id: Гость   вход   регистрация
текущее время 01:29 29/03/2024
Автор темы: Гость, тема открыта 20/01/2012 15:29 Печать
Категории: анонимность, инфобезопасность
https://www.pgpru.com/Форум/ПолитикаПравоРеальныйМир/ПриватнаяАнонимнаяСоцСеть
создать
просмотр
ссылки

Приватная анонимная соц. сеть


Хочется общаться с друзьями по сети так, чтобы никто не мешал, не подсматривал, не вычислял адреса, чтобы было просто освоить. То есть простая социальная сеть или чат с сохранением истории, в которой вся переписка бы шифровалась, доступ был анонимным.


Самым простым показалось использование известных социальных сетей Интернет Facebook или Google+, которые обещают приватность. Скачал Tor Browser, попытался вступить в Google+, но у меня сразу потребовали телефон. Попытался вступить в Facebook, удалось почти сразу. Пошла неделя и вдруг пишут – подтвердите вашу личность телефоном. Приехали. Никто не знает, есть ли надежные решения такого плана еще?


 
На страницу: 1, 2 След.
Комментарии
— unknown (20/01/2012 15:48)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Есть только теоретические исследования:


О существовании практически развёрнутых сетей такого рода ничего неизвестно.
— Гость (20/01/2012 19:23)   <#>
RetroShare?
— unknown (20/01/2012 21:51, исправлен 20/01/2012 21:57)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Сети Friend-to-Friend — это иногда анонимные(псевдонимные) сети. И иногда приватные. И ни одной социальной.


Если убрать из темы слово социальные, тогда да, под запрос автора топика попадают некоторые F2F-сети. Можно предположить, что и RetroShare. Или некоторые анонимные сети с возможностью F2F-соединений. Чат через скрытые сервисы Tor тоже под этот запрос подходит. Возможно I2P. Но это не социальные сети со свойствами приватности и анонимности.

— Гость (20/01/2012 23:02)   <#>
Важный момент в том, что считать анонимностью. Если соцсеть недецентрализована (обычный сайт в интернете или на скрытом ресурсе), то даже при анонимной (не известен IP) коммуникации между пользователями, она не анонимна как соцсеть (администраторы сети могут отслеживать активность пользователей, списки друзей и т.д. — в итоге имеем лишь псевдонимность). Если же соцсеть децентрализована и развёрнута поверх какой-то анонимной сети (скрытые ресурсы Tor), это уже лучше, но могут быть сетевые атаки по отслеживанию "соцсетевой" активности пользователей (всё равно соцсеть должна как-то интегрировать информацию о присутствующих, зарегистрированных, посылаемых сообщениях и т.д., для чего очень трудно создать протокол со свойством анонимности в принципе [о чём unknown выше и упомянул]). Грубо говоря, просто анонимный интернет — это "я хожу на сайт X, и не хочу, чтобы кто-либо про это знал", а анонимная соцсеть — это "я хожу на сайты X и Y, при этом Вася должен знать, что я хожу на X, а Петя и Маша — что на Y, админы же сети не знают (и не могут узнать) вообще ничего" (на самом деле должны быть ещё более сложные свойства, наподобие опций "Вася знает про существование Пети в друзьях, а Маша — нет", так что даже формализовать законченные и непротиворечивые требования к протоколу [сделать спеку] — уже не простая задача).
— Гость (21/01/2012 00:04)   <#>
Если убрать из темы слово социальные, тогда да, под запрос автора топика попадают некоторые F2F-сети. Можно предположить, что и RetroShare. Или некоторые анонимные сети с возможностью F2F-соединений. Чат через скрытые сервисы Tor тоже под этот запрос подходит. Возможно I2P. Но это не социальные сети со свойствами приватности и анонимности.

В принципе это то, что нужно, если друзья известны. А есть какая-нибудь реализация F2F, позволяющая использовать web-интерфейс через Tor Browser и обладающая криптозащитой? Просто смущает использование малоизвестного кода, пусть и открытого типа RetroShare.
— Гость (21/01/2012 20:42)   <#>
Хранение истории чата = асинхронный обмен (online/offline) подразумевает сохранение информации. При хранении возникает проблема с шифровкой: надо хранить для каждого пользователя собственный криптоархив и постоянно его обновлять со стороны пользователей, посылающих новые записи, что приводит к росту трафика пропорционально росту числа друзей. При хранении архива переписки непосредствеено на клиентах потребуется также содержать постоянно распухающую базу данных.

f2f сети используют для обмена протокол p2p. К сожалению под Tor подобный обмен невозможен. А довериться той же I2P здешние академики не рекомендуют.
— Гость (21/01/2012 23:11)   <#>
f2f сети используют для обмена протокол p2p. К сожалению под Tor подобный обмен невозможен

TorChat невозможен. Это иллюзия. :)
— Гость (21/01/2012 23:29)   <#>
При хранении архива переписки непосредствеено на клиентах потребуется также содержать постоянно распухающую базу данных.
К сведению: архив данного сайта занимает в сжатом виде 40 мб. Так знаете ли распух за эти годы (более десяти!) своего существования, что даже не влезет... да, а вот куда, интересно, по нынешним временам не влезет то? :)
— Гость (23/01/2012 12:38)   <#>
TorChat невозможен. wwwЭто иллюзия. :)

Благодарю за наводку. Как я понял это p2p сеть, где каждый клиент TorChat является скрытым сервисом Tor с псевдодоменом .onion. Точнее их 2 штуки: одна питоновская – TorChat, другая только вылупилась – JTorChat на Java.

Как я понял, в TorChat есть "delayed" сообщения, т.е. offline.

В JTorChat есть упоминание о реализации "Group Chat for secure group communication", но понятие о таких группах там своеобразное:

Thoughts on implementing groupchat
UserA creates a GroupList of people to converse with

The grouplist contains a GUID to represents the group convo, as well as the members in the convo group

Send the grouplist to everyone

Now if anybody wants to talk in that group, they send a message packet to everyone with this 3 info. "This message is a group message", "The group GUID is...", "This is the message content"

Adding new member to group is "Add this member ", "The group GUID is...", "new member name", sent to everyone in the current convo group. They will add the new member to the grouplist.

Leaving the convo group is "I am leaving", "The group GUID is...", "your exit message", sent to everyone in the current convo group. They will delete it from their grouplist.

Т.е., как я понял, группа = групповая рассылка, на которую каждый может подписаться ровно как и выйти из нее. Непонятно как быть в том случае, если ты хочешь писать только определенным лицам.

Если offline и приватные группы реализованы, то система полностью удовлетворяет требованиям верхнего поста. Единственный минус реализации, на мой взгляд, во включении опции передачи файлов. Зачем мешать мух (маленькие текстовые сообщения) с котлетами (файлы) в столь небыстрой системе не очень понятно.

Вопрос в безопасности как самого подхода, так и программного обеспечения, как понимаю, открыт, раз в torproject такого нет. Кстати в плане анонимности/приватности есть доверие к питону и яве?
— Гость (23/01/2012 13:04)   <#>
групповая рассылка, на которую каждый может подписаться ровно как и выйти из нее.
Теоретически ничего не мешает сделать и иначе: владелец группы проверяет PGP-подпись участника на предмет допуска его в "группу" (можно определить список владельцев PGP-ключей, имеющих право писать/читать)

в плане анонимности/приватности есть доверие к питону и яве?
К Java были претензии, но ошибок можно и в своём коде наделать, причём в любом языке программирования. Важнее здесь аудит сообщества и известность проекта.
— Гость (23/01/2012 13:33)   <#>
Есть проверенное решение в виде почтовых рассылок из под web-мыла под тем же Tor с юзаньем сторонней системы шифрования. Но это жутко неудобный при общении в группе путь, к тому же позволяющий раскрывать связи между почтовыми ящиками.

На так на безрыбье и рак – рыба. Если торпрожект не желает заниматься этой весьма важной проблемой, то либо есть подводные камни, либо спонсоры не желают развития данного направления.
— Гость (23/01/2012 15:35)   <#>
спонсоры не желают развития данного направления.
Кстати, обратите внимание, что в западных фильмах положительные герои-борцы "с системой" почти всегда – одиночки!
— unknown (23/01/2012 16:32, исправлен 23/01/2012 17:03)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

В торчате идёт связь между скрытыми сервисами, значит по умолчанию каждое сообщение шифруется между ними от конца до конца. Обе стороны аутентифицированы по onion-адресу, но анонимны по IP-адресу, опять же за счёт свойств скрытых сервисов. Групповой чат действует (скорее всего) просто копированием одного и того же сообщения в каналы, установленные между разными скрытыми сервисами.


Что наворотили в JTorChat — вот так сходу неочевидно. Автор TorChat старается ничего сложного не делать поверх собственно Tor-протокола.


Torproject больше среди всех пользовательских приложений сосредоточен на поддержке Tor-браузера, на что видимо уходят все силы. Также, сами скрытые сервисы не в приоритете у проекта. На первом месте анонимность при простой работе в сети (просмотр web-страниц с несложным контентом), затем предоставление защиты от цензуры.


Однако, Роджер Динглдайн упоминал в общем виде, что связь пользователей посредством персональных скрытых сервисов — перспективное направление.


К сожалению, в Torchat нет подробной документации, а автор до сих пор так и не подписывает своё творение даже PGP-ключом, при том, что его public-key висит на главной.


Есть ещё очень черновая идея Cables communication (через Tor и I2P), опять же пока в несерьёзном исполнении. Это для замены электронной почты. Это упоминалось в торовской рассылке, интереса пока не вызвало, но многие подтвердили факт того, что "ремейлеры мертвы" — их остались единицы и они скорее всего больше не возродятся, так что альтернативы нужны.


Такого нет, есть только предложения сделать что-то поверх Tor. Torchat, Cables через Tor и пр. подразумевают только одновременное нахождение пользователей в сети, т.к. Tor — это протокол анонимизации TCP (годится только для связи в реальном времени).


Весь смысл, чтобы всё было у пользователя (и клиент, и скрытый сервис), легко и единообразно у всех настраивалось, не требовало бы сторонних серверов для хранения. Тогда коммуникации полностью "растворялись" бы в остальном Tor-трафике, не давая дополнительных точек для анализа трафика.


Oracle что-то с ней опять мутит в лицензионном плане, так что её в срочном порядке даже выкидывали из стабильных версий дистрибутивов, просто ломая все работающие пакеты, которые от неё зависят. Или скачивайте оригинальную версию Jav'ы с сайта Оракла, сдаваясь на милость его политики исправления уязвимостей (соблюдение коммерческого копирайта важнее безопасности). Кстати, Oracle, похоже, не утруждает себя простановкой электронных подписей на предоставляемые для скачивания пакеты — ткните, если найдёте упоминание об этом на их сайте. А чо, энтерпрайзненько так! На уровне торчата примерно.


в западных фильмах положительные герои-борцы "с системой" почти всегда – одиночки!

Это про {м,к}ассовые фильмы с тупымпростым сюжетом? А уж как там хакеров показывают!


P.S. В скрытых сервисах есть ещё дополнительная встроенная аутентификация через конфиг, чтобы не пускать незнающих пароля или вообще не показывать его наличие не знающим пароль (полностью невидимый режим, но хуже масштабируемый). В описание торчата это не упомянуто, но ничто не мешает использовать сервис с такими опциями для того, чтобы давать более ограниченный доступ, например, к чату группы.

— Гость (23/01/2012 16:49)   <#>
Это про {м,к}ассовые фильмы с тупымпростым сюжетом?
Именно! Что-бы в массах была популярна идея о том, что с системой надо бороться в одиночку!
— Гость (23/01/2012 19:12)   <#>
Что наворотили в JTorChat — вот так сходу неочевидно. Автор TorChat старается ничего сложного не делать поверх собственно Tor-протокола.

Поставил – запустил – потестировал, заодно потрепался с одним из создателей. Он пишет, что сейчас идет активное допиливание базового функционала, в т.ч. расширяющего TorChat, например, делают групповые чаты с возможностью аутентификации по ключевым парам. Асинхронный (on-line/off-line) групповой обмен сообщениями не планируют, связано с потребностью хранения информации на локальных машинах, порекомендовал описать эту идею "microforum" в их блоге. По off-line сказал, что есть skype-образные "delayed" сообщения. Исходники глянул, по крайней мере каких-то посторонних jar-библиотек там нет, все пишут сами.

Tor — это протокол анонимизации TCP (годится только для связи в реальном времени).

Это понятно, но далеко от реальности. Так или иначе приходится поддерживать сессию. Печеньки там всякие писать, вставлять скрытые поля и т.п. Альтернативой хранению на локальных машинах может быть хранение на удаленном сервисе, но тогда сеть перестает быть децентрализованной. На мой взгляд хранение архива переписки может быть опциональным, например на групповом уровне.

Произвольные юзеры A,B,C добавляются в группу G. Каждый из них выделяет тех членов, от которых хочет получать групповые сообщения (с идентификатором G) и также тех из них, которым будет рассылать собственные групповые сообщения (с идентификатором G). Опционально каждый член G также может включить ведение группового архива переписки (on-line/off-line сообщений), рассылка части архивной информации (согласно списку доступа на чтение пользователя) будет проводиться между теми членами G, которые включили подобную опцию. Если все члены группы согласны писать и читать друг друга, а также вести архив, то получим анонимный, зашифрованный "микрофорум", что и нужно.

Oracle что-то с ней опять мутит в лицензионном плане

Да, от Ларри ждать хорошего не приходиться. Есть правда и другие средства разработки / исполнения Java-байт кода: Apache Harmony, OpenJDK. Пусть они не столь производительны и может быть не столь enterprise, но для "наколенных" программ это особо не важно.

P.S. В скрытых сервисах есть ещё дополнительная встроенная аутентификация через конфиг, чтобы не пускать незнающих пароля или вообще не показывать его наличие не знающим пароль (полностью невидимый режим, но хуже масштабируемый). В описание торчата это не упомянуто, но ничто не мешает использовать сервис с такими опциями для того, чтобы давать более ограниченный доступ, например, к чату группы.

Если не трудно, как по англицки опция называется?
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3