Последние новости приватных сетей
На мой взгляд форум помертвел, как и новостная лента, а между тем, новостей по тематике сайта все больше и больше, с каждым днем.
Предлагаю дополнить раздел софт, https://www.pgpru.com/soft
информацией о сетях типа freenet, появляющихся сейчас, и появившихся ранее.
Привожу несколько ссылок:
http://www.servalproject.org/
http://www.qualcomm.com/news/r.....-open-source-project[link1]
http://ru.m.wikipedia.org/wiki?search=i2p
так же было бы неплохо осветить сам фринет, с чего все начиналось и какие трудности возникли, какие атаки существуют...
Ссылки
[link1] http://www.qualcomm.com/news/releases/2011/02/09/qualcomm-innovation-center-launches-alljoyn-open-source-project
[link2] http://www.pgpru.com/comment41210
[link3] https://www.pgpru.com/novosti/2010/pirtorkonceptproektdokazuemobezopasnogoperevodasetitornap2parhitekturu
[link4] http://www.pgpru.com/faq/anonimnostjobschievoprosy#h37444-4
[link5] https://www.pgpru.com/faq/anonimnostjobschievoprosy/diff?a=-1&b=45370
[link6] http://www.popmech.ru/blogs/post/2581-100-anonimnost/
[link7] http://www.irongeek.com/i.php?page=security/darknets-i2p-identifying-hidden-servers
[link8] http://www.net.in.tum.de/fileadmin/TUM/NET/NET-2010-07-1.pdf
[link9] http://www.pgpru.com/forum/anonimnostjvinternet/retroshare
[link10] http://www.pgpru.com/comment50018
[link11] http://www.pgpru.com/forum/anonimnostjvinternet/dvizhkidljazakrytyhsoobschestv
[link12] http://www.pgpru.com/forum/politikapravorealjnyjjmir/privatnajaanonimnajasocsetj
[link13] http://www.pgpru.com/comment68299
[link14] https://higherlogics-trac.sourcerepo.com/higherlogics_clavis/wiki/WikiStart
[link15] http://waterken.sourceforge.net/
Полностью поддерживаю!
децентрализованные, открытые и независимые схемы для обмена информацией – это то явление, которое должно активно развиваться, пропагандироваться и распространяться. Естественно только в том случае, если наша цель – противостояние диктату, свобода мысли, приватность и безопасность.
P.S. Призыв слегка пафосный, но тема действительно заслуживает и требует внимания.
Этак вы действительно безопасные сети начнёте пропагандировать, а не "самый лучший из того, что есть" Tor ;)
Зацикливание на одном лишь TORе и отказ от альтернатив, это, мягко говоря – глупо.
Многиее из таких сетей не являются альтернативой, а могут использоваться как дополнение.
Так, например freenet и I2p это к тому же файловые хранилища, распределенные между пользователями, на основе алгоритмов разделения секрета, чего нет в tor-е.
Плюс, сейчас появляются сети исключительно для мобильных устройств, а сам по себе телефон ужасно персонализирует пользоваьеля в сети.
Шансы оставаться анонимным используя все блага нынешних технологий уменьшаются, и тема требует особого внимания.
Предлогаю выдернуть от сюда http://ru.wikipedia.org/wiki/Анонимные_сети самые перспективные проекты.
Отвечалось неоднократно. Здесь например[link2].
Будут ещё спрашивать, придётся подкорректировать фамильярно-категоричный тон и внести в FAQ ;-)
Сотни проектов децентрализованных (и вообще анонимных) сетей разрабатываются академическим сообществом. Вот хотя бы PIR-Tor: концепт-проект доказуемо-безопасного перевода сети Tor на p2p-архитектуру[link3]. Авторы этой работы (и сотен аналогичных) наверняка после того как опубликовали, что сделали? Побежали кодить? Да посчитали всё, взвесили и положили на полочку архива красивых теоретических игрушек. Может когда-нибудь удасться стряхнуть пыль и реализовать. Нормальный консервативный академический подход. Потому что ведущие исследователи знают все трудности.
Большинство работ показывают, что децентрализованные сети на том уровне теоретических знаний, что есть сейчас, дают больше пространства атак на раскрытие анонимности. В будущем — они возможно перспективнее, сейчас — нет.
Но народ требует новых модных фич. И появляются герои-хакеры-шифрпанки. Которые кодят гораздо лучше любых исследователей, но неспособны не то, что теоретически обосновать стойкость своей разработки. Они неспособны ни написать теоретическую работу-обоснование, ни даже толком понять массив существующих работ (это не про всех конечно). И их сети принципиально не будут рассматриваться профессиональными исследователями, будь эти сети хоть трижды опенсорсными и клятвенно анонимными. Исследователи будут сотый раз изучать какой-нибудь покрытый мхом, но хорошо формализованный Tarzan или Morphmix (которыми никто реально не пользовался и дыры которых служат наглядным пособием), чем I2P и т.д., у которых ни внятной формальной модели, ни теоретического обоснования, ни документации по разработке, ни дорожной карты, ни контактов с разработчиками в учреждениях (фирмы, институты), а только какие-то хакерские полуанонимные группы разработчиков без репутации.
Есть несколько вариантов преодоления этого кризиса (по принципу сближения крайностей).
Ну появится стОящая сеть, которая наберёт обороты, тогда вэлком. Большинство же абсолютно унылы и могут произвести впечатление только на тех, кто не видел кладбище аналогичных проектов или даже успешно существующих, но полностью игнорирующих все реалии разработки не просто в шифрпанско-хакерском, но и научном сообществе.
[off]
Кстати, тяжёлое наследие даже таких эталонных, казалось бы программ, как GnuPG и OpenSSL, тоже идёт с тех времён, когда шифрпанки были впереди исследователей и многие решения там были приняты вперёд стандартов и исследований.
[/off]
Вы по ссылке сравняли гнунет с и2п, а зря.
Где?
а – вот, подловили! Действительно, обшибся слегка ;-)
GnuNet в отличие от массы пафосных недоделок, сравнительно грамотно разрабатываемый проект. Правда, не могу лично подвердить, но из-за малого числа пользователей, утверждают, что скороть скачивания чрезвычайно низкая.
Давно уже пора. Там намёк на это всё уже есть, но не такой развёрнутый, как вы сейчас описали.
Да, похоже назрело. FAQ[link4] дополнен. Не стоит воспринимать как истину в последней инстанции, скорее повод задуматься перед принятием решения и оценки рисков анонимности/приватности. Если у кого-то есть интересные материалы по проектам анонимных сетей, то всегда интересно узнать мнения, обзоры, опыт работы. В официальном FAQ Tor, тоже есть пункт, где любителей файлообмена посылают в
известном направлениидругие сети. Но рекомендовать что-то конкретное пока сложно и возможно долгое время будет так. Скорее к сожалению — потому что Tor действительно неидеален и всех потребностей покрыть не может.Спасибо! Очень даже неплохо получилось. Язык/пунктуацию попозже подправлю.
Done. Состояние поля боя после войны правок можно посмотреть тут[link5]. Языковые предпочтения местами сугубо индивидуальны, но авторский смысл старался сохранить :)
Не для внесения в FAQ: Это правда, но не вся правда. Как от теоретически нестойкого шифра до его практического взлома может быть как до Луны пешком, так и от систем "без теоретической базы" (что не означает, что там нет никаких иных разумных соображений) до их практической деанонимизации может быть очень далеко, что и обсулавливает популярность как однохоповых прокси, так и их цепочек/ботнетов. Более подробно освещалось здесь[link6] в качестве ответа на вопрос Как видите, ответ был отличным от "вскрывается элементарно, ведь под этим же нет никакой теоретической базы!".
Отлично, спасибо! С уточнениями согласен, приведение в более читабельный вид тоже вышло очень хорошо. Если будут какие-то ещё обсуждения то есть смысл продолжить их под самим FAQ.
Например, можно как-то развить и кратко-внятно-понятно изложить мысль, что хотя I2P, Freenet и пр. — не шедевр, серьёзных теоретических публикаций по ним мало (и в ближайшем будущем не предвидиться), но для некритичного защищённого файлообмена лучше использовать их, чем вообще ничего или чем пытаться использовать совсем не предназначенные для таких целей решения.
В голове вертелось что-то более глобальное, типа "обобщить максиму Кирхгофа и указать на сферу её применения", аналогично про теоретические наработки. Дело-то не только в анонимных сетях, этот вопрос местами всплывает в разных темах защиты информации. Грубо говоря, есть крайности (с одной стороны, "нет теоретического обоснования — не стоит даже говорить о", с другой стороны, "мы сейчас сами свой мир построим, нечего тут долго думать, надо
трястикОдить"), а есть взвешенный подход, когда выбирается инструмент под задачу с учётом рисков и текущего состояния исследований в области. Например, использовать цепочки прокси сейчас — идиотизм, когда есть Tor, но лет 10 назад это могло бы быть осмысленно. Так же и про всё остальное. Допустим, нет хорошей надёжной и проработанной сети для быстрого файлообмена, потому те, кому совсем позарез надо, обращаются к i2p, что, конечно, "лучше чем ничего". Вот какие-то такие идеи.Ну вот мысль о необходимости сближении подходов, "конвергенции на почве апробации", вроде как была донесена. Ясно, что по-отдельности на обеих этих крайностях ничего не вырастет.
Сферический теоретик в вакууме будет рассчитывать сферическо-вакуумных коней без малейшего стимула к реализации. Шифрпанки с горячими головами традиционно реализуют такие системы, что закладчики бэкдоров могли бы позавидовать — нарочно ведь бывает уязвимости не придумаешь.
В FAQ хотелось бы не сочинять трактат по поводу этой проблемы, а дать минимальное представление пользователям для воздержания от крайностей.
Ну и в продолжение ответа к теме, заданной TC.
Появляется новость (например на pgpru) про очередную распрекрасную суперанонимную систему от теоретиков с кучей выкладок и формул (в тексте новости они не приводятся, дабы не мельтешить тем, кто если и захочет разобраться, то заинтересуется первоисточником). Пользователи спрашивают: "Когда ждать реализации?". Что им отвечать? С большой вероятностью, что никогда или в составе другого какого-нибудь проекта в неопределённом будущем?
И наоборот. Пользователи набрели на проект в сети, где много пафоса про свободный неподконтрольный обмен информацией. Шифрование как волшебный лекарственный порошок (по метафоре Шнайера) появляется на всём протоколе в большом количестве и только на основании этого создаётся иллюзия создания безопасной системы. Ещё производят впечатление "стойкие алгоритмы с большим ключом", "цепочки бесконечной длины" "полная децентрализация". Ещё никто не догадался стеганографию прикрутить туда же, вообще нарасхват у целевой аудитории будет. И прочие детали оформления проекта вызывает умиление. Пользователи спрашивают — почему про проект не пишем? Какие у него уязвимости? Что им отвечать? Что это никому из известных специалистов неинтересно?
Ну да. У теоретиков — снобизм, у шифрпанков — пафос. А стОящие проекты рождаются редко. Причём реально могут появиться с обеих сторон, если стороны будут сотрудничать.
Конечно, всецело поддерживаю, и считаю, что то, как было написано — это уже достаточно сбалансированно. Я вопрос поднял, т.к. к слову было упомянуть, что корень проблемы насколько шире. Вот есть у нас отличная статья "как оценивать меры защиты", но по сути дело-то не в защите, а в том, что головой думать надо при принятии решения, и один-в-один та статья подходит про оценку любых решений. Так же и здесь. В чуть другом виде тот же спор "академики vs шифрпанки" идёт и на уровне "абстрактная наука vs профит для идустрии" и т.п.
Кстати, по поводу первых двух приведённых топикстартером ссылок. За ними как раз стоят группы исследователей из академических кругов. Так они позиционируются в своих проектах.
Оба проекта касаются одной темы — создания распределённой сети поверх мобильных устройств. Тут опять же компромисс и большие теоретические сложности. Мобильные устройства — гораздо менее доверяемые платформы, чем обычные компьютеры. Работы по проведению вычислений в недоверяемой среде — такое шаманство, что даже читать не хочется. С теоретической точки зрения проще убить всех производителей закрытого аппаратного ПО, чем играть с ними в кошки-мышки на алгоритмических ухищрениях.
К сожалению, фактически единственный проект идеологически открытого на аппаратном уровне (и то не до конца, из-за невозможности получить открытые GSM-модули) мобильника — OpenMoko — умер.
За новинками телекоммуникационных корпораций не угнаться. Попытки делать свободные прошивки на эппло-нокиа-гуглофонах и считать их после этого безопасными вызывают опять же острые вопросы о том "как оценивать меры защиты".
Уже понемногу начинается, но пока
шифрпанкизмея сама себя за хвост кусает: Darknets and hidden servers: Identifying the true IP/network identity of I2P service hosts, Adrian Crenshaw, Black Hat DC 2011[link7]В 7ой главе, "Anonymity and Peer-to-Peer systems", i2p рассмотрен как пример[link8] (диссер).
Android Вы не относите к такой операционной системе по причине закрытости реализаций конкретных операторов связи?
На сколько я знаю, можно скачать исходники и собрать все самому, не уверен лишь, держит ли дефолтное ядро всю аппаратуру.
Внимательнее: "открытого на аппаратном уровне". То есть на уровне (производства) микросхем.
Это о том, что можно аппаратный снифер вместе с жуком в железку вставить, и ПО даже не будет об этом подозревать?
п.с. тогда всё железо вокруг такое. Какой там ОЕМ, переходим в гараж с паяльниками.
При выполнении алгоритмов в реальном времени становятся актуальными атаки криптоанализа по побочным каналам, связанным опять же с временем исполнения. Это всё не так критично на избыточном по ресурсам десктопе/сервере, где всё, что можно кэшируется и произвольным приложениям сложнее считать время исполнения команд других приложений. Мобильник часто завязан на привязку к сервисам и загрузке приложений от этих сервисов, которые могут давать утечку таких данных.
в худшем варианте да, но десктоп/сервер/ноут не заточен под выполнение чего-то конкретного — больше вариантов сочетаний комплектующих.
Кстати, хорошо рассмотрен. Даже на уровне рассмотрения, возможности атак примерно такие же, как и на Tor, даже больше вариантов. Плюс развеивает иллюзии насчёт децентрализованности: если правильно понял, у разработчиков есть вообще единственный главный ключ от статистики, с помощью которого можно делать тоже самое, что и при сговоре DA в Tor.
анонимность анонимных сетей преувеличена. японские компании дешифровали даже PerfectDark.
если никто не занялся этой сферической gnunet – руки не дошли просто.
Эта та, у которой клиент с закрытым исходным кодом?
японские
городовойкомпанииИли ретрошара, программа которая действительно анонимна, о которой и пойдёт речь.
Стоит сразу отметить: информация изложена простым языком и не затрагивает уж глубокие детали.
Актуальность: Контроль информации усиливается, блокировка торрент-трекеров уже никого не удивляет, а вероятности "прослушки" сообщений, MiTM атак, воровства паролей от многих ресурсов, все возрастают. Откровенное отслеживание пользователя в сети, с любыми намерениями, будь то таргетированная реклама, деанонимизация пользователя, воровство персональных данных, являются отрицательной чертой современного Интернета. Существуют угрозы как моральной сферы так и вполне материальной, и приведённые выше – только малая часть. RS предоставляет возможнотсть избежать многих из этих изъянов.
Не беспокоит, и/или вам нечего скрывать?
Окей, убедить можно только сомневающегося, другие уже нашли что им надо, Вас никто не заставляет что-то делать.
У этой программы малый порог вхождения относительно других децентрализованных сервисов подобного плана, то есть простота в использовании, а функциональная способность типа F-2-F позволяет вам с друзьями запросто получить собственную Dark сеть с шарингом файлов. Нужно только обменяться сертификатами.
Не доверяете интернет коммуникациям? Отправьте сертификат бумажным письмом, и пусть друг сделает так же.
Но можно меняться не только с друзьями IRL но так же и познакомится с людьми на чат сервере, обменяться с ними и встроить себя в часть глобальной сети. Чем больше участников в сети, тем больше расшаренных файлов и больше общая пропускная способность сети.
Retroshare впитала лучшее из уже существующих решений
Файлообмен
Одзна из лучших организаций файлообмена: применены принципы EMule, Kad и подобных сетей, т.е. работает DHT, нет нужды в торрент файлах, поиск производится по именам расшаренных файлов. Не хочется долго искать нужный файл, а нужна ссылка на скачивание? Система каналов позволит скачивать свежие, необходимые Вам, данные.
Это лучше чем торренты. Почему? Потому что ссылка на скачивание содержит хэш файла, это позволяет скачивать у всех пиров этот же файл, вне зависимости от названия и расширения.
Средства коммуникации
RS в своем арсенале имеет чаты с чат комнатами, альтернативный имейл между учстниками сети и личные сообщения.
Публичные чаты видны и доступны для общения всем, а в приватные могут писать только приглашенные.
Имейлы позволяют написать участнику сети, которого у вас нет в друзьях и письмо будет доставлено по цепочке доверенных пиров, а так же тому, кто сейчас оффлайн. А в ЛС вам может написать только человек из друзей, при этом, по прямому туннелю, без посредников, а для этого оба должны быть онлайн.
Так же существуют форумы, отличающиеся от привычных разве что организацией сообщений.
Где то это уже было..
[1][link9] → [2][link10], [3][link11], [4][link12]…
«Анонимная программа» — это хорошо сказано. :) Но вообще как бы главная претензия к RS — та, что, как unknown пишет, она неанонимная[link13].
Clavis[link14] Waterken[link15]
Кто может поделиться подробностями работы этих проектов? У меня браузер, например, не открывает такие url-ы _https://sha-256-hl6w2x74ixy6pi5n.yurl.net:4445/-/tutbucks/#s=ashzre7yp5wauo
В TBB (скорее, в самом Tor) есть ограничения на резволвинг урлов. Например, не резолвятся те урлы, которые содержат подчёркивание.
Чеку в виде подчеркивания (_https…) я поставил в урл специально, т.к. не известно куда он ведет. :)
А я имел в виду комментарий в общем: есть адреса типа https://domain_name.name.domain/path/to, которые в TorBrowser'е не открываются из-за Tor'а, а в других браузерах работают. Дело в подчёркивании в самом DNS-имени.