為了怕用市面上的通訊 app 會洩露國家機密，政府好像打算禁用其它通訊軟體
https://www.youtube.com/watch?v=TA5qS8nndr4
除此之外，打算推工研院自己搞的一套 Juiker
號稱資安做得一級棒，身為不務正業的業餘資安人，好奇在網路上找到一份 API 文件，
檔名
"31.Juiker社群通訊服務平台.doc"
看了一下驚為天人，截錄一小段加密方式 http://imgur.com/Vml2psm
"將密文加在Random key後傳送如下"
有沒有好棒棒的政府為了加強資安保密，做出一套好棒棒的系統
產生出來的密鑰是跟密文一起傳送的八卦？金鑰產生的方式就不提了
加密方法用的也是好棒棒被認為已經有問題的 RC4
http://0rz.tw/C2EnG
還有根據官網 https://www.juiker.tw 這套好棒棒好安全的軟體
因為用了 HTTPS 就無敵了，可是 Android client 連憑證都沒驗
http://www.cvedetails.com/cve/CVE-2014-6693/
有沒有這個國家前途無可限量的感覺?
###############
更新：
根據 FB 上有人的回應是，那份 API 是以前某個活動開放給學生使用的而已
並非真正的產品 API
###############

這個真的不意外，因為政府單位做事情的多數都是一知半解，時常文件都寫的很奇特。

還有可能文件和實作是兩回事

....這也太厲害

這樣 Random 的意義是?

洩漏以後就不算機密了，所以也就沒洩密問題 XD

我還以為是rsa..base64算那門子密文

不知道又有幾百萬的稅金收入了

樓樓上 它是先base64再RC4 雖然還是....

這api的document寫得好差

http://www.ithome.com.tw/node/83924 大廠都不用RC4了

感覺他得安全性是建立在https之上的這一段傳送random key根本多於 要編碼base64就夠了

可以理解RC4->base64 無法理解base64->RC4 RC4完又爛了吧然後HTTPS裡頭用RC4...到底意義是什麼 不相信HTTPS？

又是圾垃外包 裡面不知道多少回扣 選舉要到了 快找立委

硬要加密再放KEY該不會是要符合spec吧 還是真的一知半解

這真的是工研院資通所的團隊自己寫出來的並非外包啊.....其它就bj4 XD

規格並沒有講fixed key對收送雙方如何fixed!沒那麼笨啦!別忽略任何國家都要手機通話能被合法監聽,否則就不放照!

一個軟體能不能被合法監聽不是國定機構能管的

雖然這系統真的滿鳥的不過樓主看不出這流程根本是學WEP的也的確很業餘通訊軟體用這種方式，最大的洞就是沒有合適方式做key交換用hardcode根本是找死我也不太懂做菜，也算業餘的但我不會看到廚師加上看不懂的調味料就說 "他要下毒"BTW,google一下文件來源就知道，那應該是示範或加題

那張圖不是Desktop APP, 是Android APP的問題最新版App或許有更正了有空的人可以測看看