LINUX.ORG.RU

Briar Beta

 , ,


5

2

Briar — это приложение для обмена сообщениями, созданное для людей, которым необходимо средство безопасного и простого способа общения. В отличии от популярных на данный момент средств обмена сообщениями, Briar не зависит от центрального сервера — сообщения синхронизируются напрямую между устройствами пользователя. Если Интернет становится недоступным, то Briar может обеспечивать связь посредством Bluetooth или Wi-Fi.

После внутреннего тестирования и проведения независимого аудита безопасности проект становится доступен для тестирования неограниченному количеству пользователей (обратная связь). В связи с тем, что после проведения бета теста возможны изменения протокола, то аккаунты пользователей будут несовместимы с финальной версией протокола.

В числе разработчиков есть люди, которые приложили свою руку к таким проектам, как I2P, Freenet и LimeWire.

Больше информации доступно на wiki страницах проекта. Например, там можно найти модель угроз, а также зачем нужны привилегии приложению.

Сборки Briar доступны в Google Play, а также в виде apk для тех пользователей, которые предпочитают не использовать Google Play. Подробнее о установке и использованию можно прочитать в официальном руководстве пользователя.

На данный момент разработчики сконцентрированы на мобильном приложении под Android, но для имплементации протокола в рамках приложения для десктопа нет никаких преград, так как (цитата) «Briar был создан модульным настолько, насколько это возможно».

Исходные коды проекта распространяются по лицензии GNU GPLv3.

>>> Подробности

★★☆☆☆

Проверено: JB ()
Ответ на: комментарий от jollheef

ну поэтому они и пытаются сделать распределённую сеть. только она не p2p, а распределённая, а p2p там возникает иногда как побочный эффект.

anonymous ()
Ответ на: комментарий от anonymous

Почему же. Сам факт выявления шифрования ещё не является достаточным условием для компрометации данных. Это как понять что диск зашифрован truecrypt, но не иметь возможности с этим что-либо сделать. Либо как ssl трафик. Он есть, но за приемлемое время с ним сложно что-то сделать.

anonymous ()
Ответ на: комментарий от anonymous

я слышал, что зашифрованый раздел внутри зашифрованого раздела определить не должно быть возможным. это имеет смысл, потому что шифрование превращает структурированую информацию в белый шум, а белый шум - это белый шум, по нему не должно быть понятно это шум от тора, truecrypta'а или ssl'я.

ssl вероятно определяется по незашифрованому рукопожатию, vpn думаю таким же образом, как в торе - хз, но если он поддаётся классификации, то вероятно где-то дефект в шифровании.

anonymous ()

Не каждый программист или любой другой айтишник может понять дизайн док таких систем и для себя оценить риски. Эти системы (телеграмы и сабж) все слишком сложные чтобы просто и понятно самому представить векторы атаки и границы доверия. Нет чтобы просто написали мессенждер с принудительным E2E шифрованием после физического обмена ключами. И чтобы можно было свой сервер держать под кроватью или в AppEngine, но чтобы там все блобы были зашифрованы на клиенте. Ну и плюс мультидевайс был не сломан (в отличие от связки Jabber+OMEMO)

vertexua ★★☆☆☆ ()
Последнее исправление: vertexua (всего исправлений: 1)
Ответ на: комментарий от anonymous

Но сам факт наружного зашифрованного раздела определить можно. В любом случае, должны быть какие-то заголовки, определённый порт и т.д. (должен же как-то клиент подключиться к другому клиенту). Это всё косвенные признаки, по которым можно идентифицировать тип трафика, но не то что внутри зашифрованного потока. Ну а для блокировки достаточно только определения типа трафика.

anonymous ()
Ответ на: комментарий от anonymous

ну в торрентах когда-то было зашифрованое рукопожатие, случайные порты тоже использовались. это всё делалось как раз для исключения классификации трафика. крупные провайдеры в сша не любили когда их пользователи обменивались файлами и резали торрентовый трафик.

как сейчас - не знаю, но вроде в сша торрентят до сих пор. думаю то же самое вполне можно применить и для мессенджеров каких-нибудь.

anonymous ()
Ответ на: комментарий от anonymous

На каждую хитрую гайку найдётся болт с левой резьбой. Имхо, сложно решить задачу блокировки раз и навсегда. (Даже рандомный перебор портов можно отследить по последующему рукопожатию, ведь ключами и идентификаторами как-то обменяться надо). Вопрос будет в желании блокирующей стороны заблокировать. Если желание будет большим, а средства почти неограниченными (читай, блокиратор - государство), то заткнуть все протечки можно будет. Даже ценой whitelist. Но, имхо, если станет такой вопрос, то разработчикам, вполне возможно, быстрее надоест играть в кошки-мышки. Напоминает, почему-то, старый боян - https://xakep.ru/2006/12/16/35784/

anonymous ()
Ответ на: комментарий от KOT040188

Tox, ring, Briar. Может хватит? Может хоть один до ума довести?

Да вот непонятно, понавыпускали много безопасных мессенджеров, но ни одним нельзя пользоваться. Кто может про Ring сказать? Пишут на днях релиз 1.0 вышел. Оно юзабельно?

startx ()
Ответ на: комментарий от anonymous

В США за скачивание пиратских фильмов через торренты копрасты просто шлют тебе угрозы на почту

А так-то самим провайдерам наплевать, они сервис предоставляют, какое им дело что ты там гоняешь?

Gary ★★★★★ ()
Ответ на: комментарий от anonymous

так и с другой стороны тоже сложно решить задачу блокировки раз и навсегда, в теории, должно быть совсем невозможно. плохо будет только если весь зашифрованый трафик отрубят, белый шум-то как раз можно классифицировать очень легко: если распределение бит равномерное - значит белый шум, ха-ха-ха. но отрубание всего зашифрованого трафика - это скорее апокалиптичный сценарий, чем реалистный.

имхо это всё делается для галочки, типа есть вот такой закон, по закону это нельзя, но кому надо будут продолжать делать то, что делали не особо напрягаясь. в случае каких-то косяков сеть просто адаптируется да и всё, а закон потом как-нибудь отменят. потому что зачем иметь закон который невозможно выполнить?

anonymous ()
Ответ на: комментарий от dada

а остальные

Так же установят с Маркета/APK? Далее встреча, обмен QR-кодами и… всё.

Другое дело, что оно просто сырое и не полностью функционально, если смотреть на блог/форум — там пока нет возможности удалить пост, например. Именно из-за этого нужно идти к ним на GitLab и описывать, что тебе, пользователю, нужно.

commagray ()
Ответ на: комментарий от commagray

Так же установят с Маркета/APK?

Но зачем?

Если у безопасного мессенджера не будет конкурентоспособного набора фич, никто его кроме пары гиков ставить не станет

Gary ★★★★★ ()
Ответ на: комментарий от Gary

это давно было. когда-то боролись с торрентовским трафиком, из-за этого все эти ништяки в торрентах и появились. было время, что люди на незащищённом соединении даже не могли нормально поторентить потому что масса пиров отказывалась устанавливать соединение по незащищёному протоколу. вполне возможно, что сейчас всех уже отпустило.

anonymous ()
Ответ на: комментарий от anonymous

Никого не отпустило, потому что никакое шифрование в торрентах не спасает от слежки за пользователями by design

https://torrentfreak.com/game-thrones-pirates-monitored-hbo-warnings-way-170719/

Достаточно подключиться в нужный сварм и можно собрать адреса всех участников

Gary ★★★★★ ()
Ответ на: комментарий от Gary

Но зачем?

Для локального аутирования с друзяшками, конечно. Это же всё-таки хорошая, топорная реализация Mesh-сети — почему бы не потыкать? :з Для всего остального растёт Matrix.

commagray ()
Ответ на: комментарий от dada

Я тоже задам вопрос.

А как они в свое время перешли с аськи на скайп? Кто-то позвал. Никто ничего за тебя не решит. Если хочется безопасного общения, то надо пошевелиться, объяснить в чем преимущества, помочь с миграцией. Иначе никак.

startx ()
Ответ на: комментарий от startx

Не просто «кто-то позвал», у скайпа тогда были голосовые звонки, история на сервере, групчаты, в аське ЕМНИП этого ничего не было. Была реальная мотивация для перехода, киллер-фичи так сказать.

Сейчас ни у одного свободного протокола никаких киллер-фич нет.

Gary ★★★★★ ()

Человек, который не понимает зачем ему безопасный мессенджер, вобщем страдает болезнью «мненечегоскрывать» - должен страдать. Переводить таких людей на нормальные мессенджеры - дело неблагодарное и заранее гиблое.

anonymous ()
Ответ на: комментарий от Aceler

Токс с его зубодробительными IDшниками ты никак знакомым не предложишь, залюбятся. А у Briar'а IDшники скрыты за QR-кодом и можно любому чайнику предложить пользоваться.
Ну и сколько я смотрел на токс пациент скорее мертв, чем жив. Будем следить за Бриаром, если взлетит, то будет годно.

ergil ★★★ ()
Ответ на: комментарий от ergil

lol, tox клиенты тоже умеют генерировать/сканировать qr код. Да пациент выглядит мертвым, но более толкового пока не придумали, если у briar будет десктопный клиент, то можно будет глянуть на него

log4tmp ★★★★ ()
Ответ на: комментарий от Gary

А не нужны киллер-фичи. Я как в свое время народ переводил на джаббер, так же в прошлом году перевел на телеграм. Сказал «Я вон там, кому нужен добавляйте» и ушел из других мессенджеров. Сейчас все контакты кроме отца в телеграме(отец только воцапп осилил), в том числе рабочие контакты и рабочие чаты все там.

ergil ★★★ ()
Ответ на: комментарий от jollheef

Ясно, ты просто ещё один «Не надо ставить железную входную дверь взамен деревянной, потому что её тоже можно взломать».

Великолепный аргумент, креативный, задорный, остроумный. Теперь каждая секретарша будет мечтать у тебя на коленках посидеть.
Ну поставил ты железную дверь в картонную стену с дырками. Рад и счастлив — уел неоспоримым аргументом собеседника на форуме. Если ещё чего-нибудь сочинишь, не стесняйся, обязательно напиши.

И как сосед Вася мне его установит?

Не обязательно тебе, у тебя может быть пока ещё всё хорошо. А у тех, с кем ты переписываешься, уверенный в безопасности, может быть немного иначе.

Определим, что Вася тут высококвалифицированный специалист по информационной безопасности, но не имеет физического доступа к устройству.

Не надо наковыривать из носа сферических допущений. Достаточно понаставить говн из маркета, или цапнуть вайфаем открытую точку с инжекцией в трафик. И если ты не хапнешь, то из твоего контакт-листа кто-то хапнет на несколько лет необновляемый китайфон с джиллибинололипопом.

imul ★★★★★ ()
Ответ на: комментарий от dada

я установлю себе briar, а остальные ?

Очевидно же. Отнять у друга смартфон, поставить туда бриар, добавить в контакт-лист, вернуть смарт другу. Через 87 дней повторить.

imul ★★★★★ ()
Ответ на: комментарий от ergil

Токс с его зубодробительными IDшниками ты никак знакомым не предложишь, залюбятся.

Справедливости ради при создании Tox-аккаунта (да и после вроде) можно зарегать публичный ник - кто помешает тебе искать знакомого по нику? Шифрование у тебя от этого не отключится.

Ну и сколько я смотрел на токс пациент скорее мертв, чем жив.

И чем же это вызвано? Пользуюсь больше года, никаких проблем.

Будем следить за Бриаром, если взлетит, то будет годно.

Ring вероятнее взлетит еще раньше.

startx ()
Ответ на: комментарий от imul

Не надо наковыривать из носа сферических допущений

Это называется не допущение, а хоть какое-то определение потенциального нарушителя. Если ты привык говорить о сионистах в качестве тех, кто будет у тебя воровать информацию, а каждое сообщение считаешь из расчета, что оно содержит информацию на миллионы, то разговаривать с тобой не о чем — ты некомпетентен.

jollheef ★★☆☆☆ ()
Ответ на: комментарий от startx

Ring вероятнее взлетит еще раньше.

Пользователи выиграют в любом из вариантов развития событий.

Вчера было несколько стагнирующих, теперь хотя бы пара конкурирующих.

jollheef ★★☆☆☆ ()
Ответ на: комментарий от jollheef

Нет, неправильно. Клиент под десктоп будет — под него уже создают задачи в GitLab.

Тогда к чему это - передача ключей только при личной встрече? Пиар в стиле телеги?
Нужно быть последовательным, я бы еще добавил паринг через бт для подтверждения, чтобы через вебки не френдились.

KillTheCat ★★★★ ()
Ответ на: комментарий от Gary

В tox в протоколе нет поддержки нескольких устройств в принципе.

Вместо кококо лучше скажи конкретно что в Antox не работает по твоему мнению в настоящий момент.

anonymous ()
Ответ на: комментарий от Gary

В tox в протоколе нет поддержки нескольких устройств в принципе.

https://github.com/GrayHatter/toxcore/tree/multi-device есть ветка в которой мультидев пилят, но оно должно поломать текущее api так что пока не сливают с основным кодом

anonymous ()
Ответ на: комментарий от KillTheCat

Тогда к чему это - передача ключей только при личной встрече?

На кей-сайн-пати например рекомендуется с удостоверением личности приходить, иначе ключ могут и не подписать.
Здесь тоже нужно точно убедиться, что ключами меняешься именно с тем самым человеком.
Но, есть второй конец у этой палки. Было бы неплохо идти на встречу с выключенным телефоном и включать телефоны и меняться ключами в ячейке фарадея (или наподобие, без связи с базовыми станциями). Светить нахождение в одной локации при таком важном действии совершенно ни к чему.

imul ★★★★★ ()
Ответ на: комментарий от imul

Я про то что если делать обмен контактами только при личной встрече, то никаких десктопов с передачей через сеть. Иначе это просто пиар а не концепция. Конечно такой месседжер никого не убьет, но определенную нишу в тоталитарно-авторитарных странах занять может.

KillTheCat ★★★★ ()