> WhatsApp should now be pretty close to intercept-proof for all governments bar the USA.<br><br>I'm just curious: I'd not trust the communication via WhatsApp is secure because of its closed source, Android, Google Keyboard and everything else, but when you say WhatsApp E2E encryption is pretty close to intercept-proof for all governments but the US, how do you suggest they can intercept the messages? By choosing weak keys?<br><br><div class="gmail_quote">On Tue, Nov 18, 2014, 17:27 Tao Effect <<a href="mailto:contact@taoeffect.com">contact@taoeffect.com</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word">Good observation Nadim, I'm also curious about the GPL question. Maybe some EFF folks can answer that?<div><br></div><div>On Mike Hearn's point re key verification problem:</div></div><div style="word-wrap:break-word"><div><br></div><div><blockquote type="cite">Cracking the usable key verification problem. This move brings WhatsApp to the same level of security as iMessage (or better, given the forward security), but WhatsApp/Facebook could still do a switcheroo on people's keys. TextSecure never really figured this out IMO - it still expects people to manually compare long strings of hex.</blockquote></div><div><br></div></div><div style="word-wrap:break-word"><div>I will, as seems to be my role here, recommend the blockchain and a system like DNSChain for solving this problem. :-)</div><div><br></div><div>The Onename folks are subsidizing registrations in Namecoin btw.</div><div><br></div><div>If you want to completely get rid of the possibility of an untrustworthy third-party doing a "switcheroo", then this is the only way to do it (as far as I can tell).</div><div><br></div><div>You can also, with the risk of third-party switcheroo, do a provider-based blockchain approach that I've talked about in previous emails here, which is where, for example, a provider registers gmail.bit (or migrates the .com to the blockchain), and then you query the user's public key from them over a MITM-proof channel that's secured by the public key for the service itself (which is stored in the blockchain).</div><div><br></div><div>Provider based systems, whether they're doing with a blockchain or not, however, will always (I think), have the switcheroo problem.</div><div><br></div><div></div></div><div style="word-wrap:break-word"><div><blockquote type="cite">Either way, this is historic. I think Moxie's team deserve immense<br>respect for accomplishing this. This is an accomplishment I will look<br>up to for many years to come. Truly inspiring.</blockquote><div><br></div></div></div><div style="word-wrap:break-word"><div>Hear hear! Congrats to everyone who was involved with this at Open Whisper Systems!</div><div><br></div><div>Cheers,</div><div>Greg</div><div><div><div>
<br><span style="color:rgb(0,0,0);font-family:Helvetica;font-size:14px;font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;display:inline!important;float:none">--</span><br style="color:rgb(0,0,0);font-family:Helvetica;font-size:14px;font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px"><span style="color:rgb(0,0,0);font-family:Helvetica;font-size:14px;font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;display:inline!important;float:none">Please do not email me anything that you are not comfortable also sharing</span><span style="color:rgb(0,0,0);font-family:Helvetica;font-size:14px;font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;display:inline!important;float:none"> with the NSA.</span>
</div></div></div></div><div style="word-wrap:break-word"><div><div>
<br><div><div>On Nov 18, 2014, at 10:54 AM, Nadim Kobeissi <<a href="mailto:nadim@nadim.computer" target="_blank">nadim@nadim.computer</a>> wrote:</div><br><blockquote type="cite">Mike Hearn hits the nail on the head! My only questions were in fact<br>regarding how to handle identity authentication and how to deal with<br>the closed-source nature of WhatsApp damaging potential security<br>guarantees.<br><br>Although, I just noticed something: TextSecure is GPL, and Moxie says<br>that WhatsApp is using the same code as TextSecure. Doesn't that mean<br>that WhatsApp is now obligated to send a copy of its source code to<br>whoever demands it? :-) That would be amazing if true.<br><br>Either way, this is historic. I think Moxie's team deserve immense<br>respect for accomplishing this. This is an accomplishment I will look<br>up to for many years to come. Truly inspiring.<br><br>NK<br><br>-----Original Message-----<br>From: Messaging [<a href="mailto:messaging-bounces@moderncrypto.org" target="_blank">mailto:messaging-bounces@moderncrypto.org</a>] On Behalf<br>Of Joseph Bonneau<br>Sent: November 18, 2014 1:16 PM<br>To: Mike Hearn<br>Cc: messaging<br>Subject: Re: [messaging] WhatsApp & OWS team up<br><br><br>On Tue, Nov 18, 2014 at 11:23 AM, Mike Hearn <<a href="mailto:mike@plan99.net" target="_blank">mike@plan99.net</a><br><<a href="mailto:mike@plan99.net" target="_blank">mailto:mike@plan99.net</a>> > wrote:<br><br><br><span style="white-space:pre-wrap">     </span><a href="https://whispersystems.org/blog/whatsapp/" target="_blank">https://whispersystems.org/blog/whatsapp/</a><br><br><span style="white-space:pre-wrap">   </span>Huge, massive congratulations to Moxie and the team - this sort of<br>mainstream success is inspiring. I'd been hoping for a long time that<br>once TextSecure showed you could build a secure messenger with<br>production quality usability, Facebook / WhatsApp might pick it up,<br>and today my dream came true :)<br><br><br>I echo the major congratulations! One of our main goals with the EFF<br>Scorecard was to push big providers to take steps like this, hopefully<br>many more will follow suit.<br><br><br><span style="white-space:pre-wrap">        </span>I can see a couple of directions to go now:<br><br><br>I would add<br><br>3) Design an efficient, auditable, privacy-friendly public key<br>directory. WhatsApp/TextSecure still largely rely on a centralized<br>public key directory. Cracking usable key verification would be great,<br>but I'd also like these key directories to be able to convincingly<br>prove to me that they've only signed for a certain set of keys for my<br>username over a given time period. Some work is underway on this at<br>Princeton and hopefully elsewhere...<br><br><br><span style="white-space:pre-wrap">  </span>It will be interesting to see what the political ramifications of<br>this are. WhatsApp should now be pretty close to intercept-proof for<br>all governments bar the USA. Given its ubiquity and complete<br>centralisation inside California, I suspect this will result in all<br>kinds of interesting jockying as different countries try to get lawful<br>intercept capabilities to it (by switching keys, I guess).<br><br><br>Presumably Apple has already been in this position for over a year<br>with iMessage, although it might be more interesting because WhatsApp<br>doesn't have the political clout<br>_______________________________________________<br>Messaging mailing list<br><a href="mailto:Messaging@moderncrypto.org" target="_blank">Messaging@moderncrypto.org</a><br><a href="https://moderncrypto.org/mailman/listinfo/messaging" target="_blank">https://moderncrypto.org/mailman/listinfo/messaging</a><br></blockquote></div><br></div></div></div>______________________________<u></u>_________________<br>
Messaging mailing list<br>
<a href="mailto:Messaging@moderncrypto.org" target="_blank">Messaging@moderncrypto.org</a><br>
<a href="https://moderncrypto.org/mailman/listinfo/messaging" target="_blank">https://moderncrypto.org/<u></u>mailman/listinfo/messaging</a><br>
</blockquote></div>