问为什么可以在线验证RedPhone而不是OTR文本应用程序？
EN

Security用户

提问于 2015-02-09 21:44:34

回答 1查看 217关注 0票数 2

使用RedPhone (正确的方式)，一个将调用，建立一个连接，并读取屏幕上的文本验证给另一方。如果他们匹配，那就是ZRTP-安全，如果不是，那就是MITM'd。

为什么我们可以在RedPhone上这样做，而不能在ChatSecure、电报或Wickr上这样做呢？我们为何要用其他方法来核实身份呢？

另外，在第二种情况下可以在不安全的媒体中验证身份吗？比如使用WhatsApp来验证Wickr的身份？！

回答已采纳

发布于 2015-02-10 00:18:23

阅读文本可以验证您是否与阅读文本的人有安全的连接。你怎么知道这是你想要和他交流的人？ZRTP本质上是通过识别他们的声音来假设你知道的。

OTR显然不能做出这样的假设，所以你必须以其他方式确定他们的身份。如果您使用指纹方法，您不需要一个私人通道，只是一个可验证的通道。例如，如果你知道对方的声音，你可以打个电话并交换指纹。

对于其他方法，您需要使用已经安全的信道来建立共享秘密。

(免责声明:我从未使用过RedPhone、Telegram或Wickr，但我假设它们与其他ZRTP和OTR应用类似)。

票数 3

页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持

原文链接：

https://security.stackexchange.com/questions/81286

复制

相似问题

问为什么可以在线验证RedPhone而不是OTR文本应用程序？EN