Pidgin + GPG – есть ли плагин для совместной работы?
Работаю в линукс. Пользуюсь Pidgin 2.3, протоколы ICQ и Jabber. Появилась необходимость приватных бесед. Есть ли возможность прицепить GPG к Pidginу? Плагин какой-нибудь? Сам пытался найти, пусто. Есть какой то заменитель со своей реализацией RSA, но это не подходит из-за ограниченности подхода. Кто нибудь сталкивался? Какие предложения могут быть?
Ссылки
[link1] http://www.xmpp.org/extensions/xep-0155.html
[link2] http://www.xmpp.org/extensions/xep-0116.html
[link3] http://www.xmpp.org/extensions/xep-0136.html
[link4] http://www.xmpp.org/extensions/xep-0027.html
[link5] http://www.cypherpunks.ca/otr/otr-wpes.pdf
[link6] http://www.pgpru.com/forum/prakticheskajabezopasnostj/otrmessagingnezapisyvaemajaperepiska
Когда pidgin был ещё gaim-ом там была нормальная реализация на основе ключей, после переименования данная возможность была удалена. Как альтернатива есть шифрование через OTR.
В данном случае можно заверить отпечаток ключа OTR своим обычным ключём либо перейти на другой клиент.
Безрадужная перпектива, т.к. нужена поддержка именно GPG. Довольно странно, что убрали. Видимо дорабатывают или что-нибудь. А может есть не официальная поддержка с помощью плагина? Если о переходе на другой клиент, то какой можете посоветовать (под GNOME). Из протоколов нужен только ICQ и Jabber.
Для jabber – psi. icq можно пускать через jabber icq transport, если такой функционал вас устроит...
Интересно, с чем это было связано... удаление...
Про пользование транпорт через джаббер. Являюсь счастливым обладателем 6-ой аси, не уйдет ли номер при пользование таким сервисом :)?
Я не слышал чтоб jabber-сервера воровали аськи... хотя исключать нельзя. Обзаведитесь транспортом на сервере посолиднее... но тогда будете иметь проблемы с коннектом :) Знаете же что icq поставила квоту на число юзеров с одного узла? Так что в этом смысле OTR-плагин предпочтительнее :) Более того, я вообще не вижу существенных преимуществ gpg-шифрования перед otr в джаббер – только преимущества.
s/только преимущества/только недостатки/
А я являюсь счастливым обладателем независимости от ICQ =)
Попробуйте kopete (KDE-шная).
В gpg-шифровании в отличии от otr есть Web of Trust, что является большим преимуществом.
А какие вы видите недостатки gpg-шифрования?
Преимущества GPG:
1) Универсальность OpenPGP ключей, что облегчает их распостранение.
2) Поддержка сети доверия.
3) Возможность отправки оффлайн сообщений, так как не требуется установка сессии.
4) Отсутствие глюков связаных с установкой сессии. (OTR у меня не шифрует несколько первых сообщений, т.к. не всегда "заводиться" сразу)
5) GPG – это устоявшийся стандарт, более провереный и лучше поддерживаемый, нежели OTR. Соответственно доверия больше.
А равно и вашу отслеживаемость.
Основное преимущество OTR – off the record. Этим всё сказано :) представьте, что вы с кем-нибудь общаетесь и передаёте критическую информацию... а потом поссорлись, как дети малые. Ваш собсеседник может доказать что вы действительно писали то что писали.
gpg призвано обеспечить свободу. истиная свобода – это когда вдвоём наедине и никто не слышит. OTR ближе к этому случаю...
Но и OTR не панацея. Чтобы спать свободно а не думать о СТЛА и КК, достаточно расшарить совместный симметричный пароль, переданный по третьему каналу и на всё остальное положить болт.
Также gpg плох тем что потребляет больше траффика в IM-системах и существенно сильнее тупит... асимметричное крипто – ресурсоёмкая операция по сравнению с симметричным и это особенно заметно на слабых машинах, хотя вполне чувствуется и на сильных (у меня 3ггц и вполне чувствую отличие по скорости доставки когда gpg есть и когда нету... видно на глаз разницу).
Лучше к gpg-шифрованию добавить согласование ключа и оставить выбор между двумя режимами, чем просто удалить данную возможность.
Иногда необходима просто приватность, без возможности отказа.
это... а вы собственно в курсе, что:
1) otr использует gnupg;
2) исходники открытые, если есть сомнения или желание, то можно проверить и отредактировать;
3) всё больше клиентов приобретают плагины включающие поддержку otr;
4) разрабатываются и исследуются соответствующие xep-0155[link1], xep-0116[link2], xep-0136[link3] реализующие функционал otr на основе xmpp-протокола.
И на счет шифрования в xmpp-клиентах *icq*-сообщений передающихся через транспорт, вы хотябы проверили, возможно ли такое? Зашифровать-то зашифрует, но вот сможет ли асечник их потом расшифровать?
Плюсы GPG:
1. Общаясь по рабочим вопросам бывает сложно убедить использовать признанный стандарт OpenPGP, а если начать говорить о чем-то еще, просто плюнут :)
2. Иногда важно подтвердить, что сообщение написал именно ты, и именно ты его получил. Поэтому и ПГП.
Честно говоря otr не пробовал. Надо будет испытать, но душа лежит больше к ГПГ.
Вы хоть почитали бы, хотяб на этом форуме, что это вообще такое...
Как раз otr именно это и гарантирует, что во время сеанса переписки вы общаетесь с автором приходящих к вам сообщений. В отличии от простого шифрования и подписывания по xep-0027[link4] которое
Учите матчасть, и только потом уж сравнивайте.
Проблема не в низкой скорости шифрования, а в том что для шифрования каждого сообщения запускается новый процесс gpg.exe. Виновата реализация GnuPG plugin. Я думаю как-нибудь сделать реализацию плугина для миранды который будет сам реализовывать крипто.
Раньше юзал OTR на миранде. Потом задолбали глюки и перешел обратно на GPG.
Если бы этот OTR нормально работал, а не тупил при установлении сессии, если бы в нем постоянно не менялись сами собой ключи, если бы была возможность установки сессии и использованием OpenPGP ключей, тогда бы его можно было юзать.
OTR разрабатывали люди со знанием дела, можете быть спокойны. Вообще спор довольно странный, типа, что лучше, кроссовки Найк или итальянская паста? OTR и GPG преследуют отчасти разные цели (вместе обеспечивая конфиденциальность): для GPG первостепенна аутентичность, для OTR — "незаписываемость" во всех смыслах слова. Лично для меня важны оба свойства, всё зависит от предмета обсуждения и/или моего собеседника.
Доказать где, в суде что-ли? Я Вас умоляю! "Ничего подобного я вообще не писал, а что Вы там говорите про электронную подпись не знаю, её компьютер вычислял, который у меня — просто рассадник вирусов". Никогда не приравнивайте электронную подпись к собственноручной, если Вы с контрагентом не имеете на сей счёт формального договорного соглашения (тот факт, что термин "электронная подпись" включает слово "подпись" — историческая ошибка, именно так и смотрите на это).
В общем случае, это плохая мысль. Шифрование нельзя использовать для обеспечения контроля целостности данных. Есть решения на основе симметричных ключей, но не путём простого шифрования (если только не в специализированном режиме): OTR использует имитовставку, GPG — MDC (но не всегда).
Nikita Borisov, Ian Goldberg, Eric Brewer "Off-the-Record Communication, or, Why Not To Use PGP"[link5]
Нет. Вы понимаете, что SSL потому и быстрый, что программа напрямую использует криптобиблиотеку а не запускает каждый раз какую-то прогу типа gpg? Хорошая реализация должна опираться на использование стандартной, проверенной криптобиблиотеки, чтобы снизить накладные расходы при исполнении...
При общении посредством какой-либо IM-системы? Не могу привести жизненный пример.
Если я хочу что-то явно утвердить, могу явно подписать и передать собеседнику... И необходимость в этом возникает нечасто...
Естественно, все otr-системы с icq требуют поддержку плагина соответствующего сорта на стороне получателя.
Может быть в ещё убедите сделать что-то аналогичное под UNIX авторa mcabber?
Это в джаббере или в icq? Миранда в качестве джаббер-клиента... это... ну я вас понял бы если б не было альтернатив только... в общем не это её сильная сторона.
Sicuramente, la pasta italiana e` piu` buona!
Да нет, достаточно даже в каком-то сообществе :-)
Руткитов и бэкдоров. Угу. Под UNIX :)))
И всё же логи имеют доказательную силу :)
А есть жЫвЫе реализацЫи?
Ну, показать пальцем и уличить в обмане — это другое дело. Кто-то и не пойдёт на обман, не желая жертвовать хорошо распространённым и связанным (в контексте Сети доверия) открытым ключом. Своего рода репутационная система.
Так ведь первым делом отмазки начнутся с того, что всё это хозяйство на Виндоусе крутилось!
Логи провайдеров, имеющие доказательную силу, генерятся биллинговыми системами, обладающими сертификатами Минсвязи и Гостехкомиссии. Создание дружественных аудиту систем — сама по себе нетривиальная задача.
Ну так тот самый OTR[link6].
Само собой! Да и кому вообще может нравиться Найк? :-)
Альтернатив нет. GPG еще поддерживается QIP, sim и gajim. QIP closed source, а остальные два настолько уе..щьны, что это юзать невозможно.
Я имиел в виду реализации на основе симметричного крипто полностью устойчивые к взлому посредством КК.
Это Gajim или QIP у..бищный? Или что? А только установил гажим – так вроде ниче.
После гибкости и удобства миранды все другие мессенжеры кажутся полным отстоем. Разве что QIP кое как с ней можно сравнивать. Единственный минус миранды – повышеная глючность, но эту проблему я вроде решил в своей сборке.
Да миранда хороша, вот только версии под линукс нет. А виндовс я не использую.