id: Гость   вход   регистрация
текущее время 20:22 23/10/2018
Автор темы: Гость, тема открыта 09/10/2014 23:38 Печать
Категории: криптография, софт, анонимность, приватность, инфобезопасность
http://www.pgpru.com/Форум/АнонимностьВИнтернет/ToxJitsiИДругие-КудыКрестянинуПодаться
создать
просмотр
ссылки

Tox, Jitsi и другие – куды крестянину податься?


В связи с переходом Skype под юрисдикцию M$ и контроль NSA и прочих НКВД, и начавшееся, особенно в 2014 году, выкручивание рук у пользователей принудительными сменами протоколами и версий, самая сознательная часть пользователей ринулись кто куда в поиска счастия.
Одни радостно вляпались в Viber, не осознавая, что всего лишь сменили шило на мыло, другие присели на освободившийся от оков проприетарности Jitsi, третьи возлагают надежды на бурно развивающийся uTox, Venome и другие Tox'ы, некоторых удовлетворил даже такой непритязательный телефон, как Linphone, и т.д. и т.п.
При этом не слишком сознательные пользователи используют SIP-протокол, совершенно забывая, что он не просто открытый, а вообще оголенный с точки зрения безопасности передаваемой информации, а значит, ничем не лучше Скайпа с его штатными соглядатаями.
В-общем, разброд и шатание, которое пока не позволяет выявить лидера защищенной IP-телефонии и объединить широкие массы пользователей вокруг него, тем самым дав новый импульс для его развития.


На этом хаотическом фоне видится лишь одна обнадеживающая тенденция – M$, которой достался Skype, сознательно, или в полуобморочном состоянии, делает все возможное и невозможное, чтобы вызвать к нему отвращение пользователей и вынудить искать ему достойную альтернативу. Видимо, благодаря этому в последнее время расплодилось столько альтернатив Скайпу – многие разработчики почуяли, что тут можно развернуться и при умелом продвижении и пиаре ухватить за хвост птицу удачи, перехватив у него инициативу.


В этой теме предлагаю обсуждать и анализировать не только текущие возможности наиболее перспективных альтернатив Скайпу, но и прогнозировать возможную перспективу и тенденции их развития на будущее с учетом этих самых возможностей.
Цель – объединение пользователей вокруг наиболее перспективных проектов и предотвращение распыления по малозначимым.
Чтобы не получилось так, как например, с Linux – число его проектов уже перевалило сотню, а в употреблении по прежнему 1% – налицо последствия гурта "Лебедь, рак и щука".
Также не помешает вести периодические голосования по рейтингу обсуждаемых IP-телефонов, чтобы ориентировать пользователей для использования наиболее полезных и перспективных.


PS. Намеренно не упомянул здесь о TorFone/OnionPhone ув. тов. Gegel'я – при всем уважении к нему и его чрезвычайно интересным разработкам полагаю его проекты на данный момент безперспективными. Причина проста и банальна – у него пока нет команды, и может получится, как, например, или с Privoxy – театром одного актера, который ушел вместе с ним. или даже с TrueCrypt с его малочисленной командой, которую выловили "прижали к ногтю". Конечно, эта ситуация поправима, но надо этим заниматься.
В то же время тов. Gegel уже приносит огромную пользу в анализе криптовозможностей защищенных IP-телефоном и может принести ее еще больше, если продолжит это полезнейшее занятие, за что ему огромное спасибо!


 
На страницу: 1, 2, 3, 4, 5, 6, 7, 8, 9 След.
Комментарии
— Гость (10/10/2014 00:25)   <#>
Склоняюсь к Tox, альтернатив не вижу.
— Гость (10/10/2014 00:55)   <#>
В качестве затравки репост анализа криптографических возможностей Tox, проведенный тов. Гегелем:

Бегло просмотрел wwwописание криптографии TOX. Весьма скудно, но в общих чертах так: используется Бернштейновская криптобиблиотека NaCl. Асимметричное шифрование там EC25519, симметричное – вроде salsa20. В описании TOX ничего не детализируется, надо смотреть исходники. По поводу SPRNG и источников энтропии тоже ни слова (добрая традиция с ними). Пользователь идентифицируется публичным ключом (это его ИД в DHT). При установке соединения отсылается свой публичный ключ и nonce, из них и ключа плучателя с помощью DH выводится симметричный ключ. Т.е. никаких эфемеральных ключей, и, как результат, без PFS. Т.о., скорее всего, при утечке приватного ключа хотя-бы одного участника давно записанный дамп может быть дешифрован. Отрицаемость даже не обсуждается (другое дело, что скорее всего она практически и не важна для потенциальных пользователей в наших реалиях).
Не совсем понятен механизм аутентификации при первичном p2p-контакте через Tor в режиме ToT: если DHT выполняет маршрутизацию к нему (атаки на DHT пока не осуждаем), то при p2p, получается, надо знать ключ получателя заранее. Возможно, предусмотрена голосовая аутентификация (типв SAS в ZRTP), не нашел в описании.

Как рекомендация – добавить возможность использования PGP для подписи EC-ключей.

Ну, и еще один ньюанс: по видимому, ToT использует выход через Tor на обычный хост (не HS). Наверное, надо будет пробрасывать порт получателю, что не всегда возможно. Кроме того, Exit node – бутылочное горлышко по латентности и дрожанию (проверено экспериментально), соединение с HS гораздо более приемлемо для VOIP.


Гм..
Склоняюсь к Tox, альтернатив не вижу.

Сорри, но есть просьба пояснять, аргументировать свой выбор – это же чрезвычайно интересно и полезно всем.
А то невольно возникает вопрос – а почему, скажем, не Jitsi?
— Гость (10/10/2014 00:57)   <#>

у sipnet есть TLS. это плохо? думается они не единственные в этом.

Есть еще RedPhone.
— Гость (10/10/2014 01:04)   <#>
Тут еще хотелось заметить, что при выборе "инструмента" не стоит забывать о кросплатформенности.
— gegel (10/10/2014 10:00)   профиль/связь   <#>
комментариев: 391   документов: 4   редакций: 0
Если смотреть на ситуацию в целом, то мне видятся следующие основные моменты:
1. Шифрование должно быть p2p. Никакие другие варианты неприемлемы в принципе. ZRTP это обеспечивает.
2. Конечное соединение крайне желательно p2p. Релеи можно использовать, но лишь в крайнем случае, после безуспешных попыток NAT traversal и невозможности сменить провайдера. Любой релей собирает историю контактов в одном месте!.
3. Для установки p2p (обеспечения NAT traversal) использовать распределенные сети: Tor, I2P, свои DHT. Но не конкретные спецсерверы (SIP и т.п.) – это потенциальные точки атак и отказа.
4. Своя DHT (пример – ToX, тот же ZAS) – хорошее решение, но реально работает лишь при значительном количестве участников (популярности проекта). Иначе никакая скрытность не обеспечивается, все прослеживается, и установка связи весьма проблематична. И при всем недоверии параноиков к Tor, на этапе становления проекта использование Tor логичнее. Параллельно можно реализовать свою DHT, и при достижении проектом популярности иметь альтернативу.

Наиболее подходящим по философии, наверное, есть ToX. Но хотелось бы:
– паралельно DHT иметь возможность использовать Tor, i2p, любые другие (пусть самые абсурдные) способы на выбор для поиска абонентов и прохода NAT, причем все – из коробки;
– видеть хорошо документированную модерн-криптографию (еще лучше – с возможностью выбора);
– интеграцию с PGP как наиболее рапространенной и общепринятой системой идентификации.

Что касается обфускации SIP, то это направление становится популярным: в которые раз предлагаю посмотреть черновик fileработы, вышедшей в прошлом месяце.
— ressa (10/10/2014 10:07)   профиль/связь   <#>
комментариев: 1079   документов: 58   редакций: 59
Отдаю предпочтение ТОХ:
– Кроссплатформенность
– Уверенные темпы разработки
– Удобные и читабельные алиасы к user id
– Поддержка Tor
— gegel (10/10/2014 10:43)   профиль/связь   <#>
комментариев: 391   документов: 4   редакций: 0
– Поддержка Tor

К сожалению, она пока отдельно, не интегрирована в философию. Тут даже не именно в Tor суть, а в коробочной интеграции как можно большего количества имеющихся решений, которые могут обеспечить поиск абонента и соединение (любое: узкое, высоколатентное и т.п.) с ним для первичного контакта и прохода NAT с последующей установкой ZRTP.
Пример возможных краевых решений: Independent Deniable
Cloud. Фантазия тут безгранична. И единый сервер проекта тут – самое худшее из всего возможного.
— Гость (10/10/2014 15:25)   <#>
Вот еще хорошо бы обратить внимание. что программа это конечно хорошо и может кроссплатформенность быть, но каким видом связи пользоваться-то?
Например, в Jitsi можно запускать практически на всех ОС и работает с SIP протоколом, jabber и т.д. Такой вид связи выбирать-то?
— Гость (10/10/2014 15:42)   <#>
Описание Jitsi
— Гость (10/10/2014 16:34)   <#>
Отдаю предпочтение ТОХ:
– Кроссплатформенность
.....................

Было бы очень полезно отмечать не только положительные стороны телефонов, но и отрицательные.

Например, у меня вызвали обеспокоенность следующие неясности uTox (по сравнению с Jitsi):
1. Нет возможности контролировать достоверность соединения, как в Jitsi, в котором можно подтвердить доверие и даже обменяться сертификатами
2. Отсутствие мультиаккаунтности
3. Несмотря на подробное исследование тов. Гегеля, так и не понял, кто – Tox или Jitsi – сильнее в плане криптозащиты трафика.
Для массовых пользователей, чтобы они выбирали правильное направление, нужен не столько анализ, сколько понятный законченный вывод.

В Jitsi существенных недостатков пока не обнаружил, но его так и не удалось запустить на WindowsXP, которых еще ох как много в употреблении!
При запуске Jitsi в комстроке XP выдаются ошибки, связанные с Java.
— gegel (10/10/2014 20:44)   профиль/связь   <#>
комментариев: 391   документов: 4   редакций: 0
кто – Tox или Jitsi – сильнее в плане криптозащиты трафика.

Это не совсем корректный вопрос, ответ на него не решает Вашу проблему и не содержит то, что Вы хотели. Но если Вы настаиваете, то: мне кажется, что в плане криптозащиты теоретически сильнее Jitsi, где используется Циммермановский ZRTP-протокол: фактически стандарт защищенной телефонии. На фоне плохо описанного протокола Tox он, безусловно, выигрывает.
Но есть еще проблемы реализации: ToX вобще никем не проверялся, Jitsi использует Java, кроме того у меня после дефолтной установки полез обновляться к себе на сервер (!). Обновление я отключил, но осадочек то остался :)
И еще: Jitsi – это только клиент, и требует аккаунт на внешнем сервере, соответствующий поддерживаемому протоколу (например, SIP или Jabber). Ну, или запустить собственный сервер, что под силу не каждому.

не удалось запустить на WindowsXP

Это с Java у Вас проблемы, но не с Jitsi. У меня все прекрасно работает под XP. Думаю, в портейбельном исполнении тоже будет работать (с Win PE диска). За Windows98 не могу сказать, но не вижу причин, почему нет, если настроить Java.

А вообще то все печально в том виде, в котором Вы хотите: для серьезной модели угроз пока нет хороших массовых решений.

Идеальным для масс было бы приложение на подобие TorChat: скачал, запустил. Оно запустило Tor, при первом запуске сгенерировало ИД и готово для звонков. После соединения с HS абонента: согласование ключа, NAT-traversal через Tor и выход на p2p. Криптопротокол упростить до минимума: обычный DH-обмен внутри Tor + аутентификация инициатора соединения внутри Tor путем создания встречного соединения (как в TorChat). Никаких лишних настроечных элементов для пользователя, все по умолчанию в ini. Можно добавить список контактов и онлайн-присутствие, интегрировав все с TorChat.

Хотите созвониться с девушкой – даете ей ссылку на закачку самораспаковывающегося архива под ее ОС и свой ИД, наверняка дозвонится. Чем проще будет телефон, тем больше шансов на популярность.

А для этого надо минимум: переписать TorChat на Qt, и набросать туда кода с моего OnionPhone, убрав все лишнее + добавить видео. Это не такая уж непосильная задача. И Вы совершенно правы – я никогда не смогу это сделать один. И так то, что уже сделано по TorFone и OnionPhone, самого удивляет: и транспорт, и аудиопроцессинг, и крипто, и разные платформы/компиляторы, и сайт, и доки (а теперь и в LaTeX) – учитывая мой базовый 14.01.02, многое осваивалось с нуля по ходу под вашим зорким оком и здоровой критикой.
— Гость (10/10/2014 22:02)   <#>

Бузусловно, мой вопрос некорректен. Чисто крестьянский вопрос :) Но что делать, если большинство неопытных юзеров будут задавать именно такие вопросы?
И невзирая на то, что безопасность это очень обширный, комплексный вопрос с многими влияющимися факторами, тем не менее, кто-то должен рискнуть и взять на себя ответственность дать рекомендацию по наиболее предпочтительному IP-телефону на текущий момент.
Иначе – разброд, шатание, смута, разочарование..


Тоже так подумал, особенно потому, что на офсайте выложена последняя Java – 7.67, которая, вероятно, плохо подходит к XP, а более старых версий нет.


Оно и грустно. Ведь столько трудов в них вложено, и будет очень жаль, если проект без команды заглохнет.
Наверное, нужно набирать команду, а если не получится, присоединиться к разработчикам Tox, ToT и т.п., где массовость не даст исчезнуть.
На худой конец, стать крутым экспертом, как Satva. Т.е. самому ничего не делать, зато поучать других, как нужно делать :))
— Гость (11/10/2014 11:21)   <#>
Кстати, у всех в Tox отсутсвует звуковой сигнал вызова?
У меня что в Linux, что в Windows его нет :)
— uegen (12/10/2014 15:07)   <#>
Эээээ.... коллеги... мне одному кажется, что никто ничего не говорит о Retroshare?
— Гость (12/10/2014 16:43)   <#>

Передача голосовой информации отсутствует.
На страницу: 1, 2, 3, 4, 5, 6, 7, 8, 9 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3