Что можно использовать для безопасной переписки/чата с чайниками?
Когда из коммуникаций у среднего чела есть социальная сеть (вычеркиваем), скайп (почти вычеркиваем) и аська (если прячемся от рфии или дела уровня интересов PRISM вычеркиваем), что можно дать человеку для безопасного общения со мной БЕЗ гимороя с установкой? То есть отсутствие гимороя уровня: поставил и пользуешься, чисто для связи ТОЛЬКО со мной. То есть даже можно, чтобы у него инсталлировался конфиг под меня с OTR и PGP из специально собранного мной дистрибутива, есть такое?
Уровень безопасности требуется средний с учетом того, что на машине контрагента винда, могут быть открыты порты и жить среднестатистические трояны, в то же время, чтобы переписка не собиралась в коллекторах (как любая переписка в открытом виде).
Для переписки можно использовать PGP со специальным софтом для дураков, а что с чатом? Те комплекты которые были, с таким гимором собирались, jabber с пингвинами сплошной темный трах. Так же интересует вариант, чтобы у клиента в софте "втемную" работало то что нужно мне (например софт), а внешне он даже не видел, через какие протоколы общается со мной. (ну без функционала, настроек и характерных менюшек)
Неужели никто до сих пор не создал софт с profi и client частями, чтобы клиенту можно было дать лишь "ответную часть" для общения с ним?
Понимаю, что вопрос избитый и изжеванный вдоль и поперек, но во-первых, время с "прояснения" прошло и кое-чего или много чего поменялось, а во-вторых мне лень искать по форуму )
В данном случае я имею дело с простыми юзерами и общение относительно эпизодическое (не разовое, когда ради одного контакта ставить софт не будут, но и не "постоянное многолетнее сотрудничество" когда ради этого можно человеку дать специальный комп) Ваше мнение: "не иметь дел с теми кто не сечет" к сожалению не вариант (обслуга среднего звена не будет "избранными" специалистами, а она тоже нужна)

Комментарии
— pgprubot (09/10/2015 23:41, исправлен 09/10/2015 23:47)   

Слишком сложный вопрос, особенно с учётом этого[link1].


Если без установки софта, то для низкого уровня безопасности есть


  1. Сервисы шифрованных и/или одноразовых ссылок [1][link2], [2][link3], [3][link4], [4][link5], [5][link6]. Если обменялись паролем, ссылки можно пересылать по любому удобному каналу (почта, соцсеть, IM).

  1. Сервис crypto.cat [6][link7], [7][link8], [8][link9], [9][link10].

  1. Поставить свой веб-сервер с чатом на HTTPS, который будет принимать сообщения от юзеров и пересылать их вам по удобному вам каналу (на почту, в джаббер и т.д.).

  1. Файлы шифруются rar'ом или 7zip'ом (но ни в коем случае не zip'ом!) (обычно у домохозяек что-то из этого установлено) и посылаются по почте. Можно выкладывать шифрованные файлы на файлообменники или ещё куда-то (например, на свой подконтрольный FTP-сервер), а посылать только ссылку. Некоторые файлообменники (например, rghost.ru) позволяют удалять файлы по паролю, указанному при заливке, т.е. после получения файла абонентом ссылку можно удалить.

Если с установкой софта (например, TBB), то


  1. Можно установить TorChat[link11], если он ещё жив, или его форки (тот же ricochet[link12]). Они вроде удобные: скачал, запустил, указал правильный id абонента, и всё сразу работает — и шифровано и анонимно. Писали про проблемы с несовместимостью версий и другие, но я тут точнее не скажу, надо гуглить тему.

  1. Tor-проект пилит[link13] Tor messanger. То ли он будет работать прямо из Tor-браузера, то ли это будет отдельная программа — не знаю. Можно посмотреть, каков её статус. По задумкам разработчиков это должно стать стандартным средством общения всех, кто пользуется Tor'ом.

  1. Tox. Здесь не раз обсуждался, ищите. Последнее время проект набрал некоторую популярность, но не знаю, насколько он юзерофилен.

  1. Есть mail-сервера в веб-мордой на скрытых ресурсах, использовать легко: приготовил файл, зашифровал подручными средствами — отправил. Помимо mail-серверов есть inbox-сервисы типа sinbox[link14]'а.

Если требования к безопасности высокие, то тут выход у домохозяек только один — загружать Tails и пользоваться какими-либо сервисами для общения (возможно, включая вышеперечисленные) только из-под него.


Короче говоря, вариатов много, каждый подбирает набор под свой случай и обстоятельства.



OTR не дружит с оффлайном. С OTR и PGP вообще много проблем, и одна из них — неотключенные логи у абонентов. На самом деле, OTR и PGP больше подходят для профессионалов, которые хорошо понимают матчасть и умеют правильно настраивать софт.



Вышеупомянутые crypto.cat, TorChat, ricochet и др.



Все стандартные средства имеют какие-то меню, настройки и окна c информацией об используемой программе. Что-то более чистое — это если только сами напишете.

— pgprubot (31/10/2015 06:17)   

Это кроссплатформенный IM-клиент (для стандартных IM-сетей), написанный на JS. Номинально поддерживается много сетей (например, одноклассники), но могут быть проблемы с соединением из Tor'а: сети могут блочить такие соединения или даже блокировать аккаунты как скомпрометированные.

A[link15]ny plans to add gpg encryption support?

On October 30th, 2015 sukhbir said:
We use OTR (https://otr.cypherpunks.ca). I am not sure how GPG fits into this?

On October 30th, 2015 sukhbir said:
Yes, you can use Tor Messenger with hidden services. Just provide an onion address instead wherever applicable.

On October 30th, 2015 sukhbir said:
Tor Messenger is based on the client-server model and builds on existing networks like IRC, XMPP, etc.

+ Есть новостной анонс от Роджера[link16].

Наблюдения:

  • Для работы с системным Tor'ом (подобно случаю TBB) нужно перед стартом удалить директорию tor-messenger/Messenger/extensions/tor-launcher@torproject.org. После старта надо поставить правильный SOCKS-порт в настройках (по умолчанию используется 9052, кажется, и 9053 для управления). В бандле в нагрузку идёт собственный Tor-клиент и масса браузерных потрохов на 40 MB (разве что самого браузера нет).

  • OTR по умолчанию не включен, нужно включать вручную, но в итоге он всё равно не работает с обычными XMPP-клиентами (возможно, зависит от типа клиента; ошибка «muc is undefined»). Без OTR сообщения посылаются и принимаются.

  • После авторизации контакта по запросу он не появляется в контакт-листе, пока его туда не добавят вручную.
— K10 (02/11/2015 04:18, исправлен 02/11/2015 04:59)   

Берется portable версия Jabber клиента с поддержкой GPG и/или OTR (лучше GPG) – Miranda/Psi/etc Регистрируете jabber аккаунт для собеседника, генерируете ключи, добавляете себя в контакты, отключаете логирование. И отсылаете настроенный клиент собеседнику. Ему останется только запустить и сразу переписываться.

— pgprubot (02/11/2015 13:35)   

Не факт, что portable-версия нужного клиента есть. К этой portable-версии нужно будет цеплять всё остальное, тоже portable. Если авторы такой финт изначально не предусматривали, задача, подозреваю, может оказаться непростой. Например, portable TBB делали грамотные люди, но при аудите выяснилось[link17], что утечек там всё равно масса, и многие из них вроде как не исправлены до сих пор.
— гыук (02/11/2015 18:13, исправлен 02/11/2015 18:43)   

Есть все в проекте gnupt.de (архив инета содержит софт). Psi+otr+gpg, Pidgin+Otr.



Если какой то аудит софта не выявил уязвимости, это не значит что их там нет.


tormessenger[link18]

— K10 (03/11/2015 04:56)   


Сам использую portable Миранду. От GPG нужно только два файла – gpg.exe и iconv.dll.
— pgprubot (04/12/2015 16:43)   

Исправлено[link19] в 0.1.0b4 — там всё работает нормально, OTR по умолчанию включен, а логи отключены.


Нужно щёлкнуть правой кнопкой и выбрать пункт «показывать offline-пользователей» — тогда такие контакты будет видны.
— гыук (08/12/2015 20:50)   
Tor Messenger 0.1.0b4 is released[link20]
— Гость_ (11/03/2016 20:15)   
Вышла пятая бета[link21].
— burghost (16/03/2016 16:50)   
С чайниками пойдет Signal (если про мобильность говорить). Чайники ведь юзают смартфончики! И голос, и текст. И похож голубым цветом на Telegram :)
— гыук (17/03/2016 13:26)   

Посоветуете альтернативу? Комп на тележке или минивен с аппаратурой?
— burghost (17/03/2016 16:37, исправлен 17/03/2016 16:49)   
Посоветуете альтернативу? Комп на тележке или минивен с аппаратурой?

Вы меня не так поняли :) Я не в негативном фоне ответил! Чайники в самом деле юзают смартфончики, да. Что такого-то? Значит, надо на эти смартфончики поставить средство более-менее шифрованного общения, в качестве которого я могу предложить Signal, т.к. он вроде OpenSource, позволяет звонить и писать. Предложил бы ChatSecure + свой XMPP-сервер, но у ChatSecure есть минус – он не сообщает вам о новых сообщениях, пока вы offline (push-ей нет, короче). Это настолько неудобно, что прям совсем неудобно :) Есть вариант уведомления о offline сообщениях отправкой сервером xmpp уведомлений по email. Но это все же не push...


Добавлю: имхо, это полностью укладывается в вашу задачу: 1) без геморроя 2) для чайников 3) удобно, т.к. signal видит, кто в контактах его тоже юзает (threema, например, не использует контакты, надо отдельно добавлять каждого – более секурно, но уже чуть дольше гемора плюс голосовой связи нет).


Чуть-чуть меня смущает пункт "на машине контрагента винда, могут быть открыты порты и жить среднестатистические трояны". Тогда еще лучше – Pidgin + OTP + свой сервер XMPP. Ну или вариант обычной почтой присылать шифросообщения. Или настроить S/MIME со своими ключами. Мобильные клиенты могут, Outlook и Thunderbird могут. Зашивровали сообщение и даже если сосед тоже тот же ящик читает, но у него нет серкретного установленного ключа, то он и не прочитает сообщение вообще. Минус в этом варианте один – чайники могут отправить нужное письмо не шифруя его и после отправки сделать будет ничего нельзя...


Нет, я решительно за Signal!

— гыук (17/03/2016 21:19)   

Обсуждение пошло параллельно в 2-х темах.

Signal – имхо не полный opensource. На альтернативных репах и в github есть форки более открытые.

Преместитесь куда то в одно место ))
— burghost (18/03/2016 14:38)   
Преместитесь куда то в одно место

Пора уже закрываться и там, и здесь :) Моя больше ничего посоветовать не может.
— гыук (08/04/2016 14:10)   
Tor Messenger 0.1.0b6 is released[link22]

Делитесь как обновляете?
— Гость_ (08/04/2016 15:59, исправлен 08/04/2016 15:59)   

В чём проблема[link23]?

— cypherpunks (06/03/2017 13:23)   
Что-нибудь из предложенных клиентов (TorMessenger, TorChat, WIME) позволяют ЛЕГКО прикрутить OTR?
Tor Messenger посылает на: https://otr.cypherpunks.ca где можно лишь скачать пакет tar.gz, а как его прикрутить к первому – хз.
С остальными проектами тоже пока непонятка. И как сделать так, чтобы дать чайнику один архив с просьбой кликнуть инсталлятор и ву-аля непонятно!
Интересуют конкретные руководства по прикручиванию OTR к данным мессенджерам, как под винды, так и под никсы.
— markus (06/03/2017 16:32)   
СР, вы таки возрождаете форум) Нахрена вам общаться с кончеными ламерами? Чего вы с них поимеете? Все мало-мальски платежеспособные люди в состоянии разобраться с безопасными коммуникациями. А иначе как бы они узнавали где искать закладку? )))) Поинтересуйтесь хотя бы как самые задрипаные ТОО сдают электронную отчетность. Тетеньки-бухгалтерши когда их припекает и шифруют, и подписывают исправно. Воспитывать надо "клиентуру"))) Если нерентабельно "человеку дать специальный комп", то подарите ему копеечную флешку с хвостами. Думаю окупится, раз вы такой деятельный)
— cypherpunks (06/03/2017 21:47)   
Мой мат удалили, а "Нахрена вам общаться с кончеными ламерами?" и прочий провокационный оффтопик не по теме вопроса – нет?
— markus (06/03/2017 22:26)   
А потому что мат – это офтопик. А то, что написано после "Нахрена" соответствует вот этой вашей теме:
— Следящий (07/03/2017 10:02)   
весна? )
— cypherpunks (08/03/2017 02:50, исправлен 08/03/2017 03:05)   

Да нет, просто кое-кому зудит в одном месте покрасть время, позадевать, попровоцировать.
Топик создан давно, актуальный вопрос возник позже, провокатор же обращается к сегодняшнему вопрошающему как к ТС, разводя демагогию про "нецелесообразность общения с ламерами". Я уж молчу о том, что этот провокатор markus прежде чем троллить неразобрался с кем имеет дело и cypherpunks для него – простой форумчанин, один из многих на этом сайте)
Вопрос остается открытым. Про P2P чаты типа Торчата и Рикошета мы знаем. Интересует такой чат, в котором нет и таких P2P уязвимостей или же жаба-клиент работающий через Тор как вышеупомянутые чаты.
Tor Messenger плох тем, что заставить его работать не смог даже я, не то что "ламеры" (как и везде нуль документации, вместо которой пинают с сайта на сайт, OTR как к нему прикрутить вообще непонятно)
Если получится прикрутить OTR к Tor Messenger вопрос будет закрыт)

— cypherpunks (08/03/2017 07:14)   
Если получится прикрутить OTR к Tor Messenger вопрос будет закрыт)

Вот это я дебил! Оказывается, достаточно ввести tor messenger otr в гугл чтоб в первой[link15] же ссылке ведущей на блог торпроекта прочитать

What is it?

Tor Messenger is a cross-platform chat program that aims to be secure by default and sends all of its traffic over Tor. It supports a wide variety of transport networks, including Jabber (XMPP), IRC, Google Talk, Facebook Chat, Twitter, Yahoo, and others; enables Off-the-Record (OTR) Messaging automatically; and has an easy-to-use graphical user interface localized into multiple languages.

Открываю поиск по pgpru и всюду вижу то же самое[link24]:

в 0.1.0b4 — там всё работает нормально, OTR по умолчанию включен, а логи отключены.

Ничего прикручивать не надо. Обещаю с сегодняшнего дня слезть с тяжёлых. Ради весны.
— cypherpunks (08/03/2017 09:08)   
enables Off-the-Record (OTR) Messaging automatically
OTR по умолчанию включен


Если бы! Про Убунту тоже справедливо сказали, что ее главный финансист вопил в интервью, что там есть виртуалка "из коробки", а на деле ее и близко нет.
Короче говоря, если бы вы были не теоретиком умеющим гуглить, а практиком, то лично поставив Tor Messenger под никсы, лично и убедились бы в том, что OTR там не пашет и даже после инсталляции отдельно в систему последнего, конкретно Tor Messenger продолжает ругаться, что его нет.
Так что вопрос "как прикрутить?" по-прежнему в силе(
Меня интересуют ответы тех, кто пользуется Tor Messenger в связке с OTR под линуксом с рассказом о том, как он это ставил.
— cypherpunks (08/03/2017 17:57)   
у меня в Tor Messenger всё работает, OTR пашет из коробки. На крайняк зайди в список плагинов и расширений, сделай там enable если чо. но должно быть включено по умолчанию. Самые первые версии были глючными, сейчас норм. Ключи и отпечатки генерятся в сыром акаунте с пустым контакт-листом. Всё в линухе. В окне чата щёлкаешь мышкой по замку и управляешь otr-сессией
— cypherpunks (08/03/2017 22:56, исправлен 08/03/2017 22:58)   

Ты OTR никак отдельно в систему не ставил?



Давай конкретнее, где это? В самом Tor Messenger или где-нибудь в линуксе? )



tor-messenger-linux32-0_4_0b1_en-US.tar.xz релиз от 6 марта сего года наверное новое? )


И вот что получается при попытке общения с шифрованием:


XX:XX:XX – The current conversation is not private.
XX:XX:XX – Attempting to start a private conversation with **@xmpp.jp.
XX:XX:XX – This message could not be delivered: ?OTRv2?
***@xmpp.jp has requested an Off-the Record private conversation. However, you do not have a plugin to support that. See http://otr.cypherpunks.ca/ for more information.


Если я, как белый человек, создал аккаунт прямо в этой проге это принципиально?



Ага. А что получается – см. выше(
Может мне видео сделать и вам выложить? ) Мне срочно с товарищем законтачить надо, а тут такое! ЗАСАДА!!!

— Следящий (09/03/2017 00:47)   
А в чем прикол общения с самим собой?
— sentaus (09/03/2017 01:11)   
наверно, новый вид Гостей.
— cypherpunks (09/03/2017 12:34, исправлен 09/03/2017 12:39)   

Продолжу шизу



нет



Ростер (окно со списком контактов) -> tools -> add-ons -> ctypes-otr. Если там disable, меняешь на enable. Очень трудно в настройках найти, правда ведь? целых два клика!



Я тестировал несколько более старых версий, всё работало.



Странно очень. После проверки, включен ли плагин (он идёт в комплекте, ничего доустанавливать не надо), проверь tools -> otr preferences (там же). Посмотри, высвечивается ли отпечаток ключа, надо ли его сгенерить. По-моему, он генерит ключ сам при первом старте.



Странно. Attempting не говорит о том, что otr уже есть? Не знаю природу этих сообщений.



Нет


Короче,

  1. Проверяешь включен ли плагин и опознан ли ключ в настройках. Если нет, включаешь/генерируешь и пытаешься снова.
  2. Не помогло – распаковываешь в другую директорию и повторяешь всё снова – закрываешь вопрос с багом в распаковке или временным глюком.
  3. Не помогло – добавляешь себе 2 контакта на разных серверах, делаешь сам между ними otr. TM поддерживает 2 разных аккаунта в одном ростере. Если у тебя работает, а с абонентом – нет, значит, у кого-то из вас бажная реализация otr.

Наверно не нужно быть семи пядей во лбу чтобы догадаться до 1-3.


В tools -> otr preferences можно снять галку с require encryption, тогда будет отсылаться без otr.


В TM много сложных настроек, проект пока в стадии перманентной беты. Я видел такой глюк что он очередной раз тупо переставал запускаться хотя раньше работал. Приходилось смотреть какие системные файлы поменялись (они вообще не должны меняться) и откатывать их к чистой версии.


Если совсем не судьба, тут рекламировали CoyIM[link25]. Там этих проблем нет, но есть другие. Или ставь ricochet и не мучайся.

— cypherpunks (10/03/2017 07:44)   

Будто я туда не лазил и не перепроверял ее!



Затрахался гонять разные версии переустанавливая всеми возможными способами.

XX:XX:XX AM – The current conversation is not private.
XX:XX:XX AM – You attempted to send an unencrypted message to ...@xmpp.jp. As a policy, unencrypted messages are not allowed.
XX:XX:XX AM – Attempting to start a private conversation. Your message will be retransmitted when the private conversation starts.
XX:XX:XX AM – name: test!
XX:XX:XX AM – This message could not be delivered: ?OTRv2?
<b>1@xmpp.jp</b> has requested an <a href="https://otr.cypherpunks.ca/">Off-the-Record private conversation</a>. However, you do not have a plugin to support that.
See <a href="https://otr.cypherpunks.ca/">h......cypherpunks.ca/</a>; for more information.
XX:XX:XX AM – Attempting to start a private conversation with 1@xmpp.jp.
XX:XX:XX AM – This message could not be delivered: ?OTRv2?
1@xmpp.jp has requested an Off-the Record private conversation. However, you do not have a plugin to support that. See http://otr.cypherpunks.ca/ for more information.
— cypherpunks (10/03/2017 11:40)   

Неправильно трахаешься. Трахался бы правильно – на выходе были бы не очередные стенания о бренности бытия, а готовый отчёт вида "в таких-то случаях работает, в таких-то – нет, значит, проблема в том-то". После такого отчёта этот форум тебе не понадобился бы. У сотен людей работает, ищи проблему в своём случае. Не умеешь отрабатывать версии и искать проблемы – значит, рано ещё шифрованием заниматься. Подожди, пока руки из нужного места вырастут.
— cypherpunks (25/03/2017 23:21)   
Вы можете мне ТУПОМУ сделать ПОШАГОВУЮ инструкцию по успешному у вас запуску шифрования в Tor Messenger?! Не работает под РАЗНЫМИ сборками линукса! Этих полтора "настроек" вовсе недостаточно, чтобы что-то так "скрутить", тем более что в настройках по умолчанию OTR включено))) Или может быть идея создания нового jp-аккаунта в этой программе-утопия?
— cypherpunks (26/03/2017 00:22)   
Tor Messenger, torchat, "рикошет" не имеют клиентов для Андроида и прочих "айфонов". Есть какие-нибудь аналоги, имеющие это?
Или может есть другой способ запустить данный софт на Андроиде?
— cypherpunks (29/03/2017 10:30)   

Посмотри, это оно?
https://guardianproject.info/apps/chatsecure/

Ссылки
[link1] https://www.pgpru.com/comment94010

[link2] https://www.pgpru.com/comment86844

[link3] https://www.pgpru.com/comment83518

[link4] https://www.pgpru.com/comment78108

[link5] https://www.pgpru.com/comment77566

[link6] https://www.pgpru.com/comment76435

[link7] https://www.pgpru.com/forum/kriptografija/cryptocat

[link8] https://www.pgpru.com/novosti/2013/vcryptocatnajjdenaserjjoznajaujazvimostjpozvoljajuschajapoluchitjdostupkzashifrovannymsoobschenijam

[link9] https://www.pgpru.com/forum/anonimnostjvinternet/firetalks

[link10] https://www.pgpru.com/comment71262

[link11] https://www.pgpru.com/forum/anonimnostjvinternet/instrukcijadljachajjnikovkriptoanonimnyjjimtorchat

[link12] https://www.pgpru.com/forum/anonimnostjvinternet/ricochetvmestotorchat

[link13] https://www.pgpru.com/comment90455

[link14] http://sinbox4irsyaauzo.onion/

[link15] https://blog.torproject.org/blog/tor-messenger-beta-chat-over-tor-easily

[link16] https://www.pgpru.com/comment94151

[link17] https://www.pgpru.com/comment63746

[link18] https://dist.torproject.org/tormessenger/0.1.0b2/

[link19] https://trac.torproject.org/projects/tor/ticket/17552

[link20] https://blog.torproject.org/blog/tor-messenger-010b4-released

[link21] https://blog.torproject.org/blog/tor-messenger-010b5-released

[link22] https://blog.torproject.org/blog/tor-messenger-010b6-released

[link23] https://trac.torproject.org/projects/tor/wiki/doc/TorMessenger/FAQ#WherearemyOTRkeysstoredHowcanIpreservethemacrossupdates

[link24] https://www.pgpru.com/comment94289

[link25] https://www.pgpru.com/comment95891