— SATtva (12/05/2008 16:50)   
ParanoidAnt, меня скорее убеждает Ваша репутация. К тому же даже шелл-доступ не может выступать 100-процентной гарантией отсутствия закладок.

— ParanoidAnt (12/05/2008 17:40)   
Репутация вещь очень зыбкая и что еще важнее локальная :)

— ParanoidAnt (12/05/2008 17:46)   
Я предлагаю высказывать идеи неких мероприятий которые бы могли бы повысить степень доверия к сервису. Понятно что 100% гарантию даст только полный аудит образа неработающей системы, снятие контрольных сумм, сверка их и т.д. ...

— ParanoidAnt (12/05/2008 17:50)   
Некоторые подробности

OS: Linux
ejabberd 2.0.0
физическое расположение: ДЦ в США

— Гость (13/05/2008 02:23)   
Допустим вы не ведете логов. Можете ли вы дать гарантию, что логов не ведут админы датацентра? Кто гарантирует, что логи не начнут вестись по требованию спецслужб? Они ведь могут очень убедительно вас попросить. И где гарантия того, что бекдор не будет внедрен кем-либо имеющим физический доступ к серверу?
Короче говоря, подобных гарантий вы дать не можете. И я бы не стал пользоваться jabber сервером поставленым специально для "анонимов", так как в случае чего это привлечет ко мне излишнее внимание. Гораздо безопаснее пользоваться любым крупным jabber сервером и шифровать сообщения GnuPG.

— Гость (13/05/2008 06:18)   
По сути вопроса: вы же понимаете что кроме администраторов дата-центра есть ещё и системы а-ля псевдоглобальный наблюдатель (СОРМ^[link1] – в России, carnivore^[link2] – за бугром и т.д.). В частности, применительно к данному случаю, эти системы автоматически пишут все jabber-сообщения всех пользователей, отправляя их на дата-центр. Даже если вы пошлёте своё сообщение на зарубежный jabber-сервер, он всё равно пройдёт через хотя бы нескольких провайдеров, а значит засветится в той системе. Последний оплот свободы – это криптография, но и та висит на волоске в связи с прогрессом в понимании последней, а также перспективой создания КК. Если же спасает лишь шифрование то в чём смысл выделенного джаббер-сервера?

Имхо, был бы смысл иметь сервис наподобие meebo^[link3] для случая, когда нужно связаться с человеком, не имеющим PGP. Не знаю как можно улучшить защиту в таком варианте чтобы работало "простым нажатием кнопки", но наверное что-то такое (назовём наш сервис для простоты тоже meebo):

• Пусть сервер meebo принудительно выступает веб-джаббер-сервером для всех кто им пользуется (не туннелирует запросы на другие джабер-сервера как это делает настоящий meebo^[link3]).
• Я присваиваю всем meebo-контактам в листе некий публичный meebo pgp-ключ, в итоге мои сообщения приходят на meebo как pgp-зашированные согласно протоколу, но meebo впоследствии расшифровывает их, и по https (через веб-форму) доставляет адресату. Обратно – аналогично: получение по https сообщения, заворачивание в мой pgp-ключ и отсылка на мой реальный jabber-сервер (jabber.org, для примера). Поскольку джаббер при наличии PGP подписывает статус, то сервер сразу знает какой у кого ключ (meebo сможет определить). Далее есть вопрос верификации отпечатка ключа – это можно сделать по 3му каналу, либо не делать вообще (опционально). Если один раз мне был назначен ключ на meebo, то больше он не спрашивается, при повторных коннектах пользователей. Если же я хочу сменить ключ – можно предусмотреть какую-то условную нотификацию, посылаемую мной на сервис – тогда юзеры смогут повторно верифицировать истинность моего ключа. В общем, схему написать можно, и мне кажется это более осмысленно чем стандартный джаббер-сервер на сторонней площадке. Самая стандартная наболевшая проблема – как раз эта: как общаться с "ламерами", которых не научить пользоваться PGP и прочим (сложно + мотивация), а какую-то информацию передавать всё-таки надо?

— Гость (13/05/2008 06:33)   
Кстати, случано напоролся на много интересных документов^[link4] по теме сорма.

— SATtva (13/05/2008 07:14)   

carnivore – за бугром

Carnivore aka DCS1000 как единую систему зарубили в 2005-2006 в пользу множества коммерческих СОРМоподобных систем (переняли плодотворный опыт отечественных коллег, так сказать).

Имхо, был бы смысл иметь сервис наподобие wwwmeebo для случая, когда нужно связаться с человеком, не имеющим PGP. Не знаю как можно улучшить защиту в таком варианте чтобы работало "простым нажатием кнопки", но наверное что-то такое (назовём наш сервис для простоты тоже meebo):

Не пойму, чем этот вариант лучше. Получается такой же централизованный сервис, через который, к тому же, трафик будет проходить открытым.

— Гость (13/05/2008 07:50)   

Не пойму, чем этот вариант лучше. Получается такой же централизованный сервис, через который, к тому же, трафик будет проходить открытым.

Если нет end-to-end PGP то трафик в любом случае будет проходить открытым. И это так для любого стандартного джаббер-сервера. Другой вопрос: допустим, у вас нет возможности работать из-под своего компьютера (в командировке вы), или вы очень плохо разбираетесь в информационных технологиях и ИБ и вам банально не до того, но нужно с кем-то переписываться. Допустим, что есть сервис которому вы условно доверяете. Вы хотите связываетесь с ним по https (веб-морда), а он уже от вашего лица с оконечным адресатом на основе PGP-ключей сервиса и адресата, как это и полагается в джаббер-протоколе. Я только это хотел сказать.

— ParanoidAnt (13/05/2008 10:06)   
Позиционировать сервер как "jabber для анонимов" не планируется. Есть желание и возможность, сделать сервер "для себя и друзей", если это будет полезно кому то еще – хорошо, если окупится хотя бы хостинг – вообще замечательно. По этому в первую очередь это сервер for personal use. Я подумал что некоторые особенности настройки данного ресурса (отсутствие логирования, защита базы), могут заинтересовать других пользователей. Я прекрасно понимаю что доказать что либо я не могу и задачи такой не ставлю. Меня интересует могу ли я кроме того что заявить на сайте "логи не ведутся" сделать еще что то что повысит степень доверия к серверу.

— ParanoidAnt (13/05/2008 10:11)   
Сервер будет принимать только зашифрованные соединения (TLS) от клиентов, думаю имеет смысл включить то же самое и для S2S соединений. Опыт показывает что кол-во s2s соединений очень не велико даже на популярных ресурсах, по этому можно будет проводить минимальную верификацию сертификатов серверов в "ручном" режиме.

— ParanoidAnt (13/05/2008 10:13)   
Будет и web клиент через https, скорее всего JWChat

— ParanoidAnt (13/05/2008 10:35)   
с s2s вопрос открыт, т.к. не все сервера поддерживают шифрование s2s соединений

— Гость (14/05/2008 02:49)   

Позиционировать сервер как "jabber для анонимов" не планируется.

Вы не правильно поняли (по кр. мере меня). Я имел в виду не анонимность а возможность поработать в защищёном сеансе с чужого компьютера.

Будет и web клиент через https, скорее всего JWChat

А насчёт такой штуки как заворачивалка в PGP? (Это удобно, если один адресат сидит за своей машиной на постороннем jabber-сервере, а другой – на JWChat на вашем ресурсе). [Заметим, что s2s-ширование не отменяет того что jabber.org может читать проходящие через него сообщения, что исключалось бы PGP].

— ParanoidAnt (14/05/2008 11:59)   

А насчёт такой штуки как заворачивалка в PGP? (Это удобно, если один адресат сидит за своей машиной на постороннем jabber-сервере, а другой – на JWChat на вашем ресурсе). [Заметим, что s2s-ширование не отменяет того что jabber.org может читать проходящие через него сообщения, что исключалось бы PGP].

Подробнее объясните что вы хотите шифровать OpenPGP ?

— Гость (14/05/2008 15:09)   

Подробнее объясните что вы хотите шифровать OpenPGP ?

Связь между чел-1 и чел-2. Чел-1 – в командировке, чел-2 – за нормальным рабочим местом с запущенным джаббер-клиентом, у которого сервер – jabber.org

Чел-1 в командировке за чужим компьютером -> jwchat-клиент на параноидальных муравьях через https -> шифрование ключом PGP чела-2 на муравьях -> отсылка на jabber.org PGP-зашированного сообщения (можно и с s2s) от адресата чел-1@муравьи-параноидальные.орг -> jabber.org отсылает сообщение в jabber-клиент чела-2.

Обратно:

ээээ. надо подумать :)
Но суть в том что чел-1 использует https-джаббер-клиент на муравьях как будто это его удалённая машина с запущенным джаббер-клиентом (по функционалу), доверяя сервису использовать pgp-ключи. Цель: сделать так, чтобы люди, использующие разные джаббер-сервера, но отсылающие на муравьёв, имели возможность не позволять сторонним серверам (ака jabber.org) прослушивать свой трфик, несмотря на то, что адресат (чел-1) на той стороне, работает без полноценного pgp.

P. S.: мб я объясняю смутно, но уже 3 раза одно и то же, неужели так трудно понять что требуется? Что-то типа jwchat + шифрование от jwchat до конечного пользователя (на основе PGP, например).

— ParanoidAnt (14/05/2008 17:16)   
вы хотите чтобы шифровал сообщения web клиент или этим должен заниматься север с которым он работает ?

— Гость (15/05/2008 08:02)   

вы хотите чтобы шифровал сообщения web клиент или этим должен заниматься север с которым он работает?

Ну это уже вопрос по конкретной реализации... Я бы так сказал: ваш джаббер-сервер должен фактически выполнять вот какую функцию: быть джаббер-клиентом, берущим сообщения, посылаемые в веб-сервис, заворачивающим их в PGP адресата, и посылающим их конечному адресату по стандартному джаббер-протоколу.

Для простоты, пусть я – такой сервис. Я вижу что некто хочет что-то послать на чел-2@jabber.org. Тогда я копирую сообщения из веб в джаббер-клиент, назначаю PGP-ключ для чел-2@jabber.org и отсылаю его конвенциональным образом. Теперь я уже знаю, что jabber.org не сможет прочитать сообщения. Отправитель же имеет лишь браузер с https и ничего больше. Единственное что остаётся прикрутить – правильный туннель из jwchat в джаббер-клиент, и позаботиться об масштабируемости последнего.

И кстати(!): очень хорошая аналогия – у нас уже есть подобный (но односторонний) сервис на pgpru.com, и называется он "шифрование личных сообщений при их отправке на email". Я залогиниваюсь на pgpru, отправляю прватное сообщение кому-то, при этом pgpru само шифрует моё сообщение pgp-ключом адресата и отправляет ему на мыло. Я бы хотел видеть

• примерно то же самое но не для mail а для jabber
• иметь возможность двусторонней связи (в случае pgpru это выглядело бы так: участник pgpru, получив приватное шифрованое сообщение от сервиса, отвечает на него, – оно в итоге отправляется на pgpru.com и высвечивается в веб-клиенте приватных сообщений как диалог. Только естественно, хотелось чтобы это всё работало быстро, как ив обычной джаббер-связи.

Чтобы получить шифрование в обратную сторону, можно назначить "общий pgp-ключ сервиса" которым люди и будут шифровать все свои сообщения для контактов – веб клиентов сервиса. Подмывает сказать, что можно было бы воспользоваться стандартными целями для этого – сертификатом джаббер-сервиса, но мне не известны стандартные интерфейсы которые это позволяют в отличие от pgp (ибо сертификат сервиса не будет действовать через цепочку "клиент-jabber.org-сервис", хотя его достаточно если вместо jabber.org используется сам сервис, т.е. сообщение с сервиса сразу идёт на клиент получателя а не на его джаббер-сервер).

P. S.: это всё на уровне предложений дополнительного функционала к стандартному джаббер-сервису :)

— Гость (15/05/2008 08:43)   

Какие доказательства своей "благонадежности" должен предоставить владелец ресурса ?

Выложите исходные тексты и рекомендации по установке, чтобы желающие могли использовать самостоятельно "скомпилированную" версию сервера на своём хостинге.

— Кость (30/05/2008 03:55)   
а чего в США? Неудачная страна... Кстати вот похожий сервак thesecure.biz, тоже человек с репутацией поднял..

— SATtva (30/05/2008 12:43, исправлен 30/05/2008 12:44)   

А где на репутацию этого человека можно посмотреть? Доверие — такая вещь, которую опосредованно передать очень трудно.

— Paran0ik (30/05/2008 12:54)   

Кстати вот похожий сервак thesecure.biz, тоже человек с репутацией поднял..

опять же – с репутацией в определенных кругах, этот сервис люди изначально поднимали для себя, я пользуюсь именно им...

а для безопасности никто не мешает шифровать личную переписку своими gpg ключами, хотя есть мысли лучше использовать отдельный ключ, подписанный своим основным, а вообще в голову приходила идея с сеансовыми ключами, уничтожающимися при окончании сессии или через какойто промежуток времени (по типу ОТР)

— unknown (30/05/2008 13:28, исправлен 30/05/2008 13:37)   

От всего что тут понаписали – торчат^[link5]!

Так что jabber не нужен и сервер без логов тоже.

Torchat переносим на флэшке и может работать без инсталляции в Linux и Win.
Шифрование обеспечивается вашим собственным скрытым сервисом Тора (возможно временно развёрнутым), также как и OTR.

Программка – просто скрипт на питоне с граф. оболочкой.

Не проверял насколько там всё безглючно реализовано, но идея хорошая.

— Гость (30/05/2008 14:06)   
Нифига не понимаю. В тех же краях где этот .биз рекомендуют, пилят мозг про тор. С академическими знаниями рассказывая про дыры и логи (в тор), а если нет, то как минимум пугают концентрированным скоплением любителей анонимности. Что облегчает контроль, таких однотипных-однотипных анонимов.
В данном случае пусть доверяем .биз c его логами, и дырами, но все знают кто эти сервер(а) постоянно использует. Вот вам и контроль, для которого и полуглобальных наблюдателей не надо, а достаточно сделать датацентру предложения от которого они не смогут отказаться. Шифруйтесь, впнируйте с (ло) ботомированием, это общую картину, для такого узкого спектра трафика как переписка, наблюдающему не испортит.
В общем выше уже писалось про это.
Вероятно любители и владельцы .биз как минимум не последовательны, а вероятно мыслят и действуют с точностью до наоборот.

— SATtva (30/05/2008 14:49, исправлен 30/05/2008 14:51)   

unknown, спасибо за ссылку. Весьма интересная вещь. (Название в русской транслитерации тоже прелестное. :-)

— unknown (30/05/2008 15:19)   
...а вы торчите в торчате? ;-)

также как и OTR.

Перепутал. Только PFS, а не OTR, что тоже конечно не плохо.

— Гость (31/05/2008 02:36)   

От всего что тут понаписали – торчат

А в чём там иноовация? Поднять свой джаббер-сервер на скрытом ресурсе можно было и без этого. Для меня только не совсем ясно насчёт гейта в обычный интернет (но сделать такой тоже можно).

— unknown (31/05/2008 13:10)   
Инновация только в том, что относительно непродвинутый пользователь может раскомментировать строку в конфиге, разрешающую запуск скрытого сервиса, прописать его порт в torchat.
Настраивать ssl поверх скрытого сервиса необязательно (если достаточно обеспечиваемой tor'ом зашиты 1024-DH, 128-AES) и если гейт в открытый Интренет не нужен.

— SATtva (31/05/2008 15:49)   
Плюс ко всему — полная децентрализация. Jabber всё же квази-децентрализован: клиенты работают через сервер, несмотря на то, что самих таких серверов может быть много.

— _Demon_ (21/06/2008 23:25)   
Было бы неплохо иметь свой сервак, но у него обязательно должны быть какие-то большие преимущество перед остальными

— Нечто (22/08/2008 01:12)   
Осторожно http://thesecure.biz полностью под ментовским контролем и поднял его мудак под ником flycracker. Он обычный кидала, а так же админит форум thecc, база которого досталась ему из третих рук. Так же поднял подконтрольный ментами джаббер, базу своего форума-рипаков так же сливает. Имеет кучу ников на всех форумах, т.к. почетный кидала. Джаббер спонсируют доблесные органы и разумеется именно его ведёт полные логи.

— неважнокто (22/08/2008 04:42)   
ромко, ты чтоли?
ты и сюда добрался.
факты где? Без фактов ноль – цена твоим словам.

— Гость (22/08/2008 09:19)   
мда. кулхацкеры и до сюда добрались? Что важно, какой для нашей доблестной милиции интерес представляют логи, если сервер с самого начала позиционировался как канал для шифрованной переписки (автор сам предлагал использовать pgp)?

— Paran0ik (23/08/2008 16:53)   
не думал что и здесь эта тема поднимется )))
это Нечто даже не в курсе кто владелец сервера и форума thecc :)

а по сабжу – возможно ли существование сервера, (с открытыми исходниками естественно), в котором будет возможность проверки настроек сервера любым пользователем с возможностью подтверждения того, что это не фейк, а реальные его настройки...возможно ли это осуществить например с использованием прав только на чтение в какието каталоги... ?

— SATtva (23/08/2008 18:27, исправлен 23/08/2008 18:29)   

ParanoidAnt начинал эту тему именно с этого вопроса, перечитайте начало обсуждения. В общем, без рутового доступа ничего не докажете. Да и с рутовым доступом тоже. Вот какая разница, открыты исходники сервера или нет? Если только каждый желающий сможет собрать их и установить программу. Опять же, отсутствие закладок на низком уровне системы без физического доступа вообще не проконтролировать. Резюмируя, вы не можете безоговорочно доверять системе, осуществляющей обработку (а не просто хранение) данных, если эта система не принадлежит вам.

— ParanoidAnt (27/11/2008 18:47)   
Сервер подняли, он работает уже несколько месяцев. Как уже было сказано выше гарантия вашей анонимности моя порядочность :) Сервер перенесен в leaseweb (Нидерланды), операционка CentOS, ejabberd 2.0.2. Логи и база на шифрованном разделе (LUKS). Есть планы развивать ресурс.

— SATtva (27/11/2008 18:57)   
А адрес?

— Гость (28/11/2008 01:17)   

А адрес?

ещё чего, щас! :-D

— SATtva (28/11/2008 01:47)   
Я не имел в виду адрес датацентра. :-)

— Гость (28/11/2008 02:32)   
Наверное этот сервис для телепатов...

— Гость (28/11/2008 02:39)   

Jabber сервер без логов

Логи и база на шифрованном разделе

?

— Гость (28/11/2008 03:19)   
Наверное, имелось в виду, стандартные логи сервера, а не переписки. Есть же разные типы логов...

— ParanoidAnt (28/11/2008 11:48)   
имелось в виду всё что лежит в /var/logs а также база пользователей в MySQL, служебные данные ejabberd. Мы пока не открываем ресурс для публичного использования, тестируем. адрес очень симпатичный :) пиши мне, дам координаты. Еще есть над чем поработать, как только будем готовы будет анонс.

— цунами (01/12/2008 06:39)   
leaseweb – подумайте ОЧЕНЬ хорошо прежде чем юзать его, он полностью под мусорами, уехал не один человек