LINUX.ORG.RU

Представлена библиотека (n+1)sec

 , , ,


2

1

Группа разработчиков eQualit.ie представила первую тестовую версию своего протокола (n+1)sec, ориентированного на создание децентрализованных чатов с поддержкой end-to-end шифрования для произвольного количества участников. Основными преимуществами протокола являются: поддержка технологии perfect forward secrecy (PFS), не позволяющей использовать для расшифровки перехваченного трафика сеансовый ключ, генерируемый с использованием долговременных ключей, даже если один или несколько из долговременных ключей будут скомпрометированы, и Deniable authentication, что не позволяет третьим лицам доказать авторство сообщений участников после выхода из чата. Также следует отметить такие особенности как проверка целостности чат-комнат и единый порядок сообщений.

Для тестов предлагается эталонная реализация библиотеки на C++, плагин для Pidgin, реализующий клиентский функционал, и тестовый набор EchoChamber. Исходные коды доступны по лицензии LGPL-3.0.

Описание протокола: https://learn.equalit.ie/wiki/Np1sec

Библиотека: https://github.com/equalitie/np1sec

Плагин для Pidgin: https://github.com/equalitie/np1sec-test-client

Тестовый набор: https://github.com/equalitie/EchoChamber

>>> Подробности

★☆

Проверено: leave ()

Основными преимуществами протокола являются поддержка технологий perfect forward secrecy (PFS) не позволяющей использовать для расшифровки перехваченного трафика сеансовый ключ, генерируемый с использованием долговременных ключей,

TLS уже давно существует

Harald ★★★★★ ()
Ответ на: комментарий от Infra_HDC

В p2p блокировать некого. Поэтому и повлиять никакие блокировки в нынешнем виде не могут. Тут способен что-то изменить только следующий этап — переход к «белым спискам», когда доступ будет только к разрешённым адресам, уголовные наказания на использование p2p-софта и т.п. Пока такого даже в КНР нет, разве что в КНДР только :)

KRoN73 ★★★★★ ()
Ответ на: комментарий от bdfy

а нет ли статьи для тупых, где попроще описывается, как это реализуется и на каких принципах работает ?

Читал ещё на днях на других ресурсах, тоже нифига не понял в чём революционность.

VolleyFire ()
Ответ на: комментарий от Harald

TLS уже давно существует

Только в нем perfect forward secrecy стал гарантироваться только со стандарта TLSv1.2, в котором выкинули все не эфемерные шифры. А многие телевизоры до сих пор ничего выше SSL3.0 не умеют.

Кстати, если такие библиотеки появляются как грибы после дождя, то это явный признак того, что TLS очень многих не устраивает. Ибо криптографическая библиотека - это не очередной плеер или текстовый редактор. Ее студент за пару вечеров не напишет.

anonymous ()
Ответ на: комментарий от bdfy

а нет ли статьи для тупых, где попроще описывается, как это реализуется и на каких принципах работает ?

Насколько я понимаю, это Diffie hellman (только сейчас он реализуется на эллиптических кривых). Суть в том, что сначала Алиса с Бобом генерируют общий ключ для симметричного шифрования, который потом используют только в течение одной сессии. Прослушивание (без вмешательства в траффик) не даст возможность узнать секретный ключ. Записывать трафик тоже бесполезно, т.к. ключ используется только в течение одной сессии и если удастся получить ключи шифрования другой сессии, то расшифровать можно будет только ее, но не предыдущие.

В общем гугли Diffie hellman.

anonymous ()
Ответ на: комментарий от anonymous

телевизорам в p2p мессенджере тоже как бе делать нечего, да и ограничить возможные криптоалгоритмы до стойких в своём приложении тоже никто не запрещает

Harald ★★★★★ ()
Ответ на: комментарий от KRoN73

Тут способен что-то изменить только следующий этап — переход к «белым спискам», когда доступ будет только к разрешённым адресам, уголовные наказания на использование p2p-софта и т.п.

К тому моменту, когда интернет будет по паспорту и с белыми списками в нем не останется ничего интересного. Это будет примерно то же, что и современное ТВ - стерильные программы, реклама и пропаганда (хотя я могу и ошибаться, у меня нет телевизора уже больше 20-ти лет). Соответственно, все кому что-то нужно, и кто готов для этого приложить усилия, либо уедут, либо уйдут на зарубежные ресурсы (facebook, англоязычные форумы), либо найдут возможность получить доступ к нужным ресурсам (которые опять же будут находиться за рубежом).

Я вообще плохо понимаю, в чем цель всех этих законопроектов, прижимающих интернет. Ну, занесли они Пашин телеграм в какой-то реестр, ну пообещали, что потребуют, чтобы все, кто в реестре идентифицировали пользователей по номеру и паспорту. Ну уйдут пользователи из Пашиного телеграмма в штатовский «ЧёКак», ну, удачных попыток людям, лоббирующим очередной законопроект получить доступ к данным пользователей из ЧеКака (Паша наверняка гораздо охотнее сотрудничает с нужными людьми, когда получает запросы по делу, чем американские конторы).

anonymous ()
Ответ на: комментарий от KillTheCat

Дайте мне дюжину миллиардов с исполнительной властью и я заблокирую хоть тор, хоть ш2з.

У тебя через минуту бабки отберут, а тебя самого заблокируют куда-нибудь на Воркуту лет на 10 за растрату этих самых милилардов.

anonymous ()
Ответ на: комментарий от anonymous

К тому моменту, когда интернет будет по паспорту и с белыми списками в нем не останется ничего интересного.

Увы, это ошибка. Точнее, для тебя лично — наверное, так. Но если судить с точки зрения массового обывателя, ничего не изменится. Котэ, рецепты, смешные картинки и даже патчи KDE под BSD — всё это останется без изменений. И львиная доля юзеров вообще не заметят разницы.

либо уедут, либо уйдут на зарубежные ресурсы

99% никуда не поедет, зарубежные ресурсы или будут вне белого списка, либо будут делать всё нужное, чтобы оставаться в белом списке.

Я вообще плохо понимаю, в чем цель всех этих законопроектов

1. ИБД (основная часть)
2. Закручивание гаек. Любое государство всегда закручивает гайки до той степени, до которой ей позволяет население. У нас сейчас закручивание гаек сопротивления не вызывает. Вот они и крутятся.

KRoN73 ★★★★★ ()

ориентированного на создание децентрализованных чатов

Для тестов предлагается эталонная реализация библиотеки на C++, плагин для Pidgin реализующий клиентский функционал

Using the (n+1)sec plugin

Once you have enabled the plugin (Tools > Plugins > (n+1)sec secure messaging), join the XMPP («Jabber») room («chat») where you are planning to have your encrypted conversation as you would normally with Pidgin.

И где там заявленная децентрализация?

Пока вижу OMEMO (Signal протокол для джаббер).

gag ★★★★★ ()
Ответ на: комментарий от anonymous

TLSv1.2, в котором выкинули все не эфемерные шифры.

Сетевые провайдеры же стали против: не дают им видите ли расшифровывать «свой» контент для обнаружения атак. И что, неужели их быстро удалось успокоить?

gag ★★★★★ ()
Последнее исправление: gag (всего исправлений: 1)
Ответ на: комментарий от anonymous

Кстати, если такие библиотеки появляются как грибы после дождя, то это явный признак того, что TLS очень многих не устраивает.

Так TLS - это E2E. А протоколы появляются из-за наличия промежуточного сервера. Если бы этот n+1 был не только в тексте новости «децентрализованным», а и на самом деле тру-E2E, так и, правду говорите, ничего городить не надо было: для прямого соединения двух узлов уже есть TLSv1.2.

gag ★★★★★ ()
Ответ на: комментарий от anonymous

Я вообще плохо понимаю, в чем цель всех этих законопроектов, прижимающих интернет.

1) Нажиться с продажи оборудования для великого фаервола.

2) Просто нагадить.

thunar ★★★★ ()
Последнее исправление: thunar (всего исправлений: 2)
Ответ на: комментарий от KRoN73

99% никуда не поедет

Потребители контента, разумеется не будут шевелиться. А вот создатели и не просто ширпотреба для продажи рекламы...

Суть в том, что очередной яндекс или телеграм если и появится, то где-то за пределами великого файрвола. Сейчас в России, что-то подобное осилить можно только в пределах какого-нибудь сколково под крепкой крышей. Но сколько ни старайся оградить отдел R&D от корпоративных заморочек, они все равно пролезут, в результате получится все как обычно.

В общем, очередной энтузиаст-создатель вряд ли станет что-то реализовывать в России.

anonymous ()
Ответ на: комментарий от anonymous

А вот создатели и не просто ширпотреба для продажи рекламы...

А 99% «создателей» — как раз и создают тот самый контент, который потребляет 99% читателей :)

Суть в том, что очередной яндекс или телеграм если и появится, то где-то за пределами великого файрвола

И? Поверь, если дело дойдёт до описанных сценариев, это будет наименьшей бедой :D

В общем, очередной энтузиаст-создатель вряд ли станет что-то реализовывать в России.

Только обычный Интернет-юзер этого не заметит.

KRoN73 ★★★★★ ()
Ответ на: комментарий от KRoN73

В p2p блокировать некого.

Сам протокол. DPI на него (интернет) навесят, и всё, что не укладывается по таймингам в браузинг на 80 и 443 будут резать, как китаёзы.

anonymous ()
Ответ на: комментарий от no-such-file

В p2p блокировать можно программу
И её распространителя

Флоппинет никто не отменял :) Не говоря уже про всякие запароленные архивы почтой и т.п. Программу доставить не проблема.

KRoN73 ★★★★★ ()
Ответ на: комментарий от anonymous

В p2p блокировать некого.

Сам протокол. DPI на него (интернет) навесят

Какой DPI для шифрованного протокола? Запрещать любой https?

всё, что не укладывается по таймингам в браузинг на 80 и 443 будут резать, как китаёзы

А при чём тут тайминги? Обычные http-запросы. Да и, вон, в той же ZeroNet, хотя оно ни разу не 80/443/https, китайцев огромный наплыв — ZN не режется их файрволами.

KRoN73 ★★★★★ ()
Ответ на: комментарий от KRoN73

А при чём тут тайминги?

При том, что можно анализировать и шифрованное соединение на предмет паттернов и понять, смотришь ли ты обычный сайт на 443 порту или гонишь VPN трафик. Почитай, как китаёзный фаер устроен. И то, что они еще не подкрутили настройку для зеронета ни о чём не говорит.

anonymous ()
Ответ на: комментарий от anonymous

При том, что можно анализировать и шифрованное соединение на предмет паттернов и понять, смотришь ли ты обычный сайт на 443 порту или гонишь VPN трафик

Угу. Это в том случае, когда такие паттерны есть, а не когда p2p работает через обычный https :)

KRoN73 ★★★★★ ()
Ответ на: комментарий от KRoN73

Угу. Это в том случае, когда такие паттерны есть

Есть. Не зря же пацанва пытается всякие obfs proxy лепить. Не важно что и через кого работает. Важно, что GFW поймёт, когда ты просто просматриваешь сайт через HTTPS, а когда гонишь через него какую-то непонятную хренотень. И вот в последнем случае пакетики начинают дропиться. Machine learning (на характер трафика и тайминги при просмотре юзером обычного сайта) не проведёшь и всё как бы по феншую без официальных белых списков.

anonymous ()
Ответ на: комментарий от anonymous

Важно, что GFW поймёт, когда ты просто просматриваешь сайт через HTTPS, а когда гонишь через него какую-то непонятную хренотень.

Только в частных случаях. Если ты будешь с https-сайта тащить https-контент, то фиг ты в общем случае узнаешь, нормальный это контент или запрещённый :)

Или же у тебя начнёт массово дропаться и обычный контент из-за ложных срабатываний.

KRoN73 ★★★★★ ()
Последнее исправление: KRoN73 (всего исправлений: 1)
Ответ на: комментарий от KRoN73

А можно понять,когда и какой контент ты тащишь с сайта. Просто смотришь ли страничку. Видос включил или еще что по мелочи. А всё остальное да, будет дропаться.

У китаёз щас так и делается. Чуть что не так, пошли дропы. Через какое-то время опять всё восстанавливается. Опять что-то не так? Держи ещё дропов.

Современный браузеринг весьма предсказуем. Всё остальное зарежут.

А что бы подстроиться под обычные паттерны создателю любого метода обхода придётся реально попыхтеть и это будет сказываться на скорости.

Для запрещённого же контента есть чёрные списки. Речь о том, что ты пытаешься спрятать что-то в https-e. А это выявляется на раз-два. Не будь столь наивным.

anonymous ()
Ответ на: комментарий от anonymous

У китаёз щас так и делается.

Да в том-то и дело, что у них всё не настолько плохо :) Пообщайся сам с ними в ZeroNet. Их файрвол даже против обычного VPN бессилен, они спокойно через VPN сидят. При чём ещё недавно они не просто массово использовали сторонние популярные VPN, а использовали VPN в самом Китае :) Только недавно их блокировать начали. Но это именно простая блокировка, как и в России.

У них даже Tor не всегда блокируется, хотя он-то, как раз, анализом трафика легко палится :)

KRoN73 ★★★★★ ()