Bitmessage – Р2Р криптомессенджер
Программа для P2P-обмена зашифрованными сообщениями между двумя и более пользователями.
Техническое описани (PDF, eng[link1])
PyBitmessage (исходники на Питоне[link2])
Пошаговая инструкция по сборке исходников (Linux, Windows[link3])
У кого косячит под Дебианом, таки да – есть небольшой баг[link4], решается все предельно просто: файле pyelliptic/openssl.py прописываем полный путь к libcrypto.sylib: /usr/local/opt/openssl/lib/libcrypto.dylib
Запускал на Питоне 2.7.3., запускал вот так: /usr/local/opt/python/bin/python2.7 bitmessagemain.py
К ресурсам прожорлив в первые пять минут сожрал полностью одно ядро, ну в лучшем случае это подтверждает наличие "тяжелой" криптографии, ну а в худшем – кривизну реализации.
Хотелось бы услышать мнения завсегдатаев.
На вскидку я не увидел ничего такого, что заставило бы отказаться от легковесного mcabber с сгенеренным под него длинным GPG-ключем.
Спасибо за внимание.
Ссылки
[link1] https://bitmessage.org/bitmessage.pdf
[link2] https://github.com/Bitmessage/PyBitmessage
[link3] https://bitmessage.org/wiki/Compiling_instructions
[link4] https://github.com/Bitmessage/PyBitmessage/pull/48
[link5] https://bitmessage.org/wiki/Main_Page
[link6] http://cryptojunky.com/blog/2013/03/09/setting-up-and-using-bitmessage-an-encrypted-communications-platform-based-on-bitcoin/
[link7] https://bitmessage.org/forum/index.php/topic,1414.msg1460.html#msg1460
[link8] http://www.pgpru.com/comment62227
[link9] http://www.pgpru.com/comment61903
[link10] http://www.pgpru.com/comment59668
[link11] http://www.pgpru.com/comment60513
[link12] http://www.pgpru.com/biblioteka/rukovodstva/setevajaanonimnostj/prodvinutoeispoljzovanietorvunix/razdeljnoeispoljzovanietorbrowserssistemnymtoriprozrachnajatorifikacija
[link13] http://www.pgpru.com/comment24197
[link14] http://www.pgpru.com/comment7723
[link15] http://www.pgpru.com/comment16713
[link16] http://www.pgpru.com/comment62370
[link17] http://www.xakep.ru/post/61132/default.asp
[link18] http://www.pgpru.com/comment62240
[link19] https://www.reddit.com/r/bitmessage/comments/2x6zk0/what_is_the_best_way_to_invite_someone_to/
BitMessage[link5] – система обмена сообщениями, по мотивам BitCoin.
В whitepaper по ссылке ругают PGP и Tor из-за их далёкости от народа, но в итоге предлагается то же самое. Как номер кошелька надо получить по аутентифицированному протоколу, так и id в bitmessage, поэтому от PGP отказаться не получится.
Далее, сам по себе bitcoin-протокол не даёт анонимности. Скорее, наоборот: там такое нагромождение взаимоподвтерждений, что это больше напоминает сеть доверия PGP, где все друг друга подписывают. Т.е. Tor всё равно понадобится. Затем, если есть Tor и PGP, то зачем что-то ещё? Странно, что авторы не упомянули ничего о возможностях разворачивания IM поверх скрытых сервисов Tor.
Наконец, есть и вопрос практичности. БД полноценного bitcoin'а сейчас весит 7.5 Гб, а успешный IM-протокол будет пухнуть ещё быстрее.
По ссылке[link6] есть красноречивый коммент: Боюсь поинтересоваться, как обстоят дела с подписыванием софта.
ID в bitmessage это хэш открытого ключа – PGP не нужно.
С анонимностью, как и в Bitcoin, к сожелению, не очень:
тут[link7]
Для борьбы с распуханием там предлагается хранение базы в виде дерева, ограничение по времени – типа два дня, и принудительные затраты процессорного времени при генерации нового (или регенерации просроченного) сообщения пропорциональные его длине – в существующем варианте порядка 4 минут на типичном процессоре для типичного сообщения.
А как вообще на житьхабе[link2]с подписыванием софта? Требуется?
Два дня немного не про это:
Хотя может и об этом...
Если вы расскажете, как получить достоверный хэш без использования цифровой подписи (читайте, PGP), получите премию за крупный прорыв в криптографии. Отпечаток PGP-ключа — тоже хэш, обмениваются именно им. Вас это не смущает?
Например по телефону голосом продиктовать. Что тут должно смущать? В клиент bitmessage вшита ассиметричная криптография – ECC, только пользователь об этом может и не знать.
То, что после этого ключ достатётся всего одной командой
Вот соберите и выложите.
Я думаю изначально понадеялись на анонимность Bitcoin-протокола. Была бы полностью децентрализованная система, не зависящая от нескольких корневых серверов-директорий. Ну и от спама защищённая к тому же.
Ну для instant messaging эта штука в нынешнем виде точно не годится. Концепция "все получают всё" непригодна для этого. Научить бы эту штуку находить адресата, скажем, за O(log(n)) пересылок... :)
Обязательно надо было открыть новый топик, когда обсуждение уже сто лет в обед идёт в другом месте[link8]? Закапывайте.
Наоборот, надо оттуда сюда перенести, там всё-таки несколько другая тема.
Комментарии перенесены сюда, там им действительно не место.
Ты бы лучше, если можешь и есть время – скрипт для голого Дебиана накатал с установкой, настройкой указанных приложений + какой-нибудь Privoxy или правило для iptables. Действительно полезно было бы, для быстрого разворачивания "блок-поста")
Специалист по Debian'у — unknown, но он своё мнение уже озвучил[link9]. И, вообще[link10]: Более развёрнуто на эти просьбы один Гость высказался[link11]. Его ответ, пожалуй, многие бы тут поддержали из тех, кто что-то собрать может (и я в том числе).
По поводу Правила для iptables есть и на сайте Tor и у нас[link12]. Опять же, их лучше адаптировать с умом, предварительно поняв, как они работают. Никто не поручится, что на любом свежеинсталлированном дебиане и на любой его версии всё это заработает. А создавать проект, который это будет отслеживать и оперативно обновлять его — много затрат и мало толка, да и неинтересно. Как установить Tor в Debian описано в соответствующих инструкциях довольно подробно. Как установить тот же Psi/gajim — тоже. Дальше остаётся в их настройках включить элементарные опции. Редко кому надо каждый день настраивать новую систему с нуля, потому скриптованием всех производимых настроек мало кто занимается. Даже если и написать такой скрипт, нет гарантий, что он окажется полезным через год-два, когда будет обновлена ОС.
Помимо перечисленного. Есть разница: делать live-сборку для себя или для других.
Гораздо проще собрать что-то вроде такого live-USB для себя. Т.к. например я знаю, как я подключаюсь к сети. И если понадобиться подключиться по другому, то поправлю всё что надо под свой случай.
А теперь представим, что надо поддерживать пользователей за роутерами со статикой, напрямую с локалками и модемами DHCP, PPtP, с беспроводными модемами-свистками 3G-4G, с Wi-Fi и всё это сконфигурить, сделать автовыбор из коробки, разрулить файрволлом.
Прикрутить внятные диалоги-менюшки для настройки, парсеры конфигов и пр.
Проще неуниверсальный вариант для себя вручную сконфигурить и не ставить (выкинуть) ненужное. И безопаснее и поддерживать проще: не надо вникать в присланные сообщения об ошибках на чужом незнакомом железе, проще готовить обновления и тестировать под свой неуниверсальный вариант и пр.
unknown, а Вы где скилы по дебиану прокачивали? Или админом работаете просто?
Ну можете считать, что это профнавык, вам то это чем поможет? Единственный способ по-настоящему "прокачаться" это оставить какую-то систему единственной рабочей на всё время, хотя бы у себя на домашних компах, без дуалбута.
Хуже. В библиотеке[link13].
похоже на неправду)
Ну точнее на сарказм;)
Ну почему, библиотека – весьма неплохое место. Спокойное, безопасное, доступ к информации есть... Просто надо было спрашивать, где он раньше работал ;)
И получили бы такой[link14] ответ.
А может и какой-то такой[link15], кто его знает...
А
spinoreGoogle всё бы запомнил для грядущих поколений.SATtva, поменяйте ваш пароль. Кто-то его сбрутфорсил и теперь флудит[link16] от вашего лица в разных ветках.
Мы — гости, нам флудить можно, вы — администратор, официальное лицо ресурса, поэтому из-под вашего ника флудить нельзя.
Новость на тему. «Опубликованы IP-адреса 500 пользователей Bitmessage»[link17]. Мораль: не ходите по непонятно каким ссылкам.
P.S. User agent'ы намекают на контингент пользователей bitmessage. Объём винды зашакаливает.
Это не мессенджер совсем, это почта + рассылки + децентрализованные анонимные списки рассылок.
Была бы волшебная штуковина, если бы было хорошее решение этих проблем -
https://github.com/Bitmessage/PyBitmessage/issues/264
https://github.com/Bitmessage/PyBitmessage/issues/648
[irony]
PGP-одпись на софте только вредит. Если софт не подписан, значит, за неимением альтернатив, найдётся больше желающих проверить код, а, следовательно, код таких проектов будет более безопасным.
[/irony]
Только полный идиот может написать такое. Какой именно код проверить? Как проверить, что проверен именно тот код, который тобой скачан?
Который скачан.
Это не нужно проверять. Достаточно знать, что в скачанном коде нет ошибок. Для себя лично этого хватит.
Тогда к чему все эти разговоры о "многих желающих проверить код" которые сделают этот код более безопасным? Если единственный кто будет проверять используемый тобой код это ты сам.
Замечание справедливое, но там сразу был тэг «irony». Если говорить о полном параллелизме, то автор предлагает после самостоятельной проверки кода публиковать хэш и обмениваться хэшами в рамках своего графа связи, можно даже через аутентифицированные каналы.
Tor-девы вот тоже понимают ущербность всецелого полагания под PGP-подпись, поэтому приветствуют детерминистичные сборки. Впрочем, чем они смогут помочь при ошибках в самом коде — вопрос.