为了怕用市面上的通讯 app 会泄露国家机密，政府好像打算禁用其它通讯软件
https://www.youtube.com/watch?v=TA5qS8nndr4
除此之外，打算推工研院自己搞的一套 Juiker
号称资安做得一级棒，身为不务正业的业余资安人，好奇在网络上找到一份 API 文件，
档名
"31.Juiker社群通讯服务平台.doc"
看了一下惊为天人，截录一小段加密方式

"将密文加在Random key后传送如下"
有没有好棒棒的政府为了加强资安保密，做出一套好棒棒的系统
产生出来的密钥是跟密文一起传送的八卦？金钥产生的方式就不提了
加密方法用的也是好棒棒被认为已经有问题的 RC4
http://0rz.tw/C2EnG
还有根据官网 https://www.juiker.tw 这套好棒棒好安全的软件
因为用了 HTTPS 就无敌了，可是 Android client 连凭证都没验
http://www.cvedetails.com/cve/CVE-2014-6693/
有没有这个国家前途无可限量的感觉?
###############
更新：
根据 FB 上有人的回应是，那份 API 是以前某个活动开放给学生使用的而已
并非真正的产品 API
###############

这个真的不意外，因为政府单位做事情的多数都是一知半解，时常文件都写的很奇特。

还有可能文件和实作是两回事

....这也太厉害

这样 Random 的意义是?

泄漏以后就不算机密了，所以也就没泄密问题 XD

我还以为是rsa..base64算那门子密文

不知道又有几百万的税金收入了

楼楼上 它是先base64再RC4 虽然还是....

这api的document写得好差

http://www.ithome.com.tw/node/83924 大厂都不用RC4了

感觉他得安全性是建立在https之上的这一段传送random key根本多于 要编码base64就够了

可以理解RC4->base64 无法理解base64->RC4 RC4完又烂了吧然后HTTPS里头用RC4...到底意义是什么 不相信HTTPS？

又是圾垃外包 里面不知道多少回扣 选举要到了 快找立委

硬要加密再放KEY该不会是要符合spec吧 还是真的一知半解

这真的是工研院资通所的团队自己写出来的并非外包啊.....其它就bj4 XD

规格并没有讲fixed key对收送双方如何fixed!没那么笨啦!别忽略任何国家都要手机通话能被合法监听,否则就不放照!

一个软件能不能被合法监听不是国定机构能管的

虽然这系统真的满鸟的不过楼主看不出这流程根本是学WEP的也的确很业余通讯软件用这种方式，最大的洞就是没有合适方式做key交换用hardcode根本是找死我也不太懂做菜，也算业余的但我不会看到厨师加上看不懂的调味料就说 "他要下毒"BTW,google一下文件来源就知道，那应该是示范或加题

那张图不是Desktop APP, 是Android APP的问题最新版App或许有更正了有空的人可以测看看