temmokan: (Borg)
[personal profile] temmokan
А не подскажет ли мне ваш жизненный опыт, чем можно пользоваться для
- относительно безопасного (не перехватываемого) общения, желательно однотипным под многие платформы
- того же для отправления и приёма SMS с телефона под Андроидом
?

Много перебрал, но как-то всё больше выбор между "плохо" и "ещё хуже".

С программой для текстового общения (намёки: ICQ, Jabber...) всё непросто.

Проверил бойко разрекламированный Telegram. Сразу скажу, что с мобильного телефона я предпочитаю самое большее звонить или слать/принимать SMS. Набирать на его экранчике сообщения - это, на мой взгляд, сродни самоистязанию. Добавлю ещё, что у Андроида в целом состояние информационной безопасности крайне аховое, и не хотелось бы поручать сему устройству вести архив переписки. Поэтому - только в шифрованном виде.

Ну так вот, Telegram. Десктоп-версия, как выяснилось, не поддерживает коронной функции приложения - шифрованного разговора (в смысле, текстом). Это как если бы рекламировали программу для работы с электронно почтой, у которой не работала бы всего одна малозначащая функция - отправлять или принимать ту самую почту.

Пробовал много чего ещё, все эти Tox, Wickr, ChatSecure, CryptoCat и прочее - или не для всех платформ есть, или крайне неудобно.

Что посоветуете по своему опыту? Я пока что вернулся к Pidgin (в нём тоже есть и Telegram, и прочее, и давно уже привычный Jabber). Если кто хочет сказать, что Pidgin всё ещё хранит пароли учётных записей в явном виде в своих конфигурационных файлах - так я в курсе, и меры, которые возможно принять, уже принял.

Ну и про SMS. Всем был хорош GoSMS - но и тех.поддержка испортилась, и приложение стало сплошным клубком свистелок и пыхтелок. А нужно, чтобы оно
- не капало на мозги рекламой
- умело вести чёрный список отправителей SMS
- не ело всю память телефона, до которой смогло дотянуться

Бывает такое в природе? Пользовался TextSecure, Textra - но они все уже скурвились, принялись слать рекламу.

Заранее спасибо!

(no subject)

Date: 2015-11-19 01:17 pm (UTC)
From: [identity profile] vishurshen.livejournal.com
Не знаю на сколько безопасно и универсально, но пользуюсь Viber и WhatsApp

(no subject)

Date: 2015-11-19 05:13 pm (UTC)
From: [identity profile] temmokan.livejournal.com
WhatsApp, судя по этой статье (https://www.eff.org/secure-messaging-scorecard), не очень надёжно.

Viber, по тому списку, ещё дальше от идеала. Я, естественно, не об удобствах программы говорю, а именно о критериях, по которым проверяла EFF.

(no subject)

Date: 2015-11-19 03:30 pm (UTC)
From: [identity profile] vera-croose.livejournal.com
Шлите дискеты Новой почтой!
Скорость доставки просто потрясающая :)))

Вы про чайника, статистика по специальности, который обнаружил, что почтовый сервер отправляет почту только на расстояние до 500 миль, не слышали? :)

Он сидел где-то в главном статуправлении США и его работа состояла в том, чтобы отправлять запросы по всей стране.
А почтовик имел слишком малое время на ожидание подтверждения о возможности приема почты. Ну и :)))

Пришел внимательный админ и все исправил.
Поройтесь, может полегчает :)

(no subject)

Date: 2015-11-19 05:06 pm (UTC)
From: [identity profile] temmokan.livejournal.com
Э-э-э... а что предлагается исправить?

Речь о программных недостатках. Их программистам надо исправлять, а не системщику.

(no subject)

Date: 2015-11-19 06:08 pm (UTC)
From: [identity profile] alexrat.livejournal.com
Увы, ничего не могу подсказать, потому что забиваю на секурность. Если кому приспичит, до меня доберутся. А так... да кому я нахер нужен?

(no subject)

Date: 2015-11-20 11:44 am (UTC)
From: [identity profile] temmokan.livejournal.com
Алексей, да дело не в том, кому мы нафиг нужны - а чтобы даже случайно ничто никуда не расползалось. Ибо нефиг.

А если бог с ней, с безопасностью - то чем пользуешься?

(no subject)

Date: 2015-11-20 12:03 pm (UTC)
From: [identity profile] alexrat.livejournal.com
Viber потому что бесплатный, WhatsUp потому что там родители из садиковской группы, googletalk и icq для общения со старыми друзьями и знакомыми.

(no subject)

Date: 2015-11-30 11:08 am (UTC)
From: [identity profile] temmokan.livejournal.com
Да, существенно - где исторически был контакт, поскольку люди пользуются тем, к чему давно привыкли. И это нормально.

(no subject)

Date: 2015-11-19 06:18 pm (UTC)
ext_454986: (Default)
From: [identity profile] salamatik.livejournal.com
Константин, вот есть: https://www.vipole.com/ru/

(no subject)

Date: 2015-11-20 11:46 am (UTC)
From: [identity profile] temmokan.livejournal.com
О таком ещё не знал, спасибо!

Охренеть

Date: 2015-11-30 11:33 am (UTC)
burbilog: (Default)
From: [personal profile] burbilog
Ну то есть некая компания, подчиняющаяся законам БРИТАНИИ!!!! (в которой по закону вы обязаны сдать ключи от любого зашифрованного файла и которая скоро вообще сделает использование любых криптографических средств незаконным, если только не сделана дырка для местных полиментов) сделала некий "защищенный" мессенджер и вы верите написанному на их сайте?!

ПЦ.

Я вообще не понимаю, как можно любую лабуду без исходников считать защищенной. Да, наличие исходников еще не гарантирует отсутствие дырок, но в любом случае это является абсолютно необходимым условием для того, чтобы вообще начать вообще обсуждать программу.

Re: Охренеть

Date: 2015-11-30 11:52 am (UTC)
ext_454986: (Default)
From: [identity profile] salamatik.livejournal.com
выпей стекломоя, полегчает




Угу

Date: 2015-11-30 12:01 pm (UTC)
burbilog: (Default)
From: [personal profile] burbilog
Уровень ваших познаний в криптографии впечатляет.

вот те и угу, гебешное

Date: 2015-11-30 12:20 pm (UTC)
ext_454986: (Default)
From: [identity profile] salamatik.livejournal.com
иди копай сыр на помойке

Re: вот те и угу, гебешное

Date: 2015-11-30 12:28 pm (UTC)
From: [identity profile] temmokan.livejournal.com
Господа - просьба ругаться где-то ещё. Я как бы не возражаю против спора любого уровня, но просьба не в этих комментариях.

(no subject)

Date: 2015-11-30 12:36 pm (UTC)
ext_454986: (Default)
From: [identity profile] salamatik.livejournal.com
Прошу прощения, не сдержался. 

Не перевариваю сопливых фашистских хомячков



Re: вот те и угу, гебешное

Date: 2015-11-30 12:53 pm (UTC)
burbilog: (Default)
From: [personal profile] burbilog
Ну какой спор? Человеку нечего ответить, поэтому спустился на уровень тупого хамства. Не вижу смысла в дальнейшей дискуссии с ним.

Re: вот те и угу, гебешное

Date: 2015-12-03 12:32 am (UTC)
From: [identity profile] temmokan.livejournal.com
Это верно.

А я пока продолжу стеганографией заниматься, очень уж увлекательное это дело.

Re: Охренеть

Date: 2015-11-30 12:42 pm (UTC)
From: [identity profile] temmokan.livejournal.com
Строго говоря, открытого кода мало. Помимо аудита, проделанного над коодом, надо именно из него проверенным опять же софтом и с проверенными опять же библиотеками собрать нужный продукт.

Я таким образом с TrueCrypt работал, пока он был живой.

Re: Охренеть

Date: 2015-11-30 12:50 pm (UTC)
burbilog: (Default)
From: [personal profile] burbilog
Конечно мало.

Но проблема в том, что почему-то из "открытого кода мало" делают вывод "без разницы, открытый код или закрытый". Т.е. фейл случается еще на уровне базовой логики, "без А нет Б" почему-то превращается тут же в "А неважно".

Причем наличие открытого кода в порядки важнее, чем сборка самостоятельно -- если проект крупный, то и сборки все сигнатурой подписываются, и народ в случае, если с бинарниками что-то не так, хай поднимет...

Re: Охренеть

Date: 2015-11-30 12:55 pm (UTC)
From: [identity profile] temmokan.livejournal.com
Ну, я-то как раз с этим не спорю.

Беда в том, что у людей базовое понимание принципов безопасности очень часто упрощённое, так скажем. Плюс перлы обыденной логики и пропаганды, типа "честным людям прятать нечего". Я вот вообще не понимаю, как гос.учреждения и прочие стурктуры, где безопасность должна быть главным приоритетом, допускают использование MS Windows и прочих продуктов с закрытым кодом.

Я, кстати, знал человека, который обновления, если можно так сказать, ОС делал переустановкой с более свежего, по всем правилам собранного и подписанного дистрибутива.

Re: Охренеть

Date: 2015-11-30 01:11 pm (UTC)
burbilog: (Default)
From: [personal profile] burbilog
"честным людям прятать нечего".

Ну это вообще отдельная песня. Люди никак не могут понять, что прятать им есть чего, особенно когда есть выборка из миллионов таких же честных. Например этот честный продает квартиру и детали сделки бегают по открытым почтовым серверам, достаточно сделать выборку таких честных и сразу можно решить, куда присылать братков.

Я вот вообще не понимаю, как гос.учреждения и прочие стурктуры, где безопасность должна быть главным приоритетом, допускают использование MS Windows и прочих продуктов с закрытым кодом.

А там никого она не волнует, вообще. Я в свое время пробовал окучивать госконторы, это такое неграмотное и глубокое болото попила, что ни на какие разумные шаги оно не способно. 99% уходит в попил, 1% исполнителю, даже меньше. Какая там нахрен безопасность? Кому она нужна?

Я, кстати, знал человека, который обновления, если можно так сказать, ОС делал переустановкой с более свежего, по всем правилам собранного и подписанного дистрибутива.

Я так с релиза на релиз убунты перелезаю, иначе такая каша получается... кроме того, устанавливаясь на соседний диск (теперь на соседнюю ssd) всегда можно вернуться обратно, если новая версия слишком поганая (как это вышло с пятнадцатыми)...

(no subject)

Date: 2015-11-30 11:49 pm (UTC)
From: [identity profile] cdoxni.livejournal.com
ты подстилка гебешная! тебя повесят, когда скоро власть в России переменится!

Re: Охренеть

Date: 2015-12-01 08:46 am (UTC)
From: [identity profile] temmokan.livejournal.com
В последнее время предпочитаю максимально параноидальный отпрыск Debian - Kali.

Там, к слову, все полезные инструменты уже под рукой.

В остальном - в общем, увы, склонен согласиться, ситуация с безопасностью аховая.

ты охреневшим выродился

Date: 2015-11-30 11:48 pm (UTC)
From: [identity profile] cdoxni.livejournal.com
хомяк, тебе на помойке место, а не криптографию обсуждать!

(no subject)

Date: 2015-11-20 01:18 pm (UTC)
burbilog: (Default)
From: [personal profile] burbilog
Безопасно?

Одноразовый шифроблокнот. Ручка, бумага. А отправлять чем угодно.

(no subject)

Date: 2015-11-30 10:58 am (UTC)
From: [identity profile] temmokan.livejournal.com
С классикой не поспоришь. Но это не очень удобно в электронный век.

Есть некоторые мысли, как устроить относительно надёжный способ передачи шифроблокнота или алгоритма его поиска, но...

(no subject)

Date: 2015-11-30 11:14 am (UTC)
burbilog: (Default)
From: [personal profile] burbilog
Ну, удобство и надежность друг другу просто перпендикулярны. Я тут как-то в свою самописную экранную клавиатуру под андроид прикрутил AES (умеет кодировать/декодировать строку ввода, с коротой работает экранная клавиатура), но заставить скажем подругу пользоваться этим -- дохлый номер. Хотя универсально и можно поверх чего угодно отправлять сообщения, плюс исходник собственный и сам понимаю что и как там происходит.

Надо сказать, что tox мне пондравился, если бы он еще на андроиде батарею бы не жрал... но это увы нерешаемо скорее всего, просто по природе токсовской архитектуры.

Для работы с смсками под андроидом давно пользую chompSMS, мне нравится. Никаких нареканий.

(no subject)

Date: 2015-11-30 11:18 am (UTC)
From: [identity profile] temmokan.livejournal.com
Начсёт удобства и безопасности согласен. Однако не хотелось бы всё переносить в оффлайн и сидеть безвылазно в клетке Фарадея, для вящей надёжности.

В смысле шифрованного зранения относительно удачным вариантом оказалось использование шифрованных контейнеров (при условии, что успеешь выключить питание или ткнуть в "Reset", чтобы остался зашифрованным).

За chompSMS спасибо, сейчас и проверю.

(no subject)

Date: 2015-11-30 11:44 am (UTC)
burbilog: (Default)
From: [personal profile] burbilog
В смысле шифрованного зранения относительно удачным вариантом оказалось использование шифрованных контейнеров (при условии, что успеешь выключить питание или ткнуть в "Reset", чтобы остался зашифрованным).

Опасно -- потому что сервер не защищен, а с него в работающий контейнер влезть элементарно. Наиболее правильно загружать бук с шифрованного раздела, а кроме того гонять на нем специальный демон, который при появлении любого неожиданного девайса, особенно usb, тут же чистит оперативку и делает выключение питания. Но от холодной перезагрузки путем тыканья куда-нибудь в мать не поможет.

(no subject)

Date: 2015-11-30 12:27 pm (UTC)
From: [identity profile] temmokan.livejournal.com
Ну, начнём с того, что если есть физический доступ третьих лиц к компьютеру (сервер), то там практически бесполезно что-то хранить. Что ни выдумывай, практически всегда можно придумать сценарий перехвата.

Идеальный вариант - отдельный компьютер, где всё шифровано, начиная с загрузочного раздела - стоящий в клетке Фарадея, которая стоит в вакуумированной, плавающей на магнитной подвеске камере, которая стоит в глубинах озера жидкого азота. Чтобы максимально затруднить перехват.

Но это так, лирика. В реальности приходится пользоваться "довйным дном", если могут вынудить сдать пароль, или вообще не передавать ничего, что составляло бы тайну.

(no subject)

Date: 2015-11-30 01:02 pm (UTC)
burbilog: (Default)
From: [personal profile] burbilog
Ну про сервер -- это с концами, да, т.к. его нельзя физически сторожить. С небольшим нотбуком можно быть более-менее уверенным, если:

а) поездить по городу и в случайном месте его купить (вряд-ли скажем по всей москве везде во все модели воткнут хардварные keylogger'ы и прочее)
б) после покупки держать его всегда при себе
в) не налажать с софтом
г) включать только проверив физическую безопасность помещения, чтобы вокруг не было посторонних (ЕМНИП, хозяина шелкового пути прихватили выдернув из рук работающий бук, когда тот сидел в кафешке)

(no subject)

Date: 2015-11-30 01:08 pm (UTC)
From: [identity profile] temmokan.livejournal.com
Осталось добавить простые средства надёжного уничтожения данных "у ней внутре" и переносную клетку Фарадея ("дипломат", выстланный достаточно толстым слоем фольги уже сгодится) - чтобы ушлые люди не могли его отслеживать.

Ну и не ходить с такими предметами в местах общественного доступа, если уж опасаться оптимистов в штатском.

(no subject)

Date: 2015-11-30 01:15 pm (UTC)
burbilog: (Default)
From: [personal profile] burbilog
Для надежного уничтожения достаточно выдрать батарею и из оперативки уже ничего не достать, а дальше диск ничем не расшифруют. Plausible deniability и все. Физическое уничтожение имхо перебор.

И не "не ходить", а "не включать". Носить-то как-раз придется, дабы всегда знать, что бук никто больше не трогал и в него ничего лишнего не засунули.

(no subject)

Date: 2015-11-30 11:51 pm (UTC)
From: [identity profile] cdoxni.livejournal.com
тебя на Селигере научили криптографии, прыщавый?

(no subject)

Date: 2015-12-01 08:44 am (UTC)
From: [identity profile] temmokan.livejournal.com
С поправкой согласен.

Но это уже экстремальный вариант, жизнь по схеме "всё моё ношу с собой", иначе каждое электронное устройство должно быть одноразовым.

(no subject)

Date: 2015-12-01 12:01 am (UTC)
From: [identity profile] cdoxni.livejournal.com
Константин Юрьевич, очень лубянским не нравится Vipole - не по зубам.

Они всячески пытаются дискредитировать его в инете с помощью своих шавок.


(no subject)

Date: 2015-12-01 08:42 am (UTC)
From: [identity profile] temmokan.livejournal.com
Об этом можно поспорить - насколько не по зубам - но большая просьба не ругаться в комментариях. Препирайтесь где-нибудь ещё.

Важно помнить ещё, что самое слабое звено во всей криптографии - всегда человек. Симметричная криптография при достаточно длинной кодовой фразе и отсутствии инфорамции об исходном тексте "взламывается" только полным перебором, но если человека можно вынудить предоставить эту фразу - то и ломать-то не нужно.

Profile

temmokan: (Default)
Konstantin Boyandin

July 2017

S M T W T F S
      1
23 45678
9101112131415
16171819202122
23242526272829
3031     

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags