![]() ![]() |
![]() |
![]() |
Ссылка на пост #1 |
Продвинутый серфер
![]() Йа Ктулху
Сообщений: 1,488 На форуме с: 14.03.02
Провел: 3нед. 5д. 37мин. |
Секурность и анонимность в мессенджерах
Совсем захирел раздел и Алегрича че-то не видно. Ну да ладно. Внесу свою лепту.
В наш век тотальной деанонимизации мессенджеров желание сурно и анонимно поболтать только усиливается. Для затравки и чтоб не дублировать - http://www.spy-soft.net/security-of-instant-messengers/ Что мы имеем?! WhatsApp – бле! да он же фейсбуку принадлежит Sygnal – очень хорош, но! Имеет проблему с конференциями (а они то нам и нужны) Выводы внешнего аудита: Наш систематический анализ выявил, что целостность коммуникаций (представленная целостностью всех сообщений) и групповая принадлежность (определяемая возможностью членов группы управлять ими) не имеют end-to-end-защиты. Кроме того, мы показали, что обратная секретность (ключевое свойство безопасности) не сохраняется при использовании протокола Signal для групповых чатов. Telegram – просто оставлю это тут - https://www.securitylab.ru/blog/company/CABIS/345785.php Общем все плохо! Ядерную боеголовку вождю Ыну хрен продашь С наркоманского форума в даркнете: Ну не знаю. Нарки с которыми я сидел юзают signal. Сам доверяю только жабе с шифрованием PGP. Поэтому восстановил свой собственный сервер. Подтянул показатели безопасности шифрования до категории А и сижу довольный как слон. Телеге в принципе не доверяю. Весь пиар вокруг противодействия ФСБ считаю просто пиаром. И почти уверен, что все там сливается как пить дать. И тут из тьмы веков всплывает XMPP/Jabber Хорошая штука! – прям как аська. Должна была стать e-mail 2.0, но не стала. Есть конференции, нет привязки к мобильному!!! есть адово шифрование PGP и OTR. Но! PGP и OTR – это для общения двух человеков, а мы привыкли к групповым чатегам! И тут…. Тудудудуду на сцену выходит OMEMO - Multi-End Message and Object Encryption. Подробно тут - https://conversations.im/omemo/ Как быть, что делать, где брать?! Шаг 1. Выбираем XMPP сервер. Серверов таких чуть больше чем дохренища + можно воткнуть свой (все и везде утверждают, что это как 2 пальца). Гуглим или смотрим тут - https://compliance.conversations.im/ Нам нужно несколько ХЕРов: XEP-0045: Multi-User Chat , XEP-0384: OMEMO Encryption , XEP-0160: Best Practices for Handling Offline Messages. Шаг 2. Рега. Зашли на сайт XMPP-сервера и зарегались бесплатно и без смс. Шаг 3. Клиенты. Редкий случай когда с клиентам повезло андройдоводам и не повезло яблочникам. Android: conversations - https://f-droid.org/packages/eu.siacs.conversations/ (она немного платная - поэтому ф-дройд или 4пда) iPhone/iPad: ChatSecure - https://chatsecure.org/ windows/Linux и т.д.: Gajim - https://gajim.org/ (ставил на винду - для работы с omemo нужно из меню поставить плагин) Шаг 4. Общаемсо. Для секурного общения нада в настройках поставить галку "Шифрование omemo - всегда". При подключении нового контакта жмакнуть по нему и подтвердить отпечаток omemo (открытый ключ). Для секурного общения в конференции отпечаток omemo должен быть подтвержден всеми и всех и друг у друга! Вас еще не параноит? Тогда мы идем к вам! ![]() Редактировалось nimda 04-04-2019 11:37. |
![]() ![]() |
![]() ![]() |
![]() |
Ссылка на пост #2 |
Продвинутый серфер
![]() Йа Ктулху
Сообщений: 1,488 На форуме с: 14.03.02
Провел: 3нед. 5д. 37мин. |
ЗЫ всё вышесказанное - результат моего изучения вопроса. Буду рад каментам и дополнениям.
ЗЗЫ подправьте плз последнюю сцылку про паранойю :) |
![]() ![]() |
![]() ![]() |
![]() |
Ссылка на пост #3 |
W&P Team
![]() ![]() ![]() ![]() ![]() W&P Team
Сообщений: 2,999 На форуме с: 24.10.06
Провел: 4мес. 6д. 5ч. 34мин. |
безопасность VS популярность
шифрование, конечно хорошо
но для безопасного общения, требуется еще собеседник с "таким же" клиентом не говоря уже о процедуре установки/настройки много вы таких людей знаете?)) |
![]() ![]() |
![]() |
![]() |
Ссылка на пост #4 |
Продвинутый серфер
![]() Йа Ктулху
Сообщений: 1,488 На форуме с: 14.03.02
Провел: 3нед. 5д. 37мин. |
Цитата: allsets1 > шифрование, конечно хорошо Похоже, что переборщил я с писаниной но для безопасного общения, требуется еще собеседник с "таким же" клиентом не говоря уже о процедуре установки/настройки много вы таких людей знаете?)) ![]() Сейчас в процессе перетаскивания друзей из богомерзкого ваззапега в жабу. В основном брыкаются яблочники - им не нравится функциональность секуречата, а вот андройдоводы довольны - клиент супер крутой ![]() ЗЫ сразу отвечаю на вопрос про то, что мобильный телефон сам по себе дырка в безопасности и нахрен так морочиться. Следующий шаг - поставить клиент в безопасную среду (типа My Knox или Android for Work App), но тут я пока сам разбираюсь - может кто подскажет ![]() |
![]() ![]() |
![]() ![]() |
![]() |
Ссылка на пост #5 |
W&P Team
![]() ![]() ![]() ![]() ![]() W&P Team
Сообщений: 2,999 На форуме с: 24.10.06
Провел: 4мес. 6д. 5ч. 34мин. |
Цитата: > Rasta_toha пишет: Тут делов-то на 2 мин: скачть клиент (1 мин), зайти на сайт (например) xmpp.ru, завести акк toha@xmpp.ru (1мин), жмакнуть в клиенте галку "шифровать все и вся омемой" (0,038 мин), сказать корешам, что бы писали на toha@xmpp.ru и жмакнуть подтвердить отпечаток (хз мин). но это уже, очень много!))) а вообще, смена мессенджера - не является забота о безопасности - как таковой, а скорее что-то другое, дизайн, функционал и тд, многие просто не вкурсе всяких там, шифрований и тд вас прослушивает ФСБ/FBI ? - они заботятся о вашей, и не только, безопасности) если уж и говорить о реальной безопасности - то при личной встрече, передача непаблик софта) |
![]() ![]() |
![]() |
![]() |
Ссылка на пост #6 |
W&P Team
![]() ![]() ![]() ![]() ![]() W&P Team
![]() Сообщений: 219 На форуме с: 18.10.05
Провел: 6д. 1ч. 9мин. |
Цитата: Rasta_toha > Похоже, что переборщил я с писаниной ![]() Сейчас в процессе перетаскивания друзей из богомерзкого ваззапега в жабу. В основном брыкаются яблочники - им не нравится функциональность секуречата, а вот андройдоводы довольны - клиент супер крутой ![]() ЗЫ сразу отвечаю на вопрос про то, что мобильный телефон сам по себе дырка в безопасности и нахрен так морочиться. Следующий шаг - поставить клиент в безопасную среду (типа My Knox или Android for Work App), но тут я пока сам разбираюсь - может кто подскажет ![]() Какой клиент под Android пользуешь? Всегда пользовал Conversation = стабильность + удобство. Пробовал xabber, chatsecure - непонравились. Еще надо тел накрыть LUKS'ом. Тогда гуд. ![]() |
![]() ![]() |
![]() |
![]() |
Ссылка на пост #7 |
(41-6, 33KO)
![]() ![]() ![]() Сообщений: 6,628 На форуме с: 07.11.07
Провел: 3мес. 2нед. 1д. 17ч. 37мин. |
Сравнение Мессенджеров (телега в ударе!)
hookzof.github.io/messenger-comparison/ |
![]() ![]() |
![]() |
![]() |
Ссылка на пост #8 |
W&P Team
![]() ![]() ![]() ![]() ![]() W&P Team
![]() Сообщений: 219 На форуме с: 18.10.05
Провел: 6д. 1ч. 9мин. |
Вставлю свои 5 копеек.
https://www.eff.org/node/82654 Сравнение мессенджеров. Если и пользовать то signal, но никак не telegram. |
![]() ![]() |
![]() |
![]() |
Ссылка на пост #9 |
(41-6, 33KO)
![]() ![]() ![]() Сообщений: 6,628 На форуме с: 07.11.07
Провел: 3мес. 2нед. 1д. 17ч. 37мин. |
Цитата: ultras > Если и пользовать то signal, но никак не telegram. Я соглашусь с тобой, исходя из сравнительной статьи - однозначно SIGNAL! Но есть одна маленькая проблема: людей с тележными контактами у меня полно (около 130 человек), а вот в сигнале (установил и посмотрел "по наличию/отсутствию значка замочка рядом со значком телефона рядом с именем" - ну такое: 4 человека.... Не буду же я им всем подробно объяснять мол так и так и рассылать "Давайте общаться через Signal"..)) ![]() |
![]() ![]() |
![]() |
![]() |
Ссылка на пост #10 |
СуперМодератор
![]() ![]() ![]() ![]() ![]() МодерСуператор
![]() ![]() Сообщений: 14,030 На форуме с: 29.05.02
Провел: 4мес. 3нед. 6д. 14ч. 34мин. |
Цитата: > ultras пишет: Почему нет? Секретный чат, скрин из того же исследования EFF:Если и пользовать то signal, но никак не telegram. ![]() Те же зеленые галочки, как и у Сигнала: ![]() Плюс к тому, не могу не согласиться с уважаемым champCOTTO: Цитата: > champCOTTO пишет: Но есть одна маленькая проблема: людей с тележными контактами у меня полно (около 130 человек), а вот в сигнале (установил и посмотрел "по наличию/отсутствию значка замочка рядом со значком телефона рядом с именем" - ну такое: 4 человека.... Редактировалось nimda 25-07-2019 11:34. |
![]() ![]() |
![]() ![]() |
![]() |
Ссылка на пост #11 |
(41-6, 33KO)
![]() ![]() ![]() Сообщений: 6,628 На форуме с: 07.11.07
Провел: 3мес. 2нед. 1д. 17ч. 37мин. |
Цитата: nimda > Те же зеленые галочки, как и у Сигнала: nimda: Вот точно!! Совсем забыл про него и в статье невнимательно смотрел... Я таким чатом в телеге даже пользовался пару раз по совету разбирающегося в таких нюансах приятеля) |
![]() ![]() |
![]() |
![]() |
Ссылка на пост #12 |
W&P Team
![]() ![]() ![]() ![]() ![]() W&P Team
Сообщений: 10,250 На форуме с: 07.04.03
Провел: 2мес. 3нед. 1ч. 57мин. |
Если сравнивать телегу и сигнал, то есть один нюанс, который не дает мне покоя - телега, в отличии от сигнала, заблокирована в РФ. Тут есть 2 варианта:
1. Так ФСБ привлекает всех недопропорядочных в одно место, мол пользуйтесь телегой, мы не можем встркыть, а по факту все проверяем. 2. Действительно не могут вскрыть, как не могут и заблокировать... Что касается сигнал, то да, исходники открыты, вроде бы, но вот я нашел только ссылки на коды библиотек, которые якобы используются, конечно, может быть я плохо искал, но где исходники клиентов и сервера? Как это все можно собрать самостоятельно? Где те самые гарантии того, что на серверной стороне и на клиентах те самые "коды", что опубликованы на гите? И да, сигнал не заблокирован, а значит ФСБ он не мешает... |
![]() ![]() |
![]() |
![]() |
Ссылка на пост #13 |
Продвинутый серфер
![]() Йа Ктулху
Сообщений: 1,488 На форуме с: 14.03.02
Провел: 3нед. 5д. 37мин. |
Спорить о секурности мессенджеров, у которых акк привязан к номеру телефона - такое себе. имхо разумееЦЦо
![]() |
![]() ![]() |
![]() ![]() |
![]() |
Ссылка на пост #14 |
W&P Team
![]() ![]() ![]() ![]() ![]() W&P Team
![]() Сообщений: 219 На форуме с: 18.10.05
Провел: 6д. 1ч. 9мин. |
У сигнала один жирный плюс:
- шифрует ПО УМОЛЧАНИЮ. Не надо выбирать secure chat. А большинство юзеров этого как раз и не будет делать. Кроме того можно поставить PIN на повторную регистрацию с симки. Т.е. заимев доступ к номеру - без пинкода перерегистрировать этот акк - нельзя. В телеге такого нет и регулярно слетают номера. Не надо путать СЕКУРНОСТЬ и АНОНИМНОСТЬ. Это 2 большие, частенько взаимоисключающие, разницы! С учетом всех этих мессенджеров привязанных к телефону номера (АХТУНГ!). Давайте не будем про контору из 3х букв. Так же можно говорить и про TOR и про VPN. Это же тоже до сих пор незаблокировано? Но это не значит, что находится под крышей. Надо отметить , что хороший уровень секурности, даже невключая анонимность, требует приличный уровень GEEK'a . :) AKA jabber на смарте с OTR (минимум) , а лучше GPG , ну и все это через TOR , а лучше oVPN. Телега - в отличие от таких продуктов юзабельна и удобна, скорее всего и необходимые данные по запросу компетентных органов прекрасно выдаются, ведь большинство переписок - без секуречатов. А общие чаты (группы) - так вообще. Тема напомнила: Цитата: > Однажды инженер Чжа Вынь обратился к Учителю: – Один достойный уважения человек сказал мне, что шифровать электронную почту неправильно. Поскольку честному человеку нечего скрывать, шифрованная переписка неизбежно привлечёт внимание Охранительного ведомства. Учитель, что вы об этом думаете? Инь Фу Во ответил: – Благородный муж имеет чувство стыдливости. Он закрывает одеждой свою наготу. Вовсе не потому, что лицезрение другими принесёт ему ущерб. Но такова воля Неба, и таков ритуал. Честному человеку есть, что скрывать. и Цитата: > Директор сказал: – Зачем нам шифровать содержимое дисков? Зачем нам VPN? У нас нет противозаконной информации. Мудрый Инь Фу Во ответил: – Безгрешность – не результат праведности, а результат наивности. PS: Не призываю никого использовать только одно или только другое. Да, предлагаю еще рассмотреть TOX. :) Дезентрализованный мессенджер. анализ безопасности протокола Signal |
![]() ![]() |
![]() |
![]() |
Ссылка на пост #15 |
W&P Team
![]() ![]() ![]() ![]() ![]() W&P Team
Сообщений: 2,999 На форуме с: 24.10.06
Провел: 4мес. 6д. 5ч. 34мин. |
GPG, GEEK, OTG ....
![]() хотите нормально шифроваться? не делайте ваш траф подозрительным!) only httpS ![]() |
![]() ![]() |
![]() |