id: Гость   вход   регистрация
текущее время 15:31 28/03/2024
Автор темы: SATtva, тема открыта 17/12/2004 00:49 Печать
http://www.pgpru.com/Форум/ПрактическаяБезопасность/OTRMessagingНезаписываемаяПереписка
создать
просмотр
ссылки

OTR Messaging: "Незаписываемая переписка"


Вам это понравится.


Никита Борисов и Иан Голдберг выпустили программу Off-the-Record Messaging. Это плагин для GAIM, обеспечивающий защищённую IM-переписку. Внимания заслуживает не столько этот факт, сколько особые свойства программы:
— шифрование сообщений
— аутентификация собеседников
— perfect forward secrecy
— возможность отречения (!)


PFS достигается благодаря эфемерным ключам, согласуемым по Диффи-Хеллману. Даже если текущий ключ будет скомпрометирован, секретность прежней и будущей переписки не пострадает.


Последнее свойство особенно интересно. Обычно аутентификация производится с помощью ЭЦП, но это жёстко привязывает человека к написанным словам: впоследствии он не сможет отказаться от сказанного, поскольку его сообщения заверены его закрытым ключом (этот ключ был известен ему одному).


С OTR ситуация иная. На нижнем уровне протокола с помощью закрытых ключей аутентифицируется MAC-код каждого из собеседников (MAC, или имитовставка, — это хэш-значение, зависимое от сообщения и симметричного ключа). Сами же передаваемые сообщения аутентифицируются с помощью этих MAC'ов (так каждый собеседник может быть уверен в аутентичности и целостности полученного сообщения). А раз оба собеседника знают MAC-коды друг друга, то даже если один из них решит опубликовать протокол переписки, он не сможет доказать, кто писал какие сообщения. Более того, после окончания сеанса переписки каждый из контрагентов может опубликовать MAC-коды в Сети, а раз они опубликованы, то данную беседу мог провести любой.


Вот такая хитрая штучка для тех, кто не хочет быть пойманным за язык. ;)


Версия плагина есть только под Debian или Fedora Core Linux.


 
На страницу: 1, 2, 3 След.
Комментарии
— Lustermaf (26/02/2006 01:47)   профиль/связь   <#>
комментариев: 225   документов: 8   редакций: 2
Уже вышли версии для Windows, в виде плагина для Gaim и виде локального прокси.

Кто-нибудь эту штуку использовал? Пробовал ли OTR прокси с Tor совмещать?
— ПэГусев (19/08/2007 22:51)   профиль/связь   <#>
комментариев: 112   документов: 8   редакций: 15
Любопытная штучка этот OTR Messaging. Надо заценить.
— spinore (20/08/2007 01:54, исправлен 20/08/2007 03:33)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786

© http://www.cypherpunks.ca/otr/Protocol-v2-3.1.0.html
Штука интересная, но больше похожа не детскую поделку.
Видать, не доходит до многих, что писать опознавающие сигнатуры есть зло. Каждый пакет, блин метят через "OTR".

Как понял, у них только 128-битный аес, а это это неучитывает атаки по отношению к КК (сделали хотя бы 256, что есть в стандартных библиотеках).

Ставить gaim только ради OTR... он же не консольный :((

В описании протокола много всякой требухи в стиле домножений, возведений в степень и т.д., а вдруг они не специалисты в крипто, тогда превратится в домашнюю поделку. /me не разбирается, но есть мнение что существующие стандартные библиотеки для ифрования позволяют забыть о подобных действиях... или они решили переписать?

P. S.: раньше видел этот сайт, но тогда идей не было зачем это нужно. А когда появились идеи, забыл что был такой сайт. Спасибо за ссылку.
— ПэГусев (20/08/2007 09:49)   профиль/связь   <#>
комментариев: 112   документов: 8   редакций: 15
Ставить gaim только ради OTR... он же не консольный :((

Есть еще OTR proxy. Собрал я его для посмотреть. Но он тоже не консольный. И джаббер не поддерживает. Посему фтопку.
— ПэГусев (20/08/2007 10:01)   профиль/связь   <#>
комментариев: 112   документов: 8   редакций: 15
есть мнение что существующие стандартные библиотеки для ифрования позволяют забыть о подобных действиях... или они решили переписать?

libotr и otrproxy линкуются со стандартной GNUшной библиотекой libgcrypt.
— Гость (26/08/2007 15:11)   <#>
В развитие темы:
http://www.xmpp.org/extensions/xep-0116.html
— SATtva (26/08/2007 19:08, исправлен 31/08/2007 22:18)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Об этих расширениях писал два с лишним года назад.
— Гость (26/08/2007 21:49)   <#>
Каждый пакет, блин метят через "OTR".

Ну, блин, исходники же открытые!
OTR proxy ... джаббер не поддерживает.

Это пока!
"The current version is 0.3.1, which means it's still a long way from done."
— Гость (26/08/2007 22:05)   <#>
Есть идея сделать открытый проект с реализацией симметричного шифрования против КК (то есть на предположении, что теряем всю веру в асимметрию) в нагрузку к идеологии с perfect forward secrecy (основанной на идее о том, что разделяемый секрет передаётся по третьему каналу). Технически – поднять проксю под локальным пользователем, которая бы пропускала через себя jabber-траффик, парсила XML и шифровала/расшифровывала симметричным алгоритмом. Есть человек, который, предположительно, напишет реализацию. Вопросов два:
  • Если уже существует что-то подобное, ткните в ссылку.
  • Были потуги сделать отрицаемость применяемого метода шифрования (подделаться под OpenPGP-jabber-сессию, но метода не нашли из-за того пародокса, что OpenPGP-шифрование требует подписи...) Сама идея родом из таких рассуждений: если будут ловить jabber-траффик в интернете, то чтобы не могли бы понять, кто действительно пользуется OpenPGP, а кто под него "подделывается", реально используя вышеописанную схему шифрования (например, если пользователь хочет быть анонимным, используемый тип джаббер-шифрования не должен сужать критерии его поиска во всём море джаббер-траффика). Сошлись к тому что это невозможно. У кого есть идея как можно подделаться под OpenPGP-jabber-траффик – отпишитесь.
— Гость (26/08/2007 22:23)   <#>
зы: речь идёт исключительно о jabber.
— ПэГусев (26/08/2007 23:01)   профиль/связь   <#>
комментариев: 112   документов: 8   редакций: 15
Это пока!
"The current version is 0.3.1, which means it's still a long way from done."

Последний релиз otrproxy датируется 2005-11-03.
— ПэГусев (01/09/2007 00:07)   профиль/связь   <#>
комментариев: 112   документов: 8   редакций: 15
Есть идея сделать открытый проект с реализацией симметричного шифрования против КК (то есть на предположении, что теряем всю веру в асимметрию)

А не кажется ли Вам, что данная ситуация имеет тот же класс эквивалентности, что и использование асимметричного крипто без опубликования открытых ключей (обмен открытыми ключами происходит по третьему каналу)?

Еще задачка: а можно ли построить схему использования асимметрии для согласования симметричного сессионного ключа при наличии на канале пассивно слушающего оппонента, обладающего квантовым компьютером и соответствующими открытыми ключами?

Не специалист в криптографии, так что прошу сильно не пинать.
— cooshoo (01/09/2007 09:55)   профиль/связь   <#>
комментариев: 83   документов: 4   редакций: 4
можно ли построить схему использования асимметрии для согласования симметричного сессионного ключа при наличии на канале пассивно слушающего оппонента, обладающего квантовым компьютером и соответствующими открытыми ключами?
Зависит от соотношения времени на генерацию ключа и на его раскрытие. Если скажем новый ключ создается за минуту, а раскрывается за месяц, можно создать последовательность "вложенных" ключей (когда каждый следующий зашифрован предыдущим), время взлома которой превысит время жизни зашифрованной информации.
Если же время взлома сопоставимо с временем генерации – ассиметричная криптография приказывает долго жить. Во всяком случае сегодняшние алгоритмы.
Все остальные схемы (типа использования скрытых каналов для передачи дополнительной ключевой информации) в конце концов сводятся к личному обмену ключами.
— Гость (01/09/2007 12:00)   <#>
ПэГусев
А не кажется ли Вам, что данная ситуация имеет тот же класс эквивалентности, что и использование асимметричного крипто без опубликования открытых ключей (обмен открытыми ключами происходит по третьему каналу)?

Участники высказались за то, что симметричное шифрование лучше асимметричного если принимать угрозу КК (более надёжно, более устойчиво к криптоанализу). Также произносились слова unknown'а о том, что в перспективе сделают асимметрию устойчивой к КК, но пока только идут разговоры и исследования, а принципиальных причин неосуществимости указанного нет. В силу того, что движителем "прогресса" является коммерция, где ценность информации исчезает по прошествии небольшого промежутка времени (со слов SATtva'ы), массовой заинтересованности в криптографии, устойчивой с учётом атак, применимых в будущем, не наблюдается. Грубо говоря, никого не напрягает тот факт, что через каких-то, может быть, 50 лет вся его переписка будет прочитана по первому требованию (открытый ключ, используемый в сообщении, известен, а найти его можно на сервере ключей. Время расшифрования с помощью КК займёт мало времени).

Еще задачка: а можно ли построить схему использования асимметрии для согласования симметричного сессионного ключа при наличии на канале пассивно слушающего оппонента, обладающего квантовым компьютером и соответствующими открытыми ключами?

Это как раз речь о том, что уже написал. Разработки идут, ищут оптимальные алгоритмы, исследуют их, сделают когда-нибудь, но совсем не торопятся. Текущее большинство вполне устраивает тот факт, что
  • Авторство каждого поста можно проверить независимо.
  • Ваш собеседник в принципе может конструктивно доказать что именно вы писали ему то что вы писали, выдав ваши подписанные сообщения после их расшифрования своим ключом.
  • По прошествии некоторого времени вся асимметрично зашифрованная информация будет легко расшифрована.
Итог: схема PGP-шифрования/подписи в её стандартном ракурсе вполне подходит для защиты коммерческих секретов, а вот личных... это бААльшой вопрос...
— ПэГусев (01/09/2007 16:29)   профиль/связь   <#>
комментариев: 112   документов: 8   редакций: 15
Если же время взлома сопоставимо с временем генерации – ассиметричная криптография приказывает долго жить.

Это если использовать исключительно асимметричное крипто, причем в том виде, в котором оно есть сейчас.
А если применить комбинацию приёмов?
Что приходит в голову:
1. Секретом может быть протокол согласования симм. ключей П = П(xij)
2. Секретом могут быть xij
3. Может быть замаскирован сам факт того, что происходит согласование ключей.
На страницу: 1, 2, 3 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3