LINUX.ORG.RU

Вышел Pica Pica Messenger v0.7.0

 , , , ,


5

4

Pica Pica Messenger - свободный программный проект, нацеленный на создание и поддержку децентрализованного обмена сообщениями с использованием стойкой криптографии для обеспечения приватности и аутентификации.

В состав Pica Pica входят две программы: pica-node — сервер-узел (нода) распределенной сети и pica-client — графический клиент. Распределенная сеть нод pica-node поддерживается на добровольных началах. Каждый желающий может установить на своем компьютере pica-node и обеспечивать передачу служебного трафика и сообщений между участниками сети.

В роли адреса Pica Pica выступает SHA224 хэш от сертификата с открытым ключом пользователя, представленный в формате Base64, к примеру: m+2TC+ZYDx0crQZK1p97cuAIp1rH5i1SLe6EtA==

На данный момент Pica Pica Messenger позволяет:

  • Общаться текстом
  • Передавать файлы
  • Использовать одну учётную запись с нескольких компьютеров. (Синхронизация переписки и контактов пока что не поддерживается)

В планах на будущее реализация поддержки синхронизации, голосовых и видео звонков, клиент для Android и многое другое. Для реализации этих грандиозных планов проект собирает пожертвования через Patreon

>>> Подробности

Ответ на: комментарий от torvn77

Как коллизии разных сертификатов с одинаковыми хешами решать будешь?

Такая ситуация гипотетически возможна, но весьма маловероятна.

antonsv ()
Ответ на: комментарий от actionless

в арч линуксе может быть установлен как:

В Aur-е на данный момент устаревшая версия, к сожалению.

antonsv ()
Ответ на: комментарий от antonsv

Тем, кто упоминает Tox. В Tox-е сомнительная криптография, они изобрели свой протокол, не являясь признанными экспертами в области криптографии. Pica Pica использует общепринятый TLS, следуя принципу «don't invent your own crypto».

Тогда почему Pica Pica использует сомнительный протокол TLS, а не сразу протокол Signal, в котором доказана безопасность? Раз уж делать заново, то надо делать правильно, а не что попало.

Skullnet ★★ ()
Ответ на: комментарий от antonsv

Сходил по ссылке, теперь мне не нравится.

User accounts are based on self-signed X.509 certificates.

‘based on’ надо заменить на настоящее отношение, а не загадочность.

Users are identified by unique SHA224 hash of such certificate.

certificates.

It has to be such cryptic

this cryptic

t184256 ★★★★★ ()
Ответ на: комментарий от t184256

‘based on’ надо заменить на настоящее отношение, а не загадочность.

например?

certificates.
this cryptic

обновил

antonsv ()
Ответ на: комментарий от antonsv

Может модифицировать просто ядро Tox? А клиенты с поддержкой видеосвязи, голосовой связи уже имеются.

vladimir_vist ()
Ответ на: комментарий от Skullnet

Тогда почему Pica Pica использует сомнительный протокол TLS,

Где, когда и кем TLS 1.2 был признан сомнительным? На данный момент он считается надёжным.

а не сразу протокол Signal, в котором доказана безопасность?

Да, в нём заявлена поддержка большего количества свойств, чем у TLS, и один раз он проходил аудит безопасности. Но TLS намного популярнее, и логично предположить, что уровень внимания со стороны специалистов по криптоанализу к нему выше. То же самое можно сказать про OpenSSL vs libsignal-protocol. К тому же протокол Signal появился сравнительно недавно.

antonsv ()

Пика-пика - это как пикачу говорит?

anonymous ()

Подскажите пожалуйста автор Русский из России? Спрашиваю потому что есть огромное желание пожертвовать своему соотечественнику и его проекту.

anonymous ()
Ответ на: комментарий от hakavlad

Статус проекта не меряется по времени последнего коммита

Heimdall ()
Ответ на: комментарий от antonsv

Где, когда и кем TLS 1.2 был признан сомнительным? На данный момент он считается надёжным.

TLS 1.2 сомнительный потому что переусложнён: поддержкой десятков бесполезнных и небезопасных критографических алгоритмов, обратной совместимостью (механизмами договора о версии TLS и криптографических алгоритмах), X.509 сертификатами, которые используют крайне сложный бинарный формат ASN.1. К тому же, TLS 1.2 до сих пор использует encrypt-and-mac вместо encrypt-then-mac (правда это имеет значение только при раздельном шифровании и аутентификации).

Конечно, это совершенно не значит, что TLS 1.2 небезопасен. Но вся эта чрезмерная сложность сильно повышает риск багов в реализациях TLS 1.2 и усложняет безопасное использование этого протокола. Вся эта обратная совместимость дала огромный простор для downgrade атак. Чтобы безопасно использовать TLS 1.2, надо ОБЯЗАТЕЛЬНО повыключать кучу криптографических алгоритмов, повыключать поддержку предыдущих версий TLS. А encrypt-and-mac и переусложнённость ASN.1 уже приводили к уязвимостям в реализациях.

Кстати, я так понял, SHA224(X.509 сертификат) используется вместо открытого ключа как идентификатор ИСКЛЮЧИТЕЛЬНО ради того, чтобы заюзать TLS библиотеки.

Skullnet ★★ ()
Ответ на: комментарий от Skullnet

Да да, ингвар уже помог, как и множество других. Разрабы месяцами жевали сопли и морозились, ни один толковый пулл реквест не был принят. А для НГЧ (новые групповые чаты) их было аж два. Конечно, давайте ещё больше набрасывать в «живой» проект, где твои пулл реквесты тупо закроют. Фапай дальше на мелкие коммиты кутокса, который до сих пор имеет проблемы с видеосвязью и системным лотком KDE.

InterVi ★★ ()
Ответ на: комментарий от Skullnet

Так ведь не обязательно использовать слабые алгоритмы и разрешать обратную совместимость. Эти все проблемы больше относятся к браузерам и HTTPS, в Pica Pica набор алгоритмов и версия протокола явным образом ограничены.

Кстати, я так понял, SHA224(X.509 сертификат) используется вместо открытого ключа как идентификатор ИСКЛЮЧИТЕЛЬНО ради того, чтобы заюзать TLS библиотеки.

Просто SHA224 короче, чем открытый ключ. Легче копипастить и обмениваться, печатать на визитках, впихнуть в QR-код и т.д. Открытый ключ входит в состав сертификата, и хэш вычисляется в т.ч. и от него.

ИСКЛЮЧИТЕЛЬНО ради того, чтобы заюзать TLS библиотеки.

Какая вообще связь? Где логика? Как одно связано с другим?

antonsv ()
Ответ на: комментарий от torvn77

Из-за такой пагубной ситуации нет желающих участвовать, попытки их найти не увенчались успехом. Вроде как свежие коммиты есть и вроде как всех всё устраивает, чатик работает и ладно. А по факту имеем множество обиженных разрабов, ушедших из проекта. Когда возникали подобные обсуждения, они неизбежно заканчивались фразами типа «ну вот ты запили, а мы посмотрим как у тебя получится и может быть присоединимся». Один человек не потянет такой проект даже на фуллтайме.

InterVi ★★ ()

Какой кошмар. Что это за мода пошла, когда каждый хочет написать еще один «защищнный» мессенджер уровня телеграм?

woops ()
Ответ на: комментарий от antonsv

В Tox-е сомнительная криптография, они изобрели свой протокол, не являясь признанными экспертами в области криптографии

Так и есть.

Pica Pica использует общепринятый TLS

Што? С каких пор использование шифрования на транспортном уровне - это какое-то достижение? И как это вообще с протоколом приложения связано?

woops ()
Ответ на: комментарий от Skullnet

Тогда почему Pica Pica использует сомнительный протокол TLS, а не сразу протокол Signal, в котором доказана безопасность?

Может, потому, что за безопасностью TLS постоянно следят миллионы глаз?

Протокол Signal сложно реализовать ввиду его отсутствия. По крайней мере мне не удалось найти актуальное описание протокола. А вам?

anonymous ()
Ответ на: комментарий от Skullnet

Пика пика, пикачу111

сомнительный протокол TLS, а не сразу протокол Signal,

А почему Ваш хваленый мессенджыр сигнал использует номер мобилки для регистрации? Это от того что хмпп в основе, или от того что это очень секурно?!

anonymous ()
Ответ на: комментарий от torvn77

Вообще для донейшенов есть https://briarproject.org/

Беглый просмотр вызывает к нему ряд вопросов:

  • Только мобильный клиент и только андроид?
  • Tor-only и без Tor-а не работает? И это на мобилке?
  • Offline-сообщений нет by design?

Вместе эти пункты делают общение почти невозможным. Ведь чтобы общаться на мобилке нужно, чтобы оба собеседника держали клиент открытым.

Грубо говоря, чтобы написать кому-то «привет, зайди ко мне в пять», мне нужно держать экран мобилки включенным и мессенжер открытым до тех пор, пока собеседник не прочтёт это сообщение, иначе он его просто не получит.

You must meet up with the person you want to add as a contact. Each of you will scan a QR code from the other person's screen.

А это добивает briarproject окончательно. Я не могу найти кого-то в инете и написать ему в приват — нам сначала нужно встретиться. И назначит встречу мы не можем, потому что не можем списаться.

Briar-у нет смысла донатить. С таким дизайном он не юзабелен. Увы.

anonymous ()
Ответ на: комментарий от Skullnet

- Никаких особых иноваций и киллерфич по сравнению с токсом, при том что он появился раньше токса, но за 7 лет разработки нифига.

Если учесть, что Tox практически не развивается и изначально был криво спроектирован, то инновационность нафиг никому не впёрлась. Tox как был говном, которое делали некомпетентные идиоты, так и остался им.

Лучше бы автор помог разработке проекта Tox

Нафига? Автору итак нормально.

Quasar ★★★★★ ()
Ответ на: комментарий от Skullnet

Ещё один Tox МЁРТВ (C)

А что поделать, если Tox изначально был мертворождённым, и с его задачей изначально справлялся Retroshare?

Quasar ★★★★★ ()
Ответ на: комментарий от Skullnet

Это напоминает мне случай, как одна компания (Canonical) начала продвигать свое ненужное поделие (Mir) вместо существующего Wayland

Продвигать мочу вместо говна - ты идеальную аналогию про ситуацию с Tox подметил.

Quasar ★★★★★ ()
Ответ на: комментарий от anonymous

Старый Tox тоже криворукие дебилы делали. Собственно, это те самые, которые новый пилят. Сначала среди них был адекватный и компетентный разработчик, но он посмотрел, что творят остальные, и свалил.

Quasar ★★★★★ ()
Ответ на: комментарий от anonymous

Хорошо, что гуляющую на форуме идею использования персональных машин для поддержания структуры сети начинают реализовывать.

Уже давно в виде Tor и i2p реализовали. Проблема в том, что для нормального взаимодействия всегда нужны белые IP, либо придётся хитрыми путями создавать туннели поверх существующих сервисов уровнем выше.

Quasar ★★★★★ ()
Ответ на: комментарий от Skullnet

Он уже давно сдох. Кому подобное решение нужно, тот давно пользуется Retroshare.

Quasar ★★★★★ ()
Ответ на: комментарий от torvn77

Надо сразу делать распределённую соцсеть.

На редкость ужасная идея. Правильно делать сеть, которая не будет ограничена технически для подключения одного компьютера к другому.

Quasar ★★★★★ ()
Ответ на: комментарий от torvn77

Думаю, решается этот вопрос очень просто: как только с помощью коротенького хэша установить соединение удалось, можно уже полноценным сертификатом проверять, туда ли попал. Другое дело, что короткие даже хеши не решают проблему человекочитаемых и легко запоминаемых адресов.

Quasar ★★★★★ ()
Ответ на: комментарий от Skullnet

Возьми и прикрути Signal тогда уж, если тебе TLS не нравится. На момент разработки TLS считался правильным решением.

Quasar ★★★★★ ()
Ответ на: комментарий от anonymous

Signal это протокол. О каком мессенджере речь?

Quasar ★★★★★ ()
Ответ на: комментарий от Quasar

Другое дело, что короткие даже хеши не решают проблему человекочитаемых и легко запоминаемых адресов.

Вот именно, задачи человекочитаемости это не решает, но проблемы в адресацию привносит.
И это при том что проблемы то практически нет, потому что даже телефонные номера надиктовываются максимум в 1/3 случаев, в остальных пересылаются и набираются через копирасту или вообще простым нажатием на номер в сообщении.

Ну и какая разница насколько длинный адрес если он передаётся копипастой через сообщение?
(Это если функции отправить или извлечь контакт нету).

torvn77 ★★★★ ()
Ответ на: комментарий от Quasar

а сигнал мессенджер не на протоколе сигнал? Опенвиспер системы запилили что-то другое?

anonymous ()

Pica Pica

С таким названием - не взлетит! Это как кремлевское говно «Там Там». Кто там? Майор!

А здесь кто? Покемоны?

anonymous ()
Ответ на: комментарий от woops

Что это за мода пошла, когда каждый хочет написать еще один «защищнный» мессенджер уровня телеграм?

Народ хочет быть богатым, как Дуров

tiinn ★★ ()
Ответ на: комментарий от anonymous

И чем же это плохо?

Они оба ненужны. Полностью.

Odalist ★★★★★ ()
Ответ на: комментарий от Skullnet

Лучше бы автор

Лучше бы на ЛОР перестали давать советы кому чем заниматься. Но это тогда был бы не ЛОР…

anonymous ()
Ответ на: комментарий от anonymous

Нет, Пикачу совершенно ни при чём :)

Соро́ка (лат. Pica pica) — птица семейства врановых из рода сорок.

antonsv ()
Ответ на: комментарий от anonymous

По ссылке https://briarproject.org/how-it-works.html написано какие именно проблемы призван решить Briar. Из описания можно ещё догадаться, почему клиент под iOs практически невозможен. Если ты не являешься целевой аудиторией этого проекта — это нормально, можешь не донатить и не пользоваться. На твою свободу не посягают. Что не нормально, так это желчь и ненависть по отношению ко всему, что ты не понял, не принял или не смог придумать как можно применить для себя.

anonymous ()
Ответ на: комментарий от anonymous

По ссылке https://briarproject.org/how-it-works.html написано какие именно проблемы призван решить Briar.

Briar is a messaging app designed for activists, journalists, and anyone else who needs a safe, easy and robust way to communicate.

Нет, как раз эта часть мне очень нравится. Создать безопасный децентрализованный мессенжер — в этом нет ничего плохого. Мне не нравится то _как_ они это сделали.

Почему не использовать близлежащие ноды или DHT для временного хранения оффлайн-сообщений? Или скрытые сервисы того же Tor-а, всё равно они на него завязаны. Почему не сделать публичные чаты? Почему не сделать «запросы авторизации» чтобы можно было связаться с произвольным юзером сети без необходимости встретиться лично? Ну и где десктопный клиент, или хотя бы веб-клиент?

А в текущем виде он больше похож на способ координации террористической ячейки — лично знающие друг друга люди в заданный момент времени включают мобилки, заходят в приватный чат, и сообщают кто когда дошёл до цели и готов сделать какую-нибудь гадость...

anonymous ()
Ответ на: комментарий от Quasar

Не справляется, я так и не смог пообщаться со своим другом, а еще там нету видеосвязи, аудиосвязи, и его не поставишь на Debian 10.

vladimir_vist ()
Ответ на: комментарий от antonsv

Блджад. Какую теорию зарубили..:(

anonymous ()

может установить на своем компьютере pica-node и обеспечивать передачу служебного трафика

А за такое разве на 10 лет не посадят?

thunar ★★★★★ ()
Ответ на: комментарий от Odalist

Они оба ненужны. Полностью

Не нужен тут только ты

anonymous ()
Ответ на: комментарий от vladimir_vist

я так и не смог пообщаться со своим другом

Твой парень тебя бросил что ли?

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.