— Observer (11/11/2003 18:14)   

SecureIM позволяет защитить разговоры по ICQ и AIM стойким 128-битным шифром.

Могу сказать, что наша аська-связь с "Руководителем проекта" происходит именно под прикрытием этой фичи..., которая устанавливается автоматически при первой попытке написать сообщение адресату, т.е. при нажатии первой клавиши в окне ввода текста. Сколь стоек шифр мне к сожалению не известно... ...но удобно! Проблем с кодировкой нет. (Trillian 1.0 Pro)

— SATtva (12/11/2003 01:41)   

ICQ от Мирабилис

---

есть вроде плагин PGP, но у меня не заработал.

Плагинов два: один официальный, поставляемый с коммерческой версией PGP, другой неофициальный, являющийся независимой от PGP программой весом в пару мегабайт (сам этим не пользовался, так что без подробностей).

Официальный плагин представляется простым заменителем функции зашифрования активного окна, автоматизирующим процесс зашифрования/расшифрования аналогично плагинам для мэйл-клиентов, делающим этот процесс прозрачным и насколько возможно незаметным для пользователя. При первой попытке использования создаёт сертификат для открытого ключа в формате Имя пользователя <ICQ:номер^[link1]>, собственно, и позволяющий корреспонденту с таким же плагином автоматически зашифровывать/отправлять сообщения. В логе переговоров сообщения хранятся в зашифрованном виде (в обычном ascii-коде), так что злоумышленное получение доступа к файлам history не принесёт взломщику никаких дивидендов.

Trillian
Что представляет из себя это защищенное соединение не очень понятно. Т.к. детали реализации не раскрываются разработчиками.

Известно, действительно, немного (для тех, кто дружит с английским, интересная дискуссия по данной теме на сайте разработчика: http://www.ceruleanstudios.com.....did=33279&perpage=30^[link2] ), в основном то, что выудили из трафика снифферами. Используется согласование секретного симметричного 128-битового ключа по алгоритму Диффи-Хеллмана, сами сообщения шифруются алгоритмом Twofish. Детали реализации разработчики упрямо отказываются раскрывать, ссылаясь на ошибочный аргумент, что секретность схемы добавляет ей надёжности. Неизвестен режим оперирования блочного шифра, принцип формирования случайных симметричных ключей и секретных показателей асимметричных, векторы инициализации и многое другое. Закрытость деталей не обязательно свидетельствует о наличии "люков", но наверняка — об ошибках и недостатках в реализации.

Сообщения в хистори хранятся в открытом виде, шифрование защищает их только в процессе передачи. Защита от атак "человек в середине" не предусмотрена. Таким образом, шифрование в Триллиане предоставляет самую минимальную защиту (не более, чем от автоматической перлюстрации трафика). Зачем в этом случае непробиваемые 128-битовые симметричные ключи — не понятно.

Хм. Нужен же человек, с которым можно это опробовать. Потому тех, кто пользует PGP + Jabber среди знакомых пока нет.

Опробуем.

— SATtva (12/11/2003 01:48)   

Для IRC-систем, насколько я понимаю, никаких криптокомплексов не существует.

См. http://www.invisiblenet.net/iip/ — Invisible IRC Project, полностью анонимная система (никаких ident'ов и IP-адресов) + шифрование каналов связи. Единственный минус — использует исключительно свои серверы, не допуская переговоры на популырных.

— Leksey (22/11/2003 03:34)   
PGP-поссибилити пакета JASC были опробованы в жизни. Я уже почти заснул, и поэтому буду краток (поздне постараюсь написать подробнее).
Все работает. Не тривиален сам процесс настройки, но в целом не особо сложен.
Надо сказать, что сниффером пакеты не ковыряли и что там на сетевом уровне происходит сказать трудно. Но, похоже, что все честно.
Проверили подписание и криптование сообщений, подписание подлинности присутствия респондента.
JAJС взаимодействует удачно с установленной на машине PGP 6.5. Какая
версия стояла у Влада не знаю (возможно 8.х).

Если резюмировать, то уже сейчас можно использовать технологию JABBER + PGP для организации приватного общения. Да и просто это удобная технология. За которой будущее.
Чтобы начать знакомство с Jabber посетите jabber.ru

Мой JID – Leksey@jabber.ru

— SATtva (22/11/2003 13:56)   
Могу добавить следующее. В JAJC присутствует шифрование трафика между клиентом и сервером посредством SSL (если сервер поддерживает) и шифрование сообщений между клиентами посредством PGP. В качестве движка первого использует библиотеку OpenSSL, для последнего — установленную на данном компьютере программу PGP любой версии от 6.5.х до 8.х, все сведения о PGP JAJC берёт из системного реестра, никаких специальных плагинов не требуется.

Перед установлением защищённой связи корреспонденты должны обменяться открытыми ключами PGP, установить их подлинность и подписать. В настройках JAJC указать собственный ключ подписания и аутентификации и, в моей версии, выпущенной прошлой ночью, — дополнительный ключ шифрования (лучше свой, чтобы в последствии иметь возможность прочитать собственные сообщения).

JAJC позволяет и просто шифровать сообщения, и просто их подписывать, и шифровать / подписывать одновременно. При первой попытке отправить зашифрованное сообщение корреспонденту, JAJC предложил ассоциировать с этим корреспондентом один из открытых ключей со связки. Нужно указать ключ, принадлежащий данному корреспонденту. Каждое сообщение шифруется индивидуально, то есть для каждого месседжа применяется отдельный симметричный сеансовый ключ. Ключевая фраза кэшируется согласно настройкам PGP, так что при подписании её не нужно каждый раз вводить заново.

JAJC скрывает в отображаемых сообщениях шифртекст и любые служебные заголовки PGP, дабы сделать процесс шифрования максимально прозрачным и незаметным для пользователя. Операции зашифрования / расшифрования выполняются автоматически, программа сразу показывает готовое сообщение. Если использовалось только подписание, сверит подпись и выдаст под текстом сообщения краткую сводку: кто подписал, когда, достоверен ли ключ, состояние подписи:

Signed by: Vladislav V. Miller <sattva@mail.tomsknet.ru>, Status: Good, Validity: Complete, Date: Сб, 22 ноя 2003, 06:26:59

В хистори все зашифрованные сообщения хранятся в виде этаких конвертов: вместо текста сообщения просто строчка "This message is encrypted", рядом с которой проставлена отметка времени и имеется иконка замочка. Щёлкнув на неё, нужно ввести ключевую фразу соответствующего закрытого ключа, и только после этого JAJC покажет открытый текст конкретного сообщения.

Как уже отметил Алексей, есть интересная функция Sign presense, которая позволяет аутентифицировать текущую сессию пользователя в сети Джаббера. После подключения к серверу нужно выбрать эту опцию, ввести ключевую фразу для своего закрытого ключа, что, по-видимому, подпишет какие-то уникальные сведения о текущем сеансе с сервером (возможно, отметку времени и ID сессии, ещё нужно уточнить). Любой другой пользователь может ткнуть правой кнопкой в имя данного человека в своём контакт листе и, выбрав Verify signature, сверить подпись с этой уникальной информации, а это свидетельствует о том, что в данный момент онлайн находится именно этот человек (если исходить из допущения, что получить в своё распоряжение его закрытый ключ PGP и ключевую фразу для злоумышленника будет гораздо сложнее, чем пароль к его учётной записи в сети Jabber). Как я уже отметил, точные детали реализации этой функции ещё нужно выяснить, поэтому мне неизвестно, насколько она защищена от атаки с повторной передачей.

Интересна функция транспорта связи. Она позволяет через специальные установленные на сервере шлюзы получать доступ из внутренней сети Jabber в любую другую сеть IM вроде ICQ, AIM или Yahoo. А поскольку поддежка PGP реализована использованием стандартных средств PGP, а не собственной реализации стандарта, отправлять зашифрованные / подписанные сообщения можно и в эти сети. Единственно, пользователь той же аськи (без плагина PGP) не сможет выполнять зашифрование / расшифрование так же "на лету", но всё же читать их сможет.

Если резюмировать, то уже сейчас можно использовать технологию JABBER + PGP для организации приватного общения. Да и просто это удобная технология. За которой будущее.
Чтобы начать знакомство с Jabber посетите jabber.ru

Готов подписаться под этими словами.

Jabber ID: SATtva@Jabber.ru

— Leksey (22/11/2003 15:01)   
Кроме того можно использовать SSL соединение. Для этого нужно в настройках аккаунта взвести крыжик соответствующий. Правда, при это несколько замедляется быстродействие. SLL также опробован на jabber.ru
Который его поддерживает, как оказалось :-)

— Observer (24/11/2003 11:18)   
Ужасно себя чувствую... Зашёл, зарегистрировался, вошёл и... не могу найти ссылку на скачивание продукта... Что это? – они специально дают мне понять мой идиотизм, или... сами такие?

(..уходит матерясь...)

— SATtva (24/11/2003 12:45)   
Наблюдатель, регистрация на сайте www.jabber.ru не имеет отношения к регистрации в сети Jabber. Для начала скачай клиент JAJC с сайта разработчика^[link3] (советую nightly build, хотя она баговатей, чем версия 104, но и функционально более насыщенный). С помощью клиента создай на сервере jabber.ru аккаунт...

— Observer (26/11/2003 19:19)   
Мда... был я на этой странице... Там столько ссылок, что... Короче, ребёнок "ушёл" с мыльной водой... Скачиваю и задаю себе вопрос:"А нафига тебе это, Андрюха?!" 8)

— Leksey (11/12/2003 01:46)   
http://jabber.ru посвящен технологии как таковой. Меня тоже в свое время смутило отсутствие там клиентов. Но я полез на буржуйские сайты и стал качать все клиенты подряд, пока не остановился на жужике (JAJC).
А вот уже жаббер-сервер jabber.ru это именно жаббер сервер, к которому надо коннектиться клиентом.
Надо, Андрюха, надо. :-) Руководитель проекта теперь "принимает" только в жабыре :=)

— Ghola (28/12/2003 17:48)   
А есть ли какие-либо мнения по поводу криптографического плагина к Mirand'е?
И вообще – относительно неё?
Она же Open Source – и притом поддерживает интеграцию со всеми IM-сетями: ICQ, IRC, MSN, AIM, Jabber.

http://www.miranda-im.org/
http://www.miranda-im.org/down.....action=display&id=38^[link4]
http://www.miranda-im.org/down.....tion=viewfile&id=216^[link5]

Там, как я понял, мнения не очень лестные...

— Leksey (28/12/2003 18:59)   
Миранда, конечно, лучше асечного клиента, но мне ЛИЧНО не нравится.
Хотя, если Триллиан загнется, то придеться на нее переходить.
А про то что она опен-сорс, я что-то не уверен.
Про ее криптоплаги ничего не знаю.

— SATtva (28/12/2003 19:35)   
Ghola, Миранду и плагин пощупал. Плагин интегрирует в Миранду криптографический движок GnuPG на очень низком уровне, поэтому надёжность шифрования должна быть не ниже, чем GnuPG. Автоматизирует процессы шифрования. Поскольку шифртекст обычно получается больше исходного IM-сообщения, отправлять мессы офлайновым контактам в большинстве сетей не удастся. Ключи берёт со связок GnuPG.

В целом, штука нормальная, но, как Алексей, от самой Миранды я не в восторге по удобству использования. Видимо, дело вкуса просто.

— Ghola (29/12/2003 18:38)   

Leksey:
Миранда, конечно, лучше асечного клиента, но мне ЛИЧНО не нравится.
Хотя, если Триллиан загнется, то придеться на нее переходить.
А про то что она опен-сорс, я что-то не уверен.
Про ее криптоплаги ничего не знаю.

Миранда Open Source. Можете мне поверить. Это её основное и решающее отличие от остальных известных мне IM-клиентов. Хотя конечно на вид она не очень красивая. Но функциональная.

Я лично откомпилировал её исходник. Можете взять ссылку на него на оффициальном сайте проекта. Вот ссылка на одно из зеркал:
http://keihanna.dl.sourceforge.....da-im-v0.3.2-src.zip^[link6]

— Leksey (10/01/2004 02:40)   
Дело не во внешнем виде. Жужик (JAJC) выглядит примерно как Миранда, но ничего, пользуемся.. Просто она какая-то неудобная. Я так и не запомнил куда там наживать, чтобы позвать меню. Меня она как-то смущает.
Но, несомненно, софтина стоящая и очень шустрая. Учитвая количество плагов к ней, вообще супер.
У нас в домашней сетке мы используем Jabber. В качестве клиентов многие используют ту же Миранду с жабберовским плагом.. Но я лично пользую Жужика и не жужжу..

— Leksey (01/12/2004 11:53)   
Поддержка Jabber в Миранде весьма убогонькая.
Да и с приходом жаббера возможность ходить в другие сети особо не нужна. Жаббер сам это умеет делать.
Если нужен OSource жаббер-клиент, то используйте, например, PSI.
Или десятки других.

— Гость (13/04/2005 16:17)   
JAJC не обнаруживает GnuPG. Никак.
И, кстати, откуда взять сертификат для ssl? На джабер.ру не нашел.

— MaxBritov (13/04/2005 17:26)   
1. Пока jajc заточен под pgp sdk. Автор пока не явил энтузиазма что-то переделывать под GnuPG, пока не выйдет gpgme под win32. Тогда снова буду пинать пытаться.
2. afaik Сертификат предоставляет сервер.

— Гость (01/06/2005 23:53)   

MaxBritov:
1. Пока jajc заточен под pgp sdk. Автор пока не явил энтузиазма что-то переделывать под GnuPG, пока не выйдет gpgme под win32. Тогда снова буду пинать пытаться.
2. afaik Сертификат предоставляет сервер.

Да вроде и не собирались это делать.. Тем более яйка сейчас в стагнации пребывает.
PSI с GnuPG должна работать.

— Гость (02/06/2005 11:59)   
Автор согласился посмотреть, но без нормальной библиотеки под win32 он не стал ничего предпринимать. Ждем релиза gpgme под win.

— Гость (05/06/2005 01:51)   
Понял.
Давно согласился то, если не секрет?

— Вий (13/05/2009 15:05, исправлен 13/05/2009 15:06)   
Хотелось бы вот о чем спросить, если есть такая информация. О Jabber серверах. Шифруют ли с помощью SSL разные jabber серверы трафик между собой? К примеру один человек использует учетную запись на jabber.ru, при этом канал сервер – клиент защищен SSL. Другой человек использует сервер ya.ru (Яндекс), при этом канал сервер-клиент так же защищен SSL. Защищен ли с помощью SSL канал jabber.ru – ya.ru ?

— SATtva (13/05/2009 15:49)   

О Jabber серверах. Шифруют ли с помощью SSL разные jabber серверы трафик между собой?

Кто как. Но возможность такая есть, как и у почтовых серверов.

В любом случае, через сам сервер трафик всё равно проходит открытым.

— Вий (15/05/2009 12:09, исправлен 15/05/2009 12:16)   
Служба поддержки Яндекс сообщила, что SSL на трассе сервер-сервер используется.
От себя: следует считать, что по крайней мере с теми серверами, которые то же используют эту технологию защиты. Вопрос однако был задан в контексте связи с сервером jabber.ru. Вот бы списочек серверов в разрезе этого вопроса...

— Гость (15/05/2009 13:52)   

на трассе сервер-сервер

Шо це такэ?

— unknown (15/05/2009 15:16)   
а проверить слова службы поддержки как можно, не уточняли? Снифером на трассе?

— Гость (15/05/2009 16:29)   
А как с безопасностью Pidgin и его виндовой портированной версии?

— gonzo (15/05/2009 16:46)   

А как с безопасностью Pidgin и его виндовой портированной версии?

есть поддержка OTR, самая удобная IM криптосистема IMHO :)

— Вий (16/05/2009 03:49, исправлен 16/05/2009 03:59)   

А как с безопасностью Pidgin и его виндовой портированной версии?

Программа та же и OpenSource, насколько безошибочно она написана мне не известно. Но вообще в данном случае скорее всего нужно говорить о безопасности самого окружения. Однако при использовании ICQ протокола^[link7] и некоторых других протоколов о безопасности можете забыть при любой используемой ОС даже при использовании OTR.

а проверить слова службы поддержки как можно, не уточняли? Снифером на трассе?

unknown, ну тут уж некуда деваться :), если действительно нет возможности проверить сниффером (хотя информацию скорее всего пришлось бы перебирать очень долго, учитывая общие объемы трафика). Остается либо верить, либо нет. Однако в свете того, что Яндекс прямо порадовал SSL поддержкой даже pop/smtp протокола я склонен считать, что основание поверить есть. Здесь уже встает вопрос уровня собственной паранойи. Хотя готов предугадать вашу мысль, вопросы доверия в темах о защите являются по определению ненадежными, с другой же стороны насколько компетентны в таких вопросах девочки из службы поддержки, в отличие от специалистов технических служб, сказать трудно.

— DDRTL (23/05/2009 00:17)   
Кто знает что такое Blue's Private Chat и с чем его едят(в смысле насколько безопасно его использовать в приватной переписке)?

— Гость (07/07/2009 21:40)   
В каком месте система (Linux) хранит сертификаты jabber серверов, которые использует при соединении через SSL? При авторизации система видимо получает сертификат сервера, как браузер. Но в браузере они хранятся в хранилище сертификатов, а как в случае с Jabber?

— SATtva (07/07/2009 21:53)   
Зависит сугубо от Jabber-клиента. Обычно у него в настройках прописывается путь к конкретному файлу сертификата или к каталогу с сертификатами УЦ.

— security_specialist (09/07/2009 11:08)   
Лучший секьюрный мессенджер это Secure Shuttle Transport

— Гость (09/07/2009 11:44)   
И чем-же он лучший? Просветите нас, а то мы не знаем.

— security_specialist (09/07/2009 11:56)   
Secure Shuttle Transport
По большом счету это еще один месседжер вроде ICQ, Indigo, AOL и т.п.
Но к чему тогда эта статья и зачем появился новый мессенжер SST ?
ICQ пользуется почти каждый, но вместе с тем гарантировать безопасность использования ICQ не может никто. В Сети активно распространяются параноидальные слухи о том, что некоторые UIN'ы находятся под постоянным наблюдением, то есть все их мессаги логируются и исследуется спецслужбами. Пускай это маловероятно, но ведь есть и другие доводы "против". Взять хотя бы протокол ICQ: он давно изучен и не поддерживает шифрование трафика, поэтому все сообщения легко перехватываются сниферами (лучшим подтверждением моих слов является прога IcqSnif ). Помимо этого, имеют место угоны ICQ, череватые тем, что от твоего имени кто-то легко сможет вести диалог и тем самым серьезно подпортить твою репутацию. Поэтому хотелось бы иметь более безопасное средство, которое без опаски (по крайней мере, сравнительно) возможно было использовать для серьезных дел.
SST обладает некоторыми особенностями, которые сделают Ваше общение безопаснее.
Сразу хочется отметить: SST передает сообщения исключительно в зашифрованном виде. Используемые RSA-алгоритмы работают так, что расшифровать сообщение сможет твой собеседник и никто другой.
Помимо этого, есть еще один нюанс: программа использует два типа соединения.
* первое – соединение с SST-сервером – необходимо для идентификации в системе, поиска пользователей, а также передачи сообщений тем юзерам, которые находятся в оффлайн.
* второй тип соединения – прямое с конкретным пользователем – устанавливается во время передачи сообщений, файлов или голосовых мессаг. Таким образом, ни одна из твоих бесед не окажется в логах на сервере, так как сообщения через него попросту не проходят.
Другая замечательная особенность заключается в том, что угнать SST-номер значительно сложнее, нежели в ICQ-уин. Возможности восстановить пароль на аккаунте нет, о чем заблаговременно предупреждают разработчики программы. Потерял или забыл – виноват сам. Но это еще цветочки. Для работы в системе пользователь должен представить специальный файл-ключ, (например 222223.ssi) в котором зашифрована необходимая информация. Система очень похожа на Web-money: даже если ты знаешь пароль, но у тебя нет ключа, подключиться к серверу ты НЕ СМОЖЕШЬ. Поэтому украсть красивый номер практически не возможно.
В SST кроме передачи текстовых сообщений, присутствует возможность:
* аудио чат;
* видео чат;
* и мульти-чат;
* возможность конференции;
* отправки электронной почты (mail) прямо из sst;
* транзакция – перевод денег, вы можете безопасно переводить деньги с одного счета на другой (подробнее в faq).
* у каждого пользователя есть личный архив (размером 50 Mb). В архив можно выложить какую угодно информацию и открыть доступ только доверенным пользователям.
* возможность File Transfer – пересылка файлов, причем они тоже шифруются.
Если вы зарегистрируетесь в эсте прямо сейчас то получите шестизначный номер (а в ICQ шестизнак сейчас можно только купить, ну или достать другими не совсем честными способами).
А много ли пользователей в SST? Пока об SST знает не так много людей и сидят в SST люди постоянно работающие в компьютерной сфере. Большинство русских пользователей SST знакомы и постоянно общаются все вместе, устраивают конференции, организуют различные акции и т.п. Постоянно регистрируются новые пользователи. И мы так же приглашаем Вас присоедениться к новому криптографическому мессенжеру SST.
В одном из номеров журнала Хакер поместили такой материал:
Автор: Boomerang Software Inc.
Если ты читаешь этот раздел, то, скорее всего, в асе ты не только болтаешь с девушками, но и ведешь разговоры о работе. А знаешь ли ты, что использовать ICQ с каждым днем становится все небезопаснее? Не секрет, что агенты ФБР зачастую наведываются в AOL (American On-Line), как к себе домой. И дело тут не в том, какие соксы ты используешь и хранишь ли хистори у себя на винте, все дело в логах, хранящихся на серверах AOL'а. В последнее время нередки случаи передачи данных спецслужбам, которые активно изучают деятельность ярких представителей андеграунда. В такой ситуации единственный выход – использование аналогичного мессагера. Сразу скажу, что мыслей и слухов об этом ходит много. Поговаривают, что несколько команд собираются объединить свои силы для написания такого сервиса, который не будет зависеть от других клиентов обмена мгновенными сообщениями. Но на данный момент все это только слухи, поэтому необходимо искать более реальный вариант. Существует разработка RM IM (Russian Mafia Internet Messager) от Ru24Team, но она является просто модификацией клиента «Jabber». На мой взгляд, внимания заслуживает SST (Secure Shuttle Transport).
Данная тулза обладает рядом возможностей:
1. Шифрование всех передаваемых сообщений 128-битным ключом.
2. Использование специального файла ключей для аутентификации личного аккаунта, что затрудняет угон номера, в отличие от ICQ.
3. Возможность коннекта через socks4/socks5-сервер.
Кроме того, в SST есть функция проведения конференций, что заметно облегчает обсуждение вопросов несколькими людьми одновременно. Также на момент сдачи рубрики в печать сервис выдавал при регистрации 6-значные номерки вполне симпатичного вида. Поэтому настоятельно советую поторопиться, учитывая, что многие из моих знакомых уже давно перешли на SST. Абсолютной анонимности не существует, так же как и не существует абсолютной безопасности, но, как говорится, береженого Бог бережет. Удачи.

— Гость (09/07/2009 12:15)   
офф сайт http://www.secureshuttle.com/
не офф сайт http://shuttle.ucoz.ru/

— Гость (09/07/2009 12:21)   
А где исходный код программы? Без него все эти фичи теряют смысл, т.к. нельзя быть уверенным в самом главном – безопасности.

— security_specialist (09/07/2009 12:40)   
уверенным низя быть ни в чем на 100%, но программа сильная

— sentaus (09/07/2009 13:41)   

но программа сильная

ага, "верьте нам, мы знаем, что делаем".

— Гость (09/07/2009 15:16)   

программа сильная

Особенно если за ней стоит сильная трёхбуквенная организация. ;)

— DDRTL (09/07/2009 15:54)   
вообще-то можно написать в техподдержку:TechSupport@boomerangsoftware.com
Кроме того что она не открыта, так у данной программы нет и PGP сигнатуры(контрольной суммы SHA-1)...

— Sansey (09/07/2009 17:23)   
наверное не все поняли основных преймуществ Secure Shuttle Transport :
1. Шифрование передаваемых данных
2. Прямое соединение с пользователем (то есть ты общаешься не через сервер, как, например, в ICQ, Jabber а на прямую с user’ом)
3. Создается специальный файл-ключ, в котором зашифрована необходимая информация для соединения с сервером. Даже если у тебя с комуниздили пароль, его нельзя будет использовать без файла-ключа... Однозначно, Must have!!!

— Гость (09/07/2009 18:26)   
наверное не все поняли основных недостатков Secure Shuttle Transport :
1. Отсутствие компилируемых исходников в открытом доступе.
2. Незащищённость от модификаций.

Это, в частности, означает, что там может оказаться всё, что угодно – например, слабое шифрование и отсылка логов со специальным файл-ключем впридачу на сервер. :)

Однозначно, It's not for me!!!.

— SATtva (09/07/2009 18:45, исправлен 12/07/2009 17:44)   

уверенным низя быть ни в чем на 100%

И в анонимах, дары приносящих.

— Гость (12/07/2009 00:32)   

1. Шифрование передаваемых данных

jabber+gpg

3. Создается специальный файл-ключ, в котором зашифрована необходимая информация для соединения с сервером. Даже если у тебя с комуниздили пароль, его нельзя будет использовать без файла-ключа... Однозначно, Must have!

jabber+gpg, договориться доверять только ключу а не аккаунту

2. Прямое соединение с пользователем (то есть ты общаешься не через сервер, как, например, в ICQ, Jabber а на прямую с user’ом)

Ну и что? Авторизоваться и начать разговор всё равно нельзя без авторизации на сервере, так что распределённой система всё равно де-факто не является. Недостаток децентрализованности для конкретно jabber'а не плохо решается использованием tor (в т.ч. при желании и скрытых сервисов tor).

Т.о., даже если забыть про закрытость кода программа ничем не лучше своих аналогов. Конференции есть и в jabber и skype, если уж учитывать и закрытый код, причём skype распределённая система сразу.

Minimum requirements:

Client program of SST:
Any PC running Windows 98 or higher

©^[link8] Под лохов делали, сразу видно. Нет клиентов под MacOsX, под Linux, под BSD. И кто после этого из "озабоченных безопасностью" будет ей пользоваться? Вы ошиблись сайтом, лучше где-нить на форуме касперского подобные статейки поразмещайте, а то здесь вы слишком смешно смотритесь.

— SATtva (12/07/2009 17:46)   

2. Прямое соединение с пользователем (то есть ты общаешься не через сервер, как, например, в ICQ, Jabber а на прямую с user’ом)

TorChat.

Конференции есть и в jabber и skype, если уж учитывать и закрытый код, причём skype распределённая система сразу.

Аутентификация в Скайпе тоже происходит через центральный сервер.

— unknown (13/07/2009 08:41)   

TorChat

А он жив ещё?

— SATtva (13/07/2009 17:56)   
Вроде как даже развивается, месяц назад вышла новая версия^[link9].

— прохожий (14/07/2009 13:35)   
Цитата с blog.torproject^[link10]:

...we don't produce torchat and no one has thoroughly analyzed the code...

Действительно ли все так замечательно, как описано вwikipedia^[link11]?

TorChat is a decentral anonymous Instant Messenger that uses Tor hidden services as its underlying Network. It can be used for text messaging and to transfer files to other users. The characteristics of Tor's hidden services take care that all traffic between the clients is encrypted and that it is extremely difficult (if not impossible) to tell who is communicating with whom and where a given client is physically located.

— SATtva (14/07/2009 14:25)   

The characteristics of Tor's hidden services take care that all traffic between the clients is encrypted and that it is extremely difficult (if not impossible) to tell who is communicating with whom and where a given client is physically located.

Если такие свойства закладываются как условие для самих скрытых сервисов, то так оно и есть.

we don't produce torchat and no one has thoroughly analyzed the code

Он разве не на питоне писан? Провести аудит не слишком хлопотно.

— Гость (14/07/2009 15:38)   

Он разве не на питоне писан? Провести аудит не слишком хлопотно.

Для себя, в личных целях, проверить может и не трудно, если есть время конечно. Но заявить официально, с точки зрения проекта, значит разделить тяжкий груз ответственности с автором за все возможные баги в грядущем, следовательно простой аудит одной какой-то версии теряет смысл.

— Гость (14/07/2009 16:00)   
На питоне, да. Тем не менеее, провести аудит, мне не по силам. Познания в программировании ничтожны, собсно потому и рискнул задать вопрос на форуме.
Интересно было бы узнать отзывы грамотных людей о Torchat.
Не могли бы и вы, ув. SATtva, высказать свое мнение?

— unknown (14/07/2009 16:38)   
Ну там у автора багтрекер есть http://code.google.com/p/torchat/updates/list

— SATtva (14/07/2009 16:43)   
Я им не пользуюсь, поэтому не проверял.

— DDRTL (14/07/2009 19:32)   
Вообщето есть мировые специалисты по безопасности и есть конторы аудита.может стоит им отписать по этому вопросу, да и престиж будет у программы, которую проверили такие люди.