Инструкция для чайников. Криптоанонимный IM TorChat
В продолжение чайниковой темы.
Tor Chat – децентрализованная анонимная криптозащищенная система обмена мгновенными сообщениями, построенная на базе анонимизирующей сети Tor. В отличие от аськи и других подобных систем, в Tor Chat нет никаких посредников (окромя технической инфраструктуры самого Tor), не надо нигде регистрировать номера и логины и зависеть от каких-то внешних центральных IM-серверов. Связь устанавливается непосредственно между собеседниками, причем изначально гарантируется анонимность и полная криптозащита переписки. Все это вместе с простотой использования должно понравиться анонимным домохозяйкам.
Децентрализованная криптоанонимная система обмена мгновенными сообщениями TorChat. Инструкция для windows
http://xmail.net/teapot/torchat/
Скачать zip-архив инструкции
комментариев: 1079 документов: 58 редакций: 59
Наверное, существует множество достойных программ, но используют их только гики ввиду сложности.
Для массового использования, в том числе чайниками, нужен простой, легкоусвояемый продукт :)
Да, но всем и всегда рекомендовалось устанавливать только доверенные известные плагины с хорошей репутацией, а не просто любые, заявленные на сайте Mozilla'ы.
Тем более, значит для решения p2p поверх инфраструктуры HS пришлось бы ещё и IRC патчить. В XMPP вроде настолько фатальных утечек в плане анонимности нет.
Мы привыкли к мессенджерам в стиле SMS, ICQ, XMPP и т.д. Все они позволяли писать в оффлайн. Единственный популярный клиент, не позволявший писать в оффлайн (доставка — только когда оба в онлайне) — Skype. Как у него сейчас дела с этим обстоят — не знаю.
В общем, да. XMPP — не лучшее решение, но это то, что работает уже сейчас и из коробки.
Неплохая идея, но всё, как всегда, упирается в её реализацию (статьи, код, проект). В OnionPhone поддержка такой почты планируется?
В Skype тоже ходили. ☺ Вопрос в том, когда они доставляются. В TorChat максимум, что может быть (при p2p-архитектуре) — доставка, когда оба абонента вышли в онлайн.
Хороший протокол должен позволять связываться и в том случае, когда противник знает, кто стоит за каким «именем», но это не позволяет ему его вычислить.
Сейчас так же?
OnionShare как-то тоже проигнорировал этот принцип, не знаю уж, насколько успешно.
Как сделать так, чтобы убились все те, кто пытается делать анонимность╱безопасность-критичные вещи на Win?
А что сложного? Самое сложное — заблокировать трафик файерволлом. Например, Psi нагло сифонит по DNS.
crypto.cat [1], [2]? Наверняка требует JS, как и др. ему подобные сервисы.
Есть вебчаты, но большинство их требуют JS. Если оба собеседника не совсем дауны, подойдёт XMPP в onion (хотя бы тот же cyjabr4pfzupo7pg.onion), каждый регистрирует разовый аккаунт, потом его удаляет.
Если вы общаетесь со своим официальным противником, он может вообще взять все логи чата╱переписки и выложить их в паблик на pastebin в любой момент. На этом фоне вопрос доверия анонимному третьему сервису, который вообще не знает, кто вы такие, связывающиеся между собой, выглядит не очень серьёзно.
Пипец, Tor HS'ы уже начали опутывать рекламой. ☹ Куда катится мир... Хотят из скрытых сервисов сделать такую же клоаку, как обычный инет.
Сложно, да и все видят хороший IM по-разному (параноики в меньшинстве). Некоторые считают, что почтовый протокол связи давно морально устарел. Другие отмечают, что у почты есть свои плюсы, но это скорее официальный способ коммуникации с официальными длинными письмами, а не средство перекидывания сообщений в узком кругу доверяемых лиц.
Я бы ещё сказал, что почтовый проткол слишком антропоморфен, и это придётся изживать. Его делали калькой по тем представлениям о почте, какие были 40 лет назад, с тех пор так и развивается. © Конечно, на конверте пишут «From» и «To», поэтому и в почтовый протокол потащили то же самое. Об анонимности или защите коммуникаций тогда никто не думал.
Теперь много на что открылись глаза, и вдруг выяснилось, что хочется намного больше, чем мы умеем делать. Например, мы не понимаем, как подружить отрицаемость с оффлайном, как сделать доставку в оффлайн с недоверием третьей стороне, как добиться неразглашения информации о выходе в онлайн для третьих лиц (или вообще для всех), и, наконец, как всё это сделать удобным, чтобы работало не в виде комбайна из пяти клиентов, каждый для своего случая, а в виде одного клиента, где есть всё и сразу. Да и нужно ли? Сначала чат, потом почта к чату, потом голос туда, потом фоточки показать... и мы получаем амбициозный вопрос создания полностью анонимной и доверенной соцсети. Как такие вопросы могут быть простыми?
Предложения gegel'я и unknown'а хорошие, но судить можно будет только тогда, когда это взлетит, и пройдёт время. Как где-то говорилось в анонсах компаний, «мы меняем мир». Сможет ли идея gegel'я поменять представления мира о том, как должна выглядеть почта-IM для параноиков? Взлетит ли? Не найдутся ли существенные минусы уже на этапе попытки первой реализации?
(P.S.) Связать 2 HS'а нетрудно, это можно сделать даже чем-то типа socat'а. Сообщения будут передаваться. Но нужен ещё удобный интерфейс, список контактов и т.д., а не просто демонстрационная передача нескольких реплик разово под случай. Т.е. нужен протокол. А к протоколу возникает много вопросов...
комментариев: 393 документов: 4 редакций: 0
Что касается протокола TorChat, то некоторое описание есть тут и тут.
В первом приближении будем считать, что отправляемое к TorHS сообщение шифруется публичным ключом получателя-владельца HS (на самом деле в Tor сложнее, т.к. добавлена отрицаемость за счет DH, но смысл тот же). Тогда аутентификация в TorChat описывается протоколом Abadi – см. слайд 3.
Своего шифрования и аутентификации в TorChat нет, поэтому, не зависимо от реализации, его надежность определяется надежностью Tor – не больше и не меньше.
Не в OnionPhone, возможно – когда нибудь отдельно.
Сейчас все свободное время (которого и так в обрез) посвящаю криптофону поверх GSM, уже есть практически работающий прототип в софте, хочу прикрутить к железу на базе GSM модуля Quectel (Open Software-Firmware-Hardware). Кстати, специально для unknown интересная книга для расширения кругозора – весьма доступно и полезно (извиняюсь за офтоп).
Дааа. Вот засада так засада..
А почему вы не можете на Debian поставить 0.9.9.553? Вы принципиально не хотите или не знаете где лежит? Могу выложить куда скажите. почему сначало не попробовать все варианты, а потом озадачивать народ?
Psi с gpg – сложно, Pidgin с OTR – непросто, а что просто? Торчат поставить одной версии тоже сложно.. Ну ХЗ.
Какая платформа? IOS или Android?
комментариев: 9796 документов: 488 редакций: 5664
Спасибо, у меня «интересных книг для расширения кругозора» накапливается в списке непрочитанных столько, что времени их прочитать может не хватить, даже если уделять этому каждый день по несколько часов в течении десятилетий (извиняюсь за офтоп) :).
За ссылки спасибо, но это не спеки на протокол. Первая ссылка — хорошее объяснение для юзеров, что там есть, а вторая ссылка говорит сама за себя:
Если автор не удосужился написать спеку к протоколу, значит, он либо некомпетентен (не знает, как нужно разрабатывать такие проекты), либо делал протокол в расчёте на его дальнейшую коммерциализацию, где «чем меньше о протоколе знают конкуренты, тем лучше» (привет, аська).
Это просто криптофон без всякой анонимности, причём передача голоса идёт не по интернет-каналу, а по GSM-каналу?
Строго говоря, если всё так, это серьёзный баг (одна версия не может связаться с другой), так что замечание гостя полностью справедливо.
Стр. 345, ггг. :) Вообще, там по ходу им приходится солидный кусок теории информации изложить.
А не надо читать всё подряд от корки до корки, нужно уметь выделять главное для вас и ваших задач, при этом бегло пропуская детали. Я от корки до корки в своей жизни не осилил ни одну техническую книжку (даже если считать методички).
Как бы вам пояснить, чтобы вы поняли, и не стали плеваться ядовитой слюной...
Во-первых, в софте есть определеные правила игры.
1) Если версии отличаются в 6 знаке, они просто обязаны быть совместимыми.
Если такого нет – значит, однозначно косяк.
2) Я использовал 0.9.9.550, потому что она лежала в репозитарии Деба, т.е. она должна быть как следует проверенной и соответственно к ней большее доверие, чем к последним экстра-новинкам.
Собеседник же поставил на Виндовс 0.9.9.553, потому что имеет на это полное право – см. 1)
Выложить – зачем?? Еще на предыдущей странице я указывал линк для скчивания: https://github.com/prof7bit/TorChat/downloads
Походе, вы любите читать темы с конца.
Вы меня извините, но мне больше нех. делать – перебирать все неубранное дерьмо, которое оставил за собой программер. Это он сам должен был сделать, если хотел доверия и популярности к совему продукту. Или предупредить о несоместимости в доках.
С учетом вышесказанного доверие к качеству Торчата и программисткой дисциплине Бернда как его создателя у меня улетучилось почти полностью.
И похоже, он сам забросил свой проект с 2012 года – наверное, нашу "лавочку" можно закрывать.
Официальный Tor пилит так называемый «Tor messenger»:
Разработку этого мессенджера спонсирует некий Sponsor O. Периодически в рассылку скидываются новости на тему. Это что-то типа веб-чата на JS с гейтами в другие сети? Простого описания не вижу, а выуживать по крупицам информацию лень. По-моему, на pgpru ранее вскольз эта разработка уже упоминалась. Судя по описанию, мессенджер явно не для параноиков, поскольку последние JS-чатом в браузере пользоваться вряд ли захотят.
Не приходит в голову, что проблема может быть только у вас и вашего собеседника?
Да еще и при спонсоре. Который наверняка из АНБ, которой не удалось загубить Tor, так хоть мессагер дырявый всучат, на это и расчет, видимо.
Расчёт не на педонарков, это точно. Обычным журналистским офисным кисам, далёким от премудоростей IT, именно такой мессенджер и нужен. Остальные пусть ищут себе более адекватный инструмент в качестве IM.
Я не против такого мессенджера (типа Tor messenger), пусть он будет для связи с «непараноиками», которые всё равно заморачиваться не будут, для них скачать и запустить готовое — максимум достижимого. Ну, т.е., пусть будет хотя бы такой инструмент, чем вообще никакого.