A quanto pare, ha tutte le feature che potremmo desiderare, ed altre ancora.
Svantaggio: funziona solo su Conversations, un’app che è solo per android e a pagamento su google play (si trova gratis su f-droid).
Se volete provarlo per chiacchierare con me: cal@darkness.su (.su, soviet union, sì, cazzo.) cal@xmpp.is
L’usabilità di OMEMO è migliorata nei confronti di OTR grazie alla integrazione in XMPP… ma continua ad esserci la necessità di un server che per molti significa prenderne uno a caso e causare sovrappopolazione di alcuni.
Crittograficamente la sicurezza è equivalente a Telegram (sempre che lo si prenda da F-Droid e se ne utilizza la funzione di “chat segreta”). In ogni caso si espone il proprio grafo sociale. Utilizzando Tor si può almeno nascondere dal server l’ubicazione attuale, ma non so se Conversation è abbinabile a Orbot.
Uno strumento di messaggistica che non espone alcuna informazione a terzi è https://ricochet.im, ma non esiste per cellulari. Ulteriori confronti ecc alla pagina http://secushare.org/comparison
Conversations funziona anche con Orbot. (E OMEMO ha un plugin per Gajim, ho scoperto. Experimental.)
Eh, non so se è equivalente a Telegram con chat segreta, ma sicuramente è più usabile (consente di ricevere i messaggi su tutti i device trusted invece che uno solo, come invece con Telegram o OTR) e questo è un vantaggio assolutamente non indifferente per la sua adozione.
Il server stupido non è un problema, fosse anche quello di GCM (le cose devono funzionare, bene, altrimenti nessuno le usa). Il fatto che salvi il roster… È problematico, ma il vantaggio è che usa XMPP.
La crittografia a quanto sappia è equivalente – ormai è standard di usare ratcheting con chiavi effimere, ma se OMEMO ha risolto il problema della sincronizzazione delle chiavi effimere attraverso i device… bella mossa.
Il fatto che può sviluppare big data sulle relazioni sociali, le quantità e tempistica dei messaggi umani è un problema serio che si presenta sempre se utilizzi dei server… anche se fossero tuoi (o perché sono vulnerabili o perché interagiscono con altri server usando l’insicurissimo protocollo XMPP-S2S). Anche se non sapessero chi sei. Scienziati hanno dimostrato che i grafi sociali sono correlabili, perciò se hai più o meno gli stessi amici anche in Facebook, le TLA (three letter agency) possono complessivamente deanonimizzare tutti gli utenti anche se hai solo una parte di tale grafo sociale sul tuo server XMPP e i tuoi amici in XMPP tentassero anch’essi di mantenersi anonimi.
La conoscenza dei grafi sociali è sufficiente per manipolare la nostra esistenza (considera i casi Malvinas, Stasi, droni)… “We kill people based on metadata.”
Eh, ma la soluzione che mi viene in mente potrebbe essere XMPP su hidden services, o ancora meglio i2p.
Ma Orbot c’ha il problema che non gestisce bene il roaming da una rete all’altra, e mangia un sacco di dati ogni volta che passi da wifi a rete cellulare. Stream management sul nodo di ingresso? Senza mettere a rischio l’anonimato dell’utente?
No, ogni device ha la sua chiave e il suo fingerprint, da verificare uno per volta. C’è un problema di overhead quando i device diventano tanti.
Non a caso l’onion del CCC è tra i più popolari, ma dal momento che connetti un utente su un server diverso i tuoi metadati attraversano la rete in modo facile da intercettare. E cmq il server del CCC ha un grafo sociale completo dell’attivismo hacker mondiale – e non è detto che siano al sicuro lì.
La soluzione sporca sarebbe di accedere ad un Tor router a casa con qualcosa tipo VPN o proxy. La soluzione pulita di introdurre un protocollo tipo IRC bouncer tra telefonino e EntryNode. Forse tipo Bridges, ma con aggiunta persistenza. Se hai tempo da investire… ma forse ci stanno già lavorando quelli di Orbot.
Ho visto la polemica. Non ho mai avuto un account lì, così come su autistici (ogni volta che pensavo di farlo, leggevo il pippone sulla scarsità delle risorse e pensavo “beh, qualcun altro farà sicuramente un uso migliore del mio di queste risorse”).
Però ultimamente mi sono reso conto che i server xmpp con certificati non troppo validi finiscono a fare i paria. Se provi ad aggiungere qualcuno su un server un po’ insicuro, a quello manco arrivano le richieste.
Esatto. In pratica siamo arrivati alla bancarotta del XMPP. Ma non c’è da sorprendersi visto che non è mai stato un sistema pianificato, non ci è mai stato un ragionamento, un design. Era come era e da li si ha aggiunto roba a non finire. I problemi strutturali descritti da oltre un decennio in http://about.psyc.eu/XMPP non sono mai stati risolti. L’IETF fece una gran minchiata a rendere standard quel ammasso di sintassi XML.
La bancarotta più che di XMPP è di SSL, in questo caso. 
Ma è da un pezzo che l’Internet s’è spostata dai protocolli ai servizi. Com’è che http e smtp sopravvivono ancora, non saprei.