Спасибо криптовойнам 90ых за jabber, но пора двигатся дальше.

HarleyQuinn

Наблюдатель
Регистрация
5 Ноя 2016
Сообщения
56
Реакции
132
В 90ых годах в США стало легальным использование end-to-end шифрования с высокой устойчивостью ко взломам. Окееей.

Человечество получило возможность иметь секреты в интернете. Не знаю как вы, но когда я с подружками обсуждаю какие лучше купить трусики, я говорю шёпотом. Меня не волнует как будет использоватся эта информация кем-либо, меня волнует чтобы это кем-либо вообще не было участником нашего разговора.

Шёпот - корень моей сегодняшней статьи, мы поговорим о Open Whisper systems и их последней разработке - Signal.

Все началось пару дней назад, когда я задумалась о протоколе XMPP в целом. Нет, друзья, Jabber с OTR не умрут еще пару лет, пока квантовые компьютеры не станут на вооружение властей. С одной стороны, выйдет новый протокол и для XMPP, но я считаю что нет.

Jabber имеет довольно скудный функционал и казалось бы да, через него можно писать, ставить смайлики... сомневаюсь что кто-то использует его для передачи файлов. Вы скажете, хочешь шифрованные звонки ставь ZRTP, файлы передавай через непонятные файлообменники, шифруй 7z/rar архивы, записки/почта - используй PGP. Слишком. Много. Xmpp, IRC, DNS, SMTP остались в 90ых, своеобразная петля времени, нам нужно идти дальше, повышать продуктивность действий.

Я не буду долго танцевать вокруг, давайте перейдем к обзору.

Signal - новый, пока не слишком популярный E2EE (end-to-end encryption) мессенджер, проще говоря убийственное приложение ребятки. Напоминает мной нелюбимый Whatsapp (прим. Whatsapp с недавнего времени перешли на протоколы Signal, но их приложение так и осталось с закрытым исходным кодом) и я считаю что за мессенджерами будущее, это как соцсети которые создаются из ваших телефонных книг - вы выбираете что отправить и кому, вас не принуждают использовать свое реальное имя (как ВК или facebook, которые успешно продают данные пользователей), использовать свой телефон, вас могут заблокировать те кто не желает читать ваши сообщения, но никто не может вас ограничить от использования Signal в целом и навязывать что говорить хорошо, а что плохо. Говорите, пишите, обменивайтесь файлами. И не думайте о том что кто-то кроме вас и вашего Пудинга знают что вы завтра учудите... конечно при условии что вы самостоятельно решаете что будет завтра X).

Преимущества перед Jabber:
1. Более стойкий к дешифрации протокол с открытым исходным кодом на базе OTR. Signal использует протоколы Curve25519, AES-256, HMAC-SHA256. Ключи хранятся под дополнительным слоем шифрования и находятся лишь у вас на устройстве.
2. Самоудаляемые сообщения. Следов не останется ни на серверах, ни у вас, ни у вашего собеседника.
3. Надежный протокол шифрования звонков. При каждом звонке вы видите два слова, для проверки шифрования вам достаточно назвать одно из двух слов, а собеседнику второе, если разговор перехватывают слова будут разными.
4. Полное шифрование групповых разговоров, так же поддерживаются самоудаляемые сообщения.
5. Удобный шифрованный обмен файлами.
6. Безопасная синхронизация переписок на пк и телефоне.
7. Когда вы используете OTR нужно чтобы вы и ваш собеседник находились в сети, иначе сообщение не будет доставлено. В signal нет такой необходимости.

Преимущества перед Whatsapp, Telegram с secret chats и Wickr:
1. Два слова - open source (к телеграм не относится). Открытый исходный код самого приложения, серверов компании и предложеных ею протоколов шифрования. Whatsapp и Wickr не могут такого предложить, поэтому все это шифрование в их приложениях может быть фиктивным. Можно понять когда производители видеокарт не хотят открывать код, но мессенджер? Что у них там за супер-крипто-нано-милитари технологии которые уничтожат мир в случае их открытия? Ну не знаююю. Исходный код Signal можно переписать и использовать единый сервер from russian with love.
2. Легко ставится на PC под управлением Windows, MacOS, Linux + опять же синхронизация переписок. У телеграм пока что проблемы с desktop приложением да и звонков там нет. Signal же хоть и требует chrome для установки на desktop клиента, но его можно заменить тем же SRWare Iron или Chromium которые предлагают нам open source <3.

О шифровании.
Любая ваша информация, файлы, контакты - передаются на сервера signal в зашифрованом виде, затем отправляются собеседнику. Это позволяет производить обмен зашифрованными данными когда один из участников переписки находятся не в сети - сообщение шифруется на вашем устройстве, затем в зашифрованном виде передается на сервера компании и когда собеседник появляется онлайн - сервера передают зашифрованный пакет данных собеседнику, который в свою очередь расшифровывает сообщение.

К слову, в основу протокола шифрования Signal брался именно OTR. Почему не PGP? Pretty good privacy? Maybe, but just for few years... В PGP ключи постоянные, негодяи могут хранить ваши зашифрованные сообщения годами, правда в один прекрасный день получив ваш ключ шифрования все переписки будут прочтены, как старые так и новые. Поэтому PGP больше используют в асинхронных сообщениях - записках, эл. письмах. OTR действует по принципу эфемерного обмена ключами для каждой сессии, поэтому такой проблемы нет - не расшифровали сейчас, давай до свидания. Разработчики Signal пошли еще дальше, сессия одной переписки может быть чертовски длинной и хранить много информации, поэтому в Signal новый ключ используется для каждого сообщения. Это не единственное преимущество протокола Signal перед OTR, подробнее вы можете ознакомится на сайте разработчика.

Может ли с разработчиками Signal произойти история подобной Lavabit или Truecrypt? Листы национальной безопасности это не магия (NSLs). Этот вопрос обсуждался на DEF CON 24. Да и к слову, вы самостоятельно можете проверить или бинарный код с Google play тот же что вы получите из исходного кода на Github (прим. сайт где опубликован исходный код приложения), как это сделать - вот.

Signal для телефона просит Google Apps? Да, это так. Они используются лишь для доставки уведомлений в среде Android, Если вы ужасаетесь от слова Google, можете установить microG на ваш Cyanogenmod (прим. прошивка на базе Android с полностью открытыми исходниками), но я была участницей дискуссии на эту тему и был сделан вывод, что заменяя Google apps сторонними приложениями, вы открываете свое устройство в целом для массы других уязвимостей. Gapps это не вирус, настроив приложение должным образом оно не будет собирать о вас информацию.

Ах да, вот и запросик был от властей к компании Open Whisper Systems. Они предоставили суду все что у них было - 2 номера телефона и ничего больше, потому что ничего больше не записывалось в целом. Левая сим карта решает этот вопрос.

Для регистрации в Signal вам нужно принять звонок, смс активация со стороннего телефона не пройдет. Так же не обязательно использовать свой телефон для регистрации да и телефон вообще - можете установить виртуалку Genymotion и создать себе Android телефон. Правда с таким подходом будет несколько затруднительно активировать приложение на компьютере, но я смогла (прим. для синхронизации с ПК, при активации используется камера телефона, в Genymotion вы можете использовать вэб-камеру вашего ПК).

Единственное чего не хватает Signal так это опции для регистрации по старому доброму логину и паролю.

Статья написана с целью подтолкнуть наше сообщество к переходу на signal.

(c) Harley Quinn X)

Да и последнее - Эдвард Сноуден рекомендует Signal.

[CODE]INC дополнил.
Предcтавители Международной ассоциации криптологических исследований представили доклад, озаглавленный «Формальный анaлиз безопасности протокола Signal». Аудитом занималась своднaя группа исследователей из Великобритании, Австралии и Канады.

Исслeдователи сообщают, что им не удалось обнаружить каких-либо заметных уязвимостей, а Signal пpедлагает пользователям грамотно построенную и устойчивую к компpометации архитектуру. Проверка Signal на устойчивость перед различными угрозами осуществлялась в кoнтексте сети полностью контролируемой противником, но криптографичеcкое ядро Signal выдержало и это испытание. Исследователи отмечают, что безoпасность Signal так высока, что даже проведение тестов стало сложной задaчей.

«Проведение анализа безопасности протокола Signal оказалось сложной задачей по целому ряду причин. Во-первых, Signal испoльзует новаторский и неизученный дизайн, в том числе более десятка разных типов ключей и кoмплексный процесс обновления. В результате, напрямую применить к Signal сущеcтвующие аналитические модели невозможно. <…> И, наконец, бoлее приземленная причина: протокол, по сути, не документиpован, не считая его исходного кода», — пишут исследователи.

Тем не менeе, специалисты преодолели эти трудности и не обнаружили в составе Signal слaбых мест. Хотя, стоит заметить, что аналитики сконцентрировали внимание на самом Signal, фактически игнoрируя сторонние библиотеки компонентов, а так же различные имплементации и версии прилoжений.

В докладе исследователи пишут, что, по их мнению, защиту протокола можно улучшать и далее, к примеру, используя конструкции в духе пpотокола NAXOS. Но группа призывает считать данное исследование не точкoй, поставленной в вопросе Signal, а лишь началом. Специалиcты надеются, что их работа станет фундаментом для проведения других иcследований.

• Source: https://eprint.iacr.org/2016/1013.pdf[/CODE]
 

Работай безопасно с WWH-CLUB : ручной и автоматический гарант-сервис.

Продвигай свою коммерцию : баннерная и автоматическая реклама. 

Получай новые знания : бесплатно или платно.

 

HarleyQuinn

Наблюдатель
Регистрация
5 Ноя 2016
Сообщения
56
Реакции
132
Очень интересно где было замечено пустословие со стороны администрации? можно пруфы?
Я вообще не поняла о чем он, кроме моих амбиций:) Да и я писала уже - открытие будет сперва на коровке, здесь аудитория для старта слишком большая.
 

JackJ

Модератор
Команда форума
Модератор
WWH-CLUB
BANKERS
PayPal for All
WWH-ПАРТИЯ
WWH-LOGS
Регистрация
15 Июн 2016
Сообщения
4,536
Реакции
9,096
Вот знаменитая Харли к нам пришла)
Читал на вф еще пост.Все четко и по уму.
Спс за изложение своих мыслей)
 

Хатико

Наблюдатель
Регистрация
18 Сен 2015
Сообщения
202
Реакции
509
Пользователь заблокирован.
Не проводите с ним сделок до снятия бана.
поддерживаю идейку =)
 

HarleyQuinn

Наблюдатель
Регистрация
5 Ноя 2016
Сообщения
56
Реакции
132
Зачем коровка? Запусти сервис для закрытой части wwh-club - отсечешь большую паблик аудиторию. У нас есть сервисы, которые запустились и до сих пор работают только в закрытом разделе. А потом когда захочешь расширяться - откроешься и в паблик части wwh-club.
Звучит разумно, так и сделаем:)
 

Sek0nD

Наблюдатель
Ненадежные
HotelsGroup
NFC GROUP
Регистрация
28 Мар 2014
Сообщения
539
Реакции
317
ГАРАНТ
1
Пользователь заблокирован.
Не проводите с ним сделок до снятия бана.
Уважаемые, кто пользуется Signal, отпишите пожалуйста
 

Bulf

WWH-CLUB
Регистрация
26 Апр 2016
Сообщения
215
Реакции
444
ГАРАНТ
1

RedLizard

Наблюдатель
Регистрация
12 Дек 2017
Сообщения
9
Реакции
0
тоже сигнал не привлек внимание
 

Сверху