ZAS Communicator
ZAS Communicator Opensource Project: secure voice, file transfer and text chat.
Комментарии, советы, предложения?
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
Нормы пользования. Некоторые права на материалы сайта защищены по условиям лицензии CreativeCommons. Движок
openSpace 0.8.25a и дизайн сайта © 2006-2007 Vlad "SATtva" Miller.
|
||||||||||||||||||||||||||
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 393 документов: 4 редакций: 0
Заменил users.xml на ваш новый, запустил, разрешил в брандмауере, сгенерировал ключ ОК.
Но Bootstrap не выполняется, причем абсолютно никакой сетевой активности при этом не наблюдается (контролирую весь трафик машины внешним снифером). Что не так делаю?
И еще вопросы:
Откуда взят DH-прайм?
Откуда исходник PRG?
Накапливается ли энтропия в процессе работы программы? Если да, то какие источники?
Чем собирали исходники (версия VC)?
Пишите письма
zas@zas-comm.ru
Поднимите свой бутстрап
Праймы сгенерены. Можно добавлять.
Нравится?
Да. Из трафика.
VS12
комментариев: 393 документов: 4 редакций: 0
Можете в том числе и меня считать таковым :)
Повторюсь:
В том числе как udp-пакетов, так и tcp-syn-пакетов (контролирую снифером). Так что хоть чужой, хоть свой – все равно не понятно. Ладно, с этим потом разберусь, в т.ч. по исходникам.
Посмотрите Циммермановкую доку на PGPFone со стр.72, о генерации прайма по David
Kravitz (NIST). Иожет, оно и out-of-date сейчас, но все ж лучше, чем просто
А то как бы не вышло как с Dual EC DRBG...
Пока не анализировал. Но несерьезное отношение к PRG всегда чревато. Я, конечно, не специалист в криптографии, но не совсем понятно, как трафик, изначально доступный злоумышленнику, можно использовать в качестве источника энтропии для PRG? Или, возможно, я что-то неверно понял?
Может, он имеет в виду генерацию случайных чисел из секретных для противника prime numbers. С ними вроде как всё плохо и непрактично, а из тех, что неплохие, известен только BBS. Ну, и, наверно, он нам хочет сказать, что prime numbers можно поменять на свои.
комментариев: 393 документов: 4 редакций: 0
Я посмотрел код: для добавления энтропии в PRG используется функция криптопровайдера виндоус CryptGenRandom. Вызывается она на старте программы, при генерации ключа пользователя (многократно), так и перед каждой установкой соединения и Diffie-Hellman (генерацией секрета). Сиды хранятся в файле, обновляемом в процессе работы программы. В тонкости работы PRG я не вникал, но он использует полином для добавления данных в пул и и генерирует rand, используя IDEA.
Вообщем, выглядит как обычно.
Что касается DH: действительно, праймы можно подгружать из файла (при этом проводится проверка по Miller_Rabin, рабочий прайм выбирается случайно из доступных.
Но я одного не пойму: не сами ж Вы это все писали, почему бы не указать ссылки на источники фрагментов кода (SSL, другие опен-проекты и т.п.)? Это только добавит доверия к продукту.
По-моему, каждый файл GPL/BSD/etc-исходника содержит
копирайтныйкопилефтный материал в начале файла в комментариях. Этот материал однозначно указывает на происхождение исходника и его авторство. По крайней мере, я много раз такое видел. Если у автора этого нет, то что это значит? Он выпилил все копирайты?комментариев: 393 документов: 4 редакций: 0
Вот и я о том же: выпилено подчистую даже с реализаций idea, diffie-hellman и bignum (см. исходники) Но мне кажется, что не разработчиком, а до него: скорее всего, весь комплект взят с какого-то другого проекта, возможно, закрытого/коммерческого.
И хотя это ничуть не умаляет функционал проекта, но просто затрудняет анализ исходников.
Хотелось бы услышать коментарий непосредственно автора, а не промоутеров.
Так это же ЗАС! Техническая документация на ЗАС выдаётся только тем, кому положено.
Другим правительствам будете продавать решение или только в РФ?
http://www.zas-comm.ru
Выпущена бета версия 0.2
Новый интерфейс
Исправлено много багов
Смотрите, тестируйте, присылайте пожелания, логи и баг репорты.
zas@zas-comm.ru
комментариев: 11558 документов: 1036 редакций: 4118
Вангую, что не в последний раз.
комментариев: 1079 документов: 58 редакций: 59
Ну я так понял, что только под винду, да? О какой приватности тогда идет речь? Какие планы дальнейшие и тд.
А то так ну совсем не интересно.
Планов и дел много. Хороших и разных.
Кому интересно и кто хочет участвовать, пишите в личку.
zas.zas-comm.ru