ZRTP в Jitsi а может и не только в нём
Вопрос по ZRTP в частности реализации в Jitsi – в настройках есть 2 пункта "Доверенный MitM" и обработка SAS подписи, за что они отвечают?
impl.media.security.zrtp.TRUSTED=Доверенный MitM
impl.media.security.zrtp.SASSIGNATURE=обработка SAS подписи
MitM как я подозреваю "man in the middle" но для чего это в jitsi не представляю.
комментариев: 11558 документов: 1036 редакций: 4118
что подтвердил SATtva
хэш MD5 (например) можно подделать? разве это не уникальный идентификатор?
комментариев: 11558 документов: 1036 редакций: 4118
Да, поэтому ключи PGP в формате v3 (которые генерировались в PGP 2.6 и использовали для выработки отпечатка MD5) являются небезопасными. В v4 в качестве отпечатка используется SHA-1, который в данном контексте пока можно считать приемлемо надёжным.
Для удобства. Читайте ссылки до просветления.
Если убрать из вопроса MD5, то отпечаток ключа, собственно, уже есть хэш ключа. Его и сверяют по аутентифицированному каналу.
изначально ставился вопрос так, "а что если вывесить открытый ключ на файлообменнике, где хешируется файл, под паролем конечно и не в публичном виде". так понял, что и в этом случае небезопасно. видимо можно также произвести подмену... правда ссылку на файл и пароль можно переслать например СМС.. но профи виднее. остается только из рук в руки или сверять ID (хэш) по телефону.
правда читал на сайте про хитрую схему передачи ключей, но не вспомнить где ((
комментариев: 11558 документов: 1036 редакций: 4118
Хэшируется кем, чем? Файлообменником? Тогда сам файлообменник и способен произвести подмену, такая схема небезопасна. Если файлообменник, или сервер ключей, или личный вебсайт используется только для обмена материалом ключа, а его аутентификация производится по независимому надёжному каналу, то эта схема является безопасной в той мере, в которой надёжен используемый для аутентификации канал (считать таковым SMS я бы точно не стал).
1. В Jitsi предлагается шифрование любого SIP аккаунта или это учетка именно Jitsi?
2. Насколько можно шифрование Jitsi считать надежным?