Comments | sporaw: End-to-end encryption, opensource, без засветки номеров и проч. (и без рута телефона)

sporaw

End-to-end encryption, opensource, без засветки номеров и проч. (и без рута телефона)

Jun 12, 2016 02:17

Обращаю внимание вот на это

В этом теме ниже будет пополняться информация о различных end-to-end encryption мессенджерах.

_________________________

Кто-нибудь Surespot на телефоне использует? Или нечто подобное, что позволяло бы без засветки телефона общаться (в отличие от Signal)? [При этом условия: e2e, open source, конечно; т.е. та же Threema ( Read more... )

surespot, telegram, tor, zom, otr, мобильный телефон, chatsecure, threema, wire, tox, мессенджеры, cryptography, signal, wickr, jabber, conversations, xabber

Leave a comment

Back to all threads

anonymous June 14 2016, 15:05:01 UTC

Наиболее правильным решениям из не бета-версий кажется чатсекьюр с принудительным OTR и трафиком, который по дефолту идет только через Tor (Orbot).

Минусы:

1) Orbot не работает на некоторых моделях. Не только на айфонах. Например, у ряда самсунгов на андроиде.
2) Иногда требуется исходно долго возиться с настройками (начиная от прописывания порта/ сервера и заканчивая более долгими вещами типа 4pda ТОЧКА ru/forum/index.php?s=&showtopic=211665&view=findpost&p=38939360). Зачастую нужно перенастраивать после выхода обновлений Орбота, Чатсекрюра или прошивок.
3) Коннект для корректной работы Чатсекьюра под Орботом должен быть только 3G, в идеале - 4G.
4) При передвижении с телефоном контакт может пропадать, а OTR, в отличие от GPG, не предусматривает, что сообщение дойдет к человеку, который был офлайн.

Плюсы:

1) Полная торификация - если все правильно настроено, весь трафик и сам факт пользования чатсекьюром не виден оператору, мета-данные остаются закрытыми.
2) Сами выбираете сервер, причем посторонний к мессенджеру. Приватные вещи через мессенджер, который и шифрует, и передает, и получает - это как-то странно.
3) Элементарно устанавливается связь телефон-телефон и компьютер-телефон, если на компьтере любой вариант мессенджера с OTR. А это, вероятно, уже бОльшая часть мессенджеров.
4) У Гардианпроджекта хорошая динамика за последние годы. Орбот вообще стал незаменим не только для чатов.

Вероятно, не стоит напоминать, что нужен рут, а сама мобила всегда будет куда более уязвима, чем компьютер.

sporaw June 14 2016, 15:33:44 UTC

Про ChatSecure написал минусы (в большей степени актуальны для iPhone из-за ограничения в 10 минут), в т.ч. и проблемы с реализацией OTR (это для всех)

anonymous June 15 2016, 11:03:33 UTC

Про невозможность iOS - в коменте выше. Разборы по ссылкам из поста читал ранее. Часть моментов исправлена, другая часть исправляется руками:
* либо путем выставления принудительного OTR в настройках собственного сервера,
* либо через аналоги jabber.otr.im, где сообщения без OTR принять нельзя

Будет возможность, напишите о своем выборе. Для моего техзадания выбор сервера и скрытые службы критичны, по другим условиям все будет иначе.

sporaw June 15 2016, 11:20:27 UTC

> Про невозможность iOS - в коменте выше.

Где именно?

> * либо путем выставления принудительного OTR в настройках собственного сервера,
> * либо через аналоги jabber.otr.im, где сообщения без OTR принять нельзя

Это ни о чем. Тот, кто шлет плейном - все равно шлет плейном. И в сеть это попадает.
Кроме того, там проблема шире (про MITM, fingerprinting, сброс и т.д.)

anonymous June 15 2016, 14:49:34 UTC

В первом коменте: минусы 1...не работает на ... на айфонах. Необходима связка ChatSecure+Orbot, без нее нет смысла.

Тот, кто шлет плейном - все равно шлет плейном

При попытке выслать плейном по jabber.otr.im:

* вы получите сообщение о том, что комент не отправлен, так как требуется OTR,
* ваш собеседник ничего не получит

И в сеть это попадает

Куда именно? Помимо того, что коменты по примеру выше не ходят без OTR:

* Orbot отправляет через Tor весь трафик ChatSecure или любого другого приложения,
* в аккаунте jabber.otr.im на ChatSecure стоит сервер 5rgdtlawqkcplz75.onion:5222,
* при коннекте с вайфай-точкой системный прокси замкнут на Orbot,
* правильно настроены системные DNS,
* корректность маршрутизации проверена вручную через iptables2

Иные проблемы можно обсуждать, но тут надо сравнивать с альтернативами. При сравнении с год назад уперся в ссылку из поста:

But what would be the ultimately secure IM application? An application that does not try to be compatible with existing services, and that would rethink everything from the ground up. No XMPP support (attack surface is huge), only one secure transport protocol, OTR like cryptography on top of it, and a clear and manageable list of fingerprints. If you do know one application that meets all these conditions, feel free to let us know, in the comments section below.

sporaw June 15 2016, 15:07:37 UTC

>> И в сеть это попадает
> Куда именно?

С клиента до сервера как минимум.

P.S. Работа на iOS принципиальна, т.к. таких устройств много очень.

anonymous June 15 2016, 16:37:40 UTC

iOS - да, тут все понятно.

Ниже вам все известно, пишу скорее скорее для тех, кто будет гуглить аналогичную проблему. Возможно, кому-то поможет.

При ChatSecure-Orbot-серверс с принудительным OTR пользователь может случайно отправить первый комент и сразу получит сообщение, что надо шифровать переписку - комент не дошел до второго клиента. Сам комент, факт его отправки и вообще пользование приложением ОПСОС/провайдер не видит.

В других решениях либо (в худшем случае) ОПСОС видит соединение с приложением, которое осуществляет end-to-end, либо (в лучшем случае) соединение идет через VPN/Orbot, но приложение все равно использует свой сервер для отправки контента, который само же шифрует.

При специфических делах возможность выбирать посторонние к приложению сервер и способ передачи могут стать критичными.

Back to all threads