id: Гость   вход   регистрация
текущее время 22:17 23/08/2017
Автор темы: Гость, тема открыта 29/09/2012 13:35 Печать
Категории: криптография, приватность
создать
просмотр
ссылки

Cryptocat


на ресурсе не нашел упоминаний.


Представлен проект Cryptocat, в рамках которого создана реализация системы для организации работы web-чата, отличающаяся недоступностью передаваемых в рамках общения сообщений на сервере и транзитных узлах сети. Все передаваемые в внутри чата сообщения шифруются на стороне клиента с использованием алгоритма AES-256 и методов криптогрфии по эллиптическим кривым. Код клиентской и серверной части распространяется под лицензией AGPLv3. Серверная часть может быть запущена на любом хосте с интерпретатором PHP. Возможен запуск Cryptocat в виде скрытого сервиса Tor (http://xdtfje3c46d2dnjd.onion). В процессе создания новой комнаты чата пользователь набирает случайную последовательность из 256 символов, на основании которых генерируется ключ для доступа к данной комнате. Подобный подход решает проблемы с качественной генерацией случайных чисел на стороне браузера. Просматривать сообщения в рамках созданной комнаты могут только пользователи получившие созданный ключ. Для упрощения процесса приглашения пользователей в чат обеспечена поддержка адресной книги Facebook. Так как данные изначально передаются в шифрованном виде, администраторы сервера, на котором размещена серверная часть чата, или провайдер клиента не могут перехватить сообщения. Для подтверждения личности пользователей чата предусмотрена возможность использования цифровых подписей. Из возможностей также можно отметить функцию отправки приватных сообщений определённому участнику и поддержку передачи в рамках чата изображений и zip-файлов. Клиентская часть выполнена в виде браузерного web-приложения. Кроме того, подготовлены отдельные дополнения для браузеров Chrome и Firefox, которые позволяют полностью вынести логику работы чата на сторону клиента, используя сервер только для хранения зашифрованных данных и списка подключенных пользователей. Также доступны отдельные приложения для платформ Android, iPhone и Blackberry. Приложение для Android примечательно тем, что оно использует для передачи данных анонимную сеть Tor и в качестве сервера задействует скрытый сервис Tor.


 
На страницу: 1, 2, 3, 4 След.
Комментарии
— SATtva (29/09/2012 13:42)   профиль/связь   <#>
комментариев: 11507   документов: 1035   редакций: 4022
Всё бы с ним было замечательно, если бы не

Клиентская часть выполнена в виде браузерного web-приложения.

У клиента нет никаких гарантий, что сервер не был скомпрометирован и не выдал ему модифицированную версию клиента, раскрывающую ключ, например.
— Гость (29/09/2012 14:27)   <#>
а можно серьезно относится к продукту такого плана, созданному в россии? может там уже предусмотрен контроль со стороны спецслужб?
— SATtva (29/09/2012 14:38)   профиль/связь   <#>
комментариев: 11507   документов: 1035   редакций: 4022
Причём тут Россия?

К слову, разработчик принял основную критику и во второй версии устранил названный недостаток (эфемерность JS-скрипта), переписав программу в виде браузерных расширений.
— Гость (29/09/2012 15:07)   <#>
Причём тут Россия?

пардоньте) погорячился
— Гость (29/09/2012 15:15)   <#>
SATtva
как вы считаете, есть ли смысл в использование сего продукта? есть ведь тот jabber, gpg и tor. смысл в этом "огороде" или, лучше сказать, в преимущества?
— SATtva (29/09/2012 15:47)   профиль/связь   <#>
комментариев: 11507   документов: 1035   редакций: 4022
Хорошая, годнаяэлегантная реализация, своей простотой сразу привлекла внимание множества светлых умов мировой крипто-инженерии, которые нашли её технически корректной, если не считать вышеназванного фундаментального недостатка, который уже практически устранён.
— Гость (30/09/2012 00:05)   <#>
осталось разобраться как этим пользоваться (с кем бы протестировать?)

и еще. предполагается, что путем интеграции WebRTC, firefox и другие, смогут составить серьезную конкуренцию традиционным im сервисам. Насколько я понимаю, данное решение помогает связываться 2(?) браузерам напрямую. А как защищается канал связи?
— Гость (30/09/2012 01:08)   <#>
cryptocat – замечательная штука, но, как я вижу, имеет смысл только для приватного общения двух лиц
— SATtva (30/09/2012 10:11)   профиль/связь   <#>
комментариев: 11507   документов: 1035   редакций: 4022
"Имеет смысл" и "функционально возможно" — разные вещи. К каналу может быть подключено произвольное число пользователей.

Пользователи взаимодействуют не напрямую, а через централизованный jabber-сервер. Сервер используется только для поддержания конференций (в терминологии jabber), но не видит имена пользователей и передаваемый контент, поскольку клиенты используют оконечное шифрование. Сервер пересылает зашифрованные блобы.

Здесь приведён протокол и формальная модель угрозы.
— Гость (30/09/2012 12:16)   <#>
любой желающий может проследить за ходом коллективной "беседы", зная её название.
— SATtva (30/09/2012 15:08)   профиль/связь   <#>
комментариев: 11507   документов: 1035   редакций: 4022
=> Не называйте имя конференции посторонним, используйте его как ключ.
— Гость (30/09/2012 16:06)   <#>
используйте его как ключ.
опять всплывает банальный вопрос: а как его безопасно передать всем собеседникам?
— SATtva (30/09/2012 16:10)   профиль/связь   <#>
комментариев: 11507   документов: 1035   редакций: 4022
PGP, например.
— Гость (30/09/2012 18:33)   <#>
;)
— SATtva (30/09/2012 21:47, исправлен 30/09/2012 21:47)   профиль/связь   <#>
комментариев: 11507   документов: 1035   редакций: 4022

Или QKD. Ну, либо через астрал сразу в моск пациполучателей (главное, убедитесь, что вас не MITMят какие-нибудь астральные сущности, а то мало ли, что у них на уме).

На страницу: 1, 2, 3, 4 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3