Open toshirot opened 6 months ago
ここまで複雑なプロトコルが必須なのだろうか。 現在考えてるのは共通鍵AES。シンプルで好き。 考えなければならないのは、その管理方法。
・因みに公開鍵は今回は使えないと思う。 >https://github.com/toshirot/mychat/issues/2#issuecomment-2024129251 ・パスフレーズなどをサーバー側のDBなどに置くのも駄目
const decrypt_js = (str, salt) => CryptoJS.AES.decrypt(str, salt).toString(CryptoJS.enc.Utf8)
const encrypt_js = (str, salt) => CryptoJS.AES.encrypt(CryptoJS.enc.Utf8.parse(str), salt).toString()
先日、ChatGPTにアドバイスされた、Google AuthenticatorなどのTOTPやSignalプロトコルなどを検討したけど、結局のところ
end-to-end で暗号化するには、口頭含めてchatサーバーとは別の方法で秘密のフレーズを共有さえできれば良いように思える。 ログイン認証もセッションもいらない。
end-to-endで暗号化するなら、AuthenticatorもSMSもむしろ、脆弱性につながると思う。
違うだろうか?
エンドツーエンドの暗号化 SignalプロトコルやOff-the-Record Messaging(OTR)プロトコルなどについて
・Off-the-Record Messaging(OTR)プロトコル
Off-the-Record Messaging Protocol version 3 https://otr.cypherpunks.ca/Protocol-v3-4.1.1.html Off-the-Record Messaging https://otr.cypherpunks.ca/
・Signalプロトコル Wiki
Github Signal https://github.com/signalapp