Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Информационная безопасность доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 198
А зачем в этой схеме Max, который многие (и я среди них) не только использовать, но и устанавливать категорически не желают? Тогда уж можно зашифрованное сохранять на какой-нибудь Яндекс.Диск (он ведь в белых списках?), зашив идентификатор получателя в имени файла. Заодно и копировать/вставлять ничего не придётся, можно автоматическую проверку и расшифровку новых сообщений организовать. Главное, один раз заранее идентификаторами и паролями/ключами обменяться.
Справедливое замечание! MAX тут упомянут просто как пример «того, что работает в белом списке» — приложение к нему не привязано.
Суть в другом: Dark Message шифрует данные локально, а дальше — отправляйте как угодно. Хоть через MAX, хоть через email, хоть через Яндекс.Диск, хоть флешкой передайте. Это просто шифратор, транспорт — любой.
Идея с Яндекс.Диском интересная — автоматическая проверка новых файлов и расшифровка. Формат .darkm открытый, можно написать скрипт который мониторит папку и расшифровывает входящие. Может добавлю в десктопную версию — спасибо за идею!
Уважаемый! Допиши плиз приложение с ключом, ддлиной 2048( через случайную генерацию на приложение), это де-факто потребность при наличии ИИ на определенных платформах, при анализе трафика!
Жги дальше!!!!
Есть шанс на коммерческий успех)
Кстати там ниже написали про EdDSA, посмотри - подумай ;-)
все коменты прочитал - все варианты попробую . подтестируем задача что то простое сделать но рабочее . И нет у меня нет цели коммерческий успех иметь)) это хобби
Я давно искал такое приложение, как ваше. Большое спасибо, что нашли время для этого. Я живу во Франции, и поверьте мне, цензура и надзор существуют не только в России. Здесь закрыты многие telegram-каналы и каналы Youtube. Интернет также находится под пристальным наблюдением. В ближайшее время он должен будет получить доступ к социальным сетям, предъявив свое удостоверение личности. Таким образом, это приложение необходимо, если мы хотим обеспечить небольшую конфиденциальность.
В нашей стране при текущей ситуации и позиционировании приложения есть шанс не на коммерцию, а на статью. Причём не одну. Пособничество в терроризме и запрет разработки средств шифровния.
Шанс на статью будет, если он декомпилирует макс, зашьет туда шифрование, скомпилирует обратно и начнет распространять. А это просто безобидное приложение, не ломающее ничьи сервера и тд ;)
Боюсь, что работает это несколько иначе. Законодательство и суды рассматривают это несколько с другой стороны. Например, не такие уж и давние события в Крокусе. Человек, который сдал квартиру, не по закону, через договор, а вот так, междусобойчиком, считается пособником в инциденте и получил срок. Вопрос насколько он там реально завязан открытый и не нам судить, но внешне это вот так. Не так давно несколько лет таскали по судам члена-корреспондента РАН Абрамова С.М. за несколько переводов с его карты, оформленных как какая-то подписка с автоматическим списанием. По сути, откуда она и что и как непонятно, однако достаточно видного учёного за пару тысяч рублей обвинили в финансирование экстремистской организации (ст. 282.3 УК РФ). Сомнительно что человек такого уровня занялся бы переводом денег с карты в виде подписки. Виной всему, вероятно, активная жизненная позиция по осуждению политического курса некоторой неназываемой партии.
Формально, пособничество в совершении преступления (и терроризме) это когда есть умысел. Всегда можно заявить что "ты не знал", однако в данном случае скрытие переписки (создание приложения для этого) - это вполне себе осознанное действие, как ни странно, по помощи в сокрытии информации, обеспечению возможности коммуникации в преступных целях и последующему уничтожению улик посредством удаления ключей шифрования на устройствах.
Что это значит на практике - в случае если данное приложение "всплывёт", условно, у какого-то распространителя доз наркотических веществ, или кого-то возьмут на подготовке теракта и там будет такое приложение в активном использовании, то как бы и интерес к автору поста может появиться немалый, если его можно будет идентифицировать.
Это полезная информация - нужно проверить , но на сколько я знаю delta chat который работает ан GPG легален и никаких вопросов не вызвал ,а в моем приложении пока даже отправки сообщений на прямую нет только шифрование (да с удобным интерфейсом котрого нет в обычных шифровальщиках но без отправки без сервера ).
Закон 152-ФЗ не запрещает гражданам использовать шифрование для защиты своих собственных данных. Более того, это рассматривается как проявление "цифровой гигиены" и разумной осмотрительности. Ну и в эту же калитку разъяснения прокуратуры персмкого края. В общем, какую мотивацию предоставите, так и рассудят.
Да, согласен. Но тут есть важный момент в качестве кого будет рассматриваться ТС в случае чего. Если взяли его телефон и видят там шифрование и как бы он не под статьёй по терроризму - то да, вопросов нет.
Если он рассматривается как автор программы, а применили её в рамках сокрытия переписки при организации преступной деятельности и он не может способствовать расшифровке данных - это немного другая история.
Конечно, его разработка не требует какой-то лицензии, однако, как я указал с самого начала, именно формулировки могут подсказать суду и следствию о направленности разработки. Поэтому обычно мы видим статьи о "чисто технических экспериментах" и так далее. Весь вопрос в позиционировании. Например, в случае Абрамова, в ходе следствия проводили "экспертизу" по "анализу" высказываний в соцсетях и заставили полежать в дурке с целью проверки "вменяемости". Анализ постов из соцсетей, как вы можете догадаться, был крайне "отрицательным" и строго субъективным.
Знаете, можно просто всех хватать и расстреливать сразу, а причину потом придумывать - это тоже самое. Как-то притянуть автора приложения. А почему бы и авторов коментариев тут не притянуть, да заодно и владельцев хабра, а заодно и владельцев датацентра, чего уж? Да и вообще ийтишников, нечего тут умничать.
А как вы сами считаете? То что таскали ученого, за какие-то копеечные переводы, это проблема ученого или страны в целом? Лично мне очень показательна история Дмитрия Лопатина - автора трёх патентов, лауреата Зворыкинской премии, победителя конкурсов «Энергия Молодости», IQ-года. Который разрабатывал солнечные батареи, которые печатаются на принтере. Результат закономерен. Цитирую : "...Мы не прекращали работать в России, просто в 2017 году вся команда отправилась в Европу - основные дела были там. Но сейчас все «опасные» вещи, которые нужны для разработки принтера для печати батарей, мы делаем не в России. "
Что это значит на практике? В долговременной перспективе, государство пытающееся посадить ученых, запретить интернет, обложить каждый чих холопов штрафами и налогами, сначала превратится в подобие Северной Кореи, только без патриотической составляющей, а потом все будет как с Карфагеном...
в данном случае скрытие переписки (создание приложения для этого) - это вполне себе осознанное действие, как ни странно, по помощи в сокрытии информации, обеспечению возможности коммуникации в преступных целях
Именно поэтому надо начинать пользоваться этим приложением преимущественно в бытовых целях.
Т.е. получается просто надстройка над webdav?
а нельзя сделать приложение, которое будет просто использовать для отправки все имеющиеся мессенджеры без твоего участия? по возможности несколько, а на том конце собирать обратно
Было бы здорово сделать реверс-инжиниринг протокола max и использовать его сервера напрамую для обмена трафиком, например через эмуляцию видеотрансляции, а на самом деле гнать зашифрованный или обфусцированный трафик.
Ты не желаешь что-то устанавливать и что? Это основание требовать ото всех этим не пользоваться и не упоминать? Ты нормы кашрута будешь всем устанавливать?
Тогда уж можно зашифрованное сохранять на какой-нибудь Яндекс.Диск (он ведь в белых списках?), зашив идентификатор получателя в имени файла
Так и просится мессенджер, с шифрованием, где переписка будет передаваться через электронную почту, например mail.ru
Вопрос, какую частоту отправки и получения емэйлов обеспечит почтоввый сервис? И не определят ли в спамера?
Не могу сказать, у меня поток писем небольшой.
Только тесты помогут.
Уже тестирую . Добавил полноценное шифрование приватным и публичным ключём добавил функцию отправки . Выложу код может быть ещё идеи будут у комьюнити сделать что то лучше delta chat кроссплатформенную безопасную бесплатную программу . И главное легальную
шифрование приватным и публичным ключём
Это уже не AES, доп. вариант?
У яндекса есть привязанный к почте мессенджер...
Сделать бы надстройку со своим интерфейсом чтоб не надо было копировать/вставлять а просто в этот шифратор сообщения читались. Вот это был бы бэнгер.
И при этом сам МАХ на телефон вообще не ставить.
Будет отучать пользователей шифровать одно слово за раз. Будут прокачивать эпистолярный жанр заново. Но это не точно (с)
Где-то в 2010х был мем с голубем, который принес в клюве свиток, на котором была одна буква "К" - чаты с тех пор лучше не стали, в среднем.
Delta chat в помощь.
Mail.ru, правда, хотят денег за доступ через сторонние клиенты - из последнего, что я слышал. С Яндексом работает без нареканий.
Я это уже тестирую . Выложу код может быть у сообщества ещё идеи будут .
gpg для почты лет 20 назад как придумали же
DeltaChat
DeltaChat
Уже 25 лет как придумали Jabber (XMPP), с шифрованиями и т.д. очень похоже, на то, что вы предлагаете.
>Так и просится мессенджер, с шифрованием, где переписка будет передаваться через электронную почту, например mail.ru
уже много лет существует и не надо ставить шпионящую оболочку фуфлоМАХа
Есть же почтовые клиенты, которые внутри себя шифруют/дешифруют почту (Open PGP etc.) - вот их и использовать, без дополнительного мессенджера.
Reticulum LXMF. MESH сеть, где хоть через голубиную почту QR кодами пакеты передавать можно.
Diffie–Hellman позволяет через открытый канал создать общий закрытый ключ, не нужно ничего заранее обменивать.
del
Есть каналы связи и сообщение, которое надо по ним отправить. Безопасные каналы связи обрубаются, остается небезопасный, но стабильный (шанс обрубания минимален). Задача - послать конфиденциальное сообщение по враждебному небезопасному каналу. Решение - шифровать самому. Не нравится макс как пример открытого, но стабильного канала - замените его на любой другой канал. Макс просто как пример
Для привлечения внимания к статье и цензора к содержимому сообщения. Два в одном.
я не очень понял, а в чём минус условного OpenPGP? ну то есть там широкопризнанный стандарт, куча клиентов под любые платформы. Плюс несимметричные ключи, чтобы расшифровать мог только тот, кому предназначено.
Да, надо решить сначала как обменяться ключами - но это уже отдельная тема, которую и данная программа не решает.
Если рассматривать это как упражнение на вайбкодинг, то почему бы и нет...
Зумеры придумали шифровать данные вручную. Так то можно и кидать запароленные .rar архивы
Ха, ну можно и голубиной почтой запароленные флешки отправлять — тоже рабочая схема)
Но попробуй на телефоне создать запароленный rar с фоткой и отправить через MAX. А тут — открыл, нажал «зашифровать», отправил. Баланс между удобством и безопасностью.
Кстати в следующей версии думаю добавить шифрование по QR-коду — отсканировал и готово, даже пароль вводить не нужно. Может даже привязку к IMEI телефона как ключ — тогда расшифровать сможет только конкретное устройство. Уже в работе)
Может даже привязку к IMEI телефона как ключ
Нет, не может. EMEI известен провайдеру и товарищу майору, что прямо противоречит целям шифрования.
спасибо . я понял ,что дилетант в шифровании , но все коменты учту . суть статьи было не презентовать новый продвинутый сервис а показать как без mac сделать за пару дней кроссплатформенный шифровальщик пусть и действительно с отсутствием многих важных функций . след версию до того как выкладывать выложу сюда код вместе с комьюнити возможно сделаем что то полезное .
Основной посыл предыдущих двух людей был не во флешках или rar-архивах, а в PGP. И по факту мы имеем PGP, сомнений в котором нет, учитывая его историю, и нонейма sansmaster aka aleksandr bronnikov. Даже и не знаю, кто или что заслуживает доверия в таком деле, как шифрование.
У меня первая мысль была при прочтении статьи — «а запароленный архив отправить не проще?»
попробуй на телефоне создать запароленный
Попробовал. Даже ничего ставить не пришлось — в Total commander есть такая возможность.
А тут — открыл, нажал «зашифровать», отправил
Ну, в статье написано не совсем так. На самом деле — поставил лишнее приложение просто для шифровки, открыл, написал, зашифровал, скопировал, открыл мессенджер, вставил, отправил. Вот.
При том, что на ПК зашифрованный zip открывается вообще из коробки с минимальным количеством телодвижений. И не надо случайному получателю парить мозги с установкой непонятного приложения. А просто, звонишь — Вася, я тебе скинул архив, пароль — год рождения твоей собаки.
Ну не совсем так . пароль от архива очень легко можно найти с помощью брут форса , ну и это просто неудобно вам нужно открыть предложение ворд например написать там сообщение потом создать архив потом выбрать его через тот же max будь он не ладен .Не смотря на всю объективную критику моего подхода (которую я учел ) программа реально удобно отправляет сообщение непосредственно в чаты а также открывает зашифрованные файлы тоже прям в программе не нужно почти никогда ничего копировать и вставлять есть кнопка отпарвки.
Ну смотри, OpenPGP — это круто, но попробуй объяснить маме что такое публичный ключ и связка ключей. Она закроет приложение на втором предложении.
Тут другая идея — пароль можно придумать из того что знаете только вы двое. Написал другу в чате «наше место плюс год когда познакомились» — и оба понимают что вбивать. Или «имя твоей бывшей и номер квартиры». Никакой обмен ключами не нужен, никаких серверов.
Да, для спецслужб такой пароль не преграда. Но это и не для спецслужб — это чтобы случайный человек, коллега или провайдер не прочитал твоё сообщение. Для бытовой приватности более чем достаточно.
А по поводу вайбкодинга — ну да, начиналось как эксперимент. Но три платформы, App Store, RuStore и реально работающее шифрование — неплохо для эксперимента)
это кстати тема - запилить простое PGP приложение для зумеров и их мам.
ну вот да, я тоже подумал, что сделать универсальную оболочку для PGP было бы логичнее. Когда приложение берёт на себя автоимпорт полученного ключа из сообщения, автоматический подбирает ключ для контакта итп.
Я пилил когда-то. Оболочка над gpg.exe, шифровала текст по паролю. Без всяких открытых ключей, связок, кей-серверов, подписей и прочего.
В этом и суть настройки pgp сложны обычные обыватели не склонны к сложностям (тем более зумеры)) .я вижу задачу попробовать сделать что то похожее на delta chat но проще . найти баланс . для профи действительно все уже придумали .
пароль можно придумать из того что знаете только вы двое.
и вот теперь у вас 200 контактов и 200 разных паролей. А еще вы знаете, что вчера менты приняли соседа Диму с его телефоном, надо его пароль пересоздать, а еще судорожно вспомнить, а не использовался ли этот пароль совместно и с другими контактами.
И теперь уже нужен парольный менеджер только под это.
Но данная проблема не решается ни ассиметричным шифрованием ни паролем на приложение поскольку если вашего соседа повязали то они возьмут у него телефон и "уговорят " его разблокировать телефон и прочитают все сообщения поскольку сами сообщения в данной редакции будут в том же max . Пока данное приложение больше игра чем реальный шифровальщик и уже тем более мессенджер но появилась идея создать что то типа delta chat с ассиметричным шифрованием но упростить сам процесс регистрации и привязки почты . будем тестировать .
В телефонной книге можно в поле Notes хранить публичные ключи каждого пользователя. Ключ - это же как пароль, только хитрый. Ключ Димы можно пометить как потерявший доверие или удалить. Так что если пользоваться ассиметричным шифрованием для сообщений, типа у каждого собеседника свой пароль, то каждый может читать только то, что было зашифровано для него. А процедура обмена ключей потребует дополнительный канал обмена кодовой информацией для валидации публичного ключа собеседника.
Проблема обмена секретными данными включая создание ключа через открытый канал прослушиваемый решается протоколом Diffie–Hellman
насколько я помню, против MitM атак он уязвим, то есть всё равно надо как-то убеждаться, что ты беседуешь именно с Васей, а не т-щ майор берёт твои сообщения и передаёт их Васе. Иначе бы не было необходимости городить всю PKI инфраструктуру с CA.
Для общения с теми, с кем видишься регулярно лично подойдёт сканирование QR кода. Но если надо обменяться кодом с дедушкой, который живёт за океаном - задачка становится сложнее.
Diffie–Hellman уязвим к подмене. Если у нас есть "публичный" канал с аутентификацией то он защищен. То есть если вы уверены что именно ваш дедушка отправил вам это сообщение с публичным ключом то нет никакой опасности. То есть в нашем сценарии если вы уверены что Майор(первая буква MitM) не подменил "рукопожатие" причем с двух сторон то вопросов не возникнет.
Для личных целей вполне достаточно использовать другой канал для передачи или проверки ключа. Банально позвонить дедушке голосом и спросить первые и последние символы ключа. Товарищ колонель/майор не будет специально для вас запускать ИИ с голосом дедушки и его знаниями.
PS: На днях узнал, почему гастарбайтеры у нас так любят по видеосвязи со своими родственниками общаться. Оказывается - если без видео, то ты можешь разговаривать не с родственниками, а с Шайтаном. А видео Иблис подменить не может ;) Так и тут...
Кстати, да с асимметричными ключами даже проще. Перед общением можно сгенерировать пару и обменяться публичными ключами. И шифровать этими ключами, как итог приватный ключа на расшифровку не выйдет за пределы Вашей машины. Но это просто мысли)
PGP оттого и не взлетел - что там переусложнение простой задачи.
К слову, использую такую схему https://habr.com/ru/articles/1013424/comments/#comment_29707680
https://pteo.paranoiaworks.mobi/https://play.google.com/store/apps/details?id=com.paranoiaworks.unicus.android.sse
Есть мобильное приложение и сайт. Шифрует текст и файлы. AES.
PGP оттого и не взлетел
"Слово" PGP можно заменить на "шифрование". В абсолютном большинстве простая задача - обычный разговор. И если требуется хоть какие-то телодвижения, вероятность того, что решение останется в "узком кругу" достаточно высока.
Тоже в вашем комментарии их себе записал и тоже не понимаю смысла было городить свой велосипед. :)
У меня были схожие мысли насчет такого подхода, правда я думал использовать ВК и их API
Делаем приложение, которое использует API ВК, но добавляем туда шифрование. ВК может заблокировать ID нашего приложения, но тут можно попробовать сделать динамические IDшники, несколько приложений и так далее, главное что мы используем каналы которые будут работать даже во время блокировки
В вашем варианте проблема в том, что нужно все делать в ручную, что не очень юзабельно для массового пользователя. А не массовому пользователю ваш продукт не нужен, так как есть другие инструменты, которые решают проблему и более удобные
Идея с VK API интересная, но рискованная — ВК может заблокировать приложение за нарушение правил использования API, и динамические ID это гонка вооружений которую сложно выиграть.
По поводу «всё вручную» — согласен, это главное что хочу улучшить. Собственно уже думаю над версией 2.0 где шифрование будет работать через общую папку на Яндекс.Диске. Выглядит как обычный чат — пишешь сообщение, оно само шифруется и улетает. Получатель видит его автоматически. Яндекс.Диск в белом списке, свой сервер не нужен, а Яндекс видит только зашифрованные файлы.
Сейчас v1.0 — да, ручной режим. Но фундамент (шифрование, кроссплатформенность, формат .darkm) уже работает. Осталось сделать транспорт автоматическим.
В моде ВК vtlite есть шифрование сообщений
Договоритесь с получателем о парольной фразе (лично, по звонку — не через тот же мессенджер!)
Просто используйте RSA с подписями для обмена ключами, если хотите приватности. В таком случае не обязательно даже использовать какой-то другой канал связи, кроме выбранного вами мессенджера. А ещё можно использовать RSA с обеих сторон, в таком случае секретный ключ будет храниться исключительно на устройстве-получателе.
(я не эксперт в этом вопросе, но, пожалуй, это будет надёжнее и удобнее, чем ваш вариант)
Однако, я уверен, что у тех, от кого вы пытаетесь защитить переписку таким образом, появятся вопросы раньше и с большей вероятностью, чем если бы вы общались нормальным образом :D
Да, RSA с обменом публичными ключами — это правильный подход с точки зрения криптографии, не спорю.
Но представь: тебе нужно быстро скинуть коллеге фотку документа так чтобы никто не прочитал. Ты правда будешь генерировать RSA ключи, обмениваться публичными ключами, импортировать их? Или проще позвонить и сказать «пароль — наш любимый ресторан и год когда ходили»?
Тут выбор между академически правильным и практически удобным. Для повседневных задач общий пароль работает отлично.
А по поводу «появятся вопросы» — ну так base64 строка в чате выглядит как сломанная ссылка или техническая ерунда. Никто не будет разбираться что это, если не знает что искать. Хотя думаю в следующей версии сделать так чтобы зашифрованное выглядело как обычный осмысленный текст — типа «привет, как дела, погода хорошая». Пока упираюсь в то что количество слов ограничено и длинное сообщение в безобидный текст не спрячешь, но идея интересная)
Но представь: тебе нужно быстро скинуть коллеге фотку документа так чтобы никто не прочитал. Ты правда будешь генерировать RSA ключи, обмениваться публичными ключами, импортировать их? Или проще позвонить и сказать «пароль — наш любимый ресторан и год когда ходили»?
Стойкость алгоритма достаточно высокая, чтобы не нужно было менять ключи при каждом сообщении - имхо, раз в месяц достаточно.
А по поводу «появятся вопросы» — ну так base64 строка в чате выглядит как сломанная ссылка или техническая ерунда
Постоянный поток таких ссылок будет очень подозрителен)
Да, RSA с обменом публичными ключами — это правильный подход с точки зрения криптографии, не спорю
В 2026 году стоит предпочесть EdDSA
Или проще позвонить и сказать «пароль — наш любимый ресторан и год когда ходили»?
Внезапно, в OpenPGP предусмотрен и такой сценарий.
Отправлять зашифрованный текст не в виде текста, а в виде изображения. Тогда простые алгоритмы его не увидят.
Мне кажется или вы даже ответы прогоняете через чат gpt?
железно) Я один коммент увидел, написанный от руки и стилистика.. сильно отличается от остальных
А, прошу прощения, уже два
Вот тут уже форматирование сломалось, как иногда у ллм бывает
Под спойлером
Справедливое замечание! Без воды: у него в каждом сообщении узнаваемые формулировки.
Нет . Иногда через Claude ))со скилами human
Не поможет здесь ни RSA, ни Диффи-Хеллман. В середине все равно может быть товарищ майор, который обменяется ключами и с вами и с вашим собеседником. В общем случае, нормального решения здесь нет. Или использование третьей стороны для удостоверения собеседника (Удостоверяющие Центры, сертификатом которых подписываются ключи, PKI), или обмен ключами по второму безопасному каналу (оффлайн), или общий секрет - что предложено здесь.
Затем появился стандарт OpenPGP (который с годами не стоял на месте и обрастал поддержкой современных алгоритмов), равно как и независимый (от PGP corporation) софт.
Например, для андроид это
https://github.com/open-keychain/open-keychain
и
https://github.com/oversecio/oversec
(Последний, кстати, обеспечивает относительно вменяемый UX при использовании с Max любым приложением)
Спасибо за ссылки! Oversec интересная штука, не знал про него.
Но оба проекта по факту мертвы — oversec в архиве, open-keychain не обновлялся пару лет. И оба только Android. На iOS с этим вообще пусто — там нет аналогов которые работают поверх мессенджеров.
Dark Message работает на Android, iOS и Windows. Одно сообщение зашифрованное на телефоне расшифровывается на любой из трёх платформ. Это было кстати самой сложной частью — заставить русские пароли одинаково работать на Kotlin, Swift и Python)
Если с oversec есть нюансы с изменениями в современных версиях android по чтению с экрана, то в openkeychain-то что обновлять ? Он работает. Стандарт OpenPGP поддерживает. Yubikey всякие поддерживает. Чего ещё нужно? Обновления ради обновлений?
Одно сообщение зашифрованное на телефоне расшифровывается на любой из трёх платформ
Сообщение в формате OpenPGP зашифрованное любой софтиной, поддерживающей стандарт, расшифруется любой [другой] софтиной, поддерживающей стандарт. На любой комбинации платформ.
самой сложной частью — заставить русские пароли одинаково работать
Извините, но в этом месте очень хочется вставить facepalm.jpeg
Кстати, а на iOS есть удобный PGP клиент который шифрует текст, фото и документы для отправки через мессенджер? Не для email, а именно зашифровал — скопировал в MAX/чат — отправил? Я когда искал — не нашёл ничего живого.
Не по теме, но, может, кто знает где найти старинный "PGPDisk" для Windows 7 ?
Кроме oversec есть ещё (тоже, увы, подзаброшенный) https://github.com/amnesica/KryptEY - он только расшифровывать чтением экрана сам не умеет.
Ого, эта клавиатура может шифровать в человекоподобный текст! Интересно как работает этот режим Fairy Tale
В их ридми написано что просто добавляют к отвлекающему сообщению невидимые символы юникода
https://github.com/amnesica/KryptEY/blob/master/KRYPTEY.md#messageenvelope-and-message-encoding
интресно
Следующий шаг - стеганография: внедрять шифротекст в младшие биты картинки с котиками, ее и отправлять. Или в песенку. Главное, чтобы транспорт картинки не пережимал.
Кстати тоже об этом думал
Младшие биты(номера масок с высокой частотой косинуса) в jpg как раз можно использовать ведь они имеют очень малый импакт на общую картину так как они умножаются на чаще других маленькую константу
Тема интересная. Интересно насколько реально пойти дальше и сделать своего клиента к Максу
Чтобы было легко, удобно, массово
Ну и насколько я понял, при отвязке от Макса, это просто кодер декодер, микроприложулька на коленке без никакого прорыва. Мвп концепт на 1 семинар для школьников старших классов
Почта от яндекса (и наверное от маил ру тоже) в белом списке, так что дельтачат должен решить проблему "террористов". https://habr.com/ru/articles/899262/
В дельта чат медленно сообщения доходят, до 10 минут, как чат не удобен.
Письма обычно приходят очень быстро. Кстати да, чат тут не нужен тоже, есть обычные почтовые клиенты с отдельным шифрованием.
Из личного опыта - это зависит от того, какая почта используется и включено ли шифрование. На их тестовых серверах все работает быстро. А вот gmail или яндекс + шифрование - бывают необъяснимые затупы. Но если шифрование не использовать - тоже все шустро работает.
Спасибо за приложение. Feature request: предусмотреть защиту от повторного получения ранее полученных сообщений. Это, например, когда злоумышленник перехватывает и отменяет сообщение, где, по его мнению, содержится текст "да", и вместо него отправляет дальше ранее перехваченный пакет, где, по его мнению, содержится текст "нет". Возможно, я не прав и эта паранойя избыточна.
А что, у Макса нет API,чтобы юзер не парился с копипастом?
Тоже об этом подумал. Где API? Я все ждал, когда автор прикрутит своё творение через API к месседжерам, но не дождался.
API только для юрлиц как минимум для ботов это так. Недавно читал статью где автор пытался сделать но ему отказали по премодерации бота.
Будет )) все коменты очень полезные , думаю создать сначала прототипы всех вариантов которые тут предложили протестировать - создам для ios testflight для андройд открытый код .
ИИ не заменил разработчика — он заменил команду. Вместо бэкенд-разработчика, iOS-разработчика, Android-разработчика и тестировщика у меня был один помощник, который знает все платформы. Но финальные решения, тестирование на железе и понимание «что нужно пользователю» — это по-прежнему человек.
зачем этот нейрослоп, зачем? На хабре за объём текста приплачивают что ли? :)
)) нет суть статьи не в этом . ни в том показать как ИИ что то может сделать а как раз вовлечь сообщество провести брейн сторм .Просто появилась необходимость , как сделать просто безопасно и главное легально это вопрос .
зачем этот нейрослоп, зачем? На хабре за объём текста приплачивают что ли? :)
Нет, Anthropic — за рекламу своего слона.
А это законно? Мужик поставил полностью защищённый и неподконтрольный Vipole и его за это посадили.
В некоторых странах можно уехать надолго за отказ расшифровать свое сообщение, телефон итп. И это не совсем тоталитарные страны...
Можно подробности?
Томский районный суд приговорил местного жителя Константина Белоуса к трем годам ограничения свободы за использование защищенного мессенджера Vipole.
Суд квалифицировал его действия по статье 273 УК РФ – использование вредоносной компьютерной программы, заведомо предназначенной для нейтрализации средств защиты компьютерной информации.
Дело № 1-981/2022 от 21 октября 2022 г.
в этом и суть что в таком виде легально сервер свой сделать - нет .
Куда куда его посадили?
Не изобретайте велосипед.
PGP придуман так давно что деды которые им начинали пользоваться уже нянчат внуков.
Что было бы здорово улучшить:
Сделать папки для разных людей и показывать там переписку, как она бы выглядела в мессенджере. Можно даже uid папки передавать, чтобы у обоих пользователей сообщения не теряли папку, к которой относятся и импорт был бы легче.
Возможность текст тоже отправить файлом. И файлы чтобы открывались сразу этим приложением. Так переписки будут идти быстрее и проще.
Чтобы текст из мессенджера можно было не копировать, а отправить себе в приложение для расшифровки через функционал кнопки "поделиться".
Хорошая идея, но в статье нет самого важного для security инструмента: open source, понятного описания хранения пароля, ограничений на слабые пароли и независимой проверяемости билда. И главное - у вас не описан нормальный обмен ключами через публичную криптографию: хотя бы X25519 для обычного key exchange или CRYSTALS-Kyber PQ сценария уже стандартизированный NIST, а сейчас всё держится на заранее общей парольной фразе.
Одного не понял: нужно быстро скинуть коллеге что-то. А пароль ему как будете скидывать?
Статья имела бы смысл, сделай вы автоматическое установление безопасного соединения и обмен сообщениями в максе, а вы просто вручную шифруете сообщения и вручную же передаёте пароли.
По факту - стандартная задача передача секрета по открытым каналам связи. Пока вы говорите о e2e без промежуточных звеньев, всё складывается и понятно для чего продукт. Как только появляется ещё звено в виде Яндекс диска и т.д. возникает момент - это уже решено. В качестве примера - https://github.com/jhaals/yopass. Таких проектов много, я знаю как минимум 3, но точно есть ещё.
вообще все страдают от поломки голосовых и видео звонков. а обмен сообщениями и картинками это так - почтой всегда можно или sms.
Следующий шаг - расковыривание протокола Макс и создание кастомного мессенджера с шифрованием. Да, долго и сложно.
Дай бог не очень сильно обфусцировали, а то ведь и могли чтобы усложнить реверс инжиниринг. С учетом того что он шлет зашифрованные пакеты и пока даже не понятно какую именно инфу он сливает(только по внешним признакам пока известно) . И не будем подсказывать, что можно делать аутентификацию исполнителя кода(то есть криптографическая проверка, что сообщение отправляется с реального и неизменного клиента MAX) в общем ждем "античит" в максе и надеемся что этого не будет.
Как по мне, проще уж SMS использовать, чем ставить этот бэкдор. Тем более, для sms есть решения, поддерживающие шифрование из коробки.
Такие шифровальщики уже есть, но в них минус что надо сворачивать мессенджер, который на фоне может закрыться. Возможно, на андройде можно это всё встроить в кастомную клавиатуру, там чего только нет, переводчики, хранители паролей, стикеры и т.п.
очень тухлая попытка пропаганды макса.
Кажется деловую переписку, особенно пересылку договоров, лучше вести по электронной почте (мессенджеры просто для общения, можно и голосом обсудить - а многие именно так и предпочитают)
В нее же можно положить зашифрованный архив с договором (или какой-то другой ценной информацией, если есть опасения утечки)
У меня нет MacBook. Совсем. А для сборки iOS-приложения нужен Xcode, который работает только на macOS.
Весь процесс — от коммита до появления билда в TestFlight — полностью автоматический.
С TestFlight понятно. В как версия появляется в App Store, если нет MacBook?
Это, конечно, хорошо, но Вы сами пишете, что сообщения могут быть видны нежелательным субъектам, а учитывая, кто эти самые субъекты, они, заметив такой трафик, могут оправить к адресатам пояснительную бригаду с различными приспособлениями для криптоанализа. Ну или сделать предложение от которого невозможно отказаться. Так что гонять явно зашифрованный трафик через такую помойку тоже такое себе решение. Тем более, что в комментах уже писали про посадки за использование ПО для "нейтрализации средств защиты компьютерной информации".
Рано или поздно это должно было случиться. У меня тоже была подобная идея.
Раньше было несколько популряным расширение VK COFFEE, которое позволяло шифровать сообщения в комментариях вк. Для тех кто не в теме оно выглядело как
VK CO FF EE <прочией набор байт в hex>Их клиент автоматом подхватывал публичные сообщения и позволял иметь шифрованную переписку практически где угодно. Правда не помню как происходил обмен ключами c друзьями.
Отвлекаясь от технических моментов: если этим методом начнут пользоваться более менее массово, думаю, Скам перебанит такие аккаунты. Ведь когда надо это - частная компания, которая никому ничего не должна, а когда надо - государственный мессенджер.
Проблема не в том, что сообщения кто-то читает на лету, а в том, что тот же Макс чисто гипотетически может украсть ключи шифрования с устройства. Молчу уже про всякие UFED-ы. Так что мало шифровать сообщения. Нужно ещё подумать о контрфорензике
Есть статьи об этом? если это так то создаваnm ключи приватные как в PGP ни просто бессмысленно но и опаснее чем то что я реализовал . как раз хоте добавить вариант с ассиметричными ключами .
Специализированные статьи я не встречал. Однако в области уже адвокатской практики такие разборы встречаются очень часто. Погуглить можно адвокатские разборы вроде "изъятие телефона, изъятие переписки с устройства". Мобильный криминалист, UFED - все это прекрасно снимает дамп памяти. Где будут, собственно, и ключи. 99% уголовных дел почти всегда основаны на данных с изъятых устройств. Методы затирки вроде всяких DoD5220.22 могут быть не эффективны для SSD. Поэтому тут огромная проблема. Что делать, если устройство изъято. Как сделать ключи невалидными.
В vk coffe был режим шифрования сообщений, который на лету в чатах расшифровывал такие сообщения от других пользователей. А обычные юзеры видели сообщения вида «VKCOFFE AAFF44FJGOEJSUVIG и так далее». Не знаю зачем это написал, просто воспоминания нахлынули
Есть ещё OpenKeyChain (есть так же и в стандартных магазинах приложений), если я правильно понял идею автора - очень похожая штука в части шифрования текста. Можно выделить текст в поле ввода и зашифровать (не работает, если приложение как-то по своему обрабатывает контекстное меню).
Усложнение базовой задачи по отправка сообщения
Статья больше похожа на желание покрыть Максом хоть какой-то процент ИТшников.
Похоже главная задача, всё таки, обеспечить покрытие. Чтобы частный ВПН отследить и заблочить, или?
Мне кажется, проведена прекрасная работа, идея нравится, попробую протестить!
Спасибо :)
Идея как MWP ок, заниматься копипастом - неюзабельно. Читаешь статью, будто запрос в GPT сделал, те же самые фразы и выражения, которыми он любит отвечать.
Это не баг приложения, а особенность клавиатур.
Каким образом выбор не той раскладки это "особенность клавиатуры"? Может, все-таки особенность оператора этой самой клавиатуры?
Возможно, open source — чтобы любой мог убедиться в отсутствии бэкдоров
Почему не сразу open source? Любым закрытым криптографическим решениям нет доверия по умолчанию, особенно тут, когда неизвестно, что там навайбкожено - реальный AES-256 или неизвестно что с неизвестной криптографической стойкостью или вовсе без нее. "Используют банки и военные" выглядит ну очень тупо, это как на материнках MSI раньше писал, что они у них military-grade, мы все-таки на Хабре, а не на Пикабу, и люди тут понимают, что такое AES и для чего он используется. Почему AES, а не что-то другое, типа Blowfish и его потомков?
Приложение не требует интернета, не собирает данных, не требует регистрации и шифрует стандартом AES-256.
Поверю, когда увижу список разрешений и потроха.
Ну и самый главный вопрос.
А вам нужно отправить коллеге договор, другу — фотографию, или просто написать сообщение, которое не хочется показывать всему миру.
А не поделитесь, как вы заставите этих коллегу, друга и всех прочих поставить какое-то мутное приложение из магазина, лишь бы они могли видеть ваши творения? Договор коллеге пересылать по открытым каналам вместо внутренних коммуникаций компании, особенно пропуская через черт знает что - это разглашением коммерческой тайны как минимум попахивает со всеми вытекающими. В этом ведь и заключается самое главное препятствие подобного "шифрования" - для танго нужны двое, и если вторая сторона не поддерживает становление криптогиком или не имеет для этого достаточного резона, никто этим не будет пользоваться. Не говоря уже о том, что пересылка открытым текстом чего-то, что явно орет в мегафон одним своим видом "Я ЗАШИФРОВАНО ОСОБЫМ СПОСОБОМ", если вы опасаетесь слежки со стороны "белосписочных" сервисов - так себе идея.
в следующей версии я выложу все потроха . По поводу "я ЗАШИФРОВАН ОСОБЫМ СПОСОБОМ " это проблема и есть идея сделать переписку в виде осмысленных фраз , пока в прототипе сложность в том что чем более осмысленно тем больше слов нужно, и переписка превращается в тома "войны и и мир" но для коротких фраз выглядит как минимум интересным для рассмотрения .А так все что вы написали я согласен - глупо спорить .Проблема в том что сейчас нет решения идеального . Но вот прям сейчас когда твоему партнеру нужно тебе счет прислать (приватно) который не должен никуда попасть и сделать это срочно а интернета нет - это выход .Ни идеальный но я для этого и написал это чтобы узнать мнения профи .
Для веб-версии поди можно прозрачное шифрование навернуть поверх без особых хлопот, включая обмен открытыми ключами.
А вот в exe... поди тоже можно, но хлопот гораздо больше будет.
Из простого варианта - софтинку типа пунтосвичера написать, которая смотрит куда вводишь текст и перед нажатием ентера шифрует. Рассшифровка через выделение с горячей клавишей.
Звучит как решение...
Собственно все новое это хорошо забытое старое )))
Есть же Thunderbird со встроенным PGP, под Android так же есть Thunderbird c PGP.
Под iOS нет Thunderbird, но есть BlueMail с поддержкой PGP и S/MIME
Ставите и пользуетесь с любой почтой.
На fdroid есть sekreto например, делает то же самое. Шифрует сообщение под пароль, пароль можно лично сообщить или другим способом передедать. Но зачем, это очень сложная схема. Нужна только для реально секретных сообщений. Но такие сообщения и вызовут дополнительный интерес. Вот если бы это все было автоматизированно, грубо говоря надстройка, которая имитировала мессенджер и те, у кого такая же получают шифрованныые сообщения, а кто не парится те получают простые. Это было бы полезно и круто
для подобных вещей давно придумали delta chat
Всегда был уверен, что на телефонах должно быть что-то типа наследника pgp, где шифрование чего попало должно быть и так.
Идея интересная. Для подобных вещей использую архивы WinRAR (есть версия и для Android) с паролем и шифрованием имен файлов + Яндекс.Диск. Заодно и трафик экономится.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как я сделал шифрование поверх MAX, когда приватность стала роскошью