Comments 49
Сколько букв, а суть одна - спецслужбы охотятся на мессанджеры, а злобные злодеи, подумав, перешли на полностью защищенные аппараты с защтщенным же софтом.
Тогда зачем давили на Телегу (остальные сдались, не начав сопротивляться) за непредоставление логов переписок? (шутка)
Думаю, спецслужбам не нужно особо охотиться за "Телегой". Известно, что она добровольно сдаёт своих пользователей (админов каналов). Отсюда понятные сомнения и в безопасности кода.
На мой взгляд, как апологет цифровых свобод "Телеграм" такой же фейк, как, например, американский Пуризм со своими Либремами.
А Пуризм-то каким образом сливает пользователей?
Согласен. Не просто так же Телегу перестали запрещать
Админов каналов Telegram вероятнее всего находят другим образом- используя ТСПУ по точному времени сообщений и их приблизительному размеру, повторяя поиск каждый раз, отсеивая результаты. Об этом писал бывший сотрудник такого отдела в Беларусии. vpn при этом -не спасает
Никогда не стал бы пользоваться специально защищенным телефоном распространяемым непонятной компанией. Слишком вероятно участие в том АНБ и прочих Б. Кнопочные одноразовые нокии и одноразовые блокноты, только хардкор!
Кнопочные одноразовые нокии
И как вы собираетесь с помощью их коммуницировать?
Согласовать меняющийся шифр. Как как. И можно открытым текстом говорить о птичках и погоде передавая то что надо передать. :) расслабились блин совсем со своими айфонами
И как вы это собрались делать? Раз в квартал собираться всем вместе в секретном месте и писать его на бумажках? А когда кто-то потерял бумажку передавать почтовым голубем? Ну такое себе.
ну зато это железно работает. а как вы хотели? в любой агентурной/разведывательной работе оно так и работает. и раз в какой-то период новые "ключи" обмена. медленно скучно никакого драйва ага
Чтобы нормально было. Криминальный бизнес это в первую очередь бизнес. И им тоже надо управлять на достаточно высоком уровне, а то конкуренты не дремлют.
Ваша идея откидывает уровень управления на десятилетия назад. Так можно и проиграть молодому стартапу. Вариант "всех убить" не всегда срабатывает. При абсолютном проигрыше конкуренции он вероятно не поможет.
Вот гораздо более простой вариант.
1)Подписываем сообщение закрытым ключом автора сообщения.
2)Шифруем сообщение открытым ключом получателя.
3)Передаём сообщение по открытым каналам связи.
4)Расшифровываем закрытым ключом получателя.
5)Проверяем подпись открытым ключом автора сообщения.
Нужно только 1 раз обменяться открытыми ключами. Ну ок, не 1 раз, а 1 раз в 10 лет, с учётом развития вычислительной техники.
Звонить-то на какой одноразовый номер?
Предположим, у двух преступников такие аппараты. Как им связываться? Как первый узнает одноразовый номер другого? У каждого из них будет список одноразовых номеров другого?
Логично, что не у каждого. Нужна ли вообще связь всех со всеми? Или система древовидная и есть узлы иерархии? До кучи, не вся информация одинаково чувствительна к перехвату.
Имелось ввиду у каждого из этих двоих. Все со всеми не нужна, но даже просто двоих связать в такой схеме - это сложности.
Каждый получает пачку симкарт, лист с номерами и шифроблокнот. Открываем нокию, вставляем симку и ждем. Получив сообщение расшифровываем его, уничтожаем симку и нокию, вырезаем из листа этот номер и берем новый комплект симка нокия лист и пишем ответ на все номера из листа.
Если враги захватят лист и блокнот, то ничего не восстановят, ибо нет физически тех номеров и листов блокнота. Останется лишь анализировать интенсивность и обьем шифрообмена.
Большинство народу в преступном мире интеллектом не блещут, с дисциплиной тоже проблемы. Чем сложнее инструкция - тем больше шансов на затуп и облом алгоритма.
Шифроблокнот потерян на пьянке в сауне, пачка симок спрятана в квартире у любовницы, которую уже повязали, позвонить-спросить некуда (абонент не абонент, одноразовый) и стоит такая Козья Ностра посреди грузового терминала и втыкает в сообщение "У жана длинные усы", думая застрелиться ему или повеситься.
Чем ниже уровень исполнителя - тем проще должны быть действия.
Вопрос оперативности и емкости коммуникаций. Тут балланс безопасности и трудозатрат с оперативностью. Не все Штирлицы.
И совершенно правильно
Компания как раз может -- и возможно, даже должна -- быть непонятной. Во всяком случае, она точно не может иметь офис в США и иметь все необходимые лицензии на криптографию и шифрование :)
Вспомните хотя бы TrueCrypt и обратите внимание, как настойчиво сейчас пытаются пересадить его пользователей на VeraCrypt.
Прочитал одноразовые банкноты
Столько бабла и движений, когда можно лишь прикрутить GUI к libssl.
Но ведь тогда прикручивальшик не выжмет из богатой области свои сливки...
Приложение может быть трижды идеальным, не иметь ни одной уязвимости. Но если оно исполняется на скомпрометированном айфоне, с которого все скрины уходят товарищу господину майору - то толку от этого не будет.
Поэтому железо тоже должно быть по максимуму проверенным, а с этим уже сложнее.
Ну полностью открытых проектов работающих через сотовую связь, вроде как нет. Хотя старые сименс сл/ме45 вроде как полностью декомпилированы и на их основе можно собрать криптофон. Вопрос в том, а зачем?
Можно работать через уязвимое устройство, ровно как и можно коммуницировать через вайфай, например.
GSM-модули на алиэкспрессе (например, sim800) — их можно скомпрометировать?
Если их — нет, железяку "сверху" можно сделать любую.
Но ведь каналы — они тоже контролируются. Если используется sms, то это равносильно "добровольной сдаче всей сети". Если инет — то аналогично фильтровать на точке обмена трафиком...
Железо и софт должны быть редкими, чтобы к ним не было готовых решений
А я говорю, защищенная связь существует. Распознать ее можно по некоторым признакам.
Hidden text
Позволяет регистрировать много идентичностей и не требует номер телефона при этом - хороший знак.
Позволяет коннектиться с любого места и с любого устройства - хорошо.
Open source - можно поэкспериментировать с кодом и убедиться, что все в порядке.
Называть имена проектов не буду, вы и так их знаете
Защищенная связь нужна не только преступникам, она всем нужна.
Кто мешает пользоватьcя PGP, его уже даже встроили в ThunderBird, не надо устанавливать никаких расширений
PGP не обфусцируется. Преимущество "блокнотиков" — отправляешь "Мама мыла раму восьмого в четверг" по любым каналам связи.
Вопрос желания. Стеганографируешь PGP в ролик на ютубе...
Вопрос в том, от кого мы защищаемся? Я очень сомневаюсь, что всех любителей PGP в емайлах берут на карандаш. Хотя, один адвокат, настрйчиво предостерегал от секретных чатов телеграмма, например.
Если же в группе любителей посекретничать есть крот, то сама связность группы это уже уязвимость. Таким образом, только открытые широковещательные каналы годны.
Надо тогда по защищённому каналу обменяться ключами (какому?), а потом ещё и защититься от компрометации твоего ключа у какого-то отдельного пользователя, а значит иметь столько ключей сколько собеседников, а значит ручками менеджментом ключей заниматься. Этот вариант чуть продвинутее блокнотика и кнопочного телефона, но тоже далёк от совершенства…
Зачем защищенный канал то. Наоборот свой публичный ключ можно загрузить на специальный сервер, где люди потом могут зайти и найти его по твоему емайлу.
PGP генериреут два ключа публичный и приватный, приватный шифруется и хранится у тебя, а публичный рассылается всем кому надо. Единственно второй стороне желательно проверить твой ли публичный ключ он получил, для это есть разные варианты, вплоть до того что он по тел диктует отпечаток полученного публичного ключа и ты его сверяешь со своим ключом.
В это и есть основная суть, не нужно скрывать свой публичный ключ, чтобы прочитать написанное тебе сообщение, нужен твой приветный ключ, который есть только у тебя.
По такому же принципу работает и криптовалюта, обычно твой публичный ключ в крипте - это номер твоего кошелька, который никто не скрывает.
Это хорошо в теории, а когда дело доходит до реального приложения, то в данный момент нет ни одного защищенного мессенджера, который имел бы нормальный UX и нормально работал на мобильных клиентах. У всех капитальные проблемы, которые врядли будут исправлены по определенным причинам (особенности протокола, шизанутость главного разработчика и т.д.)
Так назовите пример! Можно без названий, но какую технологию используют. Просто защищенных мессенджеров то не так и много, и качество у них оставляет желать лучшего
BitMessage мой любимый. Там есть все эти пункты. Но с ним две проблемы: проект никто не развивает, и нет приложения для смартфонов, только десктоп. А идея очень хорошая.
и нет приложения для смартфонов, только десктоп
Вот и я о чем же. И это я не говорю о "продвинутых фичах", типа автоудаления, удалении по таймеру после прочтения и т.д.
Была статья на Хабре несколько лет назад, что мексиканская наркомафия похищает инженеров-связистов и держит их в качестве рабов, чтобы они разрабатывали закрытую сеть связи. Само собой, похищенные больше никогда ни свободы, ни своей семьи не увидят. Не удивлюсь, если итальянцы не отстают в этом плане.
TL;DR какая-то компания поддерживает шифрованную связь и её название упоминается в судебных документах. Её сервисом пользуются преступники.
Впечатление, что статью написали сотрудники, чтобы прорекламировать свою новую сеть среди целевой аудитории, а нецелевую аудиторию наоборот отпугнуть.
Смысл всего этого - создать единую доверенную точку генерации ключевых пар. Доверие достигается методами мафии
Новая любимая модель криптофона итальянских мафиози