Программы класса IM (instant messengers) и приватность

SecureIM позволяет защитить разговоры по ICQ и AIM стойким 128-битным шифром.

Могу сказать, что наша аська-связь с "Руководителем проекта" происходит именно под прикрытием этой фичи..., которая устанавливается автоматически при первой попытке написать сообщение адресату, т.е. при нажатии первой клавиши в окне ввода текста. Сколь стоек шифр мне к сожалению не известно... ...но удобно! Проблем с кодировкой нет. (Trillian 1.0 Pro)

ICQ от Мирабилис

---

есть вроде плагин PGP, но у меня не заработал.

Плагинов два: один официальный, поставляемый с коммерческой версией PGP, другой неофициальный, являющийся независимой от PGP программой весом в пару мегабайт (сам этим не пользовался, так что без подробностей).

Официальный плагин представляется простым заменителем функции зашифрования активного окна, автоматизирующим процесс зашифрования/расшифрования аналогично плагинам для мэйл-клиентов, делающим этот процесс прозрачным и насколько возможно незаметным для пользователя. При первой попытке использования создаёт сертификат для открытого ключа в формате Имя пользователя <ICQ:номер>, собственно, и позволяющий корреспонденту с таким же плагином автоматически зашифровывать/отправлять сообщения. В логе переговоров сообщения хранятся в зашифрованном виде (в обычном ascii-коде), так что злоумышленное получение доступа к файлам history не принесёт взломщику никаких дивидендов.

Trillian
Что представляет из себя это защищенное соединение не очень понятно. Т.к. детали реализации не раскрываются разработчиками.

Известно, действительно, немного (для тех, кто дружит с английским, интересная дискуссия по данной теме на сайте разработчика: http://www.ceruleanstudios.com.....did=33279&perpage=30 ), в основном то, что выудили из трафика снифферами. Используется согласование секретного симметричного 128-битового ключа по алгоритму Диффи-Хеллмана, сами сообщения шифруются алгоритмом Twofish. Детали реализации разработчики упрямо отказываются раскрывать, ссылаясь на ошибочный аргумент, что секретность схемы добавляет ей надёжности. Неизвестен режим оперирования блочного шифра, принцип формирования случайных симметричных ключей и секретных показателей асимметричных, векторы инициализации и многое другое. Закрытость деталей не обязательно свидетельствует о наличии "люков", но наверняка — об ошибках и недостатках в реализации.

Сообщения в хистори хранятся в открытом виде, шифрование защищает их только в процессе передачи. Защита от атак "человек в середине" не предусмотрена. Таким образом, шифрование в Триллиане предоставляет самую минимальную защиту (не более, чем от автоматической перлюстрации трафика). Зачем в этом случае непробиваемые 128-битовые симметричные ключи — не понятно.

Хм. Нужен же человек, с которым можно это опробовать. Потому тех, кто пользует PGP + Jabber среди знакомых пока нет.

Опробуем.

Для IRC-систем, насколько я понимаю, никаких криптокомплексов не существует.

См. http://www.invisiblenet.net/iip/ — Invisible IRC Project, полностью анонимная система (никаких ident'ов и IP-адресов) + шифрование каналов связи. Единственный минус — использует исключительно свои серверы, не допуская переговоры на популырных.

PGP-поссибилити пакета JASC были опробованы в жизни. Я уже почти заснул, и поэтому буду краток (поздне постараюсь написать подробнее).
Все работает. Не тривиален сам процесс настройки, но в целом не особо сложен.
Надо сказать, что сниффером пакеты не ковыряли и что там на сетевом уровне происходит сказать трудно. Но, похоже, что все честно.
Проверили подписание и криптование сообщений, подписание подлинности присутствия респондента.
JAJС взаимодействует удачно с установленной на машине PGP 6.5. Какая
версия стояла у Влада не знаю (возможно 8.х).

Если резюмировать, то уже сейчас можно использовать технологию JABBER + PGP для организации приватного общения. Да и просто это удобная технология. За которой будущее.
Чтобы начать знакомство с Jabber посетите jabber.ru

Мой JID – Leksey@jabber.ru

Могу добавить следующее. В JAJC присутствует шифрование трафика между клиентом и сервером посредством SSL (если сервер поддерживает) и шифрование сообщений между клиентами посредством PGP. В качестве движка первого использует библиотеку OpenSSL, для последнего — установленную на данном компьютере программу PGP любой версии от 6.5.х до 8.х, все сведения о PGP JAJC берёт из системного реестра, никаких специальных плагинов не требуется.

Перед установлением защищённой связи корреспонденты должны обменяться открытыми ключами PGP, установить их подлинность и подписать. В настройках JAJC указать собственный ключ подписания и аутентификации и, в моей версии, выпущенной прошлой ночью, — дополнительный ключ шифрования (лучше свой, чтобы в последствии иметь возможность прочитать собственные сообщения).

JAJC позволяет и просто шифровать сообщения, и просто их подписывать, и шифровать / подписывать одновременно. При первой попытке отправить зашифрованное сообщение корреспонденту, JAJC предложил ассоциировать с этим корреспондентом один из открытых ключей со связки. Нужно указать ключ, принадлежащий данному корреспонденту. Каждое сообщение шифруется индивидуально, то есть для каждого месседжа применяется отдельный симметричный сеансовый ключ. Ключевая фраза кэшируется согласно настройкам PGP, так что при подписании её не нужно каждый раз вводить заново.

JAJC скрывает в отображаемых сообщениях шифртекст и любые служебные заголовки PGP, дабы сделать процесс шифрования максимально прозрачным и незаметным для пользователя. Операции зашифрования / расшифрования выполняются автоматически, программа сразу показывает готовое сообщение. Если использовалось только подписание, сверит подпись и выдаст под текстом сообщения краткую сводку: кто подписал, когда, достоверен ли ключ, состояние подписи:

Signed by: Vladislav V. Miller <sattva@mail.tomsknet.ru>, Status: Good, Validity: Complete, Date: Сб, 22 ноя 2003, 06:26:59

В хистори все зашифрованные сообщения хранятся в виде этаких конвертов: вместо текста сообщения просто строчка "This message is encrypted", рядом с которой проставлена отметка времени и имеется иконка замочка. Щёлкнув на неё, нужно ввести ключевую фразу соответствующего закрытого ключа, и только после этого JAJC покажет открытый текст конкретного сообщения.

Как уже отметил Алексей, есть интересная функция Sign presense, которая позволяет аутентифицировать текущую сессию пользователя в сети Джаббера. После подключения к серверу нужно выбрать эту опцию, ввести ключевую фразу для своего закрытого ключа, что, по-видимому, подпишет какие-то уникальные сведения о текущем сеансе с сервером (возможно, отметку времени и ID сессии, ещё нужно уточнить). Любой другой пользователь может ткнуть правой кнопкой в имя данного человека в своём контакт листе и, выбрав Verify signature, сверить подпись с этой уникальной информации, а это свидетельствует о том, что в данный момент онлайн находится именно этот человек (если исходить из допущения, что получить в своё распоряжение его закрытый ключ PGP и ключевую фразу для злоумышленника будет гораздо сложнее, чем пароль к его учётной записи в сети Jabber). Как я уже отметил, точные детали реализации этой функции ещё нужно выяснить, поэтому мне неизвестно, насколько она защищена от атаки с повторной передачей.

Интересна функция транспорта связи. Она позволяет через специальные установленные на сервере шлюзы получать доступ из внутренней сети Jabber в любую другую сеть IM вроде ICQ, AIM или Yahoo. А поскольку поддежка PGP реализована использованием стандартных средств PGP, а не собственной реализации стандарта, отправлять зашифрованные / подписанные сообщения можно и в эти сети. Единственно, пользователь той же аськи (без плагина PGP) не сможет выполнять зашифрование / расшифрование так же "на лету", но всё же читать их сможет.

Если резюмировать, то уже сейчас можно использовать технологию JABBER + PGP для организации приватного общения. Да и просто это удобная технология. За которой будущее.
Чтобы начать знакомство с Jabber посетите jabber.ru

Готов подписаться под этими словами.

Jabber ID: SATtva@Jabber.ru

Кроме того можно использовать SSL соединение. Для этого нужно в настройках аккаунта взвести крыжик соответствующий. Правда, при это несколько замедляется быстродействие. SLL также опробован на jabber.ru
Который его поддерживает, как оказалось :-)

Ужасно себя чувствую... Зашёл, зарегистрировался, вошёл и... не могу найти ссылку на скачивание продукта... Что это? – они специально дают мне понять мой идиотизм, или... сами такие?

(..уходит матерясь...)

Наблюдатель, регистрация на сайте www.jabber.ru не имеет отношения к регистрации в сети Jabber. Для начала скачай клиент JAJC с сайта разработчика (советую nightly build, хотя она баговатей, чем версия 104, но и функционально более насыщенный). С помощью клиента создай на сервере jabber.ru аккаунт...

Мда... был я на этой странице... Там столько ссылок, что... Короче, ребёнок "ушёл" с мыльной водой... Скачиваю и задаю себе вопрос:"А нафига тебе это, Андрюха?!" 8)

http://jabber.ru посвящен технологии как таковой. Меня тоже в свое время смутило отсутствие там клиентов. Но я полез на буржуйские сайты и стал качать все клиенты подряд, пока не остановился на жужике (JAJC).
А вот уже жаббер-сервер jabber.ru это именно жаббер сервер, к которому надо коннектиться клиентом.
Надо, Андрюха, надо. :-) Руководитель проекта теперь "принимает" только в жабыре :=)

А есть ли какие-либо мнения по поводу криптографического плагина к Mirand'е?
И вообще – относительно неё?
Она же Open Source – и притом поддерживает интеграцию со всеми IM-сетями: ICQ, IRC, MSN, AIM, Jabber.

http://www.miranda-im.org/
http://www.miranda-im.org/down.....action=display&id=38
http://www.miranda-im.org/down.....tion=viewfile&id=216

Там, как я понял, мнения не очень лестные...

Миранда, конечно, лучше асечного клиента, но мне ЛИЧНО не нравится.
Хотя, если Триллиан загнется, то придеться на нее переходить.
А про то что она опен-сорс, я что-то не уверен.
Про ее криптоплаги ничего не знаю.

Ghola, Миранду и плагин пощупал. Плагин интегрирует в Миранду криптографический движок GnuPG на очень низком уровне, поэтому надёжность шифрования должна быть не ниже, чем GnuPG. Автоматизирует процессы шифрования. Поскольку шифртекст обычно получается больше исходного IM-сообщения, отправлять мессы офлайновым контактам в большинстве сетей не удастся. Ключи берёт со связок GnuPG.

В целом, штука нормальная, но, как Алексей, от самой Миранды я не в восторге по удобству использования. Видимо, дело вкуса просто.

Leksey:
Миранда, конечно, лучше асечного клиента, но мне ЛИЧНО не нравится.
Хотя, если Триллиан загнется, то придеться на нее переходить.
А про то что она опен-сорс, я что-то не уверен.
Про ее криптоплаги ничего не знаю.

Миранда Open Source. Можете мне поверить. Это её основное и решающее отличие от остальных известных мне IM-клиентов. Хотя конечно на вид она не очень красивая. Но функциональная.

Я лично откомпилировал её исходник. Можете взять ссылку на него на оффициальном сайте проекта. Вот ссылка на одно из зеркал:
http://keihanna.dl.sourceforge.....da-im-v0.3.2-src.zip

Дело не во внешнем виде. Жужик (JAJC) выглядит примерно как Миранда, но ничего, пользуемся.. Просто она какая-то неудобная. Я так и не запомнил куда там наживать, чтобы позвать меню. Меня она как-то смущает.
Но, несомненно, софтина стоящая и очень шустрая. Учитвая количество плагов к ней, вообще супер.
У нас в домашней сетке мы используем Jabber. В качестве клиентов многие используют ту же Миранду с жабберовским плагом.. Но я лично пользую Жужика и не жужжу..