id: Гость   вход   регистрация
текущее время 18:51 08/12/2019
создать
просмотр
ссылки

Jabber сервер без логов


Я планирую запустить собственный jabber сервер. Особенностью этого сервера будет полное отсутствие логов соединений и общения между пользователями.


Вопрос к общественности: что вас убедит в том что сервер действительно безопасен и (насколько это возможно) анонимен? Какие доказательства своей "благонадежности" должен предоставить владелец ресурса ?


На пример я могу предоставить shell доступ 1-2 доверенным лица чтобы они могли на регулярной основе проводить аудит конфигурации.


Хочу выслушать ваши предложения.


 
На страницу: 1, 2, 3, 4, 5, 6 След.
Комментарии
— Гость (14/05/2008 15:09)   <#>
Подробнее объясните что вы хотите шифровать OpenPGP ?

Связь между чел-1 и чел-2. Чел-1 – в командировке, чел-2 – за нормальным рабочим местом с запущенным джаббер-клиентом, у которого сервер – jabber.org

Чел-1 в командировке за чужим компьютером -> jwchat-клиент на параноидальных муравьях через https -> шифрование ключом PGP чела-2 на муравьях -> отсылка на jabber.org PGP-зашированного сообщения (можно и с s2s) от адресата чел-1@муравьи-параноидальные.орг -> jabber.org отсылает сообщение в jabber-клиент чела-2.

Обратно:

ээээ. надо подумать :)
Но суть в том что чел-1 использует https-джаббер-клиент на муравьях как будто это его удалённая машина с запущенным джаббер-клиентом (по функционалу), доверяя сервису использовать pgp-ключи. Цель: сделать так, чтобы люди, использующие разные джаббер-сервера, но отсылающие на муравьёв, имели возможность не позволять сторонним серверам (ака jabber.org) прослушивать свой трфик, несмотря на то, что адресат (чел-1) на той стороне, работает без полноценного pgp.

P. S.: мб я объясняю смутно, но уже 3 раза одно и то же, неужели так трудно понять что требуется? Что-то типа jwchat + шифрование от jwchat до конечного пользователя (на основе PGP, например).
— ParanoidAnt (14/05/2008 17:16)   профиль/связь   <#>
комментариев: 56   документов: 12   редакций: 2
вы хотите чтобы шифровал сообщения web клиент или этим должен заниматься север с которым он работает ?
— Гость (15/05/2008 08:02)   <#>
вы хотите чтобы шифровал сообщения web клиент или этим должен заниматься север с которым он работает?

Ну это уже вопрос по конкретной реализации... Я бы так сказал: ваш джаббер-сервер должен фактически выполнять вот какую функцию: быть джаббер-клиентом, берущим сообщения, посылаемые в веб-сервис, заворачивающим их в PGP адресата, и посылающим их конечному адресату по стандартному джаббер-протоколу.

Для простоты, пусть я – такой сервис. Я вижу что некто хочет что-то послать на чел-2@jabber.org. Тогда я копирую сообщения из веб в джаббер-клиент, назначаю PGP-ключ для чел-2@jabber.org и отсылаю его конвенциональным образом. Теперь я уже знаю, что jabber.org не сможет прочитать сообщения. Отправитель же имеет лишь браузер с https и ничего больше. Единственное что остаётся прикрутить – правильный туннель из jwchat в джаббер-клиент, и позаботиться об масштабируемости последнего.

И кстати(!): очень хорошая аналогия – у нас уже есть подобный (но односторонний) сервис на pgpru.com, и называется он "шифрование личных сообщений при их отправке на email". Я залогиниваюсь на pgpru, отправляю прватное сообщение кому-то, при этом pgpru само шифрует моё сообщение pgp-ключом адресата и отправляет ему на мыло. Я бы хотел видеть
  • примерно то же самое но не для mail а для jabber
  • иметь возможность двусторонней связи (в случае pgpru это выглядело бы так: участник pgpru, получив приватное шифрованое сообщение от сервиса, отвечает на него, – оно в итоге отправляется на pgpru.com и высвечивается в веб-клиенте приватных сообщений как диалог. Только естественно, хотелось чтобы это всё работало быстро, как ив обычной джаббер-связи.

Чтобы получить шифрование в обратную сторону, можно назначить "общий pgp-ключ сервиса" которым люди и будут шифровать все свои сообщения для контактов – веб клиентов сервиса. Подмывает сказать, что можно было бы воспользоваться стандартными целями для этого – сертификатом джаббер-сервиса, но мне не известны стандартные интерфейсы которые это позволяют в отличие от pgp (ибо сертификат сервиса не будет действовать через цепочку "клиент-jabber.org-сервис", хотя его достаточно если вместо jabber.org используется сам сервис, т.е. сообщение с сервиса сразу идёт на клиент получателя а не на его джаббер-сервер).

P. S.: это всё на уровне предложений дополнительного функционала к стандартному джаббер-сервису :)
— Гость (15/05/2008 08:43)   <#>
Какие доказательства своей "благонадежности" должен предоставить владелец ресурса ?
Выложите исходные тексты и рекомендации по установке, чтобы желающие могли использовать самостоятельно "скомпилированную" версию сервера на своём хостинге.
— Кость (30/05/2008 03:55)   <#>
а чего в США? Неудачная страна... Кстати вот похожий сервак thesecure.biz, тоже человек с репутацией поднял..
— SATtva (30/05/2008 12:43, исправлен 30/05/2008 12:44)   профиль/связь   <#>
комментариев: 11543   документов: 1036   редакций: 4092
А где на репутацию этого человека можно посмотреть? Доверие — такая вещь, которую опосредованно передать очень трудно.
— Paran0ik (30/05/2008 12:54)   профиль/связь   <#>
комментариев: 88   документов: 13   редакций: 3
Кстати вот похожий сервак thesecure.biz, тоже человек с репутацией поднял..

опять же – с репутацией в определенных кругах, этот сервис люди изначально поднимали для себя, я пользуюсь именно им...

а для безопасности никто не мешает шифровать личную переписку своими gpg ключами, хотя есть мысли лучше использовать отдельный ключ, подписанный своим основным, а вообще в голову приходила идея с сеансовыми ключами, уничтожающимися при окончании сессии или через какойто промежуток времени (по типу ОТР)
— unknown (30/05/2008 13:28, исправлен 30/05/2008 13:37)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
От всего что тут понаписали – торчат!

Так что jabber не нужен и сервер без логов тоже.

Torchat переносим на флэшке и может работать без инсталляции в Linux и Win.
Шифрование обеспечивается вашим собственным скрытым сервисом Тора (возможно временно развёрнутым), также как и OTR.

Программка – просто скрипт на питоне с граф. оболочкой.

Не проверял насколько там всё безглючно реализовано, но идея хорошая.
— Гость (30/05/2008 14:06)   <#>
Нифига не понимаю. В тех же краях где этот .биз рекомендуют, пилят мозг про тор. С академическими знаниями рассказывая про дыры и логи (в тор), а если нет, то как минимум пугают концентрированным скоплением любителей анонимности. Что облегчает контроль, таких однотипных-однотипных анонимов.
В данном случае пусть доверяем .биз c его логами, и дырами, но все знают кто эти сервер(а) постоянно использует. Вот вам и контроль, для которого и полуглобальных наблюдателей не надо, а достаточно сделать датацентру предложения от которого они не смогут отказаться. Шифруйтесь, впнируйте с (ло) ботомированием, это общую картину, для такого узкого спектра трафика как переписка, наблюдающему не испортит.
В общем выше уже писалось про это.
Вероятно любители и владельцы .биз как минимум не последовательны, а вероятно мыслят и действуют с точностью до наоборот.
— SATtva (30/05/2008 14:49, исправлен 30/05/2008 14:51)   профиль/связь   <#>
комментариев: 11543   документов: 1036   редакций: 4092
unknown, спасибо за ссылку. Весьма интересная вещь. (Название в русской транслитерации тоже прелестное. :-)
— unknown (30/05/2008 15:19)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
...а вы торчите в торчате? ;-)

также как и OTR.

Перепутал. Только PFS, а не OTR, что тоже конечно не плохо.
— Гость (31/05/2008 02:36)   <#>
От всего что тут понаписали – торчат

А в чём там иноовация? Поднять свой джаббер-сервер на скрытом ресурсе можно было и без этого. Для меня только не совсем ясно насчёт гейта в обычный интернет (но сделать такой тоже можно).
— unknown (31/05/2008 13:10)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Инновация только в том, что относительно непродвинутый пользователь может раскомментировать строку в конфиге, разрешающую запуск скрытого сервиса, прописать его порт в torchat.
Настраивать ssl поверх скрытого сервиса необязательно (если достаточно обеспечиваемой tor'ом зашиты 1024-DH, 128-AES) и если гейт в открытый Интренет не нужен.
— SATtva (31/05/2008 15:49)   профиль/связь   <#>
комментариев: 11543   документов: 1036   редакций: 4092
Плюс ко всему — полная децентрализация. Jabber всё же квази-децентрализован: клиенты работают через сервер, несмотря на то, что самих таких серверов может быть много.
— _Demon_ (21/06/2008 23:25)   профиль/связь   <#>
комментариев: 1   документов: 0   редакций: 0
Было бы неплохо иметь свой сервак, но у него обязательно должны быть какие-то большие преимущество перед остальными
На страницу: 1, 2, 3, 4, 5, 6 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3