Je hebt een klacht over de onderstaande posting:
End-to-end encryptie is een goed streven. Helaas is het *waardeloos* zonder end-to-end Authenticatie. Stel ik wil een berichtje sturen naar een kennis. Hoe kom ik aan zijn sleutel? Ik vraag het op bij Allo/Facetime/Skype/Telegram/etc. Met die sleutel vercijfer ik mijn bericht en geef de ciphertext aan hetzelfde platform. Dat is dus een Man-in-the-Middle waiting to happen. De oorzaak is drieledig: 1. Het adresboek met namen en sleutels is in beheer bij Google/Apple/Microsoft/etc; 2. We gebruiken dat platform voor zowel voor sleutels als voor berichtenverkeer; 3. Wie controleert de lokale software - dat de versleuteling doet - dat dit correct gebeurd. Er is in dit huidige model geen controle mogelijk dat de sleutel die ik krijg van het platform ook de sleutel is die mijn kennis heeft gegenereerd. We moeten maar vertrouwen dat de platformen dat niet misbruiken. De uitdaging is om een eenvoudig protocol te bedenken waarmee gebruikers (lees: client software) de authenticiteit van sleutels kunnen controleren ...
Beschrijf je klacht (Optioneel):