Voice over TOR
Предлагаю для тестирования кипто VOIP-утилиту для работы через TOR (в режимах TOR -> доменное имя и TOR->скрытый сервис). Переделал с старого PGPFone: заменил транспорт на TCP и добавил адаптивный буфер для компенсации высокого jitter в TOR-туннеле. Также добавил обмен сообщениями и файлами.
Win98-XP-7-8. Полностью портируема. Работает peer-to-peer (звонить на доменное имя или TOR-hidden service). Использует DH4096+3DES.
Приветствуются замечания и пожелания.
Сайт проекта http://torfone.org (англ./рус.), там же доступны исходники (Visual C 6).
комментариев: 11558 документов: 1036 редакций: 4118
Соединение пиринговое (по ip или onion-адресу), без участия центрального сервера.
комментариев: 9796 документов: 488 редакций: 5664
В рассылке ещё и по-более принципиальным техническим моментам раскритиковали, чем просто неверное использование имени.
Помимо нарушения правил использвания имени проекта в официально неодобренном софте, ещё и переврали принятое сокрашение:
Кстати, к торчату вроде бы такие же претензии из-за имени, плюс ещё какие-то, на фоне множества форков того проекта на сомнительных языках программирования.
Мне кажется, что VoIP-over-Tor или PTT-over-Tor м.б. востребовано, но с другим определением анонимности. Не для того, чтобы оставаться анонимным от собеседника. А для того, чтобы скрыть факт того, кто с кем общается от третьей стороны (наблюдателя), скрыть и сам круг общения, время сеансов связи и сам факт их существования. Или для того, чтобы скрыть друг от друга, откуда совершается звонок в данный момент, но при этом оба говорящих в остальном друг другу доверяют, знают друг друга и перед собой неанонимны, а наоборот аутентифицированы. Т.е. анонимный канал для неанонимных между собой пользователей.
А разговаривать с анонимом, меняющим голос, особого желания нет. Да и всевозможные персонализирующие особенности устной речи, (микро)дефекты, темп, акцент, заикание, интонации, ударения всё это не скрыть.
Пусть аноним письмо пишет или чат устраивает, если у него какие-то поводы привлечь внимание к своей информации.
Вобщем, ожидал немного не то: как обычно, социальные моменты почему то доминируют над техническими, что по сути деструктивно.
Раз тут цитировали пост, то цитирую и свой ответ:
Hi!
TORFone has no relation to TOR except use it as a transport.
Also TORFone is not a brand or a commercial product that eliminates any commercial confusions or trademark infringements. TORFone ONLY my own testbed to investigate the possibility of anonymous voice.
I was not going to integrate it with TOR project, receive any sponsorship from it and have only personal research purposes.
Sorry, now I adds a recommended rejection to the site and consider the issue closed.
Я где-то не прав?
комментариев: 9796 документов: 488 редакций: 5664
Ну если там окна предлагают или что-то обсуждают просто, то нет.
Аналогично, если бы вы выпускали бублики под названием "тор", то никаких претензий у проекта к вам бы не было. Или занимались просто обсуждением торпроджекта, вот как на pgpru.com иногда обсуждается PGP. А вот если бы на pgpru.com стали выпускать какой-нибудь свой PGPsuperphone, то были бы закономерные претензии.
И всё-таки, я бы советовал больше обратить внимание на техническую критику, начиная с того, что циммермановский phone — это потенциально уязвимый abandonware и др.
Но тут есть но: изначально у меня была другая цель – показать возможность передать голос через анонимные сети и те проблемы, которые при этом возникают и будут значимы для пользователя. Если завтра я буду в качестве платформы использовать Jitsi, что то изменится? Я вобще не озадачивался анализом секюрити, тем более, как верно заметили в мейллисте, соединение с HS в любом случае шифровано самим TOR.
Но ни одного замечания или иде в направлении именно адаптации к транспорту так и не было.
Что касается уязвимостей PGPFone, то это вообще вопрос открытый. Я нигде конкретно не видел описания хотя-бы одной его уязвимости (хотя, конечно, это не значит, что их нет). Но, цитирую naif из вчерашнего мейлиста:
c) The PGP source code used is "abbandonware" and is subject to known
security vulnerabilities (like
http://www.cvedetails.com/cve/CVE-2000-0678/) and probably others
Я никогда не считал себя асом в криптографии, но какое отношение это имеет к криптографии PGPFone??? Складывается впечатление, что в Циммермановские сырцы никто в последнее время не вникал. А наклеить "abbandonware" проще простого, тем более имея свои современные аналоги.
комментариев: 11558 документов: 1036 редакций: 4118
Никакого. Данная уязвимость к PGPfone не относится, в нём попросту не используются ни OpenPGP-ключи, ни ADK.
На вашем сайте ссылка на обычный email, что некоторым параноикам типа меня не очень нравится.
Можете организовать защищенную, т.е. https-форму обратной связи?
комментариев: 393 документов: 4 редакций: 0
Unknown, вы ещё и заикаетесь?!
Вроде бы по существу уже всё сказано, но могу что-то повторить. Важно не то, является ли торговой маркой TORfone, а то, что маркой является Tor. Предствители Tor пекутся не о том, что вы будете извлекать прибыль, наживая себе аудиторию на известности бренда или созвучии, а о том, что аудитория будет по незнанию транслировать своё доверие всему, где в имени упоминается слово Tor, т.е. будет ассоциировать это с самим проектом Tor на уровне «это они, Tor-девы, всё делают и несут за это ответственность». Собственно, поэтому закон охраняет торговые марки и использовать Tor в имени своих проектов как минимум неэтично. По сути это неявная имперсонация, выдача себя за того, кем не являетесь. Опубликование дисклеймера на сайте — это всё хорошо, но лучше всё же сменить имя на OnionPhone или как там рекомендовали.
И на pgpru, и вообще, это всегда так. На одного-двух программистов приходится сотня простых юзеров, которым программистские внутренности программы вообще до фонаря, лишь бы работало. Аудитория желающих потестировать связь в Tor между HS ещё намного уже. Лучше продвигать где-то на англоязычных/международных ресурсах, так больше людей набежит. Можно запостить новость на linux.org.ru, на слэшдоте или ещё где, где аудитории читателей несоразмерно больше, чем у этого сайта; это даст некоторую visibility проекту.
[offtop]
Запостил вопрос.
[/offtop]
комментариев: 9796 документов: 488 редакций: 5664
Нет, ставлю скобки (в устной речи) :)
TorBOX, например, спокойно переименовали в Whonix без каких-либо непониманий с проектом. А вот в торчате, похоже какие-то неадекваты.
Им, наверно, важно, чтобы оно произносилось как «торчат» (авторы русские?). :)
Есть мнгог слов с суффиксом tor, и на них трудно наложить копирайт. Например, назовите проект CryptoficaTORfone :))
Дабы упредить вопросы типа сам попробуй: пока лежу в больнице, кроме планшетного андроида ничего нет