Если использовать M3-систему вместо классического DH, то, как понимаю, логика с простыми числами будет отсутствовать? Но при таком сценарии разве не будет возникать малых подгрупп, количество элементов в которых будет меньше заданного N? Протокол DH использует для предотвращения этому надёжные простые числа вида p=2q+1.
Также, есть ли какие-нибудь бенчмарки M3-системы в сравнении с DH? Могу ошибаться, но кажется, что классический DH с переумножением чисел будет быстрее при условии, что модуль N в M3-системе сопоставим с модулем p в DH-протоколе.
Это интересно. Если всё так, то это действительно здорово. Есть ли статьи, где об этом можно почитать более подробно? Вроде и читал статьи / работы с сайта I2P, но конкретики по тому как ложный трафик генерируется, в какой пропорции и насколько он завязан на открытых текстах не нашёл - вполне возможно, что мог это и пропустить.
Он не "взламывает" AES так, как алгоритм Шора взламывает RSA, но он эффективно уменьшает стойкость ключа вдвое.
Если мы говорим про стойкость ключа (т.е. его сопротивляемость к полному перебору), то алгоритм Гровера уменьшает его не вдвое, а в раз. Вдвое он уменьшает именно что количество бит.
Если часто менять идентификаторы - возможно и будет сложно раскрыть связь клиентов, но здесь надо учитывать несколько моментов: доступ к сигналу придётся осуществлять всегда через анонимную сеть по типу Tor (чтобы сервер не мог идентифицировать клиентов по их IP-адресам), идентификаторы должны меняться постоянно (а это проблемное занятие, т.к. необходимо разграничивать собеседников от всех остальных, следовательно должна существовать и процедура какой да никакой аутентификации). При этом идентификаторы полностью исключить также невозможно, в том числе и SimpleX доказывает это своей концепцией очередей. Плюс к этому и поведение пользователей должно меняться - время отклика, частота общения, период начала и окончания разговора и т.д. Очень велика вероятность, что если сервер захочет - он сможет связать участников. Для осуществления такой анонимности требуется закрыть очень много переменных. Плюс к этому, всё вышеперечисленное также и не учитывает атаки в кооперации с другими наблюдателями, по типу локального или глобального, а это открывает ещё нехилый такой пласт векторов нападения.
Не путайте транспортную сеть с внутренней. IP-адреса есть у маршрутизаторов, но у узлов (публичные точки входного и выходного маршрутов) сети внутри I2P их нет.
Вот тут и был подвох в моём вопросе ) Централизация обеспечивает схожим образом и определённую долю анонимности при скрытии IP-адресов клиентов за счёт своей же маршрутизирующей функции от клиента к клиенту. Для сервера IP-адреса известны - это бесспорно, но вот для клиентов - они скрыты, мы обращаемся по идентификаторам. Сервер анонимизирует одного клиента от другого, а также от третьих сторон их общую связь. В такой концепции мы ровно также можем считать сервер маршрутизатором, а клиентов - узлами. Иными словами, в такой концепции особых отличий и нет между транспортной сетью и внутренней.
А какая разница, в одной или нет, если пакеты роутятся через случайные маршрутизаторы сети, вроде бы, даже специально подбирая проход через юрисдикции
Разница начинает себя проявлять при активных атаках, когда существует кооперация глобального наблюдателя и атакующего в роли клиента. Клиент может посылать запросы и получать ответы, сверяя результирующее время запрос-ответ. Глобальный наблюдатель может блокировать или замедлять часть сети для определения в каком подмножестве может находиться сервер. Клиент также может начать генерировать аномально большое количество трафика, а глобальный наблюдатель будет сверять точки принятия наибольшего количества пакетов.
Я не слышал о действенных. Для всех известных в сети встроены меры противодействия, в т.ч. постоянный «мусорный» трафик, имитирующий транзитный.
Мусорный / транзитный трафик не панацея, он не способен стереть разницу между истинным и мусорным трафиком, т.к. вместо замены одного другим - происходит наложение одного на другое. В результате, если количество истинного трафика будет увеличено многократно (аномально), а мусорного - нет, разницу будет видно.
Убрать телефон - это не полноценное решение проблемы анонимности. Сигнал сможет и без номера телефона, и даже без какого-либо явного идентификатора, успешно понимать кто и кому отправляет сообщения будучи централизованным сервисом. Сигнал пошёл по наиболее простому пути, не заморачиваясь с децентрализованной моделью, но сохраняя при этом более-менее корректную модель угроз, где предполагается конфиденциальность на базе E2E, но не предполагается анонимность. Но справедливости ради, наличие номера телефона действительно играет негативную роль, но лишь при комбинировании сетей, как например Signal+Tor. Явный идентификатор в таком случае начинает портить анонимность Tor'a, т.к. номера в основном привязываются к личности / паспортным данным.
Есть где-либо доказательство подобного суждения? Практика показывает обратное в лице существования DC (проблема обедающих криптографов) и QB (проблема на базе очередей) сетей.
Или идите дальше — создайте или настройте свой мессенджер на базе I2P. Это сложно, но там нет IP-адресов, и всё по-настоящему анонимно. I2P проверен временем, он не прост в использовании, но если вы хотите настоящей безопасности — это путь.
Здесь уже активируется душнила мод. 1. Что значит нет IP-адресов? Для чего тогда на маршрутизаторе необходимо открывать порт во вне? Не для того ли, чтобы другие узлы могли к нам подсоединиться для возможности дальнейшей маршрутизации пакетов? 2. Что значит по-настоящему анонимно? Будет ли I2P хорошо анонимизировать трафик, если клиент и сервер находятся в одном государстве? Сможет ли при таком сценарии государство / объединение провайдеров связи построить модель противодействия анонимизации? 3. Это путь в никуда, если нет понимания чёткой модели угроз и того, что вы хотите в итоге получить. I2P - инструмент, в массе своей хороший, но и также имеющий ряд ограничений.
Может показаться, что я защищаю сигнал, но все предоставленные аргументы / причины слабы, их можно легко противопоставить следующим суждениям:
Причина №1: Централизованные серверы
Централизованность != уязвимость. В концепте сигнала сервер выполняет роль хранилища шифртекстов, что 1) удобно, т.к. данные всегда сохраняются и это не зависит от других участников и их онлайн/оффлайн состояния, 2) Интернет построен так, что достаточно сложно построить по нормальному децентрализованную сеть не прибегая при этом к хакам по типу проброса портов через NAT или к TURN-серверам, 3) вполне безопасно, если мы говорим об использовании E2E-шифрования, т.к. безопасность коммуникации можно проверить исключительно клиентской составляющей.
Причина №2: Прецедент ANØM
У ANØM происходила маркетинговая "акция", у Signal'а такого особо не наблюдалось. Также у Signal'a есть какая да никакая формальная доказуемость его логики работы в лице независимых аудитов из-за наличия исходного кода. ANØM же обладал закрытым кодом как клиентской, так и серверной части.
Причина №3: Требование номера телефона
Причина №4: Метаданные и сохранение мелочей
Если мы говорим о безопасности, как о конфиденциальности передаваемых данных, то это частично и с оговорками может считаться нормой. Если же мы говорим о безопасности, как со стороны анонимности пользователей, то это конечно не очень (мягко говоря). Но здесь стоит сказать, что сигнал не претендовал себя на роль анонимного мессенджера. В его модели угроз нет такого, что он должен как-либо доказуемо скрывать идентификаторы или не логгировать активность пользователей.
Просто вопрос: зачем сервер вообще хоть что-то хранит?
Как минимум для того, чтобы синхронизировать состояния клиентов (таймстемпы отправленных сообщений, показывать состояние онлайн, показывать что пользователь печатает сообщение и т.п.) и смотреть какие-нибудь аномальные поведения: активность ботов, перегрузка сети и т.д. (логгирование).
Как видно, многие криптографические разработки эпохи Ренессанса не превратились в «пыльные артефакты» и остаются рабочими инструментами даже в цифровую эпоху. Что уж говорить, классика не стареет.
Вывод какой-то туманный, скорее он даже полностью оторван от содержания самой статьи. Все описанные шифры в статье уже давно не применяются в современной криптографии. Если бы приводились примеры композиции этих классических шифров и того, как они смогли "переродиться" в современные, то это было бы конечно другое дело. Но в самой статье об этом никак не говорится и никакие примеры не приводятся.
Проблема в том, что сам вопрос некорректен в корне. Сквозное шифрование здесь приплетено ради только красного словца. С таким же успехом мы могли бы вместо сквозного шифрования подставить "полёт на марс", "покер", "интим услуги" и смысл бы не поменялся. С учётом этого, я думаю автору следовало бы назвать статью иначе: станет ли ИИ катастрофой для интим услуг? Внимания он получил бы в разы больше, чем от сквозного шифрования, но смысл статьи вообще бы никак не изменился.
Когда мы рассматриваем сквозное шифрование, мы должны рассматривать его именно с той позиции - как шифртекст должен проходить свой путь от отправителя к истинному получателю / как он должен маршрутизироваться в условиях существования промежуточных сервисов, не способных читать его открытое содержимое. Когда же существует ИИ на стороне клиента, который считывает plaintext ещё до этапа шифрования, то о каком сквозном шифровании может вообще идти речь? Эта модель угроз равнозначна той же модели, когда в системе присутствуют сниферы, кейлоггеры и прочие вредоносные программы. Иными словами, клиентская среда уже априори уязвима перед любым криптографическим примитивом. Учитывая всё это и возвращаясь к первоначальной теме, мы же не ставим вопрос касаемо того, станет ли кейлоггер катастрофой для сквозного шифрования? Потому что сквозное шифрование (да и любое шифрование в такой модели угроз) не решает и не должно решать проблему наличия в системе вредоносного ПО. С этой моделью угроз должны справляться другие методы защиты. Поэтому и сам вопрос об ИИ в плоскости сквозного шифрования должен рассматриваться исключительно со стороны модели угроз, предоставляемой самим сквозным шифрованием.
Воды много, а информации мало. Можно было просто одним предложением ответить этот на этот вопрос: если сквозное шифрование не является фиктивным, то никакой катастрофы не будет. И чтобы ответить на этот вопрос даже не нужно знать как конкретно будет работать тот или иной ИИ, т.к. проблема лежит в плоскости сложности вычислений, а не "сознательности" используемого алгоритма.
Вопросы и идеи для развития вм'ки действительно хороши. При наличии свободного времени попытаюсь воплотить некоторые из них в реальность. Скорее всего это буду делать либо как форк cvm, либо как полностью отдельный проект. В cvm постараюсь сохранить первоначальную простоту и чистоту.
Думаю всё куда проще. Так как DNS не шифруется, сим-карты привязаны к паспортным данным, а сам пчелайн является оператором связи, то он вполне себе может видеть куда отправляются запросы и от какого лица они были отправлены. В итоге, оператор просто формирует базу данных по типу <пользователь:сайт:время>, а далее её продаёт в "обезличенной" форме.
Для защиты от новых форм диктатуры, предлагаю альтернативу - цифровую демократию, основой которой является децентрализация цифровых инструментов, когда вся информация о цифровых паспортах с биометрией (цифровые подписи), деньгах (криптовалюта с общим бюджетом) и выборах (с отзывом голосов) - хранится распределенно и не подконтрольна властям. В такой системе общество становится Большим братом, следящим за действиями избранных властей.
Предлагаемый вами выбор больше похож на аксиому Эскобара, где с одной стороны централизованный и закрытый ГУЛАГ, с другой стороны децентрализованный и открытый ГУЛАГ. Но в сумме, что то решение ***, что другое решение ***. Общество надо защищать не только от государства, которое действительно является по своей природе аппаратом насилия, но и от самого себя. Когда биометрия каждого человека гуляет децентрализованно, создаётся куда больше векторов нападения и куда больше возможностей у злоумышленников. Если общество взбудоражено, возбуждено и агресивно, в ходе на то внешних условий среды, вызванных не без участия того же государства, то и само же общество будет вести себя подобно государству, так же жестоко, меркантильно и отстранённо к каждому отдельному человеку или группе лиц. И в таком случае, каждая отдельная единица общества станет куда более уязвимой, нежели чем при централизованном ГУЛАГЕ.
Проблема, которую вы ставите, и способы решения, которые вы предлагаете - равносильно сравнению тёплого с мягким, когда следствием вы хотите побороть причину. Цифровизация, будь то централизованная или децентрализованная, - ни хорошо и ни плохо, у обоих векторов будут отвратительные антиутопичные сценарии. Основная загвостка в том, что проблема лежит в плоскости социального, а технологии лишь могут обострять прогресс социального, но не переделывать мир. Никакое внедрение децентрализации не приведёт государства и корпорации к обессиливанию и белому флагу, скорее напротив - они будут всеми правдами и неправдами ломать, сжигать, втаптывать в грязь все зачатки и все достижения безопасных и анонимных технологий, потому как всё это для них инородно "физиологически". Государства и корпорации борются не технологически, а вполне материально и физически со всеми своими текущими и будущими, предполагаемыми и реальными врагами. Общество сможет сформировать безопасные технологии и начать базироваться на них лишь тогда, когда само сможет применять ровно такие же действия к тем, кто его угнетал.
Если использовать M3-систему вместо классического DH, то, как понимаю, логика с простыми числами будет отсутствовать? Но при таком сценарии разве не будет возникать малых подгрупп, количество элементов в которых будет меньше заданного N? Протокол DH использует для предотвращения этому надёжные простые числа вида p=2q+1.
Также, есть ли какие-нибудь бенчмарки M3-системы в сравнении с DH? Могу ошибаться, но кажется, что классический DH с переумножением чисел будет быстрее при условии, что модуль N в M3-системе сопоставим с модулем p в DH-протоколе.
Это интересно. Если всё так, то это действительно здорово. Есть ли статьи, где об этом можно почитать более подробно? Вроде и читал статьи / работы с сайта I2P, но конкретики по тому как ложный трафик генерируется, в какой пропорции и насколько он завязан на открытых текстах не нашёл - вполне возможно, что мог это и пропустить.
Если мы говорим про стойкость ключа (т.е. его сопротивляемость к полному перебору), то алгоритм Гровера уменьшает его не вдвое, а в
раз. Вдвое он уменьшает именно что количество бит.
Если часто менять идентификаторы - возможно и будет сложно раскрыть связь клиентов, но здесь надо учитывать несколько моментов: доступ к сигналу придётся осуществлять всегда через анонимную сеть по типу Tor (чтобы сервер не мог идентифицировать клиентов по их IP-адресам), идентификаторы должны меняться постоянно (а это проблемное занятие, т.к. необходимо разграничивать собеседников от всех остальных, следовательно должна существовать и процедура какой да никакой аутентификации). При этом идентификаторы полностью исключить также невозможно, в том числе и SimpleX доказывает это своей концепцией очередей. Плюс к этому и поведение пользователей должно меняться - время отклика, частота общения, период начала и окончания разговора и т.д. Очень велика вероятность, что если сервер захочет - он сможет связать участников. Для осуществления такой анонимности требуется закрыть очень много переменных. Плюс к этому, всё вышеперечисленное также и не учитывает атаки в кооперации с другими наблюдателями, по типу локального или глобального, а это открывает ещё нехилый такой пласт векторов нападения.
Вот тут и был подвох в моём вопросе ) Централизация обеспечивает схожим образом и определённую долю анонимности при скрытии IP-адресов клиентов за счёт своей же маршрутизирующей функции от клиента к клиенту. Для сервера IP-адреса известны - это бесспорно, но вот для клиентов - они скрыты, мы обращаемся по идентификаторам. Сервер анонимизирует одного клиента от другого, а также от третьих сторон их общую связь. В такой концепции мы ровно также можем считать сервер маршрутизатором, а клиентов - узлами. Иными словами, в такой концепции особых отличий и нет между транспортной сетью и внутренней.
Разница начинает себя проявлять при активных атаках, когда существует кооперация глобального наблюдателя и атакующего в роли клиента. Клиент может посылать запросы и получать ответы, сверяя результирующее время запрос-ответ. Глобальный наблюдатель может блокировать или замедлять часть сети для определения в каком подмножестве может находиться сервер. Клиент также может начать генерировать аномально большое количество трафика, а глобальный наблюдатель будет сверять точки принятия наибольшего количества пакетов.
Мусорный / транзитный трафик не панацея, он не способен стереть разницу между истинным и мусорным трафиком, т.к. вместо замены одного другим - происходит наложение одного на другое. В результате, если количество истинного трафика будет увеличено многократно (аномально), а мусорного - нет, разницу будет видно.
Убрать телефон - это не полноценное решение проблемы анонимности. Сигнал сможет и без номера телефона, и даже без какого-либо явного идентификатора, успешно понимать кто и кому отправляет сообщения будучи централизованным сервисом. Сигнал пошёл по наиболее простому пути, не заморачиваясь с децентрализованной моделью, но сохраняя при этом более-менее корректную модель угроз, где предполагается конфиденциальность на базе E2E, но не предполагается анонимность. Но справедливости ради, наличие номера телефона действительно играет негативную роль, но лишь при комбинировании сетей, как например Signal+Tor. Явный идентификатор в таком случае начинает портить анонимность Tor'a, т.к. номера в основном привязываются к личности / паспортным данным.
Есть где-либо доказательство подобного суждения? Практика показывает обратное в лице существования DC (проблема обедающих криптографов) и QB (проблема на базе очередей) сетей.
Здесь уже активируется душнила мод.
1. Что значит нет IP-адресов? Для чего тогда на маршрутизаторе необходимо открывать порт во вне? Не для того ли, чтобы другие узлы могли к нам подсоединиться для возможности дальнейшей маршрутизации пакетов?
2. Что значит по-настоящему анонимно? Будет ли I2P хорошо анонимизировать трафик, если клиент и сервер находятся в одном государстве? Сможет ли при таком сценарии государство / объединение провайдеров связи построить модель противодействия анонимизации?
3. Это путь в никуда, если нет понимания чёткой модели угроз и того, что вы хотите в итоге получить. I2P - инструмент, в массе своей хороший, но и также имеющий ряд ограничений.
Может показаться, что я защищаю сигнал, но все предоставленные аргументы / причины слабы, их можно легко противопоставить следующим суждениям:
Централизованность != уязвимость. В концепте сигнала сервер выполняет роль хранилища шифртекстов, что 1) удобно, т.к. данные всегда сохраняются и это не зависит от других участников и их онлайн/оффлайн состояния, 2) Интернет построен так, что достаточно сложно построить по нормальному децентрализованную сеть не прибегая при этом к хакам по типу проброса портов через NAT или к TURN-серверам, 3) вполне безопасно, если мы говорим об использовании E2E-шифрования, т.к. безопасность коммуникации можно проверить исключительно клиентской составляющей.
У ANØM происходила маркетинговая "акция", у Signal'а такого особо не наблюдалось. Также у Signal'a есть какая да никакая формальная доказуемость его логики работы в лице независимых аудитов из-за наличия исходного кода. ANØM же обладал закрытым кодом как клиентской, так и серверной части.
Если мы говорим о безопасности, как о конфиденциальности передаваемых данных, то это частично и с оговорками может считаться нормой. Если же мы говорим о безопасности, как со стороны анонимности пользователей, то это конечно не очень (мягко говоря). Но здесь стоит сказать, что сигнал не претендовал себя на роль анонимного мессенджера. В его модели угроз нет такого, что он должен как-либо доказуемо скрывать идентификаторы или не логгировать активность пользователей.
Как минимум для того, чтобы синхронизировать состояния клиентов (таймстемпы отправленных сообщений, показывать состояние онлайн, показывать что пользователь печатает сообщение и т.п.) и смотреть какие-нибудь аномальные поведения: активность ботов, перегрузка сети и т.д. (логгирование).
Вывод какой-то туманный, скорее он даже полностью оторван от содержания самой статьи. Все описанные шифры в статье уже давно не применяются в современной криптографии. Если бы приводились примеры композиции этих классических шифров и того, как они смогли "переродиться" в современные, то это было бы конечно другое дело. Но в самой статье об этом никак не говорится и никакие примеры не приводятся.
Проблема в том, что сам вопрос некорректен в корне. Сквозное шифрование здесь приплетено ради только красного словца. С таким же успехом мы могли бы вместо сквозного шифрования подставить "полёт на марс", "покер", "интим услуги" и смысл бы не поменялся. С учётом этого, я думаю автору следовало бы назвать статью иначе: станет ли ИИ катастрофой для интим услуг? Внимания он получил бы в разы больше, чем от сквозного шифрования, но смысл статьи вообще бы никак не изменился.
Когда мы рассматриваем сквозное шифрование, мы должны рассматривать его именно с той позиции - как шифртекст должен проходить свой путь от отправителя к истинному получателю / как он должен маршрутизироваться в условиях существования промежуточных сервисов, не способных читать его открытое содержимое.
Когда же существует ИИ на стороне клиента, который считывает plaintext ещё до этапа шифрования, то о каком сквозном шифровании может вообще идти речь? Эта модель угроз равнозначна той же модели, когда в системе присутствуют сниферы, кейлоггеры и прочие вредоносные программы. Иными словами, клиентская среда уже априори уязвима перед любым криптографическим примитивом.
Учитывая всё это и возвращаясь к первоначальной теме, мы же не ставим вопрос касаемо того, станет ли кейлоггер катастрофой для сквозного шифрования? Потому что сквозное шифрование (да и любое шифрование в такой модели угроз) не решает и не должно решать проблему наличия в системе вредоносного ПО. С этой моделью угроз должны справляться другие методы защиты. Поэтому и сам вопрос об ИИ в плоскости сквозного шифрования должен рассматриваться исключительно со стороны модели угроз, предоставляемой самим сквозным шифрованием.
Воды много, а информации мало. Можно было просто одним предложением ответить этот на этот вопрос: если сквозное шифрование не является фиктивным, то никакой катастрофы не будет. И чтобы ответить на этот вопрос даже не нужно знать как конкретно будет работать тот или иной ИИ, т.к. проблема лежит в плоскости сложности вычислений, а не "сознательности" используемого алгоритма.
Со всеми пунктами полностью согласен. На рефакторинг завёл задачу: https://github.com/number571/cvm/issues/1
_ (удалено)
Так и вижу каптчу куратора на гугле
Вопросы и идеи для развития вм'ки действительно хороши. При наличии свободного времени попытаюсь воплотить некоторые из них в реальность. Скорее всего это буду делать либо как форк cvm, либо как полностью отдельный проект. В cvm постараюсь сохранить первоначальную простоту и чистоту.
Думаю всё куда проще. Так как DNS не шифруется, сим-карты привязаны к паспортным данным, а сам пчелайн является оператором связи, то он вполне себе может видеть куда отправляются запросы и от какого лица они были отправлены. В итоге, оператор просто формирует базу данных по типу <пользователь:сайт:время>, а далее её продаёт в "обезличенной" форме.
UPD. https://habr.com/ru/companies/timeweb/articles/861510/
Предлагаемый вами выбор больше похож на аксиому Эскобара, где с одной стороны централизованный и закрытый ГУЛАГ, с другой стороны децентрализованный и открытый ГУЛАГ. Но в сумме, что то решение ***, что другое решение ***. Общество надо защищать не только от государства, которое действительно является по своей природе аппаратом насилия, но и от самого себя. Когда биометрия каждого человека гуляет децентрализованно, создаётся куда больше векторов нападения и куда больше возможностей у злоумышленников. Если общество взбудоражено, возбуждено и агресивно, в ходе на то внешних условий среды, вызванных не без участия того же государства, то и само же общество будет вести себя подобно государству, так же жестоко, меркантильно и отстранённо к каждому отдельному человеку или группе лиц. И в таком случае, каждая отдельная единица общества станет куда более уязвимой, нежели чем при централизованном ГУЛАГЕ.
Проблема, которую вы ставите, и способы решения, которые вы предлагаете - равносильно сравнению тёплого с мягким, когда следствием вы хотите побороть причину. Цифровизация, будь то централизованная или децентрализованная, - ни хорошо и ни плохо, у обоих векторов будут отвратительные антиутопичные сценарии. Основная загвостка в том, что проблема лежит в плоскости социального, а технологии лишь могут обострять прогресс социального, но не переделывать мир. Никакое внедрение децентрализации не приведёт государства и корпорации к обессиливанию и белому флагу, скорее напротив - они будут всеми правдами и неправдами ломать, сжигать, втаптывать в грязь все зачатки и все достижения безопасных и анонимных технологий, потому как всё это для них инородно "физиологически". Государства и корпорации борются не технологически, а вполне материально и физически со всеми своими текущими и будущими, предполагаемыми и реальными врагами. Общество сможет сформировать безопасные технологии и начать базироваться на них лишь тогда, когда само сможет применять ровно такие же действия к тем, кто его угнетал.
Новый законопроект на 1 января 2025 года