Cryptocat
на ресурсе не нашел упоминаний.
Представлен проект Cryptocat[link1], в рамках которого создана реализация системы для организации работы web-чата, отличающаяся недоступностью передаваемых в рамках общения сообщений на сервере и транзитных узлах сети. Все передаваемые в внутри чата сообщения шифруются на стороне клиента с использованием алгоритма AES-256 и методов криптогрфии по эллиптическим кривым. Код клиентской и серверной части распространяется под лицензией AGPLv3. Серверная часть может быть запущена на любом хосте с интерпретатором PHP. Возможен запуск Cryptocat в виде скрытого сервиса Tor (http://xdtfje3c46d2dnjd.onion). В процессе создания новой комнаты чата пользователь набирает случайную последовательность из 256 символов, на основании которых генерируется ключ для доступа к данной комнате. Подобный подход решает проблемы с качественной генерацией случайных чисел на стороне браузера. Просматривать сообщения в рамках созданной комнаты могут только пользователи получившие созданный ключ. Для упрощения процесса приглашения пользователей в чат обеспечена поддержка адресной книги Facebook. Так как данные изначально передаются в шифрованном виде, администраторы сервера, на котором размещена серверная часть чата, или провайдер клиента не могут перехватить сообщения. Для подтверждения личности пользователей чата предусмотрена возможность использования цифровых подписей. Из возможностей также можно отметить функцию отправки приватных сообщений определённому участнику и поддержку передачи в рамках чата изображений и zip-файлов. Клиентская часть выполнена в виде браузерного web-приложения. Кроме того, подготовлены отдельные дополнения для браузеров Chrome и Firefox, которые позволяют полностью вынести логику работы чата на сторону клиента, используя сервер только для хранения зашифрованных данных и списка подключенных пользователей. Также доступны отдельные приложения для платформ Android, iPhone и Blackberry. Приложение для Android примечательно тем, что оно использует для передачи данных анонимную сеть Tor и в качестве сервера задействует скрытый сервис Tor.
Ссылки
[link1] http://www.opennet.ru/opennews/art.shtml?num=34438
[link2] https://blog.crypto.cat/2012/09/cryptocat-2-public-beta-released/
[link3] https://project.crypto.cat/about/
[link4] https://github.com/kaepora/cryptocat/wiki/Threat-Model
[link5] http://www.nsa.gov/kids/home.shtml
[link6] http://www.pgpru.com/comment52688
[link7] http://www.pgpru.com/comment51614
[link8] https://blog.crypto.cat/2013/06/cryptocat-2-1-file-transfer-a-new-interface-and-more/
[link9] https://github.com/cryptocat/cryptocat/wiki/Server-Deployment-Instructions
[link10] https://github.com/cryptocat/cryptocat/wiki/OTR-Encrypted-File-Transfer-Specification
[link11] http://www.opennet.ru/opennews/art.shtml?num=37370
[link12] http://www.pgpru.com/novosti/2013/vcryptocatnajjdenaserjjoznajaujazvimostjpozvoljajuschajapoluchitjdostupkzashifrovannymsoobschenijam
[link13] http://4pda.ru/forum/dl/post/4870935/1net.dirbaio.cryptocat-2.apk
[link14] https://addons.mozilla.org/en-US/firefox/addon/cryptocat/?src=search
Всё бы с ним было замечательно, если бы не
У клиента нет никаких гарантий, что сервер не был скомпрометирован и не выдал ему модифицированную версию клиента, раскрывающую ключ, например.
а можно серьезно относится к продукту такого плана, созданному в россии? может там уже предусмотрен контроль со стороны спецслужб?
Причём тут Россия?
К слову, разработчик принял основную критику и во второй версии устранил[link2] названный недостаток (эфемерность JS-скрипта), переписав программу в виде браузерных расширений.
пардоньте) погорячился[link3]
SATtva
как вы считаете, есть ли смысл в использование сего продукта? есть ведь тот jabber, gpg и tor. смысл в этом "огороде" или, лучше сказать, в преимущества?
Хорошая,
годнаяэлегантная реализация, своей простотой сразу привлекла внимание множества светлых умов мировой крипто-инженерии, которые нашли её технически корректной, если не считать вышеназванного фундаментального недостатка, который уже практически устранён.осталось разобраться как этим пользоваться (с кем бы протестировать?)
и еще. предполагается, что путем интеграции WebRTC, firefox и другие, смогут составить серьезную конкуренцию традиционным im сервисам. Насколько я понимаю, данное решение помогает связываться 2(?) браузерам напрямую. А как защищается канал связи?
cryptocat – замечательная штука, но, как я вижу, имеет смысл только для приватного общения двух лиц
"Имеет смысл" и "функционально возможно" — разные вещи. К каналу может быть подключено произвольное число пользователей.
Пользователи взаимодействуют не напрямую, а через централизованный jabber-сервер. Сервер используется только для поддержания конференций (в терминологии jabber), но не видит имена пользователей и передаваемый контент, поскольку клиенты используют оконечное шифрование. Сервер пересылает зашифрованные блобы.
Здесь[link4] приведён протокол и формальная модель угрозы.
любой желающий может проследить за ходом коллективной "беседы", зная её название.
=> Не называйте имя конференции посторонним, используйте его как ключ.
опять всплывает банальный вопрос: а как его безопасно передать всем собеседникам?
PGP, например.
;)
Или QKD. Ну, либо через астрал сразу в моск
пациполучателей (главное, убедитесь, что вас не MITMят какие-нибудь астральные сущности, а то мало ли, что у них на уме).вроде как, за беседой могут следить только подключенные к ней. Так-что – надо смотреть кто в одной комнате с Вами! ;)
у меня пока не было возможности разобраться в CRYPTOCATе, так-что – не буду ничего утверждать.
Вопрос: если я правильно понял, беседа (включая логи и название) удаляется через пол-часа после её завершения?
При этом только за общими сообщениями. Личные сообщения не видит никто, кроме отправителя и получателя.
Внезапно[link5]
что это?
так это удобство связано с отсутствием манипуляций шифрования на стороне пользователя? больше ведь не видно преимуществ.
это у меня только синее окно с надписями наверху?
Это баян. На kremlin.ru или подобном сайте тоже был отдел для детей, пытающийся картинками объяснить им, чем занимается президент.
сколько человек могут участвовать в конференции одновременно? Проверим? название комнаты – pgpru Тема произвольная
Господа, подскажите – а нельзя ли скомпиллировать сей проект как отдельный ЕХЕ? Ну чтобы он не был аддоном к браузеру а был самостоятельный и базонезависимый.
С уважением.
Нельзя. Браузер + аддон — по сути, разве не то же самое?
насколько безопасно использовать в браузере?
интересно а ведь уже 23 билд(!)
SATtva, неа, к сожалению далеко не тоже самое.
А 100% нельзя гую нарисовать к этому?
Подскажите легковесную программу, для приватного общения f2f
Заранее благодарен.
Jabber + PGP
ssh + write
Да, пока использую Jabber + PGP.
Просто интересуют различные варианты, конечно хотел бы автономный аналог для разнообразия.
Кстати, может предложите еще вариант зашифрованной передачи файлов F2F?
Автономный — это в каком смысле? Вроде бы ещё в i2p был какой-то свой мессенджер. Есть torchat. Jabber-сервер можно поднять на собственном скрытом ресурсе — для этого даже белого IP не надо, любая домашняя машина подойдёт, хотя могут быть ощутимые задержки при доставке сообщений, секунд до 10-20 (но я мало тестил).
i2p, Freenet, любой доступный вам и другу скрытый сервис в Tor (его можно сделать приватным), залитие файлов на ssh-сервер по sftp или scp. А можно предварительно зашифровать файл с помощью gpg, после чего передавать его любым наиболее удобным для вас способом.
Спасибо Вам болшьшое.
Кстати, в gpg шифровать можно и просто паролем[link6] (типа как в rar), а не ключом получателя.
psi+gpg+tor
можно шифровать файлы и ключом.
Ключом неудобно, когда получателей много. К тому же, если не использовать специальных опций при шифровании, будет ясно, какой keyid у PGP-ключа получателя файла, а это уже какая-никакая утечка.
правильнее, если для каждого получателя свой пароль. однако в этом случае, появляется такое же неудобство.
при таком условии, любая переписка с применением асимметричного шифрования pgp (gpg), имеет такую уязвимость.
что делать? не использовать?
Не правильно. man gpg, опции --hidden-recipient, --no-throw-keyids, --hidden-encrypt-to. Шифротекст можно сначала подписать, а потом зашифровать, предварительно договорившись с абонентами о доверии только подписанным сообщениям. Обратная сторона всех этих нагромождений описана в /comment51614[link7]. Или можно вообще не подписывать своим ключом ничего.
Я правильно понимаю принцип работы? Шифрование и интерфейс на стороне клиента, а на сервере только зашифрованные данные?
Прямого клиент-клиент обмена нету?
На сервере jabber-сервер. Насколько понимаю, при желании можно использовать любой.
как то не похоже. и зачем тогда сам Cryptocat?
"Подключиться к другому серверу" на стартовой странице.
За тем, что чат-клиент с шифрованием, поддерживает конференции, работает из-коробки, не требует установки стороннего софта.
Cryptocat 2.1[link8]: новый интерфейс и зашифрованные файлы
За тем, что это web-клиент джаббера, да.
возможно ли использовать любой, общедоступный xmpp сервер?
каким образом происходит шифрование и передача файлов?
любой не подойдет.
спецификация сервера https://github.com/cryptocat/c.....loyment-Instructions[link9]
шифрование/передача/прием файлов https://github.com/cryptocat/c.....ansfer-Specification[link10]
В Cryptocat найдена серьёзная уязвимость, позволяющая получить доступ к зашифрованным сообщениям[link11]
Ошибка в ГСЧ — одна из славных традиций свободного софта. Спасибо за ссылку, вынес[link12] в новости.
Привет. А как пользоваться ключами в криптокоте?
Ключи в cryptocat сеансовые, используются в протоколе OTR автоматически.
Если Вы спрашиваете о чём-то другом, конкретизируйте вопрос.
Возможно, он хочет спросить про сверку отпечатков ключей OTR(?).
Нигде не видел этого приложения.
На оффсайте – "Coming soon for Android"
Так есть приложение для Андроида или нет?
на 4пда лежит
cryptocat_rus.apk[link13] Пока слишком убог.
4pda Ой! Ошибка 404.
может если только самому собрать – Исходный код: https://github.com/cryptocat/cryptocat-android/
нужно быть зарегистрированным на форуме. тогда можно скачать.
А тем временем в сабже произошли изменения. https://crypto.cat/
Available for Windows, Linux and Mac – кажется только для х64.
В add-on для FF – https://addons.mozilla.org/en-.....ryptocat/?src=search[link14]
Для яблочников и дроидов не известно.