Телеграм канал Собака Шифровака
Cypherpunk, cryptoanarchy and so on
Приватность, криптография, отсебятина
@gronion
Поделиться с друзьями:
статистика поднять канал
О чём пишут в канале @cypherdog
Архитектуры мессенджеров
Следующая тема — архитектуры мессенджеров. Централизованная, федеративная и одноранговая распределенная. Пока речь шла только о централизованных мессенджерах, но скоро рассмотрим и другие их виды.
Чет мне показалось, что если все статьи будут в чистом виде, то пролистывать канал будет не очень удобно. Да и ограничение в 4096 как-то жмет формату.
http://telegra.ph/Temnaya-storona-federaciya-i-anarhizm-Arhitektury-messendzherov-01-17
2018-01-18 00:54:02
Сегодня немного про Telegram, и про то где бесплатно достать номер для авторизации.
Каждый раз читая про то как Telegram заботится о приватности, меня немного передергивает. Не то чтобы им наплевать на приватность, но это явно не главный приоритет разработчиков. Когда-то это был один из первых массовых мессенджеров с end-to-end шифрованием, пусть оно и включалось только вручную. Но сейчас этого уже мало, пора шифровать все. А от хранения истории на сервере даже Viber отказался, это уже анахронизм какой-то, фу такими быть.
Очень печалят дефолтные настройки, чаты не шифрованы, двухфакторка отключена. Перехватив смс для авторизации (а сделать это могут не только спецслужбы, у сетей SS7 много уязвимостей), злоумышленник сможет получить доступ к списку контактов и ко всей истории сообщений, пусть и за исключением зашифрованных чатов. Поэтому двухфакторная аутентификация это наше все. Тут как с бэкапами, есть кто еще не и кто уже да. В отличии от бэкапов, постоянного намаза совершать не нужно, один раз включил и спи спокойно, так что рекомендую сделать это СЕЙЧАС.
Казалось бы, теперь мы в стране радужной криптографии, где живут пони, едят AES и какают эллиптическими кривыми. Yes, but no, у злоумышленника остается возможность резетнуть аккаунт, удалив всю историю сообщений и список контактов. Охренительная двухфакторная авторизация, нафига делали? Что особенно отвратительно, если новый аккаунт начнет зашифрованный чат с кем-то из твоих контактов, понять, что это подстава, будет сложно. Если у жертвы есть твой телефонный номер (а его может и не быть), то появится сообщение вида "ХХХ только что присоединился к Telegram". Но будет ли кто-то проверять свой список сообщений, где в топе постоянно соревнуются между собой новостные каналы и чаты перед началом переписки в защищенном секретном чате? Уверен, таких параноиков мало.
Существует другой метод решения этой проблемы - регистрация виртуального номера в юрисдикции какой-нибудь нормальной страны. Платных предложений в этом плане предостаточно, номер можно и за биткоины купить. Бесплатные же варианты обычно дают доступ к общему номеру, который видят все посетители сайта.
Но — о чудо! После нескольких неудачных попыток я наткнулся на сервис, предоставляющий постоянный номер бесплатно и на длительный период - textnow.com. Честно скажу, проверял только в течение месяца, до сих пор полет нормальный. Идеальное средство для анонимности, даже биткоины теоретически можно отследить, ведь все переводы сохраняются в блокчейне, а тут через несколько месяцев даже об IP, с которого вы зарегистрировались, не останется данных.
Напоследок, еще один неприятный момент про Telegram. Десктопный клиент так и не обзавелся чатами с шифрованием. И если бы всем было срать, я не возникал бы, но в официальном репозитории на github уже больше 15-и issue на эту тему, каждая закрыта. Дополню этот курьез несколькими фактами. Во-первых, реквест о добавлении секретных чатов был 5-й по счету issue (сейчас там более 2к issue), т.е. фичу просили с самого начала. Во-вторых, только в последнем треде на эту тему 220 коментов и >200 одобрений первого поста. Выглядит как-будто мало, но, поверьте мне, для github это много. В-третьих, множество разработчиков предлагали свою помощь в реализации секретных чатов, но им отказали. Вива ля опен сорс!
Не смотря на то, что я не могу назвать Telegram защищенным средством общения, это явно один из самых удобных мессенджеров. Каналы, API, огромные чаты. Даже анархистов не банят, да и в целом стараются поддерживать свободу информации. Хотя первые звоночки цензуры уже были, банхаммером получили каналы террористического содержания и наркоботы (помним, скорбим).
И последнее, код севера до сих пор закрыт. Security through obscurity так себе тема. Весь "пакет акций" в руках одного человека, хоть и с приличной репутацией, тоже не самый лучший вариант развития событий.
Такие дела ребят, хотите приватной переписки, телега не лучший выбор.
2018-01-17 00:25:45
Немного подробнее про Signal и то насколько он ослепляюще прекрасен.
Для начала, рассмотрим плюсы с точки зрения рядового пользователя. Типичная для нашего времени ситуация, в стране волнения, правительство принимает решение заблокировать средства общения для населения. Что в данной ситуации могут предложить различные приложения? Большинство распространенных - ничего, если ты не можешь настроить себе VPN, или как-то еще перенаправить трафик, то ты без средств связи. В бразилии так WhatsApp заблочили. Telegram в этом случае предлагает настроить прокси. При необходимости большинство справится, я искренне в это верю, чай не высшая математика, есть инструкции с картинками в конце-то концов. Но Signal может предложить кое-что получше.
Как я раньше говорил, разработчики все делают не только с упором на криптостойкость но и на удобство. OWS (Open Whisper Systems) выпустили обновление, которое позволяет работать через сервера Google, Amazon, Azure и другие. Чтобы заблокировать Signal, нужно практически заблокировать интернет, выкусите сраные нефтянщики капиталисты! Ведь без гугла интернет уже не тот. К тому же, от пользователей не требуется никаких телодвижений, просто качаем обновление и пользуемся дальше.
Протокол разработанный для Signal, стал весьма популярен, даже WhatsApp перешли на него. Может когда-нибудь они даже всерьез займутся безопасностью своего мессенджера, уберут очевидные дыры и перестанут собирать кучу метаданных. Ах нет, их же фейсбук купил, эти твари даже от байта ваших данных ни за что не откажутся.
Выбор используемых технологий производится очень тщательно, ведется разработка своих собственных. При этом код проходит ревью различных экспертов и экспертных компаний, разработки OWS с самого начала получали отличные отзывы от исследователей из лучших университетов мира: Оксфорд, Куинсленд (Австралия), Mcmaster (Канада). Если тебе интересно почитать об используемых алгоритмах и протоколах а в код ты не умеешь, на сайте есть раздел с доками где более популярно рассказано как что работает: signal.org/docs
Безопасность самого приложения тоже на высочайшем уровне. В 2017 году Solar Security проводила исследование защищенности приложений-мессенджеров и не сложно догадаться кто там получил наивысшую оценку. Кстати приложения для яблок показали в целом значительно худший результат, делаем выводы.
К сожалению, альтернатив регистрации по мобильному номеру нет. Разработчики говорят что это сделано для удобства, по другому обычные люди просто не будут пользоваться мессенджером. Эпоха когда в конктакты добавлялись вручную давно ушла. Не понимаю правда что помешало добавить возможность привязать аккаунт к почте или еще чему-нибудь, в конце концов зарегистрировать его просто так, но так или иначе считайтесь с этим риском. Тут правда ситуация лучше чем в большинстве мессенджеров, если вдруг смску для входа в аккаунт перехватывают, утечки истории сообщений не произойдет, а все ваши контакты будут предупреждены что переписка ведется с нового устройства.
Я думаю теперь понятно почему Сноуден так любит этот мессенджер. Он даже больше сказал: "Используйте все что делают Open Whisper Systems". Не могу с ним не согласится, по сравнению с другими продуктами Signal практически безупречен.
Напоследок, если у тебя, %username%, возник праведный вопрос о том, на какие деньги разрабатывается это чудесное приложение, и не заговор ли это поганых рептилоидов, то вот тебе факты для построения теорий заговора:
$2,955,000 от Open Technology Fund
$416,000 от Knight Foundation
$308,976 от Shuttleworth Foundation
И это только открытое финансирование, также деньги идут через пожертвования, в том числе через крупных индивидуальных спонсоров и через некоторые другие организации. Из интересных вещей, для вознаграждения разработчиков используется BitHub, он выплачивает вознаграждения в биткоинах разработчикам внесшим вклад в репозиторий OWS. BitHub, кстати, также является одним из продуктов OWS. Представьте себе какие няши)
Слава Дурову, телеграм ограничивает мою графоманию 4096-ю символами. Пойду посплю.
2018-01-15 03:55:01
Прежде чем я продолжу рассказывать про всякие крипто-хрени, отвечу на важный вопрос.
На кой черт?
Для начала, то о чем я уже говорил. Законы меняются. Никто не даст гарантий что то, что ты сделал сегодня будет законным завтра. И никто не расскажет тебе что это стало незаконным. Люди говорят, что суровость наших законов компенсируется необязательностью их исполнения. Оказывается не только наших, в США, Англии, Германии и других странах полно дерьмовых законов за которые тебя могут оштрафовать или посадить. Государство просто так работает. Чтобы избавиться от подобного дерьма вся нация должна вкалывать несколько лет, быть образованной, воспитанной и чтить свободу ближнего своего как свою. Хочется верить что скандинавы достигли успеха в этом.
Второй пункт, что меня волнует. Есть люди которым действительно есть что скрывать. Очевидно, это не только преступники. В числе людей, которые делают честное дело, но при этом могут сильно пострадать от слива их данных, репортеры и активисты, политические деятели, меньшинства. Если только они будут скрывать переписку, это выдаст их с головой. Помоги ближнему своему, напрягись немного ради свободы информации, ради того чтобы чья-то голова осталась целой.
Третья часть. Гражданин должен иметь возможность нарушить закон. Да, вот так просто. Ибо законы бывают тупыми, да что там, просто идиотскими. Некоторое время назад людей убивали за однополую связь, как ты думаешь, почему вдруг ни с того ни с сего люди перестали это делать? Потому что была возможность нарушить закон и не быть казненным. Рассказать об этом кому-нибудь, подтвердить, что ты в здравом рассудке, можешь работать, не опасен для общества, не жаждешь чтобы все делали так же. Сейчас большинство твердо уверено (та его часть что с минимальным остатком рассудка), что казнить за однополную связь не стоит, спасибо смелым нарушителям закона. И за легализацию легких наркотиков тоже им большой привет.
Четвертое, самое важное. Право на тайну переписки и свободу слова. Соцесети уже утратили свободу слова и обрели самоцензуру, та же участь ждет и мессенджеры без надлежащей защиты. Я не только про уголовную ответственность за репосты в нашей стране, это касается всего мира. За твои высказывания на фейсбук могут уволить, побить или наказать любым другим доступным способом.
Такие вот у меня причины бороться за защиту своей переписки.
2018-01-14 03:23:17
Первая тема которую мне хочется раскрыть - приватное общение в интернете. Если кто-то хочет сказать "да кому я нужен? я ничего незаконного не делаю", у меня для тебя плохие новости. Законы штука изменчивая, буквально недавно у нас за репосты не сажали. Практически в раю жили, не то что сейчас.
Сегодня про безопасность в социальных сетях рассказывать не буду, только месседжинг. В соц. сетках остается столько ценной информации, что без детального мониторинга они никого не оставят. Да и делиться инфой за деньги они не прочь, а уж ради помощи закону тем более. Тут один совет - профиль не должен быть связан с личными данными. Фальшивое имя, левый телефон, а фотки там твои потому что у тебя телефон взломали, но лучше пусть их там не будет. Недавний закон об анонимности направлен против поставщиков услуг, не против потребителей, так что за свою безопасность можно не беспокоится. Пока.
Итак, если немного копнуть по теме защищенных мессенджеров, можно найти хорошо зарекомендовавшую себя связку XMPP + OTR. Не такая уж плохая комба, можно даже на мобильный поставить. Наркодиллеры в русском дарквебе прямо облюбовали этот метод общения. Жаль что для правильного использования она требует некоторого образования. Как, в прочем, и для неправильного использования. Да это блин тупо геморно. Тем более что сейчас есть OMEMO (https://conversations.im/omemo/)
Следующее что приходит в голову - Telegram. Такая себе штука. Обидно, что сделать его значительно безопаснее было так просто, всего-то поставить пароль на приложение в телефоне (с шифрованием чатов, конечно) и не хранить переписку на сервере. Круто было бы ещё регистрировать аккаунты без смсок. Вот последнее это вообще катастрофа вкупе с хранением переписки на сервере, ведь товарищ майор может по обращению к оператору, перехватить смску. Бум! Теперь даже сообщение от вашего имени отправить можно. Неверующих милости прошу заглянуть на runion, там как раз недавно появилась тема о подкупе мусоров за доступ к вашей переписке в ВК, Telegram и иже с ними. Да-да-да, шифрованные чаты дядя майор не прочитает. Если вы пользуетесь теелграмом в формате "создал секретный чат, обсудил, удалил", степень опасности значительно меньше, можете считать что для рядовых служителей органов вы прикрылись.
В общем, не буду тянуть, мой совет - используйте Signal. Разработкой руководит анархист, шифропанк и просто хороший человек - Мокси Марлинспайк (псевдоним). Что особенно подкупает, это не махровый криптодрочер создавший сложную, маниакально криптостойкую систему и предлагающий всем срочно использовать свою вундервафлю лишенную фатального недостатка. Он ищет баланс между приватностью и удобством. Именно ради удобства регистрация все еще происходит по номеру телефона (как-нибудь потом расскажу как анонимно достать себе номер). Достоинств у мессендера много: код сервера открыт, когда-то даже все это чудо было федеративным (т.е. каждый мог поднять себе свой сервер или выбрать один из существующих, как-нибудь расскажу подробнее про архитектуры мессенджеров), не сохраняется никаких метаданных (кстати, о то что это тоже стоит рассказать, наверное), а обнаружение ваших друзей уже использующих Signal происходит в защищенном режиме работы процессора, дабы никто никогда не узнал не только о чем вы общаетесь, да еще и с кем. И список достоинств на этом не заканчивается, это точно тема для отдельного поста.
Итак, уже прибавилось тем про анонимный телефонный номер для мессенджеров, архитектуры их работы, метаданные... А лимит знаков на сообщение не резиновый.
Оставайтесь с нами, будет интересно, но местами занудно)
2018-01-13 03:55:08
Знаете что меня бесит? Mass Sureillance. Cлежка за каждым чихом, каждым шорохом каждого юзера. Ради денег, ради "безопасности". Вдруг ты терорист? Может твой друг терорист? Наверняка вы замышляете заговор против правительства. Даже если нет, давайте мы будем следить за тем как ты мышкой двигаешь, но для твоей же пользы. Нет, мы за тобой не шпионим шпионим. В смысле не за тобой конкретно. Мы просто для статистики данные собираем. Честное пионерское. Да, у нас на тебя досье, оно большое. Это полностью безопасно, разве тут может что-то пойти не так? В замен будем интересные ссылки давать, а ещё котиков. Мы же ТОЧНО знаем что ты их любишь)
Суть:
Я буду помогать читателям этого канала сохранять приватность в интернете. Наверное немного расскажу об анархизме, шифропанках, активизме и прочем.
Вопросы и предложения -> @gronion
2018-01-12 02:09:37