Tant’è che il SQLite di Firefox non è criptato, si affida al FDE del SO. Forse anche i cookie di Safari non lo sono (son certo che non sono in SQLite ma in formato binario) e fan affidamento a FileVault
La crittografia dei dati è utile per proteggere i dati “at rest”, è inutile che ci giriamo intorno.
Qualsiasi tecnologia tu utilizzi per cercare di proteggere una chiave di cifratura (keychain, wallet etc), è valida fin tanto che non hai codice attivo che gira sulla macchina.
Se quello che ti preoccupa è l’esfiltrazione della chiave di signal: se il sistema è spento il disco deve essere crittografato.
Se il sistema è acceso e hai un software malevolo che ci gira sopra, ovunque tu cerchi di tenere la chiave, questa prima o poi è esfiltrabile.
E poi comunque se sei davvero preoccupato per la privacy no usi signal, non usi android, non usi iOS.
Ma veramente c’è ancora chi crede che la crittografia E2E su mobile sia sufficiente a rendere le conversazioni private? e poi private da chi? da chi è in mezzo sulla rete sì, ma da chi ti è sul device proprio per niente.
E il sistema operativo stesso non è che sia proprio così “privacy oriented”. Come pensate che facciano android o iOS a mostrarvi le belle notifiche a schermo con la preview del messaggio che viene ricevuto su signal? e magari anche a proporvi la risposta rapida in base a quello che c’è scritto.
Purtroppo e’ la realta’ con i programmi di governi :( Almeno questo paga qualcosa, molti programmi di governi sono soltanto dei VDP (Vulnerability Disclosure Program) e non pagano niente.
magari è uguale anche in altri paesi dove non c’è una bounty aperta, ma ricordo che avvisati da un White hat di una falla, han pensato bene di voler denunciare.
Sostanzialmente lui ha scritto “hey guardate che ho trovato una falla grande come una voragine nel vostro sistema. Risolvete in fretta”.
Il M5s lo ha denunciato. (e la storia è stata comunque lunga poi)
Ho capito, ma se non aveva il permesso per fare testing non mi sorprende che l’azienda o partito non e’ stato contento. Purtroppo e’ spesso cosi’ se trovi un bug senza esplicito consenso.