id: Гость   вход   регистрация
текущее время 17:34 28/03/2024
Автор темы: Leksey, тема открыта 11/11/2003 15:10 Печать
https://www.pgpru.com/Форум/ПрактическаяБезопасность/ПрограммыКлассаIMinstantMessengersИПриватность
создать
просмотр
ссылки

Программы класса IM (instant messengers) и приватность


К классу IM относится изрядное количество программ. Перечислю лишь некоторые, те которые использовал или использую сам.
ICQ от Мирабилис


есть вроде плагин PGP, но у меня не заработал. Правда, пробовал пару лет назад. Может сейчас что изменилось. Но данный клиент не использую, потому что не нравится. Да и вся эта возня с его патченьем для "убийства" идиотских баннеров напрягает. Про ICQ Lite вообще не говорю.. Его юникодность создает проблемы при общении с людьми, которые имеют другие клиенты без поддержки юникод. Mirabilis
быстрая программулина с кучей плагинов. Но как там с поддержкой PGP не очень понятно. Кто знает – просветите. В принципе хороший клиент.
Trillian
кухонный комбайн, который при этом работает и может быть использован для доступа во все основные сети. Есть встроенная поддержка Encrypted connecten, которая может быть использована, если на другом конце тоже Триллиан. Не понимает юникод, который порождается ICQLite, если не прибегнуть к некоторым ухищрениям (снос респондента в "невидящий" твой статус режим помогает). Что представляет из себя это защищенное соединение не очень понятно. Т.к. детали реализации не раскрываются разработчиками.
Насколько я в курсе плагинов (что к 1.х что к 2.х) реализующих поддержку PGP не существует.


Другие сети (не ICQ) в нашей стране не распространены особо, но упомянуть стоит.
Odigo – не имеет средств защиты. О деталях передачи данных не в курсе.
AIM (от AOL) – не в курсе, но скорее всего, в клиент нативный можно поставить PGP, т.е. все-таки самая популярная сеть в штатах.
MSN – тут можно только предполагать, но, вероятно, приватности никакой. как и у всех продуктов MS.
Yahoo – вероятно, лицензированный AOL.


Jabber – вот тут поподробнее. Интересная и перспективная технология (почитать можно на jabber.ru).
Клиент JAJS (как я понимаю отечественного производства) поддерживает криптования с помощью PGP. Кроме подписи сообщений и криптования текста целиком есть такая штука как подписание самого статуса. Т.е. то, что это я вышел под своих ником, а не кто-то еще. Пока не успел воспользоваться этой функциональностью в JAJS, но планирую это опробовать в ближайшее время. О результатах поведаю позднее.
Хм. Нужен же человек, с которым можно это опробовать. Потому тех, кто пользует PGP + Jabber среди знакомых пока нет.


Сорри за сумбур – писал в спешке. Но тема, как мне кажется, интересная.


Для IRC-систем, насколько я понимаю, никаких криптокомплексов не существует. Но возможность общения в защищенном канале штука не бесполезная.


 
На страницу: 1, 2, 3, 4 След.
Комментарии
— Observer (11/11/2003 18:14)   профиль/связь   <#>
комментариев: 111   документов: 9   редакций: 22
SecureIM позволяет защитить разговоры по ICQ и AIM стойким 128-битным шифром.

Могу сказать, что наша аська-связь с "Руководителем проекта" происходит именно под прикрытием этой фичи..., которая устанавливается автоматически при первой попытке написать сообщение адресату, т.е. при нажатии первой клавиши в окне ввода текста. Сколь стоек шифр мне к сожалению не известно... ...но удобно! Проблем с кодировкой нет. (Trillian 1.0 Pro)
— SATtva (12/11/2003 01:41)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
ICQ от Мирабилис
есть вроде плагин PGP, но у меня не заработал.

Плагинов два: один официальный, поставляемый с коммерческой версией PGP, другой неофициальный, являющийся независимой от PGP программой весом в пару мегабайт (сам этим не пользовался, так что без подробностей).

Официальный плагин представляется простым заменителем функции зашифрования активного окна, автоматизирующим процесс зашифрования/расшифрования аналогично плагинам для мэйл-клиентов, делающим этот процесс прозрачным и насколько возможно незаметным для пользователя. При первой попытке использования создаёт сертификат для открытого ключа в формате Имя пользователя <ICQ:номер>, собственно, и позволяющий корреспонденту с таким же плагином автоматически зашифровывать/отправлять сообщения. В логе переговоров сообщения хранятся в зашифрованном виде (в обычном ascii-коде), так что злоумышленное получение доступа к файлам history не принесёт взломщику никаких дивидендов.

Trillian
Что представляет из себя это защищенное соединение не очень понятно. Т.к. детали реализации не раскрываются разработчиками.

Известно, действительно, немного (для тех, кто дружит с английским, интересная дискуссия по данной теме на сайте разработчика: http://www.ceruleanstudios.com.....did=33279&perpage=30 ), в основном то, что выудили из трафика снифферами. Используется согласование секретного симметричного 128-битового ключа по алгоритму Диффи-Хеллмана, сами сообщения шифруются алгоритмом Twofish. Детали реализации разработчики упрямо отказываются раскрывать, ссылаясь на ошибочный аргумент, что секретность схемы добавляет ей надёжности. Неизвестен режим оперирования блочного шифра, принцип формирования случайных симметричных ключей и секретных показателей асимметричных, векторы инициализации и многое другое. Закрытость деталей не обязательно свидетельствует о наличии "люков", но наверняка — об ошибках и недостатках в реализации.

Сообщения в хистори хранятся в открытом виде, шифрование защищает их только в процессе передачи. Защита от атак "человек в середине" не предусмотрена. Таким образом, шифрование в Триллиане предоставляет самую минимальную защиту (не более, чем от автоматической перлюстрации трафика). Зачем в этом случае непробиваемые 128-битовые симметричные ключи — не понятно.

Хм. Нужен же человек, с которым можно это опробовать. Потому тех, кто пользует PGP + Jabber среди знакомых пока нет.

Опробуем.
— SATtva (12/11/2003 01:48)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Для IRC-систем, насколько я понимаю, никаких криптокомплексов не существует.

См. http://www.invisiblenet.net/iip/ — Invisible IRC Project, полностью анонимная система (никаких ident'ов и IP-адресов) + шифрование каналов связи. Единственный минус — использует исключительно свои серверы, не допуская переговоры на популырных.
— Leksey (22/11/2003 03:34)   профиль/связь   <#>
комментариев: 32   документов: 8   редакций: 0
PGP-поссибилити пакета JASC были опробованы в жизни. Я уже почти заснул, и поэтому буду краток (поздне постараюсь написать подробнее).
Все работает. Не тривиален сам процесс настройки, но в целом не особо сложен.
Надо сказать, что сниффером пакеты не ковыряли и что там на сетевом уровне происходит сказать трудно. Но, похоже, что все честно.
Проверили подписание и криптование сообщений, подписание подлинности присутствия респондента.
JAJС взаимодействует удачно с установленной на машине PGP 6.5. Какая
версия стояла у Влада не знаю (возможно 8.х).

Если резюмировать, то уже сейчас можно использовать технологию JABBER + PGP для организации приватного общения. Да и просто это удобная технология. За которой будущее.
Чтобы начать знакомство с Jabber посетите jabber.ru

Мой JID – Leksey@jabber.ru
— SATtva (22/11/2003 13:56)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Могу добавить следующее. В JAJC присутствует шифрование трафика между клиентом и сервером посредством SSL (если сервер поддерживает) и шифрование сообщений между клиентами посредством PGP. В качестве движка первого использует библиотеку OpenSSL, для последнего — установленную на данном компьютере программу PGP любой версии от 6.5.х до 8.х, все сведения о PGP JAJC берёт из системного реестра, никаких специальных плагинов не требуется.

Перед установлением защищённой связи корреспонденты должны обменяться открытыми ключами PGP, установить их подлинность и подписать. В настройках JAJC указать собственный ключ подписания и аутентификации и, в моей версии, выпущенной прошлой ночью, — дополнительный ключ шифрования (лучше свой, чтобы в последствии иметь возможность прочитать собственные сообщения).

JAJC позволяет и просто шифровать сообщения, и просто их подписывать, и шифровать / подписывать одновременно. При первой попытке отправить зашифрованное сообщение корреспонденту, JAJC предложил ассоциировать с этим корреспондентом один из открытых ключей со связки. Нужно указать ключ, принадлежащий данному корреспонденту. Каждое сообщение шифруется индивидуально, то есть для каждого месседжа применяется отдельный симметричный сеансовый ключ. Ключевая фраза кэшируется согласно настройкам PGP, так что при подписании её не нужно каждый раз вводить заново.

JAJC скрывает в отображаемых сообщениях шифртекст и любые служебные заголовки PGP, дабы сделать процесс шифрования максимально прозрачным и незаметным для пользователя. Операции зашифрования / расшифрования выполняются автоматически, программа сразу показывает готовое сообщение. Если использовалось только подписание, сверит подпись и выдаст под текстом сообщения краткую сводку: кто подписал, когда, достоверен ли ключ, состояние подписи:
Signed by: Vladislav V. Miller <sattva@mail.tomsknet.ru>, Status: Good, Validity: Complete, Date: Сб, 22 ноя 2003, 06:26:59

В хистори все зашифрованные сообщения хранятся в виде этаких конвертов: вместо текста сообщения просто строчка "This message is encrypted", рядом с которой проставлена отметка времени и имеется иконка замочка. Щёлкнув на неё, нужно ввести ключевую фразу соответствующего закрытого ключа, и только после этого JAJC покажет открытый текст конкретного сообщения.

Как уже отметил Алексей, есть интересная функция Sign presense, которая позволяет аутентифицировать текущую сессию пользователя в сети Джаббера. После подключения к серверу нужно выбрать эту опцию, ввести ключевую фразу для своего закрытого ключа, что, по-видимому, подпишет какие-то уникальные сведения о текущем сеансе с сервером (возможно, отметку времени и ID сессии, ещё нужно уточнить). Любой другой пользователь может ткнуть правой кнопкой в имя данного человека в своём контакт листе и, выбрав Verify signature, сверить подпись с этой уникальной информации, а это свидетельствует о том, что в данный момент онлайн находится именно этот человек (если исходить из допущения, что получить в своё распоряжение его закрытый ключ PGP и ключевую фразу для злоумышленника будет гораздо сложнее, чем пароль к его учётной записи в сети Jabber). Как я уже отметил, точные детали реализации этой функции ещё нужно выяснить, поэтому мне неизвестно, насколько она защищена от атаки с повторной передачей.

Интересна функция транспорта связи. Она позволяет через специальные установленные на сервере шлюзы получать доступ из внутренней сети Jabber в любую другую сеть IM вроде ICQ, AIM или Yahoo. А поскольку поддежка PGP реализована использованием стандартных средств PGP, а не собственной реализации стандарта, отправлять зашифрованные / подписанные сообщения можно и в эти сети. Единственно, пользователь той же аськи (без плагина PGP) не сможет выполнять зашифрование / расшифрование так же "на лету", но всё же читать их сможет.

Если резюмировать, то уже сейчас можно использовать технологию JABBER + PGP для организации приватного общения. Да и просто это удобная технология. За которой будущее.
Чтобы начать знакомство с Jabber посетите jabber.ru

Готов подписаться под этими словами.

Jabber ID: SATtva@Jabber.ru
— Leksey (22/11/2003 15:01)   профиль/связь   <#>
комментариев: 32   документов: 8   редакций: 0
Кроме того можно использовать SSL соединение. Для этого нужно в настройках аккаунта взвести крыжик соответствующий. Правда, при это несколько замедляется быстродействие. SLL также опробован на jabber.ru
Который его поддерживает, как оказалось :-)
— Observer (24/11/2003 11:18)   профиль/связь   <#>
комментариев: 111   документов: 9   редакций: 22
Ужасно себя чувствую... Зашёл, зарегистрировался, вошёл и... не могу найти ссылку на скачивание продукта... Что это? – они специально дают мне понять мой идиотизм, или... сами такие?

(..уходит матерясь...)
— SATtva (24/11/2003 12:45)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Наблюдатель, регистрация на сайте www.jabber.ru не имеет отношения к регистрации в сети Jabber. Для начала скачай клиент JAJC с сайта разработчика (советую nightly build, хотя она баговатей, чем версия 104, но и функционально более насыщенный). С помощью клиента создай на сервере jabber.ru аккаунт...
— Observer (26/11/2003 19:19)   профиль/связь   <#>
комментариев: 111   документов: 9   редакций: 22
Мда... был я на этой странице... Там столько ссылок, что... Короче, ребёнок "ушёл" с мыльной водой... Скачиваю и задаю себе вопрос:"А нафига тебе это, Андрюха?!" 8)
— Leksey (11/12/2003 01:46)   профиль/связь   <#>
комментариев: 32   документов: 8   редакций: 0
http://jabber.ru посвящен технологии как таковой. Меня тоже в свое время смутило отсутствие там клиентов. Но я полез на буржуйские сайты и стал качать все клиенты подряд, пока не остановился на жужике (JAJC).
А вот уже жаббер-сервер jabber.ru это именно жаббер сервер, к которому надо коннектиться клиентом.
Надо, Андрюха, надо. :-) Руководитель проекта теперь "принимает" только в жабыре :=)
— Ghola (28/12/2003 17:48)   профиль/связь   <#>
комментариев: 63   документов: 5   редакций: 0
А есть ли какие-либо мнения по поводу криптографического плагина к Mirand'е?
И вообще – относительно неё?
Она же Open Source – и притом поддерживает интеграцию со всеми IM-сетями: ICQ, IRC, MSN, AIM, Jabber.

http://www.miranda-im.org/
http://www.miranda-im.org/down.....action=display&id=38
http://www.miranda-im.org/down.....tion=viewfile&id=216

Там, как я понял, мнения не очень лестные...
— Leksey (28/12/2003 18:59)   профиль/связь   <#>
комментариев: 32   документов: 8   редакций: 0
Миранда, конечно, лучше асечного клиента, но мне ЛИЧНО не нравится.
Хотя, если Триллиан загнется, то придеться на нее переходить.
А про то что она опен-сорс, я что-то не уверен.
Про ее криптоплаги ничего не знаю.
— SATtva (28/12/2003 19:35)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Ghola, Миранду и плагин пощупал. Плагин интегрирует в Миранду криптографический движок GnuPG на очень низком уровне, поэтому надёжность шифрования должна быть не ниже, чем GnuPG. Автоматизирует процессы шифрования. Поскольку шифртекст обычно получается больше исходного IM-сообщения, отправлять мессы офлайновым контактам в большинстве сетей не удастся. Ключи берёт со связок GnuPG.

В целом, штука нормальная, но, как Алексей, от самой Миранды я не в восторге по удобству использования. Видимо, дело вкуса просто.
— Ghola (29/12/2003 18:38)   профиль/связь   <#>
комментариев: 63   документов: 5   редакций: 0
Leksey:
Миранда, конечно, лучше асечного клиента, но мне ЛИЧНО не нравится.
Хотя, если Триллиан загнется, то придеться на нее переходить.
А про то что она опен-сорс, я что-то не уверен.
Про ее криптоплаги ничего не знаю.

Миранда Open Source. Можете мне поверить. Это её основное и решающее отличие от остальных известных мне IM-клиентов. Хотя конечно на вид она не очень красивая. Но функциональная.

Я лично откомпилировал её исходник. Можете взять ссылку на него на оффициальном сайте проекта. Вот ссылка на одно из зеркал:
filehttp://keihanna.dl.sourceforge.....da-im-v0.3.2-src.zip
— Leksey (10/01/2004 02:40)   профиль/связь   <#>
комментариев: 32   документов: 8   редакций: 0
Дело не во внешнем виде. Жужик (JAJC) выглядит примерно как Миранда, но ничего, пользуемся.. Просто она какая-то неудобная. Я так и не запомнил куда там наживать, чтобы позвать меню. Меня она как-то смущает.
Но, несомненно, софтина стоящая и очень шустрая. Учитвая количество плагов к ней, вообще супер.
У нас в домашней сетке мы используем Jabber. В качестве клиентов многие используют ту же Миранду с жабберовским плагом.. Но я лично пользую Жужика и не жужжу..
На страницу: 1, 2, 3, 4 След.
Общая оценка документа [показать форму]
средний балл: +3респондентов: 2