Ремейлеры, Perfect Forward Secrecy и TOR
perfect forward secrecy – становится все более популярным делом.
Например, многие ремейлеры уже имеют SMTP-вход с поддержкой подобного протокола. Раньше наблюдатель мог записывать исходящую от корреспондента почту, а затем попытаться получить закрытый ключ от первого ремейлера в цепочке (в судебном порядке или путем взлома).
А с таким протоколом это будет бесполезно.
комментариев: 73 документов: 1 редакций: 0
комментариев: 11558 документов: 1036 редакций: 4118
Ремейлеры Mixminion (третье поколение) обеспечивают PFS изначально — это часть протокола. Другое дело, что эта система ещё на довольно ранней стадии разработки.
комментариев: 9796 документов: 488 редакций: 5664
Вот последняя статистика по переходу ремэйлеров на TLS -подключение:
https://www.noreply.org/tls/
Можете выбрать те, которые обеспечивают "эфемерные" ключи Диффи-Хэллмана. Это не имеет прямого отношения к протоколу "Mixminion". Это работает для прямого подключения к первому ремэйлеру (в цепочке) любого типа.
Это делается вот для чего:
Ремэйлеру нельзя предъявить перехваченное от пользователя письмо с требованием расшифровать и выдать следующего участника цепочки пересылки.
У перехватывающей стороны есть только запись шифрованного сеанса связи, но не само письмо. Владелец ремэйлера может честно сказать: "извините, это был сеанс связи с одноразовым эфемерным ключем. Я не могу его расшифровать – все одноразовые ключи уничтожаются после сеанса".
Тоже самое будет, если закрытый ключ ремейлера будет похищен (скомпрометирован).
В соответствии с принципом "perfect forward secrecy " могут пострадать только те, кто посылал сообщения после компрометации ключа, но не до этого момента.
Вот пример использования:
http://www.bananasplit.info/mailtls.html
Еще более эффективно использовать тройную защиту:
сеть TOR->TLS вход в ремэйлер->цепочка ремейлеров.
Поскольку SMTP-соединения не имеют выхода из сети TOR (меры против спама), существуют по крайней мере два ремэйлера, обеспечивающие прямой вход через сеть TOR.
Это Panta-Rhei
https://www.panta-rhei.dyndns.org/
Tor-адрес страницы: https://rjgcfnw4sd2jaqfu.onion/
Tor-адрес сервиса: rjgcfnw4sd2jaqfu.onion:25
Вот полный список:
https://www.panta-rhei.dyndns...... ListOfHiddenServices
и упомянутый выше "bananasplit".
Вот еще инструкции по работе с этими системами:
https://www.panta-rhei.dyndns......rityAndEncryptionFaq
https://www.panta-rhei.dyndns......awiki/HowToJbnAndTor
https://www.panta-rhei.dyndns.org/hashcash/index.html
комментариев: 11558 документов: 1036 редакций: 4118
banana bananasplit.info
bikikii bikikii.ath.cx
chicago xenophon.homeip.net
dingo mail.dingoremailer.com
frell frell.theremailer.net
hastio remailer.hastio.org
panta panta-rhei.dyndns.org
rot26 constellation.noreply.org
комментариев: 9796 документов: 488 редакций: 5664
... или имел прямой SMTP адрес в самой сети TOR вида rjgcfnw4sd2jaqfu.onion:25
комментариев: 73 документов: 1 редакций: 0
Мой тупизм тем более неприятен, что пользуюсь и пантой и бананой через TOR.
комментариев: 9796 документов: 488 редакций: 5664
PFS – это просто название общего принципа – "Perfect Forvard Secrecy".
И тупизма здесь никакого не наблюдается. Это новые протоколы. Вы их осваиваете, затем все обмениваются опытом и учатся на чужих ошибках.
Кстати, Вам удалось обойти грабли с отсылкой IP адреса в самом письме от клиента через TOR к ремэйлеру? Я честно говоря пока с этим не экспериментировал.
P. S. Может тему разделить и перенести в обсуждение ремейлеров?
P. S. S. Так, тему уже разделили и она находится в том разделе, где ей и положено теперь быть
комментариев: 31 документов: 8 редакций: 0
В чем может быть причина?? Настройки со вчерашнего дня не менял (ну кроме того что задал путь к лог-файлу). ОС винХР.
комментариев: 9796 документов: 488 редакций: 5664
В логах что-нибудь есть?
Некоторые версии клиента отвергаются сетью. Может обновиться?
Все ли порты, необходимые для работы открыты?
В конфиге прописано, что коннектиться надо с localhost? Netstat – список открытых портов можно увидеть, там Tor слушает свой порт?
Privoxy нормально сконфигурирован на работу с Tor? Может "настройки слетели"?
А если послать запрос через [браузер->Privoxy->Tor], то что Tor в логах напишет?
P. S.
Кстати, winuser'am может быть актуально, что если у них заведутся какие-то трояны, работающие через tor, то отловить их по сетевой активности будет сложно, а настройки файрволлов для индивидуальных программ будут бесполезны.
комментариев: 31 документов: 8 редакций: 0
Порты открыты, чтоб удостовериться отключил файерволл вобще не помогло...
И вобще вы упускает очень важную деталь что Вчера Все Работало!!! Но не с первого раза, первый раз я вчера запустил было тоже самое, потом я просто закрыл ТОР и запустил снова он соеденился и все работало (почта через него ходила, аська, браузер через привокси и ТОР), а сегодня не работает сам не пойму в чем дело.
комментариев: 11558 документов: 1036 редакций: 4118
Это заставит Тор использовать только стандартные HTTP и HTTPS.
Кстати, если программа работает не по стандартным HTTP и HTTPS либо не имеет встроенной поддержки socks4a, её, похоже, будет нереально заставить работать через TOR в Windows. Только через socks4a можно направить dns-resolve в TOR, а не в обход, а, скажем, мне так и не удалось найти ни одного соксификатора для Win32 с поддержкой этого протокола — либо socks4, либо socks5. А через privoxy ничего кроме HTTP(S) не пропустишь.
комментариев: 9796 документов: 488 редакций: 5664
Ну DNS нужен не всегда. Я не знаю, входят ли в Windows-версию утилиты tor-resolve и torify. Если даже нет, возможно их добавят позже. Могу только привести их в качестве простого примера.
tor-resolve <pop3.somemailserver.com>
получаем ответ через Tor в виде IP-адреса.
Прописывает "айпишник" в mail-клиент. Запускаем его через torify <mailclient>
Запускается обычная (даже с графическим интерфейсом) почтовая программа и можно скачивать почту. Сниффер показывает обычную работу Tor. Так как в программе забиты IP, то DNS запросы не используются.
Изредка (раз в несколько месяцев) IP адреса серверов меняются. Их легко можно заменить. Можно держать два разных конфига для почтовика и подставлять нужный при запуске (использовать Tor или нет).
комментариев: 11558 документов: 1036 редакций: 4118
Касаемо tor-resolve, у меня он стабильно выдаёт
и отказывается работать. Ну, впрочем, это не настолько принципиально — можно просто в вебе через браузер-privoxy-tor выполнить whois.
комментариев: 9796 документов: 488 редакций: 5664
Не знаю, у меня эта штука просто входит в состав пакета и находится в зависимости с tsocks (который является стандартным пакетом в дистрибутиве). Вероятно, в Windows много разных "соксификаторов", да не каждый подходит или еще не выбрали к какому приделать такую "обвязку".
комментариев: 11558 документов: 1036 редакций: 4118