id: Гость   вход   регистрация
текущее время 18:12 28/03/2024
Автор темы: ressa, тема открыта 27/03/2013 23:09 Печать
Категории: криптография, анонимность, приватность, инфобезопасность, защита im
http://www.pgpru.com/Форум/ПрактическаяБезопасность/Bitmessage-Р2РКриптомессенджер
создать
просмотр
ссылки

Bitmessage – Р2Р криптомессенджер


Программа для P2P-обмена зашифрованными сообщениями между двумя и более пользователями.
fileТехническое описани (PDF, eng)
PyBitmessage (исходники на Питоне)
Пошаговая инструкция по сборке исходников (Linux, Windows)
У кого косячит под Дебианом, таки да – есть небольшой баг, решается все предельно просто: файле pyelliptic/openssl.py прописываем полный путь к libcrypto.sylib: /usr/local/opt/openssl/lib/libcrypto.dylib
Запускал на Питоне 2.7.3., запускал вот так: /usr/local/opt/python/bin/python2.7 bitmessagemain.py
К ресурсам прожорлив в первые пять минут сожрал полностью одно ядро, ну в лучшем случае это подтверждает наличие "тяжелой" криптографии, ну а в худшем – кривизну реализации.
Хотелось бы услышать мнения завсегдатаев.
На вскидку я не увидел ничего такого, что заставило бы отказаться от легковесного mcabber с сгенеренным под него длинным GPG-ключем.
Спасибо за внимание.


 
На страницу: 1, 2, 3 След.
Комментарии
— Гость (30/03/2013 04:48)   <#>

Специалист по Debian'у — unknown, но он своё мнение уже озвучил. И, вообще:
я критически оценил свои возможности, решил, что не потяну.
Более развёрнуто на эти просьбы один Гость высказался. Его ответ, пожалуй, многие бы тут поддержали из тех, кто что-то собрать может (и я в том числе).

По поводу
скрипт для голого Дебиана накатал с установкой, настройкой указанных приложений + какой-нибудь Privoxy или правило для iptables:
Правила для iptables есть и на сайте Tor и у нас. Опять же, их лучше адаптировать с умом, предварительно поняв, как они работают. Никто не поручится, что на любом свежеинсталлированном дебиане и на любой его версии всё это заработает. А создавать проект, который это будет отслеживать и оперативно обновлять его — много затрат и мало толка, да и неинтересно. Как установить Tor в Debian описано в соответствующих инструкциях довольно подробно. Как установить тот же Psi/gajim — тоже. Дальше остаётся в их настройках включить элементарные опции. Редко кому надо каждый день настраивать новую систему с нуля, потому скриптованием всех производимых настроек мало кто занимается. Даже если и написать такой скрипт, нет гарантий, что он окажется полезным через год-два, когда будет обновлена ОС.
— unknown (30/03/2013 11:19)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Помимо перечисленного. Есть разница: делать live-сборку для себя или для других.

Гораздо проще собрать что-то вроде такого live-USB для себя. Т.к. например я знаю, как я подключаюсь к сети. И если понадобиться подключиться по другому, то поправлю всё что надо под свой случай.

А теперь представим, что надо поддерживать пользователей за роутерами со статикой, напрямую с локалками и модемами DHCP, PPtP, с беспроводными модемами-свистками 3G-4G, с Wi-Fi и всё это сконфигурить, сделать автовыбор из коробки, разрулить файрволлом.
Прикрутить внятные диалоги-менюшки для настройки, парсеры конфигов и пр.

Проще неуниверсальный вариант для себя вручную сконфигурить и не ставить (выкинуть) ненужное. И безопаснее и поддерживать проще: не надо вникать в присланные сообщения об ошибках на чужом незнакомом железе, проще готовить обновления и тестировать под свой неуниверсальный вариант и пр.
— Гость (30/03/2013 16:14)   <#>
unknown, а Вы где скилы по дебиану прокачивали? Или админом работаете просто?
— unknown (30/03/2013 20:43)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Ну можете считать, что это профнавык, вам то это чем поможет? Единственный способ по-настоящему "прокачаться" это оставить какую-то систему единственной рабочей на всё время, хотя бы у себя на домашних компах, без дуалбута.
— unkonwn (30/03/2013 22:33)   <#>
Или админом работаете просто?
Хуже. В библиотеке.
— ressa (30/03/2013 23:16)   профиль/связь   <#>
комментариев: 1079   документов: 58   редакций: 59
Хуже. В библиотеке.

похоже на неправду)
Ну точнее на сарказм;)
— Гость (31/03/2013 09:53)   <#>
Ну почему, библиотека – весьма неплохое место. Спокойное, безопасное, доступ к информации есть... Просто надо было спрашивать, где он раньше работал ;)
— SATtva (31/03/2013 10:43)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118

И получили бы такой ответ.
— Гость (31/03/2013 22:58)   <#>
Просто надо было спрашивать, где он раньше работал
И получили бы такой ответ.
А может и какой-то такой, кто его знает...
— SATtva (01/04/2013 18:30)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
А может и какой-то такой, кто его знает...

А spinore Google всё бы запомнил для грядущих поколений.
— Гость (01/04/2013 23:33)   <#>
SATtva, поменяйте ваш пароль. Кто-то его сбрутфорсил и теперь флудит от вашего лица в разных ветках.

Мы — гости, нам флудить можно, вы — администратор, официальное лицо ресурса, поэтому из-под вашего ника флудить нельзя.
— Гость (25/08/2013 22:30)   <#>
Новость на тему. «Опубликованы IP-адреса 500 пользователей Bitmessage». Мораль: не ходите по непонятно каким ссылкам.

P.S. User agent'ы намекают на контингент пользователей bitmessage. Объём винды зашакаливает.
— Гость (25/02/2014 04:08)   <#>

Это не мессенджер совсем, это почта + рассылки + децентрализованные анонимные списки рассылок.
Была бы волшебная штуковина, если бы было хорошее решение этих проблем -
https://github.com/Bitmessage/PyBitmessage/issues/264
https://github.com/Bitmessage/PyBitmessage/issues/648
— Гость (02/05/2015 16:21)   <#>

If I send my Address and a link to the software, can our future communications be uncovered?

No. Active attacker can always execute the MITM attack and your recepient won't get the correct Bitmessage address. You need to send the address via authentic channel: by personal meeting if you know the recepient, by phone call if you know the voice, etc. If you have PGP key which is already trusted by the recepient, then you can simply sign your address with it.

The same for software: since PyBitmessage isn't signed by Atheros you need to download the source and audit it by yourself. Then again, pass the source (or commit hash) via some sort of authentic channel.

[irony]
PGP-одпись на софте только вредит. Если софт не подписан, значит, за неимением альтернатив, найдётся больше желающих проверить код, а, следовательно, код таких проектов будет более безопасным.
[/irony]
— Гость (03/05/2015 03:36)   <#>

Только полный идиот может написать такое. Какой именно код проверить? Как проверить, что проверен именно тот код, который тобой скачан?
На страницу: 1, 2, 3 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3