Zachęcam do posłuchania Risky Business #305 -- Secure, anonymous IM not a pipe dream. Konkretnie chodzi mi o rozmowę dotyczącą bezpiecznego IM.
W czym jest problem, czy szyfrowanie nie wystarczy? Okazuje się, że bardzo często - nie. Trzeba pamiętać, że komunikacja ma wiele "cech":
- kto z kim,
- kiedy,
- jak często,
- jak długo,
- jaka ilość danych została wymieniona,
- co było w tych danych,
Warto również zwrócić uwagę na to, że zmiana typowych wzorców komunikacji również sama w sobie jest informacją.
Szyfrowanie w miarę skutecznie ukrywa tylko ten ostatni element. Na podstawie pozostałych cech nadal można wyciągnąć bardzo interesujące wnioski. Zwłaszcza, jeśli są jakieś dodatkowe dane, które można korelować. Można przypomnieć tutaj choćby przykład z "odgadywaniem" na co ktoś patrzy w Google Maps: I can still see your actions on Google Maps over SSL. To wszystko powoduje, że Pidgin z OTR nie zawsze wystarczy.
P.S. I w ramach ciekawostki: Operacja Fortitude.
(...) Utworzono grupę radiostacji które "porozumiewały" się wzajemnie nadając komunikaty o treści, jakich można się spodziewać w czasie formowania dużej grupy armii. (...)
