A2A.
Según tengo entendido, Confide no es de código abierto, por lo que es tan seguro como dicen, que es:
- dicen que usan cifrado de extremo a extremo y, dado que hablan de que la clave privada nunca abandona el dispositivo, supongo que usan cifrado asimétrico.
- Su comunicación no es de igual a igual, en su página de Política de privacidad mencionan que los mensajes de los usuarios se almacenan temporalmente en sus servidores (durante cuánto tiempo no se divulgan) y afirman que su comunicación de cliente a servidor utiliza TLS.
Ahora, en cuanto a las debilidades de TLS, puede leer aquí:
- ¿Cuál es el virus más débil para las computadoras?
- Me gusta Linux, la seguridad cibernética y la programación, ¿qué carrera debo seguir?
- ¿Es útil el conocimiento de la criptografía para un emprendedor?
- ¿Cuáles son los problemas de seguridad relacionados con la ejecución de códigos en máquinas alienígenas?
- ¿Cómo se hace un documento encriptado?
Seguridad de la capa de transporte – Wikipedia
Pero el punto principal (que en realidad es común a Signal) es el siguiente:
Si la clave privada está almacenada en el teléfono, entonces es tan seguro como encontrar esa clave usando algún tipo de RAT (troyano de acceso remoto), y dado que esta aplicación se ejecuta prácticamente en todas partes (Mac, PC, Android, Apple Watch) , entonces se vuelve “más” fácil encontrar esta clave. Solo digo.
En cualquier caso, sin código, esas son todas especulaciones.
La señal es genial, es enorme, ¡te encantará! Pero, por supuesto, los metadatos no están encriptados y están disponibles para la autoridad si es necesario.
