id: Гость   вход   регистрация
текущее время 06:41 31/05/2020
Автор темы: Leksey, тема открыта 11/11/2003 15:10 Печать
http://www.pgpru.com/Форум/ПрактическаяБезопасность/ПрограммыКлассаIMinstantMessengersИПриватность
создать
просмотр
ссылки

Программы класса IM (instant messengers) и приватность


К классу IM относится изрядное количество программ. Перечислю лишь некоторые, те которые использовал или использую сам.
ICQ от Мирабилис


есть вроде плагин PGP, но у меня не заработал. Правда, пробовал пару лет назад. Может сейчас что изменилось. Но данный клиент не использую, потому что не нравится. Да и вся эта возня с его патченьем для "убийства" идиотских баннеров напрягает. Про ICQ Lite вообще не говорю.. Его юникодность создает проблемы при общении с людьми, которые имеют другие клиенты без поддержки юникод. Mirabilis
быстрая программулина с кучей плагинов. Но как там с поддержкой PGP не очень понятно. Кто знает – просветите. В принципе хороший клиент.
Trillian
кухонный комбайн, который при этом работает и может быть использован для доступа во все основные сети. Есть встроенная поддержка Encrypted connecten, которая может быть использована, если на другом конце тоже Триллиан. Не понимает юникод, который порождается ICQLite, если не прибегнуть к некоторым ухищрениям (снос респондента в "невидящий" твой статус режим помогает). Что представляет из себя это защищенное соединение не очень понятно. Т.к. детали реализации не раскрываются разработчиками.
Насколько я в курсе плагинов (что к 1.х что к 2.х) реализующих поддержку PGP не существует.


Другие сети (не ICQ) в нашей стране не распространены особо, но упомянуть стоит.
Odigo – не имеет средств защиты. О деталях передачи данных не в курсе.
AIM (от AOL) – не в курсе, но скорее всего, в клиент нативный можно поставить PGP, т.е. все-таки самая популярная сеть в штатах.
MSN – тут можно только предполагать, но, вероятно, приватности никакой. как и у всех продуктов MS.
Yahoo – вероятно, лицензированный AOL.


Jabber – вот тут поподробнее. Интересная и перспективная технология (почитать можно на jabber.ru).
Клиент JAJS (как я понимаю отечественного производства) поддерживает криптования с помощью PGP. Кроме подписи сообщений и криптования текста целиком есть такая штука как подписание самого статуса. Т.е. то, что это я вышел под своих ником, а не кто-то еще. Пока не успел воспользоваться этой функциональностью в JAJS, но планирую это опробовать в ближайшее время. О результатах поведаю позднее.
Хм. Нужен же человек, с которым можно это опробовать. Потому тех, кто пользует PGP + Jabber среди знакомых пока нет.


Сорри за сумбур – писал в спешке. Но тема, как мне кажется, интересная.


Для IRC-систем, насколько я понимаю, никаких криптокомплексов не существует. Но возможность общения в защищенном канале штука не бесполезная.


 
На страницу: 1, 2, 3, 4 След.
Комментарии
— DDRTL (23/05/2009 00:17)   профиль/связь   <#>
комментариев: 212   документов: 27   редакций: 20
Кто знает что такое Blue's Private Chat и с чем его едят(в смысле насколько безопасно его использовать в приватной переписке)?
— Гость (07/07/2009 21:40)   <#>
В каком месте система (Linux) хранит сертификаты jabber серверов, которые использует при соединении через SSL? При авторизации система видимо получает сертификат сервера, как браузер. Но в браузере они хранятся в хранилище сертификатов, а как в случае с Jabber?
— SATtva (07/07/2009 21:53)   профиль/связь   <#>
комментариев: 11545   документов: 1036   редакций: 4094
Зависит сугубо от Jabber-клиента. Обычно у него в настройках прописывается путь к конкретному файлу сертификата или к каталогу с сертификатами УЦ.
— security_specialist (09/07/2009 11:08)   <#>
Лучший секьюрный мессенджер это Secure Shuttle Transport
— Гость (09/07/2009 11:44)   <#>
И чем-же он лучший? Просветите нас, а то мы не знаем.
— security_specialist (09/07/2009 11:56)   <#>
Secure Shuttle Transport
По большом счету это еще один месседжер вроде ICQ, Indigo, AOL и т.п.
Но к чему тогда эта статья и зачем появился новый мессенжер SST ?
ICQ пользуется почти каждый, но вместе с тем гарантировать безопасность использования ICQ не может никто. В Сети активно распространяются параноидальные слухи о том, что некоторые UIN'ы находятся под постоянным наблюдением, то есть все их мессаги логируются и исследуется спецслужбами. Пускай это маловероятно, но ведь есть и другие доводы "против". Взять хотя бы протокол ICQ: он давно изучен и не поддерживает шифрование трафика, поэтому все сообщения легко перехватываются сниферами (лучшим подтверждением моих слов является прога IcqSnif ). Помимо этого, имеют место угоны ICQ, череватые тем, что от твоего имени кто-то легко сможет вести диалог и тем самым серьезно подпортить твою репутацию. Поэтому хотелось бы иметь более безопасное средство, которое без опаски (по крайней мере, сравнительно) возможно было использовать для серьезных дел.
SST обладает некоторыми особенностями, которые сделают Ваше общение безопаснее.
Сразу хочется отметить: SST передает сообщения исключительно в зашифрованном виде. Используемые RSA-алгоритмы работают так, что расшифровать сообщение сможет твой собеседник и никто другой.
Помимо этого, есть еще один нюанс: программа использует два типа соединения.
* первое – соединение с SST-сервером – необходимо для идентификации в системе, поиска пользователей, а также передачи сообщений тем юзерам, которые находятся в оффлайн.
* второй тип соединения – прямое с конкретным пользователем – устанавливается во время передачи сообщений, файлов или голосовых мессаг. Таким образом, ни одна из твоих бесед не окажется в логах на сервере, так как сообщения через него попросту не проходят.
Другая замечательная особенность заключается в том, что угнать SST-номер значительно сложнее, нежели в ICQ-уин. Возможности восстановить пароль на аккаунте нет, о чем заблаговременно предупреждают разработчики программы. Потерял или забыл – виноват сам. Но это еще цветочки. Для работы в системе пользователь должен представить специальный файл-ключ, (например 222223.ssi) в котором зашифрована необходимая информация. Система очень похожа на Web-money: даже если ты знаешь пароль, но у тебя нет ключа, подключиться к серверу ты НЕ СМОЖЕШЬ. Поэтому украсть красивый номер практически не возможно.
В SST кроме передачи текстовых сообщений, присутствует возможность:
* аудио чат;
* видео чат;
* и мульти-чат;
* возможность конференции;
* отправки электронной почты (mail) прямо из sst;
* транзакция – перевод денег, вы можете безопасно переводить деньги с одного счета на другой (подробнее в faq).
* у каждого пользователя есть личный архив (размером 50 Mb). В архив можно выложить какую угодно информацию и открыть доступ только доверенным пользователям.
* возможность File Transfer – пересылка файлов, причем они тоже шифруются.
Если вы зарегистрируетесь в эсте прямо сейчас то получите шестизначный номер (а в ICQ шестизнак сейчас можно только купить, ну или достать другими не совсем честными способами).
А много ли пользователей в SST? Пока об SST знает не так много людей и сидят в SST люди постоянно работающие в компьютерной сфере. Большинство русских пользователей SST знакомы и постоянно общаются все вместе, устраивают конференции, организуют различные акции и т.п. Постоянно регистрируются новые пользователи. И мы так же приглашаем Вас присоедениться к новому криптографическому мессенжеру SST.
В одном из номеров журнала Хакер поместили такой материал:
Автор: Boomerang Software Inc.
Если ты читаешь этот раздел, то, скорее всего, в асе ты не только болтаешь с девушками, но и ведешь разговоры о работе. А знаешь ли ты, что использовать ICQ с каждым днем становится все небезопаснее? Не секрет, что агенты ФБР зачастую наведываются в AOL (American On-Line), как к себе домой. И дело тут не в том, какие соксы ты используешь и хранишь ли хистори у себя на винте, все дело в логах, хранящихся на серверах AOL'а. В последнее время нередки случаи передачи данных спецслужбам, которые активно изучают деятельность ярких представителей андеграунда. В такой ситуации единственный выход – использование аналогичного мессагера. Сразу скажу, что мыслей и слухов об этом ходит много. Поговаривают, что несколько команд собираются объединить свои силы для написания такого сервиса, который не будет зависеть от других клиентов обмена мгновенными сообщениями. Но на данный момент все это только слухи, поэтому необходимо искать более реальный вариант. Существует разработка RM IM (Russian Mafia Internet Messager) от Ru24Team, но она является просто модификацией клиента «Jabber». На мой взгляд, внимания заслуживает SST (Secure Shuttle Transport).
Данная тулза обладает рядом возможностей:
1. Шифрование всех передаваемых сообщений 128-битным ключом.
2. Использование специального файла ключей для аутентификации личного аккаунта, что затрудняет угон номера, в отличие от ICQ.
3. Возможность коннекта через socks4/socks5-сервер.
Кроме того, в SST есть функция проведения конференций, что заметно облегчает обсуждение вопросов несколькими людьми одновременно. Также на момент сдачи рубрики в печать сервис выдавал при регистрации 6-значные номерки вполне симпатичного вида. Поэтому настоятельно советую поторопиться, учитывая, что многие из моих знакомых уже давно перешли на SST. Абсолютной анонимности не существует, так же как и не существует абсолютной безопасности, но, как говорится, береженого Бог бережет. Удачи.
— Гость (09/07/2009 12:15)   <#>
офф сайт http://www.secureshuttle.com/
не офф сайт http://shuttle.ucoz.ru/
— Гость (09/07/2009 12:21)   <#>
А где исходный код программы? Без него все эти фичи теряют смысл, т.к. нельзя быть уверенным в самом главном – безопасности.
— security_specialist (09/07/2009 12:40)   <#>
уверенным низя быть ни в чем на 100%, но программа сильная
— sentaus (09/07/2009 13:41)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
но программа сильная


ага, "верьте нам, мы знаем, что делаем".
— Гость (09/07/2009 15:16)   <#>
программа сильная
Особенно если за ней стоит сильная трёхбуквенная организация. ;)
— DDRTL (09/07/2009 15:54)   профиль/связь   <#>
комментариев: 212   документов: 27   редакций: 20
вообще-то можно написать в техподдержку:TechSupport@boomerangsoftware.com
Кроме того что она не открыта, так у данной программы нет и PGP сигнатуры(контрольной суммы SHA-1)...
— Sansey (09/07/2009 17:23)   <#>
наверное не все поняли основных преймуществ Secure Shuttle Transport :
1. Шифрование передаваемых данных
2. Прямое соединение с пользователем (то есть ты общаешься не через сервер, как, например, в ICQ, Jabber а на прямую с user’ом)
3. Создается специальный файл-ключ, в котором зашифрована необходимая информация для соединения с сервером. Даже если у тебя с комуниздили пароль, его нельзя будет использовать без файла-ключа... Однозначно, Must have!!!
— Гость (09/07/2009 18:26)   <#>
наверное не все поняли основных недостатков Secure Shuttle Transport :
1. Отсутствие компилируемых исходников в открытом доступе.
2. Незащищённость от модификаций.

Это, в частности, означает, что там может оказаться всё, что угодно – например, слабое шифрование и отсылка логов со специальным файл-ключем впридачу на сервер. :)

Однозначно, It's not for me!!!.
— SATtva (09/07/2009 18:45, исправлен 12/07/2009 17:44)   профиль/связь   <#>
комментариев: 11545   документов: 1036   редакций: 4094
уверенным низя быть ни в чем на 100%

И в анонимах, дары приносящих.
На страницу: 1, 2, 3, 4 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3