<p dir="ltr"></p>
<p dir="ltr">On Mon, Nov 14, 2016 at 8:37 PM, Giedrius <<a href="mailto:iksius@gmail.com">iksius@gmail.com</a>> wrote:<br>
</p>
<blockquote><p dir="ltr">><br>
</p>
</blockquote>
<p dir="ltr">> What I am thinking about is not security of SSL or encryption<br>
> algorithms but rather trust-on-first-use method. As I understand this<br>
> method mostly relies on users ability to check and validate<br>
> certificate fingerprints. It might be ok for SSH where users can be<br>
> expected to be IT and security savvy, but in my opinion it is not ok<br>
> for a regular user. First of all certificate validation is not<br>
> enforced in any way, so the average user most often would just ignore<br>
> this step. Also, certificate fingerprints are quite complicated and<br>
> can make validation error prone or may discourage the validation step<br>
> altogether  (I am not sure how feasable it is, but an attacker could<br>
> try to generate its own certificates which would produce similar<br>
> fingerprints). Are such my wories invalid?<br></p>
<p dir="ltr">Generating a certificate is not possible. Even if the certificates are self signed, the private key is intact with the user and generating private key from public key in certificate is unfeasible according to computing power requirements.<br>
 </p>
<blockquote><p dir="ltr"><br>
</p>
</blockquote>
<p dir="ltr">><br>
><br>
> As I said, I am not security expert and I would be very glad if<br>
> someone corrected me :)<br>
><br>
> Giedrius<br>
><br>
> > Nothing in this life is completely fail- or hack-proof, but I think KDE<br>
> > Connect security is, at this point, pretty decent :)<br>
> ><br>
> > Since the recent version 1.0, it uses SSL and trust-on-first-use, like SSH<br>
> > (which you could say is not hack-proof either, nothing is). Of course, SSH<br>
> > has likely been audited way more than kdeconnect, so if you are a security<br>
> > specialist and want to check kdeconnect for implementation errors or other<br>
> > security flaws, it would be of great help!<br>
> ><br>
> > Albert<br>
> ><br>
> > On Sun, Nov 13, 2016 at 6:50 PM, ixius ixius <<a href="mailto:iksius@gmail.com">iksius@gmail.com</a>> wrote:<br>
> ><br>
> > > Hello,<br>
> > ><br>
> > > I am concerned about security aspect of the kde-connect pairing procedure.<br>
> > > I am no expert in security but as I understand the pairing of the devices<br>
> > > currently is not completely fail-(or hack-)proof. Am I right or am I<br>
> > > missing something? And if I am not wrong, I wonder if there are any plans<br>
> > > to solve the issues?<br>
> > ><br></p>