id: Гость   вход   регистрация
текущее время 14:07 26/01/2021
Автор темы: SATtva, тема открыта 17/12/2004 00:49 Печать
https://www.pgpru.com/Форум/ПрактическаяБезопасность/OTRMessagingНезаписываемаяПереписка
создать
просмотр
ссылки

OTR Messaging: "Незаписываемая переписка"


Вам это понравится.


Никита Борисов и Иан Голдберг выпустили программу Off-the-Record Messaging. Это плагин для GAIM, обеспечивающий защищённую IM-переписку. Внимания заслуживает не столько этот факт, сколько особые свойства программы:
— шифрование сообщений
— аутентификация собеседников
— perfect forward secrecy
— возможность отречения (!)


PFS достигается благодаря эфемерным ключам, согласуемым по Диффи-Хеллману. Даже если текущий ключ будет скомпрометирован, секретность прежней и будущей переписки не пострадает.


Последнее свойство особенно интересно. Обычно аутентификация производится с помощью ЭЦП, но это жёстко привязывает человека к написанным словам: впоследствии он не сможет отказаться от сказанного, поскольку его сообщения заверены его закрытым ключом (этот ключ был известен ему одному).


С OTR ситуация иная. На нижнем уровне протокола с помощью закрытых ключей аутентифицируется MAC-код каждого из собеседников (MAC, или имитовставка, — это хэш-значение, зависимое от сообщения и симметричного ключа). Сами же передаваемые сообщения аутентифицируются с помощью этих MAC'ов (так каждый собеседник может быть уверен в аутентичности и целостности полученного сообщения). А раз оба собеседника знают MAC-коды друг друга, то даже если один из них решит опубликовать протокол переписки, он не сможет доказать, кто писал какие сообщения. Более того, после окончания сеанса переписки каждый из контрагентов может опубликовать MAC-коды в Сети, а раз они опубликованы, то данную беседу мог провести любой.


Вот такая хитрая штучка для тех, кто не хочет быть пойманным за язык. ;)


Версия плагина есть только под Debian или Fedora Core Linux.


 
На страницу: 1, 2, 3 След.
Комментарии
— unknown (01/09/2007 21:08)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
1) Это или сам протокол является частью заранее согласованного симметричного ключа или придумывается новый протокол.

2) Ну всё равно какие-то параметры, которыми стороны обмениваются по согласованию будут известны прослушивающей стороне.

3) Это стеганография. Только любая стеганография использует симметричный или крайне редко асимметричный же алгоритм для внедрения сообщения в стегоконтейнер (само сообщение чаще всего тоже зашифровано, но уже не стего-, а обычным крипто- ключем).

Надеюсь, ни в одном из пунктов не шла речь об элементарном утаивании деталей реализации (security trough obscurity)

Вообще, не стоит поднимать тему якобы преждевременной кончины ассиметричной квантовой криптографии по каждому поводу. Ещё обиднее будет если все не подумав перейдут на какой-нибудь новомодный квантовостойкий ассиметричный алгоритм типа NTRU, а он окажется нестойким против неквантовых методов анализа.

Если очень будет надо, то доведут до ума McElice или всем криптосообществом разберутся со стойкостью NTRU. Просто прогресс обычно наступает тогда, когда необходимость в чём0-либо становится совсем уже явной.

Пока постквантовая криптография – это экзотика.
— cooshoo (01/09/2007 21:50)   профиль/связь   <#>
комментариев: 83   документов: 4   редакций: 4
1.
Секретом может быть протокол согласования симм. ключей П = П(xij)
2. Секретом могут быть xij
3. Может быть замаскирован сам факт того, что происходит согласование ключей.
Как одна сторона сообщит об этих секретах другой? Ранее при личной встрече? Тогда не проще ли будет обменяться симметричными ключами.
— Гость (01/09/2007 23:30)   <#>
Ну во-первых не стоит забывать, что квантовые вычисления пока примеными только к взлому RSA, для другой асимметрики квантовых алгоритмов просто не существует (как и не существует никаких доказательств возможности их создания).
Так что имхо сейчас оптимальным будет использование одновременно как можно большего количества разных асимметриков. Расчет тут делается на то, что хотя-бы один из вскрыть окажется невозможно.
— SATtva (02/09/2007 18:56)   профиль/связь   <#>
комментариев: 11552   документов: 1036   редакций: 4094
[offtopic]
ПэГусев, я выслал Вам пару сообщений (как здесь через приватную связь, так и напрямую по почте). Вы их вообще получили? Или принципиально не отвечаете?
[/offtopic]

не стоит забывать, что квантовые вычисления пока примеными только к взлому RSA

Разве они уже к чему-то применимы? По-моему, пока речь только о математическом моделировании квантовых вычислений, но ни о реальных вычислениях. Регистры из пары кубитов не в счёт.
— ПэГусев (02/09/2007 20:53, исправлен 02/09/2007 20:59)   профиль/связь   <#>
комментариев: 112   документов: 8   редакций: 15
SATtva, лучше на джаббер. Тот ящик для контактов не предназначен. Заглядываю я туда нечасто.
Updated:
Сообщение получил. В общем и целом не возражаю.
— Гость (17/02/2008 17:21)   <#>
Я попытался оценить криптостойкость текущей реализации OTR в сравнении с end-to-end gpg для jabber в предположении что КК есть. Получилось, что обычный end-to-end gpg криптостойче, так как
  • для используемых не RSA асимметричных алгоритмов не найдено квантовых алгоритмов взлома и не ясно будут ли они найдены.
  • В случае OTR мы работаем с AES 128 => КК понижает криптостойкость до 64 бит => пароль 8 символов. Да и асимметричный ключ для согласования симметричного в протоколе OTR явно не 4096бит как это может быть выбрано в gpg (существенно меньшая длина). [Имхо, авторов OTR вообще не беспокоило что будет с информацией лет через 50, потмоу даже AES256 сделать поленились].
Я прав?
— unknown (17/02/2008 18:58)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
обсуждалось здесь
— Гость (18/02/2008 12:50)   <#>
обсуждалось здесь

Понял, прочитал. Но ответа не получил. Хорошо, пусть даже вся асимметрика ломается, но в предположении, что какую-то асимметрику будет сломать сложнее (понадобятся более мощные квантовые компы), какой подход всё же надёжнее? Otr или gpg?
— ParanoidAnt (07/04/2008 14:29)   профиль/связь   <#>
комментариев: 56   документов: 12   редакций: 2
Для EJabberd есть забавный модуль

http://www.ejabberd.im/mod_otr — This module does the Man in the Middle of the Off-The-Record protocol and messages can be logged
— ParanoidAnt (07/04/2008 14:34)   профиль/связь   <#>
комментариев: 56   документов: 12   редакций: 2
А они до сих пор принципиально не используют openssl для криптографии ?
— Гость (07/04/2008 19:00)   <#>
Для EJabberd есть забавный модуль

Интересно, для gpg+jabber есть что-то подобное?
— Vilnus (22/05/2008 16:37)   <#>
По-моему мнению, фишка PFS заключается в мнимой неопределенности криптоаналитика при отождествлении МАС-кода конкретному сообщению. Это модель многоверсионности для повышения скорее стеганографических свойств. На мой взгляд, она будет работать только при огромной избыточности сообщений. Пока, чесно говоря, с трудом понимаю где ее можно применить. Может быть в чатах между террористами.
— SATtva (22/05/2008 16:43)   профиль/связь   <#>
комментариев: 11552   документов: 1036   редакций: 4094
Не понял, какая связь между PFS и MAC?
— unknown (22/05/2008 17:41, исправлен 22/05/2008 17:42)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
фишка PFS заключается в мнимой неопределенности криптоаналитика при отождествлении МАС-кода конкретному сообщению.

Вот если сделать замену s/PFS/OTR//g, то фраза обретает некоторый смысл.
Но всё равно IMHO неверный.

Цель OTR – дать возможность отречения от своей "подписи" после сеанса.
Это как если бы кто-то специально генерировал и выбрасывал после сеанса в общий доступ кучу закрытых ключей, подписанных своим основным ключем, а затем справедливо утверждал – что эти ключи общедоступны и кто-угодно мог подписать одним из них какой-угодно текст.

Нечто подобное и реализуется в OTR и один из вариантов этого и предлагался на основе одноразовых MAC. А PFS это другое.
— Гость (25/06/2013 09:34)   <#>
Убийственный вопрос: есть ли решение OTR chat под айпады/айфоны? ) Вопрос, к сожалению не шуточный (
На страницу: 1, 2, 3 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3