@tuxicoman tant que y'a du TOFU, il y a besoin de faire une vérification de clés sur un canal sécurisé auxiliaire.

@tuxicoman De toute manière c'est centralisé, chiffrement ou pas ça rentre pas dans les systèmes dont je fais la promotion.

Je dois avouer cependant que Telegram est léger côté client par rapport à Element.

Mais de toute façon on connaît les travers des plateformes centralisées.

@siegi @tuxicoman même avec un système décentralisé, type matrix, tu as le même problème. Tant que tu as une machine tierce dans la communication à l'initialisation de la session sécurisée tu as ce problème. C'est pour cela qu'on dit de vérifier les clés.

@Matlink Oui, clairement. Element propose cette vérification entre tes appareils, mais pas entre utilisateur·ices (on peut checker les clés manuellement). Cependant le fait d'avoir ton propre serveur pour une organisation permet d'éviter des attaques mitm d'origine gouvernementale ou similaire. @tuxicoman

@tuxicoman C'est techniquement assez crédible. Mais on parle bien d'un bug corrigé il y a bientôt une décennie, et les impacts qui allaient avec, sauf à ce que d'autres aient été introduits depuis ou pas détectés (mais le protocole, si discutable soit-il sur le plan crypto, a fait l'objet de beaucoup de travaux ces dernières années sans que rien de ce niveau là n'en ressorte).

@tuxicoman * à ma connaissance, qui n'est celle que d'un amateur dans le domaine.

Inscrivez-vous pour prendre part à la conversation
social.jesuislibre.net

Le réseau social de l'avenir : Pas d'annonces, pas de surveillance institutionnelle, conception éthique et décentralisation ! Possédez vos données avec Mastodon !