id: Гость   вход   регистрация
текущее время 11:53 28/03/2024
Автор темы: Гость, тема открыта 14/03/2011 14:49 Печать
Категории: криптография, софт, анонимность, приватность, инфобезопасность, атаки
http://www.pgpru.com/Форум/АнонимностьВИнтернет/ПоследниеНовостиПриватныхСетей
создать
просмотр
ссылки

Последние новости приватных сетей


На мой взгляд форум помертвел, как и новостная лента, а между тем, новостей по тематике сайта все больше и больше, с каждым днем.


Предлагаю дополнить раздел софт, https://www.pgpru.com/soft
информацией о сетях типа freenet, появляющихся сейчас, и появившихся ранее.


Привожу несколько ссылок:
http://www.servalproject.org/


http://www.qualcomm.com/news/r.....-open-source-project


http://ru.m.wikipedia.org/wiki?search=i2p


так же было бы неплохо осветить сам фринет, с чего все начиналось и какие трудности возникли, какие атаки существуют...


 
На страницу: 1, 2, 3 След.
Комментарии
— Гость (18/03/2011 19:06)   <#>
Полностью поддерживаю!
децентрализованные, открытые и независимые схемы для обмена информацией – это то явление, которое должно активно развиваться, пропагандироваться и распространяться. Естественно только в том случае, если наша цель – противостояние диктату, свобода мысли, приватность и безопасность.

P.S. Призыв слегка пафосный, но тема действительно заслуживает и требует внимания.
— Гость (19/03/2011 14:21)   <#>
Этак вы действительно безопасные сети начнёте пропагандировать, а не "самый лучший из того, что есть" Tor ;)
— Гость (19/03/2011 15:52)   <#>
Зацикливание на одном лишь TORе и отказ от альтернатив, это, мягко говоря – глупо.
— Anonymous (19/03/2011 18:07)   <#>
Многиее из таких сетей не являются альтернативой, а могут использоваться как дополнение.

Так, например freenet и I2p это к тому же файловые хранилища, распределенные между пользователями, на основе алгоритмов разделения секрета, чего нет в tor-е.

Плюс, сейчас появляются сети исключительно для мобильных устройств, а сам по себе телефон ужасно персонализирует пользоваьеля в сети.

Шансы оставаться анонимным используя все блага нынешних технологий уменьшаются, и тема требует особого внимания.

Предлогаю выдернуть от сюда http://ru.wikipedia.org/wiki/Анонимные_сети самые перспективные проекты.
— unknown (20/03/2011 18:26, исправлен 20/03/2011 18:46)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Отвечалось неоднократно. Здесь например.


Будут ещё спрашивать, придётся подкорректировать фамильярно-категоричный тон и внести в FAQ ;-)


Сотни проектов децентрализованных (и вообще анонимных) сетей разрабатываются академическим сообществом. Вот хотя бы PIR-Tor: концепт-проект доказуемо-безопасного перевода сети Tor на p2p-архитектуру. Авторы этой работы (и сотен аналогичных) наверняка после того как опубликовали, что сделали? Побежали кодить? Да посчитали всё, взвесили и положили на полочку архива красивых теоретических игрушек. Может когда-нибудь удасться стряхнуть пыль и реализовать. Нормальный консервативный академический подход. Потому что ведущие исследователи знают все трудности.


Существующие даже самые передовые анонимные p2p-системы, обеспечивающие лишь эвристическую безопасность, легко взламываются как пассивными, так и активными атаками. Более того, эти системы слишком сложны и их применимость возможна только в сетях со структурированной топологией. Авторы приводят краткий обзор атак на анонимные p2p-системы на примере дизайна MorphMix, сетей с безопасными операциями запроса DHT. Все они дают существенную утечку информации об инициаторе и сторонах соединения.

Большинство работ показывают, что децентрализованные сети на том уровне теоретических знаний, что есть сейчас, дают больше пространства атак на раскрытие анонимности. В будущем — они возможно перспективнее, сейчас — нет.


Но народ требует новых модных фич. И появляются герои-хакеры-шифрпанки. Которые кодят гораздо лучше любых исследователей, но неспособны не то, что теоретически обосновать стойкость своей разработки. Они неспособны ни написать теоретическую работу-обоснование, ни даже толком понять массив существующих работ (это не про всех конечно). И их сети принципиально не будут рассматриваться профессиональными исследователями, будь эти сети хоть трижды опенсорсными и клятвенно анонимными. Исследователи будут сотый раз изучать какой-нибудь покрытый мхом, но хорошо формализованный Tarzan или Morphmix (которыми никто реально не пользовался и дыры которых служат наглядным пособием), чем I2P и т.д., у которых ни внятной формальной модели, ни теоретического обоснования, ни документации по разработке, ни дорожной карты, ни контактов с разработчиками в учреждениях (фирмы, институты), а только какие-то хакерские полуанонимные группы разработчиков без репутации.


Есть несколько вариантов преодоления этого кризиса (по принципу сближения крайностей).


  1. Сеть становится настолько популярной, что исследователи не могут её игнорировать. При её изучении выявится такое интересное число дыр, что это стоит опубликовать. Хотя обычно всем на это наплевать — не академический проект, зачем по нему писать работу?
  2. Дизайн шифрпанковской сети будет хоть и непрофессиональным, но будет содержать действительно интересные и оригинальные идеи или фичи, которые позаимствуют для более продуманной реализации в академических работах.
  3. Шифрпанки дорастут до уровня академических исследователей. Получат научные степени, работу соответствующую — как произошло с авторами протокола OTR.

Ну появится стОящая сеть, которая наберёт обороты, тогда вэлком. Большинство же абсолютно унылы и могут произвести впечатление только на тех, кто не видел кладбище аналогичных проектов или даже успешно существующих, но полностью игнорирующих все реалии разработки не просто в шифрпанско-хакерском, но и научном сообществе.


[off]
Кстати, тяжёлое наследие даже таких эталонных, казалось бы программ, как GnuPG и OpenSSL, тоже идёт с тех времён, когда шифрпанки были впереди исследователей и многие решения там были приняты вперёд стандартов и исследований.
[/off]

— Гость (20/03/2011 18:52)   <#>
Вы по ссылке сравняли гнунет с и2п, а зря.
— unknown (20/03/2011 18:58, исправлен 20/03/2011 19:05)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Где?


а – вот, подловили! Действительно, обшибся слегка ;-)


GnuNet в отличие от массы пафосных недоделок, сравнительно грамотно разрабатываемый проект. Правда, не могу лично подвердить, но из-за малого числа пользователей, утверждают, что скороть скачивания чрезвычайно низкая.

— Гость (21/03/2011 04:26)   <#>
Будут ещё спрашивать, придётся подкорректировать фамильярно-категоричный тон и внести в FAQ ;-)
Давно уже пора. Там намёк на это всё уже есть, но не такой развёрнутый, как вы сейчас описали.
— unknown (21/03/2011 10:47, исправлен 21/03/2011 10:48)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Да, похоже назрело. FAQ дополнен. Не стоит воспринимать как истину в последней инстанции, скорее повод задуматься перед принятием решения и оценки рисков анонимности/приватности. Если у кого-то есть интересные материалы по проектам анонимных сетей, то всегда интересно узнать мнения, обзоры, опыт работы. В официальном FAQ Tor, тоже есть пункт, где любителей файлообмена посылают в известном направлении другие сети. Но рекомендовать что-то конкретное пока сложно и возможно долгое время будет так. Скорее к сожалению — потому что Tor действительно неидеален и всех потребностей покрыть не может.

— Гость (21/03/2011 12:55)   <#>
FAQ дополнен.
Спасибо! Очень даже неплохо получилось. Язык/пунктуацию попозже подправлю.
— Гость (23/03/2011 06:21)   <#>
Язык/пунктуацию попозже подправлю.

Done. Состояние поля боя после войны правок можно посмотреть тут. Языковые предпочтения местами сугубо индивидуальны, но авторский смысл старался сохранить :)

цепочки прокси не имеют под собой никакой теоретической базы.

Не для внесения в FAQ: Это правда, но не вся правда. Как от теоретически нестойкого шифра до его практического взлома может быть как до Луны пешком, так и от систем "без теоретической базы" (что не означает, что там нет никаких иных разумных соображений) до их практической деанонимизации может быть очень далеко, что и обсулавливает популярность как однохоповых прокси, так и их цепочек/ботнетов. Более подробно освещалось здесь в качестве ответа на вопрос
Известен хакерский прием, когда для сокрытия следов и запутывания следствия создают специальный канал из цепочки ПК с разных уголков мира. Насколько тяжело найти самый первый хакерский ПК? Сколько времени это может занять?
Как видите, ответ был отличным от "вскрывается элементарно, ведь под этим же нет никакой теоретической базы!".
— unknown (23/03/2011 09:40, исправлен 23/03/2011 09:46)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Отлично, спасибо! С уточнениями согласен, приведение в более читабельный вид тоже вышло очень хорошо. Если будут какие-то ещё обсуждения то есть смысл продолжить их под самим FAQ.

Как видите, ответ был отличным от "вскрывается элементарно, ведь под этим же нет никакой теоретической базы!"

Например, можно как-то развить и кратко-внятно-понятно изложить мысль, что хотя I2P, Freenet и пр. — не шедевр, серьёзных теоретических публикаций по ним мало (и в ближайшем будущем не предвидиться), но для некритичного защищённого файлообмена лучше использовать их, чем вообще ничего или чем пытаться использовать совсем не предназначенные для таких целей решения.

— Гость (23/03/2011 12:15)   <#>
В голове вертелось что-то более глобальное, типа "обобщить максиму Кирхгофа и указать на сферу её применения", аналогично про теоретические наработки. Дело-то не только в анонимных сетях, этот вопрос местами всплывает в разных темах защиты информации. Грубо говоря, есть крайности (с одной стороны, "нет теоретического обоснования — не стоит даже говорить о", с другой стороны, "мы сейчас сами свой мир построим, нечего тут долго думать, надо трясти кОдить"), а есть взвешенный подход, когда выбирается инструмент под задачу с учётом рисков и текущего состояния исследований в области. Например, использовать цепочки прокси сейчас — идиотизм, когда есть Tor, но лет 10 назад это могло бы быть осмысленно. Так же и про всё остальное. Допустим, нет хорошей надёжной и проработанной сети для быстрого файлообмена, потому те, кому совсем позарез надо, обращаются к i2p, что, конечно, "лучше чем ничего". Вот какие-то такие идеи.
— unknown (23/03/2011 12:40, исправлен 23/03/2011 12:50)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
с одной стороны, "нет теоретического обоснования — не стоит даже говорить о", с другой стороны, "мы сейчас сами свой мир построим, нечего тут долго думать, надо трясти кОдить"

Ну вот мысль о необходимости сближении подходов, "конвергенции на почве апробации", вроде как была донесена. Ясно, что по-отдельности на обеих этих крайностях ничего не вырастет.


Сферический теоретик в вакууме будет рассчитывать сферическо-вакуумных коней без малейшего стимула к реализации. Шифрпанки с горячими головами традиционно реализуют такие системы, что закладчики бэкдоров могли бы позавидовать — нарочно ведь бывает уязвимости не придумаешь.


В FAQ хотелось бы не сочинять трактат по поводу этой проблемы, а дать минимальное представление пользователям для воздержания от крайностей.


Ну и в продолжение ответа к теме, заданной TC.


Появляется новость (например на pgpru) про очередную распрекрасную суперанонимную систему от теоретиков с кучей выкладок и формул (в тексте новости они не приводятся, дабы не мельтешить тем, кто если и захочет разобраться, то заинтересуется первоисточником). Пользователи спрашивают: "Когда ждать реализации?". Что им отвечать? С большой вероятностью, что никогда или в составе другого какого-нибудь проекта в неопределённом будущем?


И наоборот. Пользователи набрели на проект в сети, где много пафоса про свободный неподконтрольный обмен информацией. Шифрование как волшебный лекарственный порошок (по метафоре Шнайера) появляется на всём протоколе в большом количестве и только на основании этого создаётся иллюзия создания безопасной системы. Ещё производят впечатление "стойкие алгоритмы с большим ключом", "цепочки бесконечной длины" "полная децентрализация". Ещё никто не догадался стеганографию прикрутить туда же, вообще нарасхват у целевой аудитории будет. И прочие детали оформления проекта вызывает умиление. Пользователи спрашивают — почему про проект не пишем? Какие у него уязвимости? Что им отвечать? Что это никому из известных специалистов неинтересно?


Ну да. У теоретиков — снобизм, у шифрпанков — пафос. А стОящие проекты рождаются редко. Причём реально могут появиться с обеих сторон, если стороны будут сотрудничать.

— Гость (23/03/2011 12:59)   <#>
В FAQ хотелось бы не сочинять трактат по поводу этой проблемы, а дать минимальное представление пользователям для воздержания от крайностей.

Конечно, всецело поддерживаю, и считаю, что то, как было написано — это уже достаточно сбалансированно. Я вопрос поднял, т.к. к слову было упомянуть, что корень проблемы насколько шире. Вот есть у нас отличная статья "как оценивать меры защиты", но по сути дело-то не в защите, а в том, что головой думать надо при принятии решения, и один-в-один та статья подходит про оценку любых решений. Так же и здесь. В чуть другом виде тот же спор "академики vs шифрпанки" идёт и на уровне "абстрактная наука vs профит для идустрии" и т.п.
На страницу: 1, 2, 3 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3