tipo MitM. Ad ogni modo, se uno accetta il rischio, può scambiare l'ID in
modo "insicuro" in una chat IM privata, via mail, o anche parlando al telefono:
è una corta stringa di alfanumerici facilmente riferibile anche a voce. Un
livello di sicurezza superiore comporta la scansione, da parte del mio
corrispondente, di un QRcode tramite la cam del suo cellulare.
 7) tutta la crittazione è end-to-end: i loro server hanno funzione store and
forward ma gestiscono solo pacchetti criptati.
 8) il backup dei miei dati è criptato da password.
 9) posso definire una password di revoca delle chiavi RSA, criptata.

 Per tutto quanto sopra ho deciso di adottarlo, al posto di altri client che si
appoggiano a protocolli non propri (es. iMessage su gTalk) perchè, anche se devo
poi fare proselitismo in quanto usa un "network" (protocollo) proprietario,
quanto meno non mi mette in imbarazzo a chiedere il cellulare dei miei
corrispondenti (quindi niente riferimenti reali) e mi pare che ne valga la pena.
 La mia sensazione è che sia un client IM "come dovrebbe essere", senza abuso
dei miei dati reali nè connessione diretta con la mia persona, ma sono
ovviamente aperto a feedback.
 L'unico "punto nero" che ci vedo è, secondo quanto dice anche EFF, che il
codice non è aperto: volendo, il software potrebbe leggersi di tutto di più dal
mio cellulare/tablet e mandare alla ditta che ha creato Threema tutto quanto in
un bel pacco col fiocco, esiste questa possibilità (anche se iOS non ha
segnalato richieste di accesso a rubrica o altro). Ho però letto commenti, in
giro per la rete, in cui alcuni hanno fatto auditing "esterno" (sniffing ecc.) e
son rimasti soddisfatti da quel che vedevano.

 LC

> Il 6 gennaio 2016 alle 0.33 Luca Coianiz <luca a coianiz.it> ha scritto:
> L'ho scaricato e provato, anche se non ho contatti al momento.
> Le mie impressioni:
> 1) invece di crearmi un account con userid/password, magari riferito ad un
> indirizzo mail di mia scelta che, se vogliamo, è un riferimento "virtuale", mi
> ha chiesto il numero di cellulare, che è un riferimento realissimo ed univoco:
> a
> loro, esattamente, cosa interessa se io sono Pino, Gino o Gianni?
(...CUT...)
> Info/Lamentele/Segnalazioni: andrea.gelmini a gmail.com