Состоялся релиз (https://lists.cypherpunks.ru/pipermail/govpn-devel/2015-Sept... свободного VPN-демона GoVPN 4.0, предназначенного для создания шифрованных аутентифицированных цензуроустойчивых каналов связи поверх UDP или TCP. Реализация ориентирована на высокую безопасность, простоту реализации и лёгкость чтения исходного кода. Программа полностью написана на языке Go и распространяется под лицензией GPLv3. Поддерживается работа в GNU/Linux и FreeBSD.
Для двусторонней несбалансированной (augmented) аутентификации сторон и согласования ключей используется аутентифицируемый по парольной фразе (https://en.wikipedia.org/wiki/Password-authenticated_key_agr... протокол DH-A-EKE (Diffie-Hellman (https://ru.wikipedia.org/wiki/%D0%9F%D1%... Augmented Encrypted Key Exchange (https://en.wikipedia.org/wiki/Encrypted_key_exchange)). Протокол имеет свойство нулевого неразглашения (https://en.wikipedia.org/wiki/Zero-knowledge_password_proof) при котором невозможна offline атака по словарю. Даже при компрометации БД сервера злоумышленник не сможет замаскироваться под клиента. Также имеется защита от атак повторного воспроизведения (https://ru.wikipedia.org/wiki/%D0%90%D1%... дешифровки перехваченного трафика даже при компрометации парольной фразы (свойство совершенной прямой секретности (https://ru.wikipedia.org/wiki/Perfect_forward_secrecy)). Кроме обеспечения конфиденциальности есть возможность скрывать размер сообщения и время их возникновения, путём генерирования постоянного шумового трафика.
Среди новшеств четвёртой версии, по-сравнению с третьей (https://www.opennet.me/opennews/art.shtml?num=42155), можно отметить:- Сообщения согласования параметров соединения (handshake) используют Elligator (http://elligator.cr.yp.to/) для кодирования публичных ключей и теперь имеют свойство нулевого разглашения (https://ru.wikipedia.org/wiki/%D0%94%D0%...
- Сообщения согласования соединения могут зашумлятся и становятся неотличимы от транспортных сообщений;
- Более высокая производительность: ~786Mbps на одном ядре Core i5, плюс распараллеленная обработка клиентов на стороне сервера;
- Возможность работать поверх TCP (ранее был только UDP) и через HTTP-прокси;
- Возможность использовать EGD (http://egd.sourceforge.net/)-совместимые сборщики энтропии и генераторы псевдослучайных чисел;
- Возможность конфигурирования сервера одним JSON-файлом;
- Подготовлен порт (http://www.freshports.org/security/govpn/) для FreeBSD и AUR-пакет (https://aur.archlinux.org/packages/govpn/) для Arch Linux.URL: https://lists.cypherpunks.ru/pipermail/govpn-devel/2015-Sept...
Новость: http://www.opennet.me/opennews/art.shtml?num=42993
mpd5 чем не угодил?
В нём криптография и безопасность -- никакая.
думаю Лухтионов так не считает, и я с ним солидарен. Ибо вычишенный продукт, без стильных, модных и молодежных багофич
> думаю Лухтионов так не считает, и я с ним солидарен. Ибо вычишенный
> продукт, без стильных, модных и молодежных багофичЕго и ваше и моё право считать как угодно :-). Про качество его ПО ничего против не имею. Я только от криптографии отталкиваюсь. GoVPN использует криптографию, как минимум, 10-летней "выдержки" (Salsa20), а DH-A-EKE протоколы известны ещё с 80-90-х.
Т.е. сами вы там ничего не написали кроме обвязки на (бр-р-р) Go?
Salsa, DH-E-EKE -- это алгоритмы, функции. Алгоритм != протокол.
> думаю Лухтионов так не считает, и я с ним солидарен. Ибо вычишенный
> продукт, без стильных, модных и молодежных багофичЕго проблемы. PPP* и прочие L2TP - вообще дефективное на корню семейство протоколов, ни разу не устойчивое не то что к цензуре, но и просто к обычным файрволам и NATам.
В целом GoVPN куда разумнее сделан. Проблема только в том что автор хипстер, поэтому имеет странные понятия о криптографии и к тому же - все это еще и на Go. Такую штуку было бы удобно втулить куда-нибудь на роутер-мыльницу. Но с go где бинари не используют shared libs и весят в два раза больше чем есть места на флешке роутера все это как-то сложно.
> В нём криптография и безопасность -- никакая.В этом вы правы. А вот в том что вы зависите от невъ...го рантайма от гугли, с GC и прочая - вот тут еще вопрос, что и где вам там гугл нагадит.
Да, ваш сорец почитать можно. А теперь перечитаем сорец гугловых меганаворотов? Или что там с предсказуемостью и аудитом?
>> В нём криптография и безопасность -- никакая.
> В этом вы правы. А вот в том что вы зависите от
> невъ...го рантайма от гугли, с GC и прочая - вот тут
> еще вопрос, что и где вам там гугл нагадит.
> Да, ваш сорец почитать можно. А теперь перечитаем сорец гугловых меганаворотов? Или
> что там с предсказуемостью и аудитом?Я так понимаю, что лично вы, молодой человек, сорцы GCC как свои пять пальцев знаете, а уж про валидацию хардварных компонентов вашей системы и говорить нечего.
А сорцы GCC, между прочим, после того как программа откомпилена, в работе программы не участвуют. В отличие от сотен хрен знает какого барахла в рантайме гугли.
слишком толсто
>AUR-пакет для Arch LinuxДжва года ждал!
Пока правда 4.0 ещё не вмёржена: https://github.com/wzyboy/PKGBUILDs/pull/6
Он походу вообще забил
> Thanks. But AUR has now its own Git repository so I'll shut this rpeo down.
По почте списались: принял и обновил.
странно что нет rpm для центоса - на сегодня самый распостранненый на дедикате и виртуальных серверах. Да, а на golang 1.4.2 будет работать?
На 1.4 работать будет. Но очень желательно 1.5 -- значительно выше производительность.
>цензуроустойчивоговызвало отвращение почему-то, будто авторы ищут фанбоев-пользователей
странная реакция на программные продукты.. [доктор_говорит] у вас уже был опыт употребления несвежего цензуроусточивого софта? отравление какой тяжести вы перенесли, как долго оно продолжалось и какими симптомами сопровождалось?
Вспомни где живешь и расслабься! Большой брат рядом.
Если будет доступен по виндоус и пакет для андроит, то станет очень популярным.
Какой виндовс? сказано же - "безопасного"
Какие то фанатики на опеннете ...
Если вы на поле боя ИТ воюете, то должны умень использовать как воружение союзников, так и оружие врагов, т.к. не известно на какого генерала вы будете работать завтра.
Мы тут не склонны к копрофилии.
А фанатизм тут ни при чём.
Иди, например, EULA восьмёрочки и десяточки почитай.
Потому тебе выше про безопасность и сказали.
> Какие то фанатики на опеннете ...Капитаны Очевидность, не более. Если твоя десятка у тебя тырит файлы в пользу микрософта и прочих АНБ - ну и хренли тебе толку от "защищенного" VPN-а то тогда? Тебя уже поимели и трепыхания с впном не уменьшат степень поимения :)
Для windows рекомендую https://github.com/getlantern/lanternOpen Internet for everyone. Lantern is a free desktop application that delivers fast, reliable and secure access to the open Internet for users in censored regions. It uses a variety of techniques to stay unblocked, including P2P and domain fronting. Lantern relies on users in uncensored regions acting as access points to the open Internet. https://getlantern.org
Также на golang
Т.е. в теме по обсуждению vpn сервера для соединения нескольких удалённых узлов, вы даёте ссылку на анонимайзер, трафик за которым прослушивают специалисты в чёрных очках ...
Что случилось с опеннетом? Все друг дурга подначивают, нравоучают, хамят и отвечают не вникая в тему обсуждения ... Я же помню, раньше же умные грамотные люди тут тусовались ...
>vpn сервера для соединения нескольких удалённых узловНескольких это двух? GoVPN не может в p2p
>на анонимайзерLantern не анонимайзер. Даю уроки английского, дешего.
>трафик за которым прослушивают специалисты в чёрных очкахСлепые что ли? Или вы матрицы пересмотрели?
>Я же помню, раньше же умные грамотные люди тут тусовалисьТак не заходите, и делов.
А тут пишут, что можно соединять разные узлы. Причём чистеньким многоузловым TAP, силами линукса. Нагло врут?
http://www.cypherpunks.ru/govpn/Example.html#ExampleИ не нужно показывать своё языкогнутие, там, всякие обидные штуки говорить.
> Нескольких это двух? GoVPN не может в p2pС другой стороны, P2P в чистом виде - это ДЕанонимайзер. Можно на ура закартировать всю топологию вашей сети.
> Даю уроки английского, дешего.
Сначала сами возьмите урок русского языка, чтоли.
>> Все друг дурга подначивают, нравоучают, хамят и отвечают не вникая в тему обсуждения ... Я же помню, раньше же умные грамотные люди тут тусовались ...Просто школьники вышли на учёбу.
> Все друг дурга подначивают, нравоучают, хамят и отвечают не вникая в тему обсуждения ... Я же помню, раньше же умные грамотные люди тут тусовались ...Есть они тут, но предпочитают отмалчиваться в силу множества причин (в т.ч. и для того чтобы не сталкиваться с пользователями от которых "веет" хамством, технической неграмотностью и т.п.)
насколько сложно забанить его на Великих Файрволлах Братских Народов?
раз позиционируют как "цензуроустойчивого" - скорее всего, что то нашаманили с размером пакетов, чтобы не палиться
> раз позиционируют как "цензуроустойчивого" - скорее всего, что то нашаманили с размером
> пакетов, чтобы не палитьсяВсе пакеты (опционально) фиксированного размера, с точки зрения внешнего наблюдателя содержат только шум, никакой структуры, могут посылаться с константной скоростью, никаких признаков протокола или формата. Единственное что надуманно можно сказать по трафику: если он постоянно шлёт фиксированного размера шум, то наверное это GoVPN. Дальше смотреть только в сторону стеганографии.
> он постоянно шлёт фиксированного размера шум, то наверное это GoVPN.Вот это совсем не факт. Tor например тоже padd'ит все до cell размером 512 байтов. К тому же, если очень хочется выделаться - можно рандомизировать размер padding'а.
> Вот это совсем не факт. Tor например тоже padd'ит все до cell
> размером 512 байтов. К тому же, если очень хочется выделаться -
> можно рандомизировать размер padding'а.Он делает только padding, то есть очень малого размера пакеты будут защумлятся -- это да. Большие, как это делает I2P, он не дробит. Но в нём константного трафика. Если я в Tor лить много гигабайт -- это будет явно заметно. В GoVPN не видно лью ли я чего или нет -- виден только факт установленного соединения.
> Он делает только padding, то есть очень малого размера пакеты будут защумлятся
> -- это да. Большие, как это делает I2P, он не дробит.Насколько я помню, Tor принципиально оперирует только кусочками по 512 байтов. То что крупнее - нарезается по 512 байтов. То что мельче - padd'ится. Так что юзеры ssh удивляются: я вроде ввел 2 буквы, а полетело 512 байтов. Мол, как-так?
> Но в нём константного трафика.
Там можно сделать себя relay'ем. Будет сложнее понять какой траффик user-generated, а какой чужой.
> Если я в Tor лить много гигабайт -- это будет явно заметно.
Если разрешить tor быть relay - всегда будет много гигабайт и поди там разберись, какие из них ваши. На самом деле - Tor и I2P достаточно похожи по общей идее, но отличаются в деталяю реализации. У них даже проблемы безопасности похожие.
> В GoVPN не видно лью ли я чего или нет -- виден только факт установленного соединения.
С другой стороны, толстая конекция на 1 конкретный сервер все-таки несколько более информативна чем к куче разных. Можно ессно поднять несколько туннелей или даже разных.
Просто в Tor и I2P это все на автомате делается и еще с проксированием через несколько узлов. Каждый снимает свой слой шифрования и понимает что делать с пакетом дальше. Но понятия не имеет кто начал это безобразие и кто окончательное назначение (об этом узнает только получатель пакета, когда снимет последнее шифрование и поймет что это уже расшифрованный пакет и он и есть получатель). Это и есть луково/чесночное шифрование.
Но у Tor и I2P есть свои проблемы. Как то - высокая латенси, нагрузка на сеть, в Tor может быть только TCP, он не VPN а скорее хитрая цепочка прокси. И узлы принадлежащие неизвестно кому, куда же без них.
"Это соединение является недоверенным" - Ubuntu 14.04 LTS, Firefox 40.0.3.
Импортируйте CA сертификаты CAcert: http://www.cacert.org/index.php?id=3
Сергей, убери из описание "цензуроустойчивый". Видишь ли, "цензуроустойчивость" не достигается техническими средствами, совсем.Оно только мешает распространению твоей программы. Выглядит как нелепица, дешёвый и примитивный маркетинговый bs на волне известных событий. И я смотрю не у одного меня пукан рвёт от такого описания. Более того три прилагательных подряд: "шифрованных аутентифицированных цензуроустойчивых" не согласуется с нормами русского языка (поставь хотя бы "И" перед "цензуроустойчивых") и сложно при прочтении (спотыкаешься при прочтении предложения. Привет Л.Н.Толстой).
Удачи.
Смотря что вкладывать в понятие "цензуроустойчивости". Я видел много уважаемых мною проектов которые вкладывают аналогичный смысл как и я подразумеваю. Если мы можем отличить по каким-либо признакам один контент от другого -- то значит можем заблокировать запрос/что-угодно. Вместо контента можно подставить: формат, структуру, протокол. То есть если можно отличить какой-то протокол на фоне других: значит можно именно к нему применить какие-то правила, возможно ограничение -- это и будет называться цензурой. Если у нас нет возможности отличить протокол GoVPN от других -- значит явно конкретно к нему нельзя специфичные правила применить.Я понимаю что, особенно сейчас, слово цензура это модно и часто слышно стало, но это не мои проблемы что люди видя его думают только о всякой политике/около-государственной теме. Я употребляю термин который уже устойчиво применяется с 90-х годов в проектах Freenet и GNUnet: там не вкладывается ничего касательно политики. Если очень коротко то тут под цензурой подразумевается умение отличить одно от другого. OpenVPN например зашифрован, аутентифицирован, надёжен и всё-такое, но его трафик можно выделить на фоне других.
Если бы я употребил слово "хакерский", то преобладающее большинство бы подумало о злоумышленниках, взломщиках, преступниках -- потому-что СМИ вдалбливает именно это определение в хакерство. Но мы то, технари, прекрасно знаем что хакеры типа Столлмана не имеют отношения и близкого к этому определению. Из-за СМИ мне перестать употреблять устоявшийся (пускай и в узком кругу, но оно в нём возникло) термин? Моя задача не понравится как можно большему количеству людей и пропиарится, а поделиться работой которая решает возникшие у меня задачи -- возможно такие же задачи/требования возникли у кого-то ещё. И в данной публикации я просто называю вещи своими именами, устоявшимися в определённом кругу.
Отчасти согласен что цензуроутойчивость не достигается техническими средствами: всё зависит что вкладывать и ожидать от этого определения :-). Так же как анонимность: в криптографии это просто невозможность связать одно событие с другим, тогда как зачастую под анонимностью подразумевают невозможность узнать настоящий "идентификатор" человека. Криптографическое отсутствие анонимности: к нам постучался человек который стучался тогда-то, поняли по cookie. Само собой тут речи о том что это Василий Пупкин нет. Разные интерпретации анонимности. Так же и с цензуроустойчивостью: я добавил это в описание потому-что сообщения рукопожатия стали неотличимы от транспортных, в свою очередь от шума, не имеют размера (всё фиксировано).
Про согласование норм языка: поправил, ждём модерации.
Точка зрения понятна, хотя я не согласен. Тогда следующее замечание :)Нужно переименовать софтину (к примеру, в NocensorVPN) и убрать из описания или, по крайней мере, затушевать, что она написана на Go! :) Почему?
Потому что для не малого количества людей, особенно на Западе, факт того, что программа написана на Go - как красная тряпка для быка. Причина банальна - гугол переборщил с маркетингом/пиаром Go. В итоге было созданно 100500 мильонов проектов на этом языке из которых 99% не получило сколько бы то нибыло значимого развития (к слову, GoVPN в этом отношении является разительным примером оставшегося одного процента). В результате, у N-го количества народа создалось впечатление, что на Go - серьёзные люди, серьёзных вещей не пишут.
Описанное выше, выводы моих собственных размышлений и могут не соответствовать реальным причинам. Но факт остаётся фактом. В it-сообществе существует определённый и не малый круг людей, которые относятся снисходительно к языку и проектам созданным на нём. Приходилось даже видеть просто хейтеров. Дабы не быть голословным, грепни, если сам не являешься постоянным читателем, news.ycombinator.com на пару последних новостей о проектах на Go и читани комментарии. Приходилось читать в этих же комментариях, что люди просто не заходят читать новость о софтине, когда видят в названии программы упоминание Go.
Такие дела :) Если переименуешь и в будущем получишь мегапрофит от проекта - с тебя штука баксов. Я о себе напомню ))
Точка зрения тоже понятна. Но я считаю что это не мои проблемы что люди игнорируют (или не знают?) факт что его создают и на нём пишут Томпсон, Пайк, Ян Тейлор, Фитцпатрик, Герранд. С таким же успехом можно бы было сказать про язык C: на нём куда больше фигня понаписано.Я специально показываю что оно написано на Go потому-что это субъективно это самый легкочитаемый с минимальным порогом вхождения язык который встречал, то что соответствует reviewability. Если бы я увидел новость о VPN, то подумал бы что опять небось на C/C++ и это читать так же не получится как никто не в состоянии анализировать OpenSSL. Но, видя Go, я понимаю что это можно прочитать, оценить, проанализировать.
Если некоторых людей это отпугивает и они сразу клеймят "хипстотой" -- их право, скатертью дорожка. Эти люди закрывают глаза на том что вышеназванные хакеры им заинтересованы и пишут? Я очень рад что подобных людей этот хакерский мирок отсеивает всего двумя символами (как Elbereth в NetHack) :-)
Да и честно говоря я за всё время упоминание Google около Go почему-то практически не встречаю. Возможно "обитаю" не в тех соцсетях/рассылках/whatever. Я просто знаю факт что Пайк, Томпсон придумывали язык и раньше, потом их нанял Google, что он внутри пытается активно использовать. В самом проекте я разве что в go vet команде видел однокоренное с google слово, но не более. Опять же: не мои проблемы что люди где-то нагляделись и начитались пиара. Я до Go дошёл без пиара :-)
>Я специально показываю что оно написано на Go потому-что это субъективно это самый легкочитаемый с минимальным порогом вхождения язык который встречал, то что соответствует reviewability. Если бы я увидел новость о VPN, то подумал бы что опять небось на C/C++ и это читать так же не получитсяНу конечно, число людей, знающих C/C++ гораздо меньше, чем знающих Go.
Взрослые люди, которые выросли из мира розовых пони, понимают, что помимо субъективизма стоит учитывать также объективные внешние факторы. Фанбоям чего бы там ни было (Lisp, Go, подставь своё) этого понять не дано.
Это ты тот Dick из интернета, который доводит все до абсурда и переходит на личности? Вау, да ты знаменит.
http://dilbert.com/strip/2015-06-07Взрослые люди из
BBC Worldwide
Dailymotion
DigitalOcean
Docker
Heroku
IBM
ntp.org
twitch
Uber
не боятся быть названными фанбоями и так или иначе используют Go.
https://github.com/golang/go/wiki/GoUsers
А теперь, мой дорогой друг из мира розовых пони, пойми разницу между поддержкой проекта волонтёрами и наёмом разработчиков крумными компаниями. Во-втором случае ребята могут позволить себя взять вахтёра и переобучить его в программиста Go, а в первом всё напрямую зависит от числа волонтёров, знающих язык.
Господи, нормальные люди на опеннете.
> соответствует reviewability.А код рантайма Go который гугль переколупывает каждую версию - кто ревьюить будет? Или вы хотите сказать что этот код как бы и не работает? Ага, щаз, а ваша программа что вызывает? Это всего лишь элементарное перепихивание ответственности с себя на гугль. И в вопросах крипто и приваси это как-то совсем не круто, имхо, т.к. давно известно как гугель относится к приваси.
> бы что опять небось на C/C++ и это читать так же
> не получится как никто не в состоянии анализировать OpenSSL.OpenSSL никто не в состоянии анализировать просто потому что там over 9000 опций на все случаи жизни, полсотни алгоритмов, пять ревизий протокола с кучей костылей, платформо-специфичные оптимизации и чего там еще. Если это написать на Go - получится такой же жуткий макаронный монстр.
А так на С есть curvetun из netsniff-ng. Достаточно мелкая утилитка, которую не сильно сложно изучить. Кстати используется бернштейновским CryptoBox'ом с оптимизацией по скорости к тому же с его beforenm/afternm. Но ессно попроще сабжа.
> Но, видя Go, я понимаю что это можно прочитать, оценить, проанализировать.
Самообман. За легким в понимании кодом - стоят сотни навороченного рантайма, сорц которого лопатят оптом каждую версию, в котором куча багов. Непредсказуемые garbage collector'ы и прочие интересные вещи, так что физически машина сделает вовсе не то что думал сделать автор. И там будет куча малопредсказуемых сюрпризов. Непонимание этого момента и делает автора хипстером, если что.
> Если некоторых людей это отпугивает и они сразу клеймят "хипстотой" --
Потому что это так и есть: автор не в курсе некоторых базовых вещей, из-за которых криптографы любят си. И даже тот - с большими оговорками, т.к. писать крипто в виде когда оно не будет уязвимо например к тайминг атакам - не очень просто даже на си. А на go такие вещи просто невозможны. Из-за слабой предсказуемости того что реально будет делать рантайм.
> этот хакерский мирок отсеивает всего двумя символами (как Elbereth в NetHack)
Во, эталонная хипстерская радость :). Но в целом у вас хорошее сетевое мышление.
> Если мы можем отличить по каким-либо признакам один контент от другого -- то значит можем заблокировать запрос/что-угодноТы несёшь настоящий бред. Информации, которую можно увидеть со стороны внешнего наблюдателя относительно практически любого vpn с шифрованием, катастрофически недостаточно для такой фильтрации.
Бездоказательные заявления. Вы настолько слепы что не в состоянии будете отличить OpenVPN, SSH, IPsec, TLS друг от друга? Сочувствую вашему уровню. Советую почитать: https://gnunet.org/bibliography?f[keyword]=2
Хамоватый ответ сильно подрывает доверие к автору.
Сладкоречивые мошенники направо и за углом.
Каков вопрос, таков и ответ. Впрочем, я заметил, что подобный хамский и оскорбительный тон все шире распространяется в комментах не только на опеннете, но и в рунете вообще. Вместо того, чтобы обозначить своё разногласия с оппонентом, нужно непременно заявить, что он несёт бред. Лично я в таких случаях сразу прекращаю общение и даю понять, что тон собеседника недопустим.
>Я употребляю термин который уже устойчиво применяется с 90-х годов в проектах Freenet и GNUnet: там не вкладывается ничего касательно политики.Приводить в пример проекты, в которых безопасность понимается как бесконтрольное распространение информации - это прекрасно. Сразу можно ставить диагноз автору.
>безопасность понимается как бесконтрольное распространение информацииТаки да, вероятность для рядового гражданина быть поиметым преступниками/террористами значительно ниже, чем вероятность быть поиметым государством. Но фанатам стойла и плетки не понять, у них прошивка несовместима с возможностью хотя бы подумать о том, что их фетиш может быть такой же угрозой, как террористы.
> Сергей, убери из описание "цензуроустойчивый". Видишь ли, "цензуроустойчивость"
> не достигается техническими средствами, совсем.Вообще-то, достигается. Не на 100% и все такое, но вообще - в этом плане автор проявил разумность и понимание проблематики.
> Выглядит как нелепица, дешёвый и примитивный маркетинговый bs
Тем не менее, данный автор не сильно врет - протокол он вроде забабахал относительно разумно в этом плане. Приложив некие усилия к тому чтобы обнаруживать и блокировать оный было технически проблематично.
Я так и не понял - зачем он нужно? В смысле - где прямо сейчас эта штука поможет, а OpenVPN - нет?
Реквестую в тред жителя КНР
Так для запуска GoVPN жителю КНР нужен *nix сервер за пределами, на котором будет запущена серверная часть. В такой ситуации нашему жителю проще ssh на сервер и порты прокинуть
Только в случае если SSH там будет работать, а не резаться на уровне DPI. GoVPN бы не начал писаться если бы SSH гарантированно везде был в Китае или Иране.
Твоё уборогое барахло порежут точно так же как и всё остальное. Понимаешь ли, недостаточно просто взять и начать создавать пакеты "без структуры" и опционально одинакового размера.
Идиот. Там уже пакеты ""без структуры" и опционально одинакового размера."
> Идиот. Там уже пакеты ""без структуры" и опционально одинакового размера."- Зацени, мой новый автомобильный номер - 1I11-II11. Никто не сможет его правильно запомнить, и я смогу совершать любые преступления!
- Звучит разумно.
Скоро:
- Номер грабителя был одни палки или типа того
- А этот чувак! У меня его адрес наклеен на бардачке.
https://xkcd.com/1105/
> Идиот. Там уже пакеты ""без структуры" и опционально одинакового размера."Чукча не читатель? Давай ещё раз попробуем прочитать: "недостаточно просто взять и начать..."
>В смысле - где прямо сейчас эта штука поможет, а OpenVPN - нет?s/OpenVPN/SoftEther/, который:
Собственный, не велосипедный протокол RFC2818 RFC 5246,
но может работать в режиме совместимости с OpenVPN клиентами/серверами
IPv6
Соместим с OS: Windows, Linux, Mac, iOS and Android
до 4,096 Соединений
Layer-2 (Ethernet Bridging)
Layer-3 (IP Routing)
QoS
virtual DHCP
virtual DNS
ACL
L2TP
IPsec
Built-in NAT-traversal
SSL-VPN Tunneling on HTTPS
VPN over ICMP
VPN over DNS
компактный - всего 400 000 строк хорошо оттестированного кода*.
и тд.
https://www.softether.org/3-spec
У меня работает в ~ 7 раз быстрее чем OpenVPN*Это камень в огород автора GoVPN. Вываливать код относящийся к безопасности без тестов, сегодня уже просто стыдно.
** Для тех кто увидел в коде файл /src/govpn/peer_test.go и считает что тесты есть - разочарую, внутри два бенчмарка.
> Собственный, не велосипедный протокол RFC2818 RFC 5246Значит его можно отфильтровать на уровне DPI. Одна из целей GoVPN чтобы этого сделать было нельзя. Это не означает что в нём обязательно должен быть наколеночный протокол, но означает что ни один из RFC не подходит для этой задачи.
> компактный - всего 400 000 строк хорошо оттестированного кода*.
400k строк кода это как-раз основная причина почему GoVPN начал писаться. Никто и никогда не сможет прочитать и осмыслить такое количество кода. Действительно, в GoVPN тестов нет: исключительно из-за того что не хватает на это времени и потому-что оно уже полтора года работает на многих компьютерах в "бою". 400k строк! Покрыты они тестами или нет -- обычный человек не в состоянии даже тесты то будет прочитать чтобы понять насколько оно качественно написано. Более того, я сильно сомневаюсь что тесты проверяют например что код за собой подчищает память (заполняет нулями перед free например) -- а это надо смотреть в коде, которого 400k строк. В GoVPN кода на рукопожатие: 342 строки, транспортного протокола 316 строк. Тесты действительно нужны, но 400k строк это точка невозврата. Надеюсь что "компактный" было сказано с сарказмом.
Кроме того это показатель того что потенциально в 400k строках может быть куда больше ошибок чем в нескольких сотен. И они там гарантированно будут в огромных количествах. Люди не способны (именно поэтому и появляются языки типа Go) работать с таким количеством кода.
> Значит его можно отфильтровать на уровне DPI. Одна из целей GoVPN чтобы
> этого сделать было нельзя. Это не означает что в нём обязательно
> должен быть наколеночный протокол, но означает что ни один из RFC
> не подходит для этой задачи.Там возможен маневр в https, в vpn over ICMP или в vpn over DNS.
Получается ли обходить DPI на практике? Смотрите сами:
http://www.vpngate.net/en/lastlog.aspx
grep iran + softether
grep Korea Republic of People + softether
grep China + softetherДальше интересный философский вопрос что лучше 400к строк оттестированного кода или 600 не.
Ответ не так очевиден.>полтора года работает на многих компьютерах в "бою"
На это можно возразить что PPTP работает в бою 25 лет используется на миллионах устройств, хотя протокол взламывается менее чем за сутки.
http://www.youtube.com/watch?v=sIidzPntdCM
> Там возможен маневр в https, в vpn over ICMP или в vpn
> over DNS.Это работало до поры до времени. Пробовал. Где-то срабатывает, где-то нет. В любом случае просто инкапсуляция это временное решение -- технически это костыль.
> Получается ли обходить DPI на практике?
Про Иран я знаю не по наслышке, а по практике своей и знакомых людей. SoftEther они пробовали по всякому -- где-то срабатывает, где-то уже нет (DPI везде разный). В любом случае мне SoftEther не нравится как инженерное решение: громоздкое, огромное.
> Дальше интересный философский вопрос что лучше 400к строк оттестированного кода или 600
> не.
> Ответ не так очевиден.Кому как. Лично мне очевидно. Использовать ли решение которое требует костылей в виде инкапсуляции в другие протоколы, в котором кода столько что я его никогда не смогу прочесть и оценить качество, либо, будучи разработчиком, написать то что будет красивым (субъективно конечно всё) инженерным решением чётко выполняющее поставленную задачу (а не имеющее кучу протоколов, кучу выбора, можем так, можем и эдак)? Для меня это очевидный ответ. Мне нравится UNIX-way элегантность.
> На это можно возразить что PPTP работает в бою 25 лет используется
> на миллионах устройств, хотя протокол взламывается менее чем за сутки.Аргумент. Но PPTP сломан by design, GoVPN без тестов возможно поломан на уровне кода. Второе исправить, после написания тестов, можно. Первое же нет.
>PPTP сломан by designОн не был сломан by design. На момент его разработки лучшей атакой на DES, на котором PPTP основан, была: "Соберите 2^45 пар текст - шифротекст..."
С другой стороны, возможно, в ближайшем будущем мы получим вычислительные устройства способные выполнить Алгоритм Шора. Тогда, применяя преобразования из
http://www.computer.org/csdl/proceedings/focs/1994/6580/00/0...
мы решаем задачу факторинга и дискретного логарифмирования за полиномиальное время и Diffie-Hellman и многие другие считающиеся надежными сейчас алгоритмы шифрования и верификации будут полностью дискредитированы.
> Он не был сломан by design.Он сломан by design. Вам все правильно говорят.
- PPP как протокол могут использовать только махровые ретарды, которые никак не могут забыть про семибитные байты. Все каналы передачи данных давно восьмибитные. И поэтому единственное достижение от применения PPP - оверхед на парсинг эскейпинга, бессмысленный и беспощадный.- Там нет нормального щифрования.
> "Соберите 2^45 пар текст - шифротекст..."
Вот только все криптографы дружно вопили что ключ короткий. А сегодня - один GPU переберет весь keyspace за чуть ли не неделю. И вся защита пойдет лесом с интересом.
> С другой стороны, возможно, в ближайшем будущем мы получим вычислительные устройства
> способные выполнить Алгоритм Шора.В этом случае обломинго будет у всей публичной криптографии. Потенциально варианты этого алгоритма могут быть модифицированы и против RSA, и против D-H основанного на экспонентах, и против эллиптических кривых.
Другое дело что насколько все это реально будет работать - очень отдельный вопрос. Тем не менее, криптографы подальновиднее - уже изучают ассиметричные алгоритмы, устойчивые к квантовым компьютерам. Так, на всякий случай.
> Это работало до поры до времени. Пробовал. Где-то срабатывает, где-то нет. В любом случае просто инкапсуляция это временное решение -- технически это костыль.Оно всё работает до времени пока остаётся неуловимым Джо. Но иных путей, кроме маскировки под уже существующие протоколы, всё равно нет. Как до твоей поделки будет кому-то дело (например, станет заметен трафик по объёмам), то и её порежут несмотря на твои фантазии.
Единственное что ты смог назвать это "объёмы трафика" как пример того по чему можно будет опрередить протокол. Я к этому и веду: его нельзя чётко выделить. По объёмам трафика ты будешь резать и кучу вполне себе нормального. Задача свести как-раз к этому. Иные пути это ты описываешь совершенно другую задачу.Повторяю: задача сделать так чтобы конкретно заданный протокол нельзя было выявить на фоне остальных. Либо будет резаться куча всего совместно с заданным протоколом, либо ничего. Первый вариант (со вторым проблем нет) я расцениваю как: мы отключили вам Интернет -- вы можете использовать свои сети связи только для ВК, FB, Youtube и ещё парочки сайтов. Отключение Интернета -- это уже другая задача не связанная с цензуроустойчивостью.
Это хорошо сказали в каком-то комментарии выше: вы придумали какую-то стороннюю задачу и пытаетесь относительно неё и критиковать. Делаете подмену понятий или просто даже не удосужились понять какие же задачи проект нацелен решать.
> твоей поделки будет кому-то дело (например, станет заметен трафик по объёмам),
> то и её порежут несмотря на твои фантазии.А ты не сцы, мы ему еще идей накидаем как это обойти. Там вон даже китай буксует заблокировать обычный Tor, хоть они придумали немало фокусов.
>тестов нет: исключительно из-за того что не хватает на это времениНет так нет. Но троицу:
go tool vet
golint
goimports
запускать стоит даже в этом случае. Перед публикацией исходного кода стоит убедиться, что он соответствует минимальным общепринятым стандартам качества кода.
> где прямо сейчас эта штука поможет, а OpenVPN - нет?В Иране. Собственно почему эта штука и начала писаться.
Ну, с учетом того, что в Иране стали собираться команды по игре в DOTA2, видимо в свете последних договоренностей с США, интернет там стал значительно доступнее.https://www.reddit.com/r/DotA2/comments/3l51x1/valve_please_.../
Поживём увидим. В данную минуту не везде в Иране всё так гладко :-). Да и договорённости с США не вижу как затрагивают тему цензуры Интернета.
Ага, понятно.
С OpenVPN есть ещё один неприятный момент, я думаю не составит проблем провести маленький тест например тут: http://whoer.net/extended
WebRTC - если конкретней
> где прямо сейчас эта штука поможет, а OpenVPN - нет?Насчет прямо сейчас не знаю, но при желании - обнаружить OpenVPN и классифицировать как именно openvpn - более-менее можно. А эту штуку - намного сложнее.
Кроме того, секурно настроить openvpn - тот еще рокетсайнс. Поскольку он основан на TLS, там возможно много довольно забавных атак. Например, знаешь ли ты что КЛИЕНТ может кроме всего прочего без спецмер с стороны клиентов закосить под СЕРВЕР? И соответственно, если на впн есть 20 клиентов, любой из 20 может забацать подставной сервер, выступив MITM. OpenVPN конечно пишет про это варнинг, но чтобы понять его смысл - надо хоть что-то понимать в PKI и TLS.
Где это нужно? Для показывания жирного фака любителям цензуры, например :). Как тебе идея: собираем сегменты каким-нибудь cjdns, интерконектим их 100500 туннелей всех мастей и просто физическими линками, где дотягиваемся. Получаем полу-оверлейный, полу-физический интернет-2.0. Который не делает никаких допущений о том что все маршруты всегда работают. И не цензуряем нифига. Потому что логическая и физическая топология полностью разнесены, логические адреса выбираются методом рандома, etc.
> выступив MITMКаким образом? В конфиге у клиентов указан адрес подключения, а при подключении сервер выдаст им правильные маршруты. Как это сделать?
> БД сервераНадеюсь, это просто такое собирательное выражение? Оно ведь не требует настоящей БД?
> Надеюсь, это просто такое собирательное выражение? Оно ведь не требует настоящей БД?Собирательное. Раньше это были просто директории с файликами, а теперь JSON файлик.
«домашняя» страница сайта проекта на английском языке недвусмысленно намекает для кого предназначается пакет
Английский язык это де-факто для широкого круга людей. Вы правы: намёк на то что программа предназначается для широкого круга. Факт не скрывается.
> «домашняя» страница сайта проекта на английском языкеМы, интернетчики, разговариваем между собой на английском. Разучивать китайский мне не хочется. И в испанском я ни в зуб ногой. И немецкий не разумею. А испанец тоже не прется от идеи разучить русский, китайский, немецкий и что там еще.
>Возможность конфигурирования сервера одним JSON-файлом;Гм. Вменяемые причины выбора такого формата конфигурационных файлов есть или "xml - уже не модно, попробую-ка я от таку фигню?"
> Гм. Вменяемые причины выбора такого формата конфигурационных файлов есть или "xml -
> уже не модно, попробую-ка я от таку фигню?"Выбор хочется сделать среди того что имеется в библиотеках из коробки в Go. Выбор между CSV, JSON, XML. JSON удобнее для человека. Вменяемые причины выбора XML есть?
>Выбор хочется сделать среди того что имеется в библиотеках из коробки в Go. Выбор между CSV, JSON, XML.Ээээ... ini-файлов нет? Упс!
> JSON удобнее для человека.Ну, на фоне вышеперечисленного... Но все равно, синтаксический мусор + структурный overhead для задачи.
>Вменяемые причины выбора XML есть?Те-о-ре-ти-чес-ки иногда есть :) - но в 99% случаев xml - эталонный пример "невменяемого" выбора.
> Ээээ... ini-файлов нет? Упс!Согласен что ini удобнее. Из коробки библиотеки Go не имеют к нему парсера. Сделать конечно тривиально и полно имеется, но хочется как можно меньше зависимостей и кода.
> Ну, на фоне вышеперечисленного... Но все равно, синтаксический мусор + структурный overhead
Относительно ini -- да. Мне тоже JSON не шибко нравится, особенно когда в нём легко ошибится и сделать невалидную структуру. Среди родных библиотек это меньшее из зол с минимумом кода.
> но хочется как можно меньше зависимостей и кода.Тогда для начала Go сам по себе очень не соответствует этому пожеланию.
Что такое "цензуроустойчивый"?Поисковики дают ровно две ссылки
Одна ссылка на эту новость, другая на комменты к ней.на этот вопрос будет третья ссылка. :)
У меня поиск "censorship resistance" даёт много ссылок на документ "Censorship Resistance Revisited". В его преамбуле хорошее определение от которого я и отталкиваюсь: "Censorship resistant" systems attempt to prevent censors from imposing a particular distribution of content across a system. То есть цензуроустойчивые системы это те, что пытаются предотвратить возможность т.н. цензоров препятствовать распространению определённого контента. Применительно к протоколам связи/передачи информации это означает препятствовать попыткам заблокировать, сделать неработоспособным какой-то заданный протокол/метод связи (например OpenVPN заблокировать, Tor, SSH, но простой HTTP разрещить). Точно много информации видел в PDF/PostScript документах выложенных на GNUnet.org на эту тему. В идеале цензор не может отличить один контент от другого и не в состоянии препятствовать распространению чётко заданного.
> Точно много информации видел в PDF/PostScript документах выложенных на GNUnet.orgА вы читаете правильные ресурсы :)
Хм, не компилируется, и огибки не выдаёт понятные что не хватает# make -C govpn-4.0 all
make: Entering directory `/tmp/govpn-4.0'
GOPATH=/tmp/govpn-4.0 go build -ldflags "-X govpn.Version=4.0" govpn/cmd/govpn-client
# govpn/cmd/govpn-client
usage: 6l [-options] [-E entry] [-H head] [-I interpreter] [-L dir] [-T text] [-R rnd] [-r path] [-o out] main.6
make: *** [govpn-client] Error 2
make: Leaving directory `/tmp/govpn-4.0'
Насколько понимаю, у вас Go 1.2. Проблема в знаке равно между Version=4.0. Если его заменить на пробел, то сборка пройдёт. Начиная с 1.3 этого изменения не требуется. Можно было бы добавить проверку версии Go и соответствующе формировать ldflags строчку, но мне кажется что нет смысла поддерживать старые версии Go.
Это не Go старый, а убунту 12.04(LTS)
Ребята, подскажите, что где обновить\заменить? спасибо:
client:
Linux ubuntu 4.2.0-16-generic #19-Ubuntu i686
go version go1.5.1 linux/386
govpn-4.0
server:
Linux 3.19.0-31-generic #36~14.04.1-Ubuntu i686
go version go1.5.1 linux/386
govpn-4.0Сгенерил айди, поднял сервер: govpn-server -bind *.*.*.*:9999 -mtu 1472 -proto tcp
main.go:88: Server startedПодключаюсь клиентом
govpn-client -key client -id ID -iface tap10 -remote *.*.*.*:9999 -proto tcp -mtu 1472с обеих сторон вижу:
client: tcp.go:83: Handshake completed
server: tcp.go:92: Peer handshake finishedна сервере 172.16.100.1/24
на клиенте 172.16.100.2/24Соединение поднялось, все ок.
Пытаюсь с клиента ping 172.16.100.1 и сразу получаю:*************
panic: runtime error: invalid memory address or nil pointer dereference
[signal 0xb code=0x1 addr=0x0 pc=0x81424dc]
goroutine 11 [running]:
sync/atomic.AddUint64(0x1865e1ec, 0x1a, 0x0, 0x5c8, 0x186110a0)
/usr/lib/go/src/sync/atomic/asm_386.s:112 +0xc
govpn.(*Peer).EthProcess(0x1865e140, 0x0, 0x0, 0x0)
/home/test/govpn-4.0/src/govpn/peer.go:228 +0x836
main.handleTCP.func1(0x18626440, 0x18626448)
/home/test/govpn-4.0/src/govpn/cmd/govpn-client/tcp.go:98 +0xea
created by main.handleTCP
/home/test/govpn-4.0/src/govpn/cmd/govpn-client/tcp.go:107 +0x1350goroutine 1 [select]:
main.main()
/home/test/govpn-4.0/src/govpn/cmd/govpn-client/main.go:123 +0x1097goroutine 17 [syscall, locked to thread]:
runtime.goexit()
/usr/lib/go/src/runtime/asm_386.s:1662 +0x1goroutine 5 [syscall]:
os/signal.loop()
/usr/lib/go/src/os/signal/signal_unix.go:22 +0x1a
created by os/signal.init.1
/usr/lib/go/src/os/signal/signal_unix.go:28 +0x36goroutine 6 [syscall]:
syscall.Syscall(0x3, 0x3, 0x18612c00, 0x5a6, 0x0, 0x0, 0x0)
/usr/lib/go/src/syscall/asm_linux_386.s:16 +0x5
syscall.read(0x3, 0x18612c00, 0x5a6, 0x5a6, 0x0, 0x0, 0x0)
/usr/lib/go/src/syscall/zsyscall_linux_386.go:783 +0x4f
syscall.Read(0x3, 0x18612c00, 0x5a6, 0x5a6, 0x0, 0x0, 0x0)
/usr/lib/go/src/syscall/syscall_unix.go:160 +0x45
os.(*File).read(0x18626410, 0x18612c00, 0x5a6, 0x5a6, 0x0, 0x0, 0x0)
/usr/lib/go/src/os/file_unix.go:211 +0x4a
os.(*File).Read(0x18626410, 0x18612c00, 0x5a6, 0x5a6, 0x0, 0x0, 0x0)
/usr/lib/go/src/os/file.go:95 +0x6f
github.com/bigeagle/water.(*Interface).Read(0x1860eb30, 0x18612c00, 0x5a6, 0x5a6, 0x0, 0x0, 0x0)
/home/test/govpn-4.0/src/github.com/bigeagle/water/if.go:69 +0x48
govpn.NewTAP.func1(0x186163c0)
/home/test/govpn-4.0/src/govpn/tap.go:74 +0x7f
created by govpn.NewTAP
/home/test/govpn-4.0/src/govpn/tap.go:80 +0x1f7goroutine 7 [select, locked to thread]:
runtime.gopark(0x8383f14, 0x18624f8c, 0x830ba58, 0x6, 0x846ac18, 0x2)
/usr/lib/go/src/runtime/proc.go:185 +0x12d
runtime.selectgoImpl(0x18624f8c, 0x0, 0xc)
/usr/lib/go/src/runtime/select.go:392 +0x9ee
runtime.selectgo(0x18624f8c)
/usr/lib/go/src/runtime/select.go:212 +0xf
runtime.ensureSigM.func1()
/usr/lib/go/src/runtime/signal1_unix.go:227 +0x2f9
runtime.goexit()
/usr/lib/go/src/runtime/asm_386.s:1662 +0x1goroutine 8 [IO wait]:
net.runtime_pollWait(0xb6af4580, 0x72, 0x1860e0c0)
/usr/lib/go/src/runtime/netpoll.go:157 +0x55
net.(*pollDesc).Wait(0x1864a6b8, 0x72, 0x0, 0x0)
/usr/lib/go/src/net/fd_poll_runtime.go:73 +0x35
net.(*pollDesc).WaitRead(0x1864a6b8, 0x0, 0x0)
/usr/lib/go/src/net/fd_poll_runtime.go:78 +0x33
net.(*netFD).Read(0x1864a680, 0x18613200, 0x5c0, 0x5c0, 0x0, 0xb6aef030, 0x1860e0c0)
/usr/lib/go/src/net/fd_unix.go:232 +0x19a
net.(*conn).Read(0x18626430, 0x18613200, 0x5c0, 0x5c0, 0x846aa60, 0x0, 0x0)
/usr/lib/go/src/net/net.go:172 +0xb9
main.handleTCP(0x18626430, 0x1864a580, 0x1864a5c0, 0x1864a600)
/home/test/govpn-4.0/src/govpn/cmd/govpn-client/tcp.go:134 +0x5ac
main.startTCP(0x1864a580, 0x1864a5c0, 0x1864a600)
/home/test/govpn-4.0/src/govpn/cmd/govpn-client/tcp.go:41 +0x375
created by main.main
/home/test/govpn-4.0/src/govpn/cmd/govpn-client/main.go:118 +0x10ba
на i686 не поднялся. на х64 заработал без проблем.