Cryptocat
на ресурсе не нашел упоминаний.
Представлен проект Cryptocat, в рамках которого создана реализация системы для организации работы web-чата, отличающаяся недоступностью передаваемых в рамках общения сообщений на сервере и транзитных узлах сети. Все передаваемые в внутри чата сообщения шифруются на стороне клиента с использованием алгоритма AES-256 и методов криптогрфии по эллиптическим кривым. Код клиентской и серверной части распространяется под лицензией AGPLv3. Серверная часть может быть запущена на любом хосте с интерпретатором PHP. Возможен запуск Cryptocat в виде скрытого сервиса Tor (http://xdtfje3c46d2dnjd.onion). В процессе создания новой комнаты чата пользователь набирает случайную последовательность из 256 символов, на основании которых генерируется ключ для доступа к данной комнате. Подобный подход решает проблемы с качественной генерацией случайных чисел на стороне браузера. Просматривать сообщения в рамках созданной комнаты могут только пользователи получившие созданный ключ. Для упрощения процесса приглашения пользователей в чат обеспечена поддержка адресной книги Facebook. Так как данные изначально передаются в шифрованном виде, администраторы сервера, на котором размещена серверная часть чата, или провайдер клиента не могут перехватить сообщения. Для подтверждения личности пользователей чата предусмотрена возможность использования цифровых подписей. Из возможностей также можно отметить функцию отправки приватных сообщений определённому участнику и поддержку передачи в рамках чата изображений и zip-файлов. Клиентская часть выполнена в виде браузерного web-приложения. Кроме того, подготовлены отдельные дополнения для браузеров Chrome и Firefox, которые позволяют полностью вынести логику работы чата на сторону клиента, используя сервер только для хранения зашифрованных данных и списка подключенных пользователей. Также доступны отдельные приложения для платформ Android, iPhone и Blackberry. Приложение для Android примечательно тем, что оно использует для передачи данных анонимную сеть Tor и в качестве сервера задействует скрытый сервис Tor.
комментариев: 11558 документов: 1036 редакций: 4118
У клиента нет никаких гарантий, что сервер не был скомпрометирован и не выдал ему модифицированную версию клиента, раскрывающую ключ, например.
комментариев: 11558 документов: 1036 редакций: 4118
К слову, разработчик принял основную критику и во второй версии устранил названный недостаток (эфемерность JS-скрипта), переписав программу в виде браузерных расширений.
пардоньте) погорячился
как вы считаете, есть ли смысл в использование сего продукта? есть ведь тот jabber, gpg и tor. смысл в этом "огороде" или, лучше сказать, в преимущества?
комментариев: 11558 документов: 1036 редакций: 4118
годнаяэлегантная реализация, своей простотой сразу привлекла внимание множества светлых умов мировой крипто-инженерии, которые нашли её технически корректной, если не считать вышеназванного фундаментального недостатка, который уже практически устранён.и еще. предполагается, что путем интеграции WebRTC, firefox и другие, смогут составить серьезную конкуренцию традиционным im сервисам. Насколько я понимаю, данное решение помогает связываться 2(?) браузерам напрямую. А как защищается канал связи?
комментариев: 11558 документов: 1036 редакций: 4118
Пользователи взаимодействуют не напрямую, а через централизованный jabber-сервер. Сервер используется только для поддержания конференций (в терминологии jabber), но не видит имена пользователей и передаваемый контент, поскольку клиенты используют оконечное шифрование. Сервер пересылает зашифрованные блобы.
Здесь приведён протокол и формальная модель угрозы.
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 11558 документов: 1036 редакций: 4118
Или QKD. Ну, либо через астрал сразу в моск
пациполучателей (главное, убедитесь, что вас не MITMят какие-нибудь астральные сущности, а то мало ли, что у них на уме).