2026-06-02, 19:25
  #169
Medlem
Citat:
Ursprungligen postat av Victor-Cronhielm
På grund av "Harvest now, decrypt later." Finns stora serverhallar i Arizona där all krypterat material som flödar genom internet sparas för att när man har tillräckligt många kvantbitar, då kommer man att kunna dekryptera alla krypteringsalgoritmer som används på nätet. Man uppskattas kunna göra det om ca 10 år.

Det är ett stort problem för kryptovalutor bland annat, för alla med tillgång till en kvantdator kan i praktiken ta allas bitcoin om de vill. De är även ett problem för alla som någon gång har skickat ett krypterat meddelande som de inte vill att andra ska få ta del av. Det är ett problem för alla som har besökt en onionserver som de inte vill att allmänheten ska få veta innehållet på.
Förutsatt att du använder en klient som inte är skit så är den AES-256 och jag önskar dig lycka till att knäcka det även med en kvantdator.

Man har uppskattas kunna bygga kvantkrypton "om ca 10 år" de senaste 30 åren. Inget att oroa sig över med andra ord.


Citat:
Ursprungligen postat av Victor-Cronhielm
"Snarare tvärtom" är ett felaktigt påstående. Varken mer eller mindre.
Om vi pratar kryptografiskt så absolut. Om vi pratar i praktiken, så knappast.

Ponera att du lagrar 100% av alla meddelanden som skickas över Signal och att du lagrar dessa i dina 10 år du pratar om. Hur relevant är datan då? Speciellt när du med PFS måste knäcka varje meddelande 1 i taget, och att Sealed Sender gör att du nästan inte kan se något om skickaren av meddelandet alls. IP om du har tur, vilket i sig inte säger ett skit tio år senare.


Citat:
Ursprungligen postat av Victor-Cronhielm
Du vet att den app-integritet som visas i appstore och Androids motsvarighet enbart är vad app-tillverkaren påstår. De kan mycket väl välja att spara ditt telefonnummer och så vidare utan din vetskap. Apple och Android kontrollerar inte att det som anges angående app-integritet faktiskt stämmer.
Använd F-Droid. Använd open source.

Sen förstår jag inte hur du tror att en app kan plocka ditt telefonnummer utan din vetskap.
__________________
Senast redigerad av Kiato 2026-06-02 kl. 19:28.
Citera
2026-06-02, 23:09
  #170
Avstängd
Victor-Cronhielms avatar
Citat:
Ursprungligen postat av Kiato
Förutsatt att du använder en klient som inte är skit så är den AES-256 och jag önskar dig lycka till att knäcka det även med en kvantdator.

Man har uppskattas kunna bygga kvantkrypton "om ca 10 år" de senaste 30 åren. Inget att oroa sig över med andra ord.



Om vi pratar kryptografiskt så absolut. Om vi pratar i praktiken, så knappast.

Ponera att du lagrar 100% av alla meddelanden som skickas över Signal och att du lagrar dessa i dina 10 år du pratar om. Hur relevant är datan då? Speciellt när du med PFS måste knäcka varje meddelande 1 i taget, och att Sealed Sender gör att du nästan inte kan se något om skickaren av meddelandet alls. IP om du har tur, vilket i sig inte säger ett skit tio år senare.



Använd F-Droid. Använd open source.

Sen förstår jag inte hur du tror att en app kan plocka ditt telefonnummer utan din vetskap.

Kvantdatorn behöver inte knäcka AES eftersom att den kan knäcka nyckelutbytet som skapade AES-nyckeln. De kan knäcka det klassiska publika nyckelutbytet.
Citera
2026-06-03, 09:54
  #171
Medlem
Citat:
Ursprungligen postat av Victor-Cronhielm
Kvantdatorn behöver inte knäcka AES eftersom att den kan knäcka nyckelutbytet som skapade AES-nyckeln. De kan knäcka det klassiska publika nyckelutbytet.
Så du tror att om du fångar publika nyckelutbytet så kan du avkryptera 100% av alla meddelanden längre fram trots att Signal har PFS med engångsnycklar som använder AES?

Fel på fantasin hade du ju inte. Det ska man ge dig.
Citera
2026-06-03, 14:50
  #172
Avstängd
Victor-Cronhielms avatar
Citat:
Ursprungligen postat av Kiato
Förutsatt att du använder en klient som inte är skit så är den AES-256 och jag önskar dig lycka till att knäcka det även med en kvantdator.

Man har uppskattas kunna bygga kvantkrypton "om ca 10 år" de senaste 30 åren. Inget att oroa sig över med andra ord.



Om vi pratar kryptografiskt så absolut. Om vi pratar i praktiken, så knappast.

Ponera att du lagrar 100% av alla meddelanden som skickas över Signal och att du lagrar dessa i dina 10 år du pratar om. Hur relevant är datan då? Speciellt när du med PFS måste knäcka varje meddelande 1 i taget, och att Sealed Sender gör att du nästan inte kan se något om skickaren av meddelandet alls. IP om du har tur, vilket i sig inte säger ett skit tio år senare.



Använd F-Droid. Använd open source.

Sen förstår jag inte hur du tror att en app kan plocka ditt telefonnummer utan din vetskap.

Jag hade fel om telefonnummer. Förlåt. Det är väl bara om man är en idiot som lägger in sitt eget nummer bland kontakter och ger tillgång till kontakter.

Men jag håller fortfarande fast vid att man är lätt att identifiera om man har notifieraringar påslagna, d.v.s. att man får upp en banderoll på skärmen som säger att man har fått ett nytt meddelande.
Citera
2026-06-03, 14:59
  #173
Medlem
Citat:
Ursprungligen postat av Victor-Cronhielm
Men jag håller fortfarande fast vid att man är lätt att identifiera om man har notifieraringar påslagna, d.v.s. att man får upp en banderoll på skärmen som säger att man har fått ett nytt meddelande.
Om jag har din mobil i handen och skriver till den så plingar den. Vad annars är nytt?
Citera
2026-06-03, 17:03
  #174
Avstängd
Victor-Cronhielms avatar
Citat:
Ursprungligen postat av Kiato
Så du tror att om du fångar publika nyckelutbytet så kan du avkryptera 100% av alla meddelanden längre fram trots att Signal har PFS med engångsnycklar som använder AES?

Fel på fantasin hade du ju inte. Det ska man ge dig.

Skrev jag det? Du har fin fantasi som fantiserar fram vad andra skrivit så att du kan ha något att svara på. Svara på vad folk skriver istället för att konversera med dig själv.
Citera
2026-06-03, 17:12
  #175
Avstängd
Victor-Cronhielms avatar
Citat:
Ursprungligen postat av Kiato
Om jag har din mobil i handen och skriver till den så plingar den. Vad annars är nytt?

Japp, och det innebär att ditt konto på exempelvis signal är kopplat till ditt Applekonto, så att apple vet identiteten bakom ditt konto på signal, eller telgram o.s.v. Det är därför som man måste godkänna push notification. En push notification innebär att en server kontaktar just din telefon för att berätta att ett meddlande finns att läsa. Apple har documentation som stödjer att polismyndigheter kan kontakta de för att få reda på vilket applekonto som är kopplad till vilket konto i appar.
Citera
2026-06-03, 17:24
  #176
Medlem
Citat:
Ursprungligen postat av Victor-Cronhielm
Skrev jag det? Du har fin fantasi som fantiserar fram vad andra skrivit så att du kan ha något att svara på. Svara på vad folk skriver istället för att konversera med dig själv.
Då kan du jättegärna skriva vad du menar på att det kommer ge att fånga upp nyckelutbytet tio år senare.

För för mig verkar du mest oteknisk eller rentav obegåvad.
Citera
2026-06-03, 17:25
  #177
Medlem
Citat:
Ursprungligen postat av Victor-Cronhielm
Japp, och det innebär att ditt konto på exempelvis signal är kopplat till ditt Applekonto, så att apple vet identiteten bakom ditt konto på signal, eller telgram o.s.v. Det är därför som man måste godkänna push notification. En push notification innebär att en server kontaktar just din telefon för att berätta att ett meddlande finns att läsa. Apple har documentation som stödjer att polismyndigheter kan kontakta de för att få reda på vilket applekonto som är kopplad till vilket konto i appar.
Självklart fungerar det inte så. Dags att läsa på lite om både hur man stavar samt hur aviseringar fungerar i Signal.
Citera
2026-06-03, 17:29
  #178
Avstängd
Victor-Cronhielms avatar
Citat:
Ursprungligen postat av Kiato
Förutsatt att du använder en klient som inte är skit så är den AES-256 och jag önskar dig lycka till att knäcka det även med en kvantdator.

Man har uppskattas kunna bygga kvantkrypton "om ca 10 år" de senaste 30 åren. Inget att oroa sig över med andra ord.



Om vi pratar kryptografiskt så absolut. Om vi pratar i praktiken, så knappast.

Ponera att du lagrar 100% av alla meddelanden som skickas över Signal och att du lagrar dessa i dina 10 år du pratar om. Hur relevant är datan då? Speciellt när du med PFS måste knäcka varje meddelande 1 i taget, och att Sealed Sender gör att du nästan inte kan se något om skickaren av meddelandet alls. IP om du har tur, vilket i sig inte säger ett skit tio år senare.



Använd F-Droid. Använd open source.

Sen förstår jag inte hur du tror att en app kan plocka ditt telefonnummer utan din vetskap.

Det stämmer att PFS och Signals ratcheting gör att meddelanden inte bara skyddas av en enda långlivad nyckel. Men det betyder inte automatiskt att gamla inspelade meddelanden är säkra mot framtida kvantdatorer.

Om angriparen får tag på en aktuell kedjenyckel kan vissa framtida nycklar i samma kedja påverkas tills ratcheten lägger in ny färsk hemlighet. Signal beskriver själv att om en angripare stjäl en parts sändnings- och mottagningskedjenycklar kan angriparen beräkna framtida meddelandenycklar, och att DH-ratcheten finns för att bryta detta genom nya Diffie–Hellman-hemligheter.

Den avgörande frågan är vad nycklarna byggde på. Äldre Signal-sessioner, innan PQXDH och senare SPQR/Triple Ratchet, använde klassisk elliptisk-kurv-Diffie–Hellman för att komma överens om hemligheter. Den sortens kryptografi är just det som en framtida tillräckligt stark kvantdator hotar. Om någon spelade in den krypterade trafiken och de publika Diffie–Hellman-värdena när kommunikationen skedde, kan en framtida kvantdator i princip räkna fram de privata värdena bakom de publika nycklarna. Då kan angriparen återskapa de hemligheter som användes för att härleda meddelandenycklarna.

Det betyder att den klassiska nyckelöverenskommelsen som låg bakom meddelandenycklarna kan falla i efterhand. När angriparen väl kan återskapa rätt nyckelmaterial spelar det ingen roll att själva meddelandet sedan krypterades med stark symmetrisk kryptering.

Det är precis därför “harvest now, decrypt later” är relevant. En angripare kan spara krypterad trafik i dag och vänta tills kvantdatorer kan bryta de gamla elliptiska kurvorna.

PFS hjälper mycket mot klassiska framtida nyckelläckor, men det är inte samma sak som postkvantsäkerhet.

Sealed Sender är också en separat fråga. Det minskar vilken metadata Signal-servern ser om avsändaren, men det gör inte gamla kryptografiska nyckelutbyten postkvantsäkra. Och metadata som IP-adresser, timing och trafikmönster kan fortfarande vara relevanta, särskilt om någon samlade in dem samtidigt.

Moderna Signal-sessioner med PQXDH och SPQR/Triple Ratchet är byggda för att stå emot harvest-now-decrypt-later på ett helt annat sätt. Men äldre inspelade Signalmeddelanden från tiden då skyddet byggde på klassisk elliptisk-kurv-Diffie–Hellman kan vara sårbara när tillräckligt kraftfulla kvantdatorer finns, förutsatt att en angripare faktiskt har spelat in den nödvändiga trafiken och nyckelmaterialet.

Så nu får vi bara hoppas på att Chat Control blir verklighet så att kvantdatorer inte behövs.
Citera
2026-06-03, 18:00
  #179
Avstängd
Victor-Cronhielms avatar
Citat:
Ursprungligen postat av Kiato
Självklart fungerar det inte så. Dags att läsa på lite om både hur man stavar samt hur aviseringar fungerar i Signal.

Apple skriver att det Apple-konto som är kopplat till en registrerad APNs-token kan lämnas ut genom rättslig process, till exempel domstolsorder eller husrannsakningsorder i USA.

https://www.apple.com/legal/privacy/law-enforcement-guidelines-us.pdf

Myndigheter kan använda push-token-spåret för att försöka koppla en anonym appanvändare till ett Apple- eller Google-konto. Apple säger i sin transparensrapport att "Push Token requests" normalt söker identifierande uppgifter om Apple-kontot kopplat till en push-token, till exempel namn, fysisk adress och e-postadress.

https://www.apple.com/legal/transparency/push-token.html

Reuters och Wired har rapporterat att sådana uppgifter har begärts av myndigheter och att Apple numera kräver domstolsorder i USA för pushnotisrelaterade uppgifter.

https://www.reuters.com/technology/apple-now-requires-judges-consent-hand-over-push-notification-data-2023-12-12/

Signal har inte velat kommentera uppgifterna :

https://www.wired.com/story/apple-google-push-notification-surveillance/

"If you have push notifications turned on for sensitive apps, you may want to reconsider your settings.

The United States government and foreign law enforcement can demand Apple and Google share metadata associated with push notifications from apps on iOS and Android, according to a US senator and court records reviewed by WIRED. These notifications can reveal which apps a person uses, along with other information that may be pertinent to law enforcement investigations.

US Senator Ron Wyden, an Oregon Democrat, highlighted the government surveillance technique in a letter sent to the US Department of Justice (DOJ) today. Wyden is specifically asking the DOJ to allow Apple and Google to discuss government requests for push notification records with their users, which Wyden says the US government has required them to keep secret thus far.

“In the spring of 2022, my office received a tip that government agencies in foreign countries were demanding smartphone ‘push’ notification records from Google and Apple,” Wyden wrote in the letter, which was first reported by Reuters. “My staff have been investigating this tip for the past year, which included contacting Apple and Google. In response to that query, the companies told my staff that information about this practice is restricted from public release by the government.”

App developers deliver push notifications using Apple’s Push Notification Service on iOS or Google’s Firebase Cloud Messaging on Android. Each user of an app is assigned a “push token,” which is transferred between the app and the mobile operating system’s push notification service. Push tokens are not permanently assigned to a single user, and new tokens may be generated when a person reinstalls an app or switches to a new device.

To identify a person of interest and whom they may have been communicating with, law enforcement must first go to an app developer to obtain the relevant push token and then bring it to the operating system maker—Apple or Google—and request information on which account the token is associated with. This puts the tech giants in “a unique position to facilitate government surveillance of how users are using particular apps,” Wyden writes.

According to Wyden, the records that governments can obtain from Apple and Google include metadata that reveals which apps a person has used, when they’ve received notifications, and the phone associated with a particular Google or Apple account. The content of push notifications is not included in this information, but, for at least some apps, law enforcement could obtain information about the content of specific pushes through additional requests based on the information from the push tokens.

While Wyden’s letter says that governments outside the US have requested people’s push notification records, the Federal Bureau of Investigation (FBI) has done so as well. A February 2021 search warrant application submitted by an FBI agent to the US District Court in Washington, DC, requested details for two accounts controlled by Meta (then Facebook), specifically citing a request for push notification tokens. The search warrant request related to an investigation into a person accused of taking part in the January 6, 2021, attack on the US Capitol.

Meta, which owns Facebook, WhatsApp, and Instagram, did not immediately respond to WIRED’s request to comment. A spokesperson for Signal, the popular encrypted messaging app, also did not respond. The DOJ declined to comment.

Although Wyden is asking the DOJ to allow Apple and Google to discuss government requests for push notification records, the senator’s letter appears to have enabled them to do just that.

An Apple spokesperson tells WIRED that the company has updated its Law Enforcement Guidelines in its transparency report to reflect government requests for push notification records. The company will also begin to detail these requests in its next transparency report. Apple's updated rules for police requests say push notification records “may be obtained with a subpoena or greater legal process.”

“Apple is committed to transparency and we have long been a supporter of efforts to ensure that providers are able to disclose as much information as possible to their users,” Apple says in a statement. “In this case, the federal government prohibited us from sharing any information and now that this method has become public we are updating our transparency reporting to detail these kinds of requests.”

Google confirmed to WIRED that it receives requests for push notification records, but the company says it already includes these types of requests in its transparency reports. The company says requests from US-based law enforcement for push notification records require court orders with judicial approval.

“We were the first major company to publish a public transparency report sharing the number and types of government requests for user data we receive, including the requests referred to by Senator Wyden,” a Google spokesperson tells WIRED. “We share the senator’s commitment to keeping users informed about these requests.”

A WIRED review of Google’s most recent transparency report for the period between December 2019 and December 2022 found that it does not specifically break out government requests for push notification records, and Google confirmed that it aggregates this data in its transparency report.

Google’s transparency report shows that the US government requested Google Cloud Platform data from enterprise customers 175 times during the period, and of those, used a search warrant 13 times. It is unclear whether any of those requests for user data included push notification records—details that may, following Wyden’s letter, be revealed in the future."
Citera
2026-06-03, 18:16
  #180
Medlem
Diamondgrits avatar
Citat:
Ursprungligen postat av Jurkan143
Vilken är den ”säkraste appen
En som är skriven speciellt för dig och dina vänner, och som använder alla skydd man kan tänka sig. Manuell överföring av publika nycklar via NFC, så två personer som vill prata måste ses fysiskt minst en gång. Det du behöver sen är en app som rensar hela telefonen, även sånt som sparas bakom kulisserna, med något enkelt handgrepp, helst något som kan triggas helt utan att du är där, eller av sig själv, typ att den måste få kontakt med nån cloudtjänst som du kör gratis på AWS minst en gång var femte minut, annars rensar den allt.

Jag kan utveckla dessa tre saker åt dig för 300k om du vill. Om du faktiskt behöver sånt här tjänar du in det på en vecka.
Citera

Skapa ett konto eller logga in för att kommentera

Du måste vara medlem för att kunna kommentera

Skapa ett konto

Det är enkelt att registrera ett nytt konto

Bli medlem

Logga in

Har du redan ett konto? Logga in här

Logga in