Вернуться   W&PBBS > Software > Средства общения Интернета
Имя
Пароль
FAQ Пометить все разделы прочитанными

Ответ
Опции темы
Старый 04-04-2019, 10:27 Ссылка на пост    #1
Rasta_toha
Продвинутый серфер
Йа Ктулху
 
Rasta_toha


Сообщений: 1,488
На форуме с: 14.03.02
Провел: 3нед. 5д. 37мин.

Секурность и анонимность в мессенджерах

Совсем захирел раздел и Алегрича че-то не видно. Ну да ладно. Внесу свою лепту.

В наш век тотальной деанонимизации мессенджеров желание сурно и анонимно поболтать только усиливается.
Для затравки и чтоб не дублировать - http://www.spy-soft.net/security-of-instant-messengers/

Что мы имеем?!
WhatsApp – бле! да он же фейсбуку принадлежит
Sygnal – очень хорош, но! Имеет проблему с конференциями (а они то нам и нужны)
Выводы внешнего аудита:
Наш систематический анализ выявил, что целостность коммуникаций (представленная целостностью всех сообщений) и групповая принадлежность (определяемая возможностью членов группы управлять ими) не имеют end-to-end-защиты. Кроме того, мы показали, что обратная секретность (ключевое свойство безопасности) не сохраняется при использовании протокола Signal для групповых чатов.
Telegram – просто оставлю это тут - https://www.securitylab.ru/blog/company/CABIS/345785.php

Общем все плохо! Ядерную боеголовку вождю Ыну хрен продашь

С наркоманского форума в даркнете:
Ну не знаю. Нарки с которыми я сидел юзают signal.
Сам доверяю только жабе с шифрованием PGP. Поэтому восстановил свой собственный сервер. Подтянул показатели безопасности шифрования до категории А и сижу довольный как слон.
Телеге в принципе не доверяю. Весь пиар вокруг противодействия ФСБ считаю просто пиаром. И почти уверен, что все там сливается как пить дать.


И тут из тьмы веков всплывает XMPP/Jabber


Хорошая штука! – прям как аська. Должна была стать e-mail 2.0, но не стала.
Есть конференции, нет привязки к мобильному!!! есть адово шифрование PGP и OTR. Но! PGP и OTR – это для общения двух человеков, а мы привыкли к групповым чатегам!


И тут…. Тудудудуду на сцену выходит OMEMO - Multi-End Message and Object Encryption.
Подробно тут - https://conversations.im/omemo/


Как быть, что делать, где брать?!

Шаг 1. Выбираем XMPP сервер. Серверов таких чуть больше чем дохренища + можно воткнуть свой (все и везде утверждают, что это как 2 пальца). Гуглим или смотрим тут - https://compliance.conversations.im/
Нам нужно несколько ХЕРов: XEP-0045: Multi-User Chat , XEP-0384: OMEMO Encryption , XEP-0160: Best Practices for Handling Offline Messages.



Шаг 2. Рега. Зашли на сайт XMPP-сервера и зарегались бесплатно и без смс.



Шаг 3. Клиенты. Редкий случай когда с клиентам повезло андройдоводам и не повезло яблочникам.
Android: conversations - https://f-droid.org/packages/eu.siacs.conversations/ (она немного платная - поэтому ф-дройд или 4пда)
iPhone/iPad: ChatSecure - https://chatsecure.org/
windows/Linux и т.д.: Gajim - https://gajim.org/ (ставил на винду - для работы с omemo нужно из меню поставить плагин)



Шаг 4. Общаемсо. Для секурного общения нада в настройках поставить галку "Шифрование omemo - всегда". При подключении нового контакта жмакнуть по нему и подтвердить отпечаток omemo (открытый ключ). Для секурного общения в конференции отпечаток omemo должен быть подтвержден всеми и всех и друг у друга!

Вас еще не параноит? Тогда мы идем к вам!




Редактировалось nimda
04-04-2019 11:37.
Rasta_toha вне форума   Вставить выделенное Отправить сообщение для  Rasta_toha с помощью ICQ      Ответить с цитированием
Старый 04-04-2019, 10:33 Ссылка на пост    #2
Rasta_toha
Продвинутый серфер
Йа Ктулху
 
Rasta_toha


Сообщений: 1,488
На форуме с: 14.03.02
Провел: 3нед. 5д. 37мин.

ЗЫ всё вышесказанное - результат моего изучения вопроса. Буду рад каментам и дополнениям.

ЗЗЫ подправьте плз последнюю сцылку про паранойю :)
Rasta_toha вне форума   Вставить выделенное Отправить сообщение для  Rasta_toha с помощью ICQ      Ответить с цитированием
Старый 04-04-2019, 12:24 Ссылка на пост    #3
allsets1
W&P Team
W&P Team

На форуме с: 24.10.06
Провел: 4мес. 6д. 5ч. 33мин.

безопасность VS популярность

шифрование, конечно хорошо
но для безопасного общения, требуется еще собеседник с "таким же" клиентом
не говоря уже о процедуре установки/настройки
много вы таких людей знаете?))
allsets1 вне форума   Вставить выделенное      Ответить с цитированием
Старый 04-04-2019, 15:38 Ссылка на пост    #4
Rasta_toha
Продвинутый серфер
Йа Ктулху
 
Rasta_toha


Сообщений: 1,488
На форуме с: 14.03.02
Провел: 3нед. 5д. 37мин.

Цитата: allsets1 > шифрование, конечно хорошо
но для безопасного общения, требуется еще собеседник с "таким же" клиентом
не говоря уже о процедуре установки/настройки
много вы таких людей знаете?))
Похоже, что переборщил я с писаниной Тут делов-то на 2 мин: скачть клиент (1 мин), зайти на сайт (например) xmpp.ru, завести акк toha@xmpp.ru (1мин), жмакнуть в клиенте галку "шифровать все и вся омемой" (0,038 мин), сказать корешам, что бы писали на toha@xmpp.ru и жмакнуть подтвердить отпечаток (хз мин).


Сейчас в процессе перетаскивания друзей из богомерзкого ваззапега в жабу. В основном брыкаются яблочники - им не нравится функциональность секуречата, а вот андройдоводы довольны - клиент супер крутой


ЗЫ сразу отвечаю на вопрос про то, что мобильный телефон сам по себе дырка в безопасности и нахрен так морочиться. Следующий шаг - поставить клиент в безопасную среду (типа My Knox или Android for Work App), но тут я пока сам разбираюсь - может кто подскажет
Rasta_toha вне форума   Вставить выделенное Отправить сообщение для  Rasta_toha с помощью ICQ      Ответить с цитированием
Старый 04-04-2019, 15:52 Ссылка на пост    #5
allsets1
W&P Team
W&P Team

На форуме с: 24.10.06
Провел: 4мес. 6д. 5ч. 33мин.

Цитата: > Rasta_toha пишет:
Тут делов-то на 2 мин: скачть клиент (1 мин), зайти на сайт (например) xmpp.ru, завести акк toha@xmpp.ru (1мин), жмакнуть в клиенте галку "шифровать все и вся омемой" (0,038 мин), сказать корешам, что бы писали на toha@xmpp.ru и жмакнуть подтвердить отпечаток (хз мин).


но это уже, очень много!)))

а вообще, смена мессенджера - не является забота о безопасности - как таковой, а скорее что-то другое, дизайн, функционал и тд, многие просто не вкурсе всяких там, шифрований и тд
вас прослушивает ФСБ/FBI ? - они заботятся о вашей, и не только, безопасности)
если уж и говорить о реальной безопасности - то при личной встрече, передача непаблик софта)
allsets1 вне форума   Вставить выделенное      Ответить с цитированием
Старый 18-05-2019, 09:42 Ссылка на пост    #6
ultras
W&P Team
W&P Team
Золотой Меценат W&PBBS
На форуме с: 18.10.05
Провел: 6д. 47мин.

Цитата: Rasta_toha > Похоже, что переборщил я с писаниной Тут делов-то на 2 мин: скачть клиент (1 мин), зайти на сайт (например) xmpp.ru, завести акк toha@xmpp.ru (1мин), жмакнуть в клиенте галку "шифровать все и вся омемой" (0,038 мин), сказать корешам, что бы писали на toha@xmpp.ru и жмакнуть подтвердить отпечаток (хз мин).


Сейчас в процессе перетаскивания друзей из богомерзкого ваззапега в жабу. В основном брыкаются яблочники - им не нравится функциональность секуречата, а вот андройдоводы довольны - клиент супер крутой


ЗЫ сразу отвечаю на вопрос про то, что мобильный телефон сам по себе дырка в безопасности и нахрен так морочиться. Следующий шаг - поставить клиент в безопасную среду (типа My Knox или Android for Work App), но тут я пока сам разбираюсь - может кто подскажет

Какой клиент под Android пользуешь? Всегда пользовал Conversation = стабильность + удобство. Пробовал xabber, chatsecure - непонравились.
Еще надо тел накрыть LUKS'ом. Тогда гуд.
ultras вне форума   Вставить выделенное      Ответить с цитированием
Старый 24-07-2019, 18:44 Ссылка на пост    #8
ultras
W&P Team
W&P Team
Золотой Меценат W&PBBS
На форуме с: 18.10.05
Провел: 6д. 47мин.

Вставлю свои 5 копеек.
https://www.eff.org/node/82654
Сравнение мессенджеров.
Если и пользовать то signal, но никак не telegram.
ultras вне форума   Вставить выделенное      Ответить с цитированием
Старый 24-07-2019, 22:07 Ссылка на пост    #9
champCOTTO
(41-6, 33KO)
Меценат Супер Содействия W&PBBS
70 лет ПобедыСупер Золотой Меценат
На форуме с: 07.11.07
Провел: 3мес. 1нед. 6д. 13ч. 47мин.

Цитата: ultras > Если и пользовать то signal, но никак не telegram.

Я соглашусь с тобой, исходя из сравнительной статьи - однозначно SIGNAL!

Но есть одна маленькая проблема: людей с тележными контактами у меня полно (около 130 человек), а вот в сигнале (установил и посмотрел "по наличию/отсутствию значка замочка рядом со значком телефона рядом с именем" - ну такое: 4 человека....
Не буду же я им всем подробно объяснять мол так и так и рассылать "Давайте общаться через Signal"..))
champCOTTO вне форума   Вставить выделенное      Ответить с цитированием
Старый 25-07-2019, 10:26 Ссылка на пост    #10
nimda
СуперМодератор
МодерСуператор
 
nimda
Почетный знак 2011За участие в акции "70 лет Победы"

Сообщений: 14,029
На форуме с: 29.05.02
Провел: 4мес. 3нед. 6д. 14ч. 7мин.

Цитата: > ultras пишет:
Если и пользовать то signal, но никак не telegram.
Почему нет? Секретный чат, скрин из того же исследования EFF:

Те же зеленые галочки, как и у Сигнала:


Плюс к тому, не могу не согласиться с уважаемым champCOTTO:
Цитата: > champCOTTO пишет:
Но есть одна маленькая проблема: людей с тележными контактами у меня полно (около 130 человек), а вот в сигнале (установил и посмотрел "по наличию/отсутствию значка замочка рядом со значком телефона рядом с именем" - ну такое: 4 человека....

Редактировалось nimda
25-07-2019 11:34.
nimda вне форума   Вставить выделенное Отправить сообщение для  nimda с помощью ICQ      Ответить с цитированием
Старый 30-07-2019, 22:57 Ссылка на пост    #12
barabashka
W&P Team
Серфер
 
barabashka


Сообщений: 10,250
На форуме с: 07.04.03
Провел: 2мес. 3нед. 1ч. 57мин.

Если сравнивать телегу и сигнал, то есть один нюанс, который не дает мне покоя - телега, в отличии от сигнала, заблокирована в РФ. Тут есть 2 варианта:
1. Так ФСБ привлекает всех недопропорядочных в одно место, мол пользуйтесь телегой, мы не можем встркыть, а по факту все проверяем.
2. Действительно не могут вскрыть, как не могут и заблокировать...

Что касается сигнал, то да, исходники открыты, вроде бы, но вот я нашел только ссылки на коды библиотек, которые якобы используются, конечно, может быть я плохо искал, но где исходники клиентов и сервера? Как это все можно собрать самостоятельно? Где те самые гарантии того, что на серверной стороне и на клиентах те самые "коды", что опубликованы на гите?

И да, сигнал не заблокирован, а значит ФСБ он не мешает...
barabashka вне форума   Вставить выделенное      Ответить с цитированием
Старый 01-08-2019, 22:57 Ссылка на пост    #13
Rasta_toha
Продвинутый серфер
Йа Ктулху
 
Rasta_toha


Сообщений: 1,488
На форуме с: 14.03.02
Провел: 3нед. 5д. 37мин.

Спорить о секурности мессенджеров, у которых акк привязан к номеру телефона - такое себе. имхо разумееЦЦо
Rasta_toha вне форума   Вставить выделенное Отправить сообщение для  Rasta_toha с помощью ICQ      Ответить с цитированием
Старый 02-08-2019, 16:57 Ссылка на пост    #14
ultras
W&P Team
W&P Team
Золотой Меценат W&PBBS
На форуме с: 18.10.05
Провел: 6д. 47мин.

У сигнала один жирный плюс:
- шифрует ПО УМОЛЧАНИЮ. Не надо выбирать secure chat.
А большинство юзеров этого как раз и не будет делать.
Кроме того можно поставить PIN на повторную регистрацию с симки. Т.е. заимев доступ к номеру - без пинкода перерегистрировать этот акк - нельзя. В телеге такого нет и регулярно слетают номера.

Не надо путать СЕКУРНОСТЬ и АНОНИМНОСТЬ.
Это 2 большие, частенько взаимоисключающие, разницы! С учетом всех этих мессенджеров привязанных к телефону номера (АХТУНГ!).

Давайте не будем про контору из 3х букв. Так же можно говорить и про TOR и про VPN. Это же тоже до сих пор незаблокировано? Но это не значит, что находится под крышей.

Надо отметить , что хороший уровень секурности, даже невключая анонимность, требует приличный уровень GEEK'a . :) AKA jabber на смарте с OTR (минимум) , а лучше GPG , ну и все это через TOR , а лучше oVPN.

Телега - в отличие от таких продуктов юзабельна и удобна, скорее всего и необходимые данные по запросу компетентных органов прекрасно выдаются, ведь большинство переписок - без секуречатов. А общие чаты (группы) - так вообще.

Тема напомнила:
Цитата: > Однажды инженер Чжа Вынь обратился к Учителю:

– Один достойный уважения человек сказал мне, что шифровать электронную почту неправильно. Поскольку честному человеку нечего скрывать, шифрованная переписка неизбежно привлечёт внимание Охранительного ведомства. Учитель, что вы об этом думаете?

Инь Фу Во ответил:

– Благородный муж имеет чувство стыдливости. Он закрывает одеждой свою наготу. Вовсе не потому, что лицезрение другими принесёт ему ущерб. Но такова воля Неба, и таков ритуал. Честному человеку есть, что скрывать.

и
Цитата: > Директор сказал:

– Зачем нам шифровать содержимое дисков? Зачем нам VPN? У нас нет противозаконной информации.

Мудрый Инь Фу Во ответил:

– Безгрешность – не результат праведности, а результат наивности.

PS: Не призываю никого использовать только одно или только другое.
Да, предлагаю еще рассмотреть TOX. :) Дезентрализованный мессенджер.
анализ безопасности протокола Signal
ultras вне форума   Вставить выделенное      Ответить с цитированием
Старый 02-08-2019, 19:00 Ссылка на пост    #15
allsets1
W&P Team
W&P Team

На форуме с: 24.10.06
Провел: 4мес. 6д. 5ч. 33мин.

GPG, GEEK, OTG ....

хотите нормально шифроваться?
не делайте ваш траф подозрительным!)
only httpS
allsets1 вне форума   Вставить выделенное      Ответить с цитированием
Ответ


Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра Оценка этой теме
Оценка этой теме:

Ваши права в разделе
Вы не можете создавать темы
Вы не можете отвечать на сообщения
Вы не можете прикреплять файлы
Вы не можете редактировать сообщения

vB коды Вкл.
[IMG] код Вкл.
Быстрый переход





Предупреждение: Никакого детского порно в запросах и ссылках.
Любое упоминание детского порно в контексте будет пресекаться.


Часовой пояс GMT +4, серверное время: 15:40.