The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В рамках проекта Cryptocat создан web-чат с шифрованием на стороне клиента

28.07.2012 13:38

Представлен проект Cryptocat, в рамках которого создана реализация системы для организации работы web-чата, отличающаяся недоступностью передаваемых в рамках общения сообщений на сервере и транзитных узлах сети. Все передаваемые в внутри чата сообщения шифруются на стороне клиента с использованием алгоритма AES-256 и методов криптогрфии по эллиптическим кривым. Код клиентской и серверной части распространяется под лицензией AGPLv3. Серверная часть может быть запущена на любом хосте с интерпретатором PHP. Возможен запуск Cryptocat в виде скрытого сервиса Tor (http://xdtfje3c46d2dnjd.onion).

В процессе создания новой комнаты чата пользователь набирает случайную последовательность из 256 символов, на основании которых генерируется ключ для доступа к данной комнате. Подобный подход решает проблемы с качественной генерацией случайных чисел на стороне браузера. Просматривать сообщения в рамках созданной комнаты могут только пользователи получившие созданный ключ. Для упрощения процесса приглашения пользователей в чат обеспечена поддержка адресной книги Facebook. Так как данные изначально передаются в шифрованном виде, администраторы сервера, на котором размещена серверная часть чата, или провайдер клиента не могут перехватить сообщения. Для подтверждения личности пользователей чата предусмотрена возможность использования цифровых подписей. Из возможностей также можно отметить функцию отправки приватных сообщений определённому участнику и поддержку передачи в рамках чата изображений и zip-файлов.

Клиентская часть выполнена в виде браузерного web-приложения. Кроме того, подготовлены отдельные дополнения для браузеров Chrome и Firefox, которые позволяют полностью вынести логику работы чата на сторону клиента, используя сервер только для хранения зашифрованных данных и списка подключенных пользователей. Также доступны отдельные приложения для платформ Android, iPhone и Blackberry. Приложение для Android примечательно тем, что оно использует для передачи данных анонимную сеть Tor и в качестве сервера задействует скрытый сервис Tor.

  1. Главная ссылка к новости (http://www.wired.com/threatlev...)
  2. OpenNews: В рамках проекта ZeroBin подготовлена не зависящая от сервера открытая альтернатива Pastebin
  3. OpenNews: Проекты Collusion и HTTPS Everywhere 2.0 для обеспечения безопасности и приватности пользователей в Web
  4. OpenNews: Протокол шифрования сообщений OTR реализован в виде дополнения к Firefox
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/34438-crypt
Ключевые слова: crypt, chat, javascript, web
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (102) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 13:56, 28/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > Просматривать сообщения в рамках созданной комнаты могут только пользователи получившие созданный ключ.

    Осталось придумать как безопасно передать ключ по сети. Проблема курицы и яйца.

     
     
  • 2.3, Аноним (-), 14:10, 28/07/2012 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Осталось придумать как безопасно передать ключ по сети. Проблема курицы и яйца.

    1. шифрование с открытым ключом для обмена сеансовыми ключами
    2. шифрование с открытым ключом для аутентификации собеседника

     
     
  • 3.16, umbr (ok), 17:15, 28/07/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Тем кто знает что такое "шифрование с открытым ключом" хватит и джаббера.
     
     
  • 4.17, GG (ok), 17:34, 28/07/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Тем кто знает что такое "шифрование с открытым ключом" хватит и джаббера.

    К сожалению иногда бывает нужно пообщаться с теми, кто не знает даже о жаббере.
    Проще им ссылку на чат кинуть.

     
     
  • 5.21, umbr (ok), 18:11, 28/07/2012 [^] [^^] [^^^] [ответить]  
  • –4 +/
    А для таких придуман скайп.
     
     
  • 6.22, Аноним (-), 18:38, 28/07/2012 [^] [^^] [^^^] [ответить]  
  • +7 +/
    А для таких придуман СОРМ и обещание сотрудничества Быдлогейтсов со спецурой.
     
     
  • 7.23, arisu (ok), 18:42, 28/07/2012 [^] [^^] [^^^] [ответить]  
  • –7 +/
    честному человеку, как известно, нечего скрывать.
     
     
  • 8.24, Аноним (-), 19:08, 28/07/2012 [^] [^^] [^^^] [ответить]  
  • +7 +/
    честному руководителю какого-нибудь холдинга от конкурентов скрывать и впрямь не... текст свёрнут, показать
     
     
  • 9.26, umbr (ok), 19:15, 28/07/2012 [^] [^^] [^^^] [ответить]  
  • –6 +/
    честный руководитель какого-нибудь холдинга, проконсультировавшись со спецами по... текст свёрнут, показать
     
     
  • 10.36, Аноним (-), 22:07, 28/07/2012 [^] [^^] [^^^] [ответить]  
  • +4 +/
    очень хорошо, что ты осознал наконец, что скрывать естьчо и неважно, честный ты... текст свёрнут, показать
     
     
  • 11.42, umbr (ok), 01:35, 29/07/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    это скорее дань традиции... текст свёрнут, показать
     
  • 8.34, Аноним (-), 21:57, 28/07/2012 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Если это не сарказм - ждем твоих паспортных данных, а также логинов, паролей и к... текст свёрнут, показать
     
  • 8.37, Харитон (?), 22:16, 28/07/2012 [^] [^^] [^^^] [ответить]  
  • +6 +/
    договаривать неохота честному человеку нечего скрывать от честных людей ... текст свёрнут, показать
     
  • 8.73, Аноним (-), 15:31, 29/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    ты честный человек да ... текст свёрнут, показать
     
  • 8.88, Cuernud (?), 11:07, 30/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, и дверь запирать не нужно ... текст свёрнут, показать
     
  • 7.27, umbr (ok), 19:17, 28/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    про "СОРМ и обещание сотрудничества" знают не только на опеннете ;)
     
  • 5.74, Аноним (-), 15:54, 29/07/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > К сожалению иногда бывает нужно пообщаться с теми, кто не знает даже о жаббере.
    > Проще им ссылку на чат кинуть.

    Такие люди и безопасность - несовместимы.
    Поэтому хоть скайп.

     
     
  • 6.77, GG (ok), 16:43, 29/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> К сожалению иногда бывает нужно пообщаться с теми, кто не знает даже о жаббере.
    >> Проще им ссылку на чат кинуть.
    > Такие люди и безопасность - несовместимы.
    > Поэтому хоть скайп.

    Если это мой офис и я знаю, что там все сидят с тонких клиентов, которые прицеплены к моему серверу, то очень  даже норм.

     
  • 5.85, XoRe (ok), 22:10, 29/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> Тем кто знает что такое "шифрование с открытым ключом" хватит и джаббера.
    > К сожалению иногда бывает нужно пообщаться с теми, кто не знает даже
    > о жаббере.
    > Проще им ссылку на чат кинуть.

    А ключ написать в скайп)

     
  • 2.4, жабабыдлокодер (ok), 14:10, 28/07/2012 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Проблем-то! Можно записать ключ на бумажку и послать ее обычной почтой. Или голубиной. Можно продиктовать по телефону. Можно взять раба, обрить ему голову, вытатуировать ключ на ней, подождать, пока он не обрастет, и отправить адресату. Вариантов - сколько угодно.
     
     
  • 3.35, Аноним (-), 21:59, 28/07/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > вытатуировать ключ на ней, подождать, пока он не обрастет, и отправить
    > адресату. Вариантов - сколько угодно.

    Ну тогда и сообщение можно тем же каналом отправить. К чему лишние сложности? :)

     
     
  • 4.39, жабабыдлокодер (ok), 22:37, 28/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Чатиться очень долго получится...
     
     
  • 5.49, Аноним (-), 03:43, 29/07/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Чатиться очень долго получится...

    Ну ключ то передавать устраивает, значит и чатиться сойдет. Да и вообще, вон RFC1149 работает же :)

     
     
  • 6.84, XoRe (ok), 22:10, 29/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> Чатиться очень долго получится...
    > Ну ключ то передавать устраивает, значит и чатиться сойдет. Да и вообще,
    > вон RFC1149 работает же :)

    http://ru.wikipedia.org/wiki/IP_%EF%EE%F1%F0%E5%;E4%F1%F2%E2%EE%EC_%EF%EE%F7%F2%EE%E2%FB%F5_%E3%EE%EB%F3%E1%E5%E9

    зачет)

     
  • 2.40, saNdro (?), 00:57, 29/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Чем Вас алгоритм Диффи-Хелмана не устраивает?
     
     
  • 3.50, Аноним (-), 03:44, 29/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Чем Вас алгоритм Диффи-Хелмана не устраивает?

    Например тем что активный MITM может впарить левый скрипт и весь диффи-хеллман пойдет лесом.

     
  • 2.87, UnitedShowAboard (?), 06:22, 30/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Опубликовать зашифрованную (подписанную) своим публичным ключем фразу до его передачи аппоненту.
    Таким образом аппонент получит возможность проверить полученный ключ на подлинность.
     
     
  • 3.101, arisu (ok), 13:14, 30/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > аппоненту.

    про сколько же интересных вещей можно узнать на опеннете! «толмуды», «аппоненты»…

     
  • 2.112, Аноним (-), 23:09, 30/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >Осталось придумать как безопасно передать ключ по сети. Проблема курицы и яйца.

    Судя по бурному обсуждению и твоему заминусованному здравому посту - тут одно школоло. Тебя никто не понял. Зато все знают слова "криптография с открытым ключем".

     

  • 1.2, Аноним (-), 14:00, 28/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Внимание, вопрос а что в этой схеме помешает атакующему притвориться легитимным... большой текст свёрнут, показать
     
     
  • 2.5, Аноним (-), 14:12, 28/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > а что в этой схеме помешает ...

    ничего. Вас спасёт FreedomBox.

     
     
  • 3.25, Аноним (-), 19:15, 28/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > ничего. Вас спасёт FreedomBox.

    А давайте вы уточните какая именно технология меня спасет? Аналог этого бокса я и сам наколхожу за жалкие $20 из того что есть, если оно мне станет надо.

     
  • 2.7, arisu (ok), 14:50, 28/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    а ещё мы все завтра можем умереть. и никакая криптография не спасёт.
     
     
  • 3.28, Аноним (-), 19:19, 28/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Просто толку то от защиты которая по факту является дверью в чистом поле От чег... большой текст свёрнут, показать
     
     
  • 4.44, Аноним (-), 03:11, 29/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    AGPLv3 позволяет тебе развернуть свой сервер, а поддержка SSL в браузере позволяет тебе _привязать_ self-signed сертификат намертво к сайту, его нельзя будет подменить что бы браузер не заметил и он не проверяется через доверенные центры которые могут быть дискредитированы потому что самоподписанный.
     
     
  • 5.51, Аноним (-), 03:56, 29/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Окей, но 1 А какие основания у В Пупкина доверять мне 2 А как гарантировать... большой текст свёрнут, показать
     
     
  • 6.82, Af. (?), 17:14, 29/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > 1) А какие основания у В. Пупкина доверять мне?
    > 2) А как гарантировать что к пользователю придет именно тот скрипт который

    1) Это не имеет отношения к информатике. При обмене оба в чём-то доверяют друг другу или третьему арбитру. Иначе процесс попросту НЕ существует. От каменного века и до сих пор.

    2) Хостить личные сервера. И помнить: никакое шифрование не спасёт от тупо человеческого предательства или засланного казачка, а эта тема к информатике отношения не имеет.

    P.S. Насколько помню, в новостях не компрометировали только предварительный обмен открытыми ключами собственного "изготовления". Кстати, за их использование в некоторых странах могут наказать.

     
     
  • 7.89, Аноним (-), 12:02, 30/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще-то имеет При использовании нормальных средств криптографии ожидается что... большой текст свёрнут, показать
     
     
  • 8.90, GG (ok), 12:22, 30/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Как будто тот, кто писал и собирал не мог проебать свою подпись Или не мог под в... текст свёрнут, показать
     
     
  • 9.96, Аноним (-), 12:53, 30/07/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В принципе мог, но такие случаи крайне редки Это будет ломовой секурити-анонс м... большой текст свёрнут, показать
     
     
  • 10.102, коксюзер (?), 15:01, 30/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Пока кто-нибудь не обнаружит факт утечки ключа и не сообщит об этом публично, вс... большой текст свёрнут, показать
     
  • 10.104, GG (ok), 15:30, 30/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Если я ламер, кто кто ты тогда Выводятел ... текст свёрнут, показать
     
  • 5.59, GG (ok), 11:20, 29/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > AGPLv3 позволяет тебе

    Агпл ничего не позволяет, она только в отличие от GNU GPL требует открывать код хостящегося на твоём личном серваке публичного сервиса.

     
  • 2.11, filosofem (ok), 15:54, 28/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
     
     
  • 2.12, filosofem (ok), 15:55, 28/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Внимание тоже вопрос: что что вам помешало читать дальше слова "web-приложения"?
    Оно вызывает у вас какие-то сильные переживания?
     
     
  • 3.31, Аноним (-), 19:27, 28/07/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так я прочитал И мне не понятно 1 Что защитит от подмены скрипта на пробэкдо... большой текст свёрнут, показать
     
     
  • 4.38, filosofem (ok), 22:22, 28/07/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если вам тяжело там читать, цитирую, не благодарите:
    >Кроме того, подготовлены отдельные дополнения для браузеров Chrome и Firefox, которые позволяют полностью вынести логику работы чата на сторону клиента, используя сервер только для хранения зашифрованных данных и списка подключенных пользователей.

     

     
     
  • 5.43, Аноним (-), 02:54, 29/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Кроме того, подготовлены отдельные дополнения для браузеров Chrome и Firefox

    Что по сути является тем же яваскриптом. В случае Chrome и установки из webstore (вроде так) ещё и автоматически периодически самообновляемое. За Firefox сказать сейчас не могу.

     
     
  • 6.45, Аноним (-), 03:15, 29/07/2012 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >> Кроме того, подготовлены отдельные дополнения для браузеров Chrome и Firefox
    > Что по сути является тем же яваскриптом. В случае Chrome и установки
    > из webstore (вроде так) ещё и автоматически периодически самообновляемое. За Firefox
    > сказать сейчас не могу.

    Разрешаю Вам снять галочку автоматического обновления и проверить исходный код расширения глазами перед установкой.

     
     
  • 7.95, Аноним (-), 12:43, 30/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Разрешаю Вам снять галочку автоматического обновления и проверить исходный код расширения
    > глазами перед установкой.

    Вот это уже более здравый аргумент в отличие от клоунов рядом.

     
  • 5.52, Аноним (-), 03:58, 29/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > позволяют полностью вынести логику работы чата на сторону клиента,
    > используя сервер только для хранения зашифрованных данных и списка
    > подключенных пользователей.

    А тут тоже интересный вопрос - это надо смотреть насколько нельзя дополнения подменить. Там есть проверка подписей, например? Чтобы быть уверенным что апдейт - именно от автора, а не от какого-то Пупкина вклинившегося в провод?

     
     
  • 6.58, Аноним (-), 10:44, 29/07/2012 [^] [^^] [^^^] [ответить]  
  • +5 +/
    >Чтобы быть уверенным что апдейт - именно от автора, а не от какого-то Пупкина вклинившегося в провод?

    Если у Вас есть основания думать, что кто-то ради Вас и Ваших разговоров станет ТАК ковыряться, может стоит взглянуть сразу в сторону github.com/prof7bit/TorChat ?

     
     
  • 7.91, Аноним (-), 12:26, 30/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Безопасность имеет 2 уровня high и нехай с кто-то из параноиков Ну то-есть... большой текст свёрнут, показать
     
     
  • 8.115, Аноним (-), 21:08, 31/07/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    на Python же... текст свёрнут, показать
     
     
  • 9.116, vasek (?), 13:02, 07/08/2012 [^] [^^] [^^^] [ответить]  
  • –3 +/
    бууэээ ... текст свёрнут, показать
     
     
  • 10.117, троллМорде (?), 14:32, 07/08/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    сам ты бууэээ ... текст свёрнут, показать
     
  • 10.118, Fyjybv (?), 14:29, 13/08/2012 [^] [^^] [^^^] [ответить]  
  • +4 +/
    В wheezy во всяком случае есть - значит уже не бууээ http packages debian org ... текст свёрнут, показать
     
  • 6.61, GG (ok), 11:25, 29/07/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Там есть проверка подписей, например?

    Запили своё, йопта
    С проверкой подписей и обновлением со своего собственного сервера, а не через cws
    Что хрум, что лиса - никаких препятствий не чинят

     
     
  • 7.92, Аноним (-), 12:32, 30/07/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А, вот оно что - йопта-wannabe-криптографы Ну так бы сразу и сказали Дык у м... большой текст свёрнут, показать
     
     
  • 8.98, arisu (ok), 12:55, 30/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    точно можешь а расскажи про этот крутой механизм, а он ведь должен гарантирова... текст свёрнут, показать
     
  • 8.103, GG (ok), 15:27, 30/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Поставил убунту стал крутым сисадмином, криптографом и пацаном... текст свёрнут, показать
     
  • 2.54, коксюзер (?), 07:05, 29/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Дело в том что криптография не защищает от случая когда сам криптографический
    > код - потенциально недоверяемый. Просто потому что атакующий может впарить по
    > пути нечто иное. В случае отдельного приложения установленного локально у атакующего
    > нет методов оперативно заменить криптографический код и его обвязку. Но в
    > вебне то юзер должен скачать этот самый код, обеспечивающий шифрование. И
    > вот тут атакующий может вовремя подсуетиться.

    OMG, не в сказку ли я попал? Да это же разумный коммент на опеннете на тему безопасности, и не от solardiz'а сотоварищи!

     
     
  • 3.57, arisu (ok), 10:02, 29/07/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > OMG, не в сказку ли я попал? Да это же разумный коммент
    > на опеннете на тему безопасности, и не от solardiz'а сотоварищи!

    понимаешь, в чём дело: этот камент совсем не по теме. потому что авторы cryptocat нигде не обещали 100% защиты по всем точкам.

    хочешь, я тебе выдам примерно такой же вообще про любую систему? итак: «предположим, что в фирмварь зашит кейлоггер…» думаю, ты понял принцип.

    ребята написали реализацию шифрования и прочее на js. сейчас это модно. доставкой своего кода и самовалидацией проект не занимается. поэтому все вопли про MITM являются не «хорошими, годными каментами о security», а обычными демагогическими воплями — вне зависимости от того, насколько они верны фактически.

     
     
  • 4.75, коксюзер (?), 16:08, 29/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Во-первых, мы с вами на брудершафт не пили Во-вторых, коммент полностью по теме... большой текст свёрнут, показать
     
     
  • 5.93, Аноним (-), 12:39, 30/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    294-й же. Не то чтобы я супер-про в шифровании, но я вполне себе владею "азами" + зачастую могу прикинуть с какой стороны можно попробовать зайти чтобы нечто попытаться взломать. Ну вот и озвучил наиболее подозрительные векторы атак, поинтересовавшись а как с этим борятся.

    Похоже, борятся с атаками чисто троллингом :). Чего ради Кэп растроллился - я вообще не понял. Нет бы хоть по существу троллил, а то только какашками кидается как какой-нибудь iZEN прямо. Хотя вроде ж не тупой субъект -> не понятно чего паясничает.

     
     
  • 6.99, arisu (ok), 12:57, 30/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    подустал от псевдоумных комментариев. да, танки не летают. нет, в техспецификациях и не было сказано, что будут летать. да, в болоте утонут. нет, никто и не собирался делать плавающий танк. и так далее.
     
     
  • 7.113, Аноним (-), 00:16, 31/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > никто и не собирался делать плавающий танк. и так далее.

    Ну вот немцы тоже так считали. А потом истошно крыли "ужасную русскую распутицу", и с поводом и без. А вот советские конструкторы не забывали о давлении гусениц на грунт. По поводу чего мне не известно о массовых воплях насчет распутицы с советской стороны :).

    Может быть я не так уж и неправ советуя не забывать о проходимости танка не только по шоссе но и по хрен знает какому г-ну, которое почему-то в природе встречается чаще шоссе? :)

     
     
  • 8.114, arisu (ok), 02:53, 31/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    вздыхает ты притворяешься, или таки действительно не врубаешься ... текст свёрнут, показать
     
  • 4.94, Аноним (-), 12:41, 30/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > понимаешь, в чём дело: этот камент совсем не по теме. потому что
    > авторы cryptocat нигде не обещали 100% защиты по всем точкам.

    Тогда надо сразу указывать что это декоративная секурити, писаная чисто ради того чтобы доказать миру что на JS можно еще и AES реализовать.

     
     
  • 5.100, arisu (ok), 13:06, 30/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Тогда надо сразу указывать что это декоративная секурити, писаная чисто ради того
    > чтобы доказать миру что на JS можно еще и AES реализовать.

    и что тут такого декоративного? по твоей логике *вся* секурность декоративная. докажи, что в твоей системе, в биосе и так далее нет руткитов. докажи, что их нет у собеседника. докажи, что… и так далее.

    любая «секурность» в конце концов упирается в наличие того, кому надо просто доверять. не доверяешь чужому серверу — подними свой. считаешь, что по дороге могли подменить js? используй SSL с самодельным сертификатом. считаешь, что юзер — дятел, и не будет читать информацию о сертификате, прежде чем согласиться (и до сих пор не вынес нафиг «trusted authorities»)? идиотизм неизлечим, такому никакое шифрование не поможет.

     
     
  • 6.105, GG (ok), 15:32, 30/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > любая «секурность» в конце концов упирается в наличие того, кому надо просто доверять

    Вынужден категорически не согласиться
    Доверять приходится только собеседнику в секурной беседе, в остальном можно ни от кого не зависеть

     
     
  • 7.106, arisu (ok), 15:45, 30/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Вынужден категорически не согласиться
    > Доверять приходится только собеседнику в секурной беседе, в остальном можно ни от
    > кого не зависеть

    ещё раз: ты 100% уверен, что в твоей системе, в железе и ты пы нет руткитов? на чём основана такая уверенность?

     
     
  • 8.107, GG (ok), 16:54, 30/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Ещё раз на моём заводе всё оборудование я произвёл сам, своими руками И я знаю... текст свёрнут, показать
     
     
  • 9.108, arisu (ok), 17:21, 30/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    и всё своё железо и всю схематику проверял досконально и прошивки и код всего... текст свёрнут, показать
     
     
  • 10.109, GG (ok), 17:47, 30/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Посмотри в словаре, что такое утопия... текст свёрнут, показать
     
     
  • 11.110, arisu (ok), 17:53, 30/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    не тупи, пожалуйста ... текст свёрнут, показать
     
     
  • 12.111, GG (ok), 18:18, 30/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    сам не тупи, пожалуйста ... текст свёрнут, показать
     
  • 3.97, Аноним (-), 12:55, 30/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > OMG, не в сказку ли я попал?

    О, это же paxuser собственной персоной. Не в сказку ли я попал? :)

     

  • 1.6, Аноним (-), 14:29, 28/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Ну теперь-то жабберу точно капец.
     
  • 1.8, Аноним (-), 14:57, 28/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А был же такой firetalks уже давно, от наших соотечественников.

    В чём принципиальная разница?

     
     
  • 2.30, Аноним (-), 19:22, 28/07/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А был же такой firetalks уже давно, от наших соотечественников.
    > В чём принципиальная разница?

    А также был SILC, IRC с SSL, OTR и еще много всяких пепелацев. Некоторые даже внушающие поболее доверия нежели это. И?

     

  • 1.15, GG (ok), 17:06, 28/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Я подозреваю адово немеряное количество всяких безграмотных одминов, срущих безграмотными каментами по поводу перехвата ключа и потому поясняю сразу:
    - генерится два ключа:
    -- маленький
    -- большой
    - маленький передаётся в сеть
    -- он пригоден только для шифрования
    - большой никуда не передаётся
    -- только с ним можно расшифровать зашифрованное маленьким

    Можно хоть обперехватываться ключей, максимум, что можно с ними сделать - слать месаги владельцу этого ключа. Но даже если удастся подделать подпись кого-либо из чата, то ответы на эти фальшивые месаги прочитать всё-равно ни кто кроме владельца подписи не сможет.

    Единственная проблема может быть в самом алгоритме шифрования, но на то оно и aGPL, чтобы патчи выходили сразу же.

     
     
  • 2.20, Аноним (-), 17:57, 28/07/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >[оверквотинг удален]
    > - маленький передаётся в сеть
    > -- он пригоден только для шифрования
    > - большой никуда не передаётся
    > -- только с ним можно расшифровать зашифрованное маленьким
    > Можно хоть обперехватываться ключей, максимум, что можно с ними сделать - слать
    > месаги владельцу этого ключа. Но даже если удастся подделать подпись кого-либо
    > из чата, то ответы на эти фальшивые месаги прочитать всё-равно ни
    > кто кроме владельца подписи не сможет.
    > Единственная проблема может быть в самом алгоритме шифрования, но на то оно
    > и aGPL, чтобы патчи выходили сразу же.

    (смех Баттхеда) копетан нам рассказал азы асимметричного шифрования. Хвала ему! О великий копетан

     
  • 2.33, Аноним (-), 20:41, 28/07/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Я подозреваю адово немеряное количество всяких безграмотных одминов, срущих безграмотными каментами по поводу перехвата ключа и потому поясняю сразу:
    > Я подозреваю адово немеряное количество всяких безграмотных одминов
    > срущих безграмотными каментами
    > безграмотных одминов
    > безграмотными каментами
    > безграмотных

    Отправлено GG, 28-Июл-12 17:06

    "Значит, когда эти баритоны кричат «бей разруху!» — Я смеюсь. Клянусь вам, мне смешно! Это означает, что каждый из них должен лупить себя по затылку!"

     
  • 2.41, saNdro (?), 01:03, 29/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    > - маленький передаётся в сеть
    > -- он пригоден только для шифрования
    > - большой никуда не передаётся
    > -- только с ним можно расшифровать зашифрованное маленьким
    > Можно хоть обперехватываться ключей, максимум, что можно с ними сделать - слать
    > месаги владельцу этого ключа. Но даже если удастся подделать подпись кого-либо
    > из чата, то ответы на эти фальшивые месаги прочитать всё-равно ни
    > кто кроме владельца подписи не сможет.
    > Единственная проблема может быть в самом алгоритме шифрования, но на то оно
    > и aGPL, чтобы патчи выходили сразу же.

    Если вы про асимметричное шифрование, то учите теорию. разница в функциях закрытого и открытого ключей, только в том, что из первого можно сгенерировать второй, из второго первый нет.

     
     
  • 3.55, коксюзер (?), 07:24, 29/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > из первого можно сгенерировать второй

    Тогда это уже не ключи, а файлы, где в файл приватного ключа вложен публичный или исходные простые числа.

     

  • 1.18, Аноним (-), 17:36, 28/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Эллиптические кривые?)
    ГОСТом чтоле шифрут?))
     
     
  • 2.46, Аноним (-), 03:18, 29/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Эллиптические кривые?)
    > ГОСТом чтоле шифрут?))

    Ты думаешь что только ГОСТ основан на эллиптических кривых?)))

     

  • 1.48, Аноним (-), 03:30, 29/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Так как данные изначально передаются в шифрованном виде, администраторы сервера, на котором размещена серверная часть чата, или провайдер клиента не могут перехватить сообщения.

    да неужели не могут?! ну этоже просто смешно :-D :-D

    ...хотите сказать что у администратора сервера НЕТ(?) полномочий в любой (удобный для него) момент времени -- поменять Javascript-код отправляемый определённым клиентам?

    # p.s.: такая же псевдобезопасность, как и JavaApplets (с цифровыми подписями) для банк-клиентов.

    # p.s.s.: разумеется придётся наружить AGPL-лицензию, чтобы прослушивать сообщения определённых клиентов.. но думаю это не особо большая проблема

     
     
  • 2.53, Аноним (-), 06:08, 29/07/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ох, как хочется надеяться, что комментарии типа тех двух, что можно наблюдать выше производятся худшей и меньшей частью форумчан, а думающая часть просто помалкивает, иначе о горе нам всем
     
     
  • 3.63, Аноним (-), 12:58, 29/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > ох, как хочется надеяться, что комментарии типа тех двух, что можно наблюдать
    > выше производятся худшей и меньшей частью форумчан, а думающая часть просто
    > помалкивает, иначе о горе нам всем

    вместо того чтобы тупо обзываться оскорблениями

    может лучше напишешь ЧТО(?) именно мешает системному администратору -- модифицировать серверную сторону крипто-чата таким образом, чтобы функция различным пользователям чата выдавался различный Javascript-код???

    для кого-то (99% пользователей) Javascript-код, который всё шифрует по чесноку, а для кого-то (1% от всех пользователей) Javascript-код который нифиги ничего не шифрует. что тут такого уж невозможного?

    (нет, нет, я говорю НЕ про интернет-провайдера и НЕ про мифический ФБР, а именно ПРО хозяина сервера с чатом)

     
     
     
     
    Часть нити удалена модератором

  • 6.69, GG (ok), 13:23, 29/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > а как поступим с остальными пользователями этого чата?

    Согласно с законом о защите секретной информации в РФ защиту своей информации должен обеспечивать владелец этой информации.
    Мягко грубо говоря: кому нужна безопасность, тот о ней и должен заботиться.
    Кто насрал на свою безопасность, тот сам дурак.
    Если юзер тупой - он всё-равно посадит себе кейлоггера и это будет проще, чем подменить ему скрипт в бровзере.

     
     
  • 7.70, Xasd (ok), 13:28, 29/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> а как поступим с остальными пользователями этого чата?
    > Согласно с законом о защите секретной информации в РФ защиту своей информации
    > должен обеспечивать владелец этой информации.
    > Мягко грубо говоря: кому нужна безопасность, тот о ней и должен заботиться.
    > Кто насрал на свою безопасность, тот сам дурак.
    > Если юзер тупой - он всё-равно посадит себе кейлоггера и это будет
    > проще, чем подменить ему скрипт в бровзере.

    ну, вот .. теперь мне всё ясно :-)

    такбы сразу и сказал

     
  • 2.60, GG (ok), 11:23, 29/07/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > придётся наружить AGPL-лицензию

    А сейчас, мой маленький друг, ты или расскажешь нам юридическим языком, что из описанного тобою нарушит агпл лицензию или мы все увидим, как ты былинно обосрался

     
     
  • 3.62, Аноним (-), 12:51, 29/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> придётся нарушить AGPL-лицензию
    > А сейчас, мой маленький друг, ты или расскажешь нам юридическим языком, что из описанного тобою нарушит агпл лицензию или мы все увидим, как ты былинно обосрался

    для того чтобы была возможность системному администратору комфортного подслушивания "крипто-чата" ("крипто" в ковычках:)) -- придётся модифицировать серверную сторону чата.

    (тоесть чтобы добавть в чат возможность -- подмены Javascript-кода определённым пользователям [например в зависимости от куков и/или ip-адреса], а остальным пользователям оставить всё как есть)

    но модифицированную серверную сторону нужно поидее былобы опубликовать, как гласит AGPL. а если её опубликовать, то заговор системного администратора раскроется :-D

     
     
  • 4.65, GG (ok), 13:10, 29/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >>> придётся нарушить AGPL-лицензию
    >> А сейчас, мой маленький друг, ты или расскажешь нам юридическим языком, что из описанного тобою нарушит агпл лицензию или мы все увидим, как ты былинно обосрался
    > для того чтобы была возможность системному администратору комфортного подслушивания "крипто-чата"
    > ("крипто" в ковычках:)) -- придётся модифицировать серверную сторону чата.
    > (тоесть чтобы добавть в чат возможность -- подмены Javascript-кода определённым пользователям
    > [например в зависимости от куков и/или ip-адреса], а остальным пользователям оставить
    > всё как есть)
    > но модифицированную серверную сторону нужно поидее былобы опубликовать, как гласит AGPL.
    > а если её опубликовать, то заговор системного администратора раскроется :-D

    ты вообще смотрел, как он работает, прежде чем это понаписать?

     
     
  • 5.68, Xasd (ok), 13:22, 29/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >>>> придётся нарушить AGPL-лицензию
    >>> А сейчас, мой маленький друг, ты или расскажешь нам юридическим языком, что из описанного тобою нарушит агпл лицензию или мы все увидим, как ты былинно обосрался
    >> для того чтобы была возможность системному администратору комфортного подслушивания "крипто-чата"
    >> ("крипто" в ковычках:)) -- придётся модифицировать серверную сторону чата.
    >> (тоесть чтобы добавть в чат возможность -- подмены Javascript-кода определённым пользователям
    >> [например в зависимости от куков и/или ip-адреса], а остальным пользователям оставить
    >> всё как есть)
    >> но модифицированную серверную сторону нужно поидее былобы опубликовать, как гласит AGPL.
    >> а если её опубликовать, то заговор системного администратора раскроется :-D
    > ты вообще смотрел, как он работает, прежде чем это понаписать?

    читал новость и заходил по ссылке

    что написанного мной -- не так -- по твоему мнению?

    что вообще за личностные придирки? напиши по сути, а не личные оскорбления и/или намёки

    update: http://www.opennet.me/openforum/vsluhforumID3/85788.html#70

     
     
  • 6.71, GG (ok), 13:32, 29/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > читал новость и заходил по ссылке

    И что по твоему мешает админу выложить исходники?
    Думаешь из юзеров у кого-то хватит ума их прочитать?

     
     
  • 7.80, Af. (?), 17:08, 29/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> читал новость и заходил по ссылке
    > И что по твоему мешает админу выложить исходники?
    > Думаешь из юзеров у кого-то хватит ума их прочитать?

    У кого-либо из гиков хватит ума указать пальцем на нужную строку, после чего бригадиры хомячков поймут нужное и объяснят своим подопечным.

     
     
  • 8.81, GG (ok), 17:13, 29/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Будет уже поздно А потом появится какой-нибудь хомяк и напишет 8212 Да нет т... текст свёрнут, показать
     

  • 1.119, Anonim (??), 14:34, 29/09/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    пользоваться русским криптопродуктом в россии? хорошее предложение. силовики промышляют коммерческим шпионажем не хуже конкурентов и криминала!
     
  • 1.120, Anonim (??), 14:39, 29/09/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а вообще зачем этот огород? есть пейджеры, есть gpg, есть tor - есть продукты готовые, которые все это содержат. причем в большом потоке стороннего чат-сервиса затеряться легче.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру