Ремейлеры, Perfect Forward Secrecy и TOR

unknown, можно чуточку подробнее? Какие capabilities искать? Или примеры римэйлеров?

Elk, смотрите на лог подключения к SMTP и ищите согласование ключа в STARTTLS. Если там есть упоминание о DH (а в большинстве случаев это приоритетный режим), значит, это оно.

Ремейлеры Mixminion (третье поколение) обеспечивают PFS изначально — это часть протокола. Другое дело, что эта система ещё на довольно ранней стадии разработки.

unknown, можно чуточку подробнее? Какие capabilities искать? Или примеры римэйлеров?

Вот последняя статистика по переходу ремэйлеров на TLS -подключение:
https://www.noreply.org/tls/

Можете выбрать те, которые обеспечивают "эфемерные" ключи Диффи-Хэллмана. Это не имеет прямого отношения к протоколу "Mixminion". Это работает для прямого подключения к первому ремэйлеру (в цепочке) любого типа.
Это делается вот для чего:
Ремэйлеру нельзя предъявить перехваченное от пользователя письмо с требованием расшифровать и выдать следующего участника цепочки пересылки.
У перехватывающей стороны есть только запись шифрованного сеанса связи, но не само письмо. Владелец ремэйлера может честно сказать: "извините, это был сеанс связи с одноразовым эфемерным ключем. Я не могу его расшифровать – все одноразовые ключи уничтожаются после сеанса".
Тоже самое будет, если закрытый ключ ремейлера будет похищен (скомпрометирован).
В соответствии с принципом "perfect forward secrecy " могут пострадать только те, кто посылал сообщения после компрометации ключа, но не до этого момента.

Вот пример использования:
http://www.bananasplit.info/mailtls.html

Еще более эффективно использовать тройную защиту:

сеть TOR->TLS вход в ремэйлер->цепочка ремейлеров.

Поскольку SMTP-соединения не имеют выхода из сети TOR (меры против спама), существуют по крайней мере два ремэйлера, обеспечивающие прямой вход через сеть TOR.

Это Panta-Rhei
https://www.panta-rhei.dyndns.org/
Tor-адрес страницы: https://rjgcfnw4sd2jaqfu.onion/
Tor-адрес сервиса: rjgcfnw4sd2jaqfu.onion:25
Вот полный список:
https://www.panta-rhei.dyndns...... ListOfHiddenServices

и упомянутый выше "bananasplit".

Вот еще инструкции по работе с этими системами:

https://www.panta-rhei.dyndns......rityAndEncryptionFaq

https://www.panta-rhei.dyndns......awiki/HowToJbnAndTor

https://www.panta-rhei.dyndns.org/hashcash/index.html

В дополнение к словам unknownа добавлю, что QuickSilver от 1.2.6b1 и выше имеет врождённую поддержку TOR. Чтобы завернуть письмо в Mixmaster из TOR необходимо, чтобы SMTP-сервер "слушал" иной порт, помимо 25. Вот полный список ремэйлеров, имеющих вход на порт 2525 и, соответственно, доступ из сети TOR:

banana bananasplit.info
bikikii bikikii.ath.cx
chicago xenophon.homeip.net
dingo mail.dingoremailer.com
frell frell.theremailer.net
hastio remailer.hastio.org
panta panta-rhei.dyndns.org
rot26 constellation.noreply.org

Чтобы завернуть письмо в Mixmaster из TOR необходимо, чтобы SMTP-сервер "слушал" иной порт, помимо 25.

... или имел прямой SMTP адрес в самой сети TOR вида rjgcfnw4sd2jaqfu.onion:25

Спасибо всем! Вот оно как... Не знал, что эта возможность называется PFS-ом.
Мой тупизм тем более неприятен, что пользуюсь и пантой и бананой через TOR.

Не знал, что эта возможность называется PFS-ом.
Мой тупизм тем более неприятен, что пользуюсь и пантой и бананой через TOR.

PFS – это просто название общего принципа – "Perfect Forvard Secrecy".

И тупизма здесь никакого не наблюдается. Это новые протоколы. Вы их осваиваете, затем все обмениваются опытом и учатся на чужих ошибках.

Кстати, Вам удалось обойти грабли с отсылкой IP адреса в самом письме от клиента через TOR к ремэйлеру? Я честно говоря пока с этим не экспериментировал.


P. S. Может тему разделить и перенести в обсуждение ремейлеров?
P. S. S. Так, тему уже разделили и она находится в том разделе, где ей и положено теперь быть

При использовании TOR'а столкнулся с такой проблемой, при его запуске он пишет только строку про то что это не финальная версия и все, после этого ниче не делает, файерволл показывает открытое соединение до сервера (с которого как я понимаю TOR берет список активных TOR серверов) но ответа нету. Открытое соединение висит пока мне не надоест и ничего не просиходит. С помощью сниффера удалось выяснить что мой TOR клиент передает пакет с запросом (размером около 75 байт) но ответа не приходит, не могу понять почему, вчера вечером все работало хотя тоже не сразу пришлось пару раз перезапустить клиента, но сегодня сколько раз не запускал ничего не происходит...
В чем может быть причина?? Настройки со вчерашнего дня не менял (ну кроме того что задал путь к лог-файлу). ОС винХР.

Ну в Линуксе я бы перезапустил демон Tor'a и посмотрел бы в лог.
В логах что-нибудь есть?

только строку про то что это не финальная версия и все, после этого ниче не делает,

Некоторые версии клиента отвергаются сетью. Может обновиться?

Все ли порты, необходимые для работы открыты?

В конфиге прописано, что коннектиться надо с localhost? Netstat – список открытых портов можно увидеть, там Tor слушает свой порт?
Privoxy нормально сконфигурирован на работу с Tor? Может "настройки слетели"?

А если послать запрос через [браузер->Privoxy->Tor], то что Tor в логах напишет?

P. S.
Кстати, winuser'am может быть актуально, что если у них заведутся какие-то трояны, работающие через tor, то отловить их по сетевой активности будет сложно, а настройки файрволлов для индивидуальных программ будут бесполезны.

Версии пробовал и 0.0.9.3 и 0.0.9.4 результат одинаковый.
Порты открыты, чтоб удостовериться отключил файерволл вобще не помогло...
И вобще вы упускает очень важную деталь что Вчера Все Работало!!! Но не с первого раза, первый раз я вчера запустил было тоже самое, потом я просто закрыл ТОР и запустил снова он соеденился и все работало (почта через него ходила, аська, браузер через привокси и ТОР), а сегодня не работает сам не пойму в чем дело.

Для Тора необходимо открыть порты 80, 443, 9001-9004, 9030-9033 и 9100. Если, как ты говорил, у вас вооружённые конфликты в локалке идут, убедись, что кто-нибудь не прикрыл доступ на эти удалённые порты. Попробуй ещё добавить в файл настроек torrc такую строчку:
FascistFirewall 1
Это заставит Тор использовать только стандартные HTTP и HTTPS.

Кстати, если программа работает не по стандартным HTTP и HTTPS либо не имеет встроенной поддержки socks4a, её, похоже, будет нереально заставить работать через TOR в Windows. Только через socks4a можно направить dns-resolve в TOR, а не в обход, а, скажем, мне так и не удалось найти ни одного соксификатора для Win32 с поддержкой этого протокола — либо socks4, либо socks5. А через privoxy ничего кроме HTTP(S) не пропустишь.

Только через socks4a можно направить dns-resolve в TOR, а не в обход, а, скажем, мне так и не удалось

Ну DNS нужен не всегда. Я не знаю, входят ли в Windows-версию утилиты tor-resolve и torify. Если даже нет, возможно их добавят позже. Могу только привести их в качестве простого примера.

tor-resolve <pop3.somemailserver.com>
получаем ответ через Tor в виде IP-адреса.

Прописывает "айпишник" в mail-клиент. Запускаем его через torify <mailclient>

Запускается обычная (даже с графическим интерфейсом) почтовая программа и можно скачивать почту. Сниффер показывает обычную работу Tor. Так как в программе забиты IP, то DNS запросы не используются.

Изредка (раз в несколько месяцев) IP адреса серверов меняются. Их легко можно заменить. Можно держать два разных конфига для почтовика и подставлять нужный при запуске (использовать Tor или нет).

Torify в поставке для Win32 нету. Может отдельно возможно где-нибудь скачать?
Касаемо tor-resolve, у меня он стабильно выдаёт
Feb 12 16:37:09.070 [err] do_resolve&#40;&#41;: Error while creating_socket: Successful WSAStartup not yet performed [WSANOTINITIALISED ]
и отказывается работать. Ну, впрочем, это не настолько принципиально — можно просто в вебе через браузер-privoxy-tor выполнить whois.

Torify в поставке для Win32 нету. Может отдельно возможно где-нибудь скачать?

Не знаю, у меня эта штука просто входит в состав пакета и находится в зависимости с tsocks (который является стандартным пакетом в дистрибутиве). Вероятно, в Windows много разных "соксификаторов", да не каждый подходит или еще не выбрали к какому приделать такую "обвязку".

man torify

torify(1) torify(1)

NAME

torify – wrapper for tsocks and tor

SYNOPSIS

torify application [application's arguments]

DESCRIPTION

torify is a simple wrapper that calls tsocks with a tor
specific configuration file.

Tsocks itself is a wrapper between the tsocks library and
the application that you would like to run socksified.

Please note that since tsocks uses LD_PRELOAD, torify can-
not be applied to suid binaries.

SEE ALSO

tor(8), tsocks(1), tsocks.conf(5).

Ну, по большому счёту, альфа-версия любой программы — это для экстремалов, а разработчики чаще работают в Линукс. Вероятно, по ходу развития будут появляться инструменты и под Windows.