Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Информационная безопасность доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 361
А зачем в этой схеме Max, который многие (и я среди них) не только использовать, но и устанавливать категорически не желают? Тогда уж можно зашифрованное сохранять на какой-нибудь Яндекс.Диск (он ведь в белых списках?), зашив идентификатор получателя в имени файла. Заодно и копировать/вставлять ничего не придётся, можно автоматическую проверку и расшифровку новых сообщений организовать. Главное, один раз заранее идентификаторами и паролями/ключами обменяться.
Справедливое замечание! MAX тут упомянут просто как пример «того, что работает в белом списке» — приложение к нему не привязано.
Суть в другом: Dark Message шифрует данные локально, а дальше — отправляйте как угодно. Хоть через MAX, хоть через email, хоть через Яндекс.Диск, хоть флешкой передайте. Это просто шифратор, транспорт — любой.
Идея с Яндекс.Диском интересная — автоматическая проверка новых файлов и расшифровка. Формат .darkm открытый, можно написать скрипт который мониторит папку и расшифровывает входящие. Может добавлю в десктопную версию — спасибо за идею!
Уважаемый! Допиши плиз приложение с ключом, ддлиной 2048( через случайную генерацию на приложение), это де-факто потребность при наличии ИИ на определенных платформах, при анализе трафика!
Жги дальше!!!!
Есть шанс на коммерческий успех)
Кстати там ниже написали про EdDSA, посмотри - подумай ;-)
все коменты прочитал - все варианты попробую . подтестируем задача что то простое сделать но рабочее . И нет у меня нет цели коммерческий успех иметь)) это хобби
Я давно искал такое приложение, как ваше. Большое спасибо, что нашли время для этого. Я живу во Франции, и поверьте мне, цензура и надзор существуют не только в России. Здесь закрыты многие telegram-каналы и каналы Youtube. Интернет также находится под пристальным наблюдением. В ближайшее время он должен будет получить доступ к социальным сетям, предъявив свое удостоверение личности. Таким образом, это приложение необходимо, если мы хотим обеспечить небольшую конфиденциальность.
верим, спасибо что зарегистрировался чтобы написать этот комент
Я не то чтобы защищаю предыдущего оратора, но в мире и правда происходит полная ахинея в том как государства лезут контролировать всех и вся. Что скажите например про требование к ОС узнавать возраст пользователя. В systemd уже что-то даже добавили https://github.com/systemd/systemd/pull/40954
Там в комментах интересное, как сотрудники system76 пытаются добиться исключения опен-сорс систем из этого безумия.
это не мой комент ))) но шутку оценил лайк поставил.
Боже, какая жесть!
весь экран мне жиром заляпал, осторожнее, товарищ
Хочешь, напишу тебе этот комментарий с большей правдоподобностью или мне написать историю про другую страну?
Мммм, вкусно чувак обожаю тебя)))
Я тоже не за коммерцию, но именно народ даёт силу и власть, а вышестоящие органы об этом забывают и начинают тиранить народ...
У меня в планах 2 идеи , одна похожа на твою, а вторая чуть другая раскрывать пока не буду, делаю не спеша, так как двое малых деток и завод) если всё получится также выложу на гитхаб, Клод мощный это тот продукт который с помощью хороших идей может принести пользу обществу! Жаль что всё нельзя без денег, но как говорится голь на выдумки хитра:)
В нашей стране при текущей ситуации и позиционировании приложения есть шанс не на коммерцию, а на статью. Причём не одну. Пособничество в терроризме и запрет разработки средств шифровния.
Шанс на статью будет, если он декомпилирует макс, зашьет туда шифрование, скомпилирует обратно и начнет распространять. А это просто безобидное приложение, не ломающее ничьи сервера и тд ;)
Боюсь, что работает это несколько иначе. Законодательство и суды рассматривают это несколько с другой стороны. Например, не такие уж и давние события в Крокусе. Человек, который сдал квартиру, не по закону, через договор, а вот так, междусобойчиком, считается пособником в инциденте и получил срок. Вопрос насколько он там реально завязан открытый и не нам судить, но внешне это вот так. Не так давно несколько лет таскали по судам члена-корреспондента РАН Абрамова С.М. за несколько переводов с его карты, оформленных как какая-то подписка с автоматическим списанием. По сути, откуда она и что и как непонятно, однако достаточно видного учёного за пару тысяч рублей обвинили в финансирование экстремистской организации (ст. 282.3 УК РФ). Сомнительно что человек такого уровня занялся бы переводом денег с карты в виде подписки. Виной всему, вероятно, активная жизненная позиция по осуждению политического курса некоторой неназываемой партии.
Формально, пособничество в совершении преступления (и терроризме) это когда есть умысел. Всегда можно заявить что "ты не знал", однако в данном случае скрытие переписки (создание приложения для этого) - это вполне себе осознанное действие, как ни странно, по помощи в сокрытии информации, обеспечению возможности коммуникации в преступных целях и последующему уничтожению улик посредством удаления ключей шифрования на устройствах.
Что это значит на практике - в случае если данное приложение "всплывёт", условно, у какого-то распространителя доз наркотических веществ, или кого-то возьмут на подготовке теракта и там будет такое приложение в активном использовании, то как бы и интерес к автору поста может появиться немалый, если его можно будет идентифицировать.
Это полезная информация - нужно проверить , но на сколько я знаю delta chat который работает ан GPG легален и никаких вопросов не вызвал ,а в моем приложении пока даже отправки сообщений на прямую нет только шифрование (да с удобным интерфейсом котрого нет в обычных шифровальщиках но без отправки без сервера ).
Закон 152-ФЗ не запрещает гражданам использовать шифрование для защиты своих собственных данных. Более того, это рассматривается как проявление "цифровой гигиены" и разумной осмотрительности. Ну и в эту же калитку разъяснения прокуратуры персмкого края. В общем, какую мотивацию предоставите, так и рассудят.
Да, согласен. Но тут есть важный момент в качестве кого будет рассматриваться ТС в случае чего. Если взяли его телефон и видят там шифрование и как бы он не под статьёй по терроризму - то да, вопросов нет.
Если он рассматривается как автор программы, а применили её в рамках сокрытия переписки при организации преступной деятельности и он не может способствовать расшифровке данных - это немного другая история.
Конечно, его разработка не требует какой-то лицензии, однако, как я указал с самого начала, именно формулировки могут подсказать суду и следствию о направленности разработки. Поэтому обычно мы видим статьи о "чисто технических экспериментах" и так далее. Весь вопрос в позиционировании. Например, в случае Абрамова, в ходе следствия проводили "экспертизу" по "анализу" высказываний в соцсетях и заставили полежать в дурке с целью проверки "вменяемости". Анализ постов из соцсетей, как вы можете догадаться, был крайне "отрицательным" и строго субъективным.
Евгений Рошал, создатель RAR теперь получается тоже виноват, если условные террористы будут запароленными .rar архивами перебрасываться? Это опять выходит надо кухонные ножи запретить, ведь ими и убить можно?
Если внимательно осмотреться, то можно заметить что именно в таком ключе сейчас всё и становится. Просто не везде так просто дотянуть "закон".
Вопрос как бы про тот же телеграмм звучит по сути примерно так же. Любой софт - это инструмент. Его применение - это ответственность человека его применившего. Точно также как ядерка - есть мирный атом и не очень. Но вот в последнее время у нас именно в стороне IT (тут как бы поближе и попроще контроль навесить) формально эту ответственность пытаются под эгидой безопасности навесить именно на разработчика/владельца. Ножи как бы формально тоже в какой-то мере "регулируются" путём выделения категории "холодного оружия". Но вы неправильно оцениваете масштабы угроз. Нож - это вот какой-то один/другой человек пострадал. В масштабах страны не страшно. А вот если приложение для шифрования сообщений - то это уже страшно, вся страна ведь может пострадать от такого "героя".
Ну а что касается RAR, то как бы тут вопрос применения. Надо будет - и оно окажется в списке "средств обхода блокировок". Опять же, в целях безопасности страны.
Кому надо и так напишут. Даже кстати и шифрования не надо. Гонять за готовое не рационально и бессмысленно. Особенно когда ии сам всё напишет.
Если внимательно осмотреться, то можно заметить что именно в таком ключе сейчас всё и становится.
К сожалению, это не так. Если бы действительно так дела обстояли - то не запрещали бы VPN и Telegram, а брали бы за попу действительных преступников, которые эти инструменты используют.
А сейчас просто под этим предлогом запрещают сами инструменты: и преступникам, и обычным людям, усложняя им жизнь.
точно также как ядерка - есть мирный атом и не очень.
Ядерные станции почему то не запрещают, несмотря на реальную терростическую опасность.
В МАХе вон мошенников стало валом - тоже, почему то, никто не говорит об ограничении.
Странно?
Если бы действительно так дела обстояли - то не запрещали бы VPN и Telegram, а брали бы за попу действительных преступников, которые эти инструменты используют.
Как же это сделать? Вы сотрудник полиции, который расследует дело о мошенничестве, наркоторговле или иное преступление, в ходе совершения которого злыдни скрывались за безликим аккаунтом в телеге. Поддержка телеграм просто игнорирует ваши запросы.
И что дальше?
А вот прижатие телеграм, чтобы он потерял часть рынка - заставит его быть более отзывчивым. И я удивлен, что рекламу там не сделали вне закона еще пару лет назад. Это удар больнее, чем технические блокировки.
PS: Да, у меня личные претензии к телеграму, и я буду искренне рад, когда это надежное убежище преступников задавят. Dixi.
Как же это сделать? Вы сотрудник полиции, который
Я не сотрудник полиции, а инженер. Поэтому квалифицировано ответить не могу на ваш вопрос.
Знаю точно что в Израиле во время войны не блокируют работу месенджеры и при этом успешно ловят диверсантов и своих предателей, которые через тот же телеграм общаются с заказчиками. И это открыто отвечает пресса. Значит возможно, логично?
Задавался я таким вопросом, почему вот там и там полиция хорошая, немножко даже искал. Потом пришел к мнению, в таких странах и преступность "неплохая".
Значит, телеграм не рискует отказать спецслужбам Израиля в ответах на их запросы. Возможно, Дуров боится последствий такого отказа? Пришлют "заряженный" пейджер и всё, никому потом ничего не докажешь ;)
А это их проблемы. Граждане не обязаны страдать из-за того, что кому-то что-то показалось. Пусть получают ордер, находят осведомителей, внедряют агентов. Это их работа. Посмотрите сериал Прослушка. Очень реалистичный сериал про работу полиции.
Обязанность полиции расследовать преступления, не нарушая прав граждан, тем более не имеющих к преступлению отношения.
Пора уже осознать что у людей есть права, даже если они вам не нравятся, потому что права могут нарушены и в отношении вас, даже если вы ничего не совершили незаконного.
В США довольно четко суды по этому работают. И вы бы лучше о себе переживали, чем за чужие обязанности.
PS: Да, у меня личные претензии к телеграму, и я буду искренне рад, когда это надежное убежище преступников задавят. Dixi.
Вы понятия не имеете как работает полиция. После того как задавят телеграмм преступность никуда не денется, а хуже жить станет вам. Реальная преступность и безопасность не интересуют полицию. Главная чтобы статистика хорошая была и кипиай из центра выполнялся, а что там у вас никого не интересует. Вы с полицией и государством ни разу не взаимодействовали и вообще в госсистеме не работали, поэтому пишите довольно наивные вещи.
Если бы действительно так дела обстояли - то не запрещали бы VPN и Telegram, а брали бы за попу действительных преступников
Ишь чего захотели! Это ж работать придётся! /s
Но тут есть важный момент в качестве кого будет рассматриваться ТС в случае чего.
Да далеко ходить не нужно: Дурова вон как поливают, прямо к пособникам террористов причисляют. А в программе и строки его кода, наверное, нет.
Cтранно что за продавцов скобяных лавок еще не взялись и за произвотелей лопат и кухонных ножей..
Использовать можно - разрабатывать нельзя:
Занятие лицензируемой деятельностью без лицензии в РФ влечет административную (ст. 14.1 КоАП РФ) или уголовную (ст. 171 УК РФ) ответственность.
Административная ответственность (ч. 2 ст. 14.1 КоАП РФ):
Граждане: штраф 2 000 – 2 500 рублей.
Уголовная ответственность (ст. 171 УК РФ):Применяется, если деятельность нанесла крупный ущерб государству/гражданам или принесла доход свыше 2.25 млн руб. (крупный размер).
Знаете, можно просто всех хватать и расстреливать сразу, а причину потом придумывать - это тоже самое. Как-то притянуть автора приложения. А почему бы и авторов коментариев тут не притянуть, да заодно и владельцев хабра, а заодно и владельцев датацентра, чего уж? Да и вообще ийтишников, нечего тут умничать.
А кому работать? Закон - это в целом сдерживающий фактор, обозначающий рамки для "народа". Есть такая поговорка - "был бы человек, а статья найдётся". Когда надо и кого надо всегда притянут. Просто есть ещё другая тема "строгость закона компенсируется необязательностью исполнения". Закон написали, но это не значит что его исполнение строго соблюдают. Но когда надо, то он внезапно нарисовывается. Ресурса на всё не хватает, очевидно. Также сказывается человеческий фактор.
Возьмите постановления о выгуле собак. В целом, если каждое утро/вечер у всех домой поставить дежурить полицию, то там штрафов наберётся по первому времени достаточно много. А если ещё на камеры это дело повесить... Вообще милое дело.
А как вы сами считаете? То что таскали ученого, за какие-то копеечные переводы, это проблема ученого или страны в целом? Лично мне очень показательна история Дмитрия Лопатина - автора трёх патентов, лауреата Зворыкинской премии, победителя конкурсов «Энергия Молодости», IQ-года. Который разрабатывал солнечные батареи, которые печатаются на принтере. Результат закономерен. Цитирую : "...Мы не прекращали работать в России, просто в 2017 году вся команда отправилась в Европу - основные дела были там. Но сейчас все «опасные» вещи, которые нужны для разработки принтера для печати батарей, мы делаем не в России. "
Что это значит на практике? В долговременной перспективе, государство пытающееся посадить ученых, запретить интернет, обложить каждый чих холопов штрафами и налогами, сначала превратится в подобие Северной Кореи, только без патриотической составляющей, а потом все будет как с Карфагеном...
в данном случае скрытие переписки (создание приложения для этого) - это вполне себе осознанное действие, как ни странно, по помощи в сокрытии информации, обеспечению возможности коммуникации в преступных целях
Именно поэтому надо начинать пользоваться этим приложением преимущественно в бытовых целях.
Я уже выше отмечал, что я не говорил ничего про пользование данным приложением, а обратил внимание на позиционирование в рамках нашего законодательства. Как бы идея "повесить шифрование" поверх протокола далеко не нова. И самый простой путь для этого - это клиенты не от разработчиков. Но ЕМНИП разработчики маха быстренько начали рубить всё что могло к ним коннектиться кроме оригинала. И одна из причин может скрываться в том чтоб перекрыть данную возможность.
Но ведь никто не сможет запретить Вам с другом, заранее договорившись что буква А это 1 Б это 2 обменитьваться сообщениями вида 17 18 10 3 6 20 (привет). Перекидывать их как угодно… И ведь приложение для этого не нужно… (понятное дело что алгоритм шифрования можно подтянуть)
Статья 1280 ГК РФ «Право пользователя программы для ЭВМ и базы данных»: Определяет, что правомерный пользователь может декомпилировать программу только в случае необходимости адаптации или получения информации для взаимодействия с другими программами, если эта информация не доступна иным способом.
Так что индивидульно каждый может законно разобрать любое приложение и посмотреть что оно делает, заодно глянув как оно API предоставляет.
Т.е. получается просто надстройка над webdav?
а нельзя сделать приложение, которое будет просто использовать для отправки все имеющиеся мессенджеры без твоего участия? по возможности несколько, а на том конце собирать обратно
Было бы здорово сделать реверс-инжиниринг протокола max и использовать его сервера напрамую для обмена трафиком, например через эмуляцию видеотрансляции, а на самом деле гнать зашифрованный или обфусцированный трафик.
Ты не желаешь что-то устанавливать и что? Это основание требовать ото всех этим не пользоваться и не упоминать? Ты нормы кашрута будешь всем устанавливать?
Тогда уж можно зашифрованное сохранять на какой-нибудь Яндекс.Диск (он ведь в белых списках?), зашив идентификатор получателя в имени файла
Так и просится мессенджер, с шифрованием, где переписка будет передаваться через электронную почту, например mail.ru
Вопрос, какую частоту отправки и получения емэйлов обеспечит почтоввый сервис? И не определят ли в спамера?
Не могу сказать, у меня поток писем небольшой.
Только тесты помогут.
просьба подключиться к тестированию я создам прототип - погоняем .
Хотите изобрести второй DeltaChat? :-)
да будет совместим с ним . пробелма delta chat только одна - по умолчанию у вас почта на зарубежном хосте и она не работает при белых списках чтобы поменять нужно в ручную создать акк при этом ввести пароль приложения не почты а именно пароль приложения мало кто об этом знает нужно просто добавить это в инструкцию и ограничить серверы Яндексом мейлом и Рамблером в следующей версии все это будет (уде есть - тестирую) и да будет pgp совместимость с delta chat
Уже тестирую . Добавил полноценное шифрование приватным и публичным ключём добавил функцию отправки . Выложу код может быть ещё идеи будут у комьюнити сделать что то лучше delta chat кроссплатформенную безопасную бесплатную программу . И главное легальную
шифрование приватным и публичным ключём
Это уже не AES, доп. вариант?
У яндекса есть привязанный к почте мессенджер...
Сделать бы надстройку со своим интерфейсом чтоб не надо было копировать/вставлять а просто в этот шифратор сообщения читались. Вот это был бы бэнгер.
И при этом сам МАХ на телефон вообще не ставить.
Будет отучать пользователей шифровать одно слово за раз. Будут прокачивать эпистолярный жанр заново. Но это не точно (с)
Где-то в 2010х был мем с голубем, который принес в клюве свиток, на котором была одна буква "К" - чаты с тех пор лучше не стали, в среднем.
У гугла - не более 1 письма в секунду и не более 5 тысяч в сутки ЕМНИП
определяет но для этого нужно добавить метод проверки спама в следующей версии будет прямая отправка уже готово тестируем выложу тут код .
Delta chat в помощь.
Mail.ru, правда, хотят денег за доступ через сторонние клиенты - из последнего, что я слышал. С Яндексом работает без нареканий.
У Рамблен нормально работает почта.
Да ладно? Там пароль просто ставишь отдельный для стороннего клиента. У меня на телефона AquaMail, там в том числе почта от мылору, ничего не платил
С Яндексом как раз у нас и не взлетело. По какой-то неведомой причине он не доставлял сообщения. Даже после всей заморочки со спамом. А вот mail.ru даже со свежего ящика завёлся без проблем.
он не работает при отключении интернета в момент работы белых списков я попробовал
Тестировал Дельтачат для себя - с аккаунтами яндекса сообщения могли идти по 5 минут, с аккаунтами мэйла сообщения приходили моментально.
Я это уже тестирую . Выложу код может быть у сообщества ещё идеи будут .
gpg для почты лет 20 назад как придумали же
DeltaChat
DeltaChat
Уже 25 лет как придумали Jabber (XMPP), с шифрованиями и т.д. очень похоже, на то, что вы предлагаете.
и он будет работать при белых списках?
Будет, что он - централизован что ли?
Ну для начала - он клиент-серверный, хоть и поддерживает федеративность. Так что при белых списках будут работать только те сервера Jabber, которые каким-то образом в этих белых списках окажутся. А это для любительских серверов - вопрос везения, притом с неизвестным сроком жизни.
Если углубляться в "начала" — федеративность никак в своём понятии не противоречит клиент-серверной архитектуре. Наличие или отсутствие связи с глобальными федерациями никак не мешает системе работать внутри закрытого контура.
А "срок жизни" такого решения как раз и определит порог входа. В XMPP с шифрованием он заметно выше, чем в WhatsApp или Telegram, что в условиях белых списков превращается из минуса в плюс к живучести и осмысленности сети.
Так что как таковых причин почему оно внезапно не должно работать - нет.
Белые списки - это не «глобальные федерации» vs «закрытый контур». Это когда у вас разрешены только определенные ip-адреса - даже внутри этого «закрытого контура». И если этот ваш xmpp-сервер не в этих списках - он работать не будет. Даже если он стоит на вашем домашнем сервере.
Что значит "даже внутри"? Одно дело - охрана на входе, другое - проверять паспорт у каждого встречного в коридоре. Логичнее закрыть вход, чем фильтровать вообще всё внутри. А если вы верите в тотальный "черный ящик", то обсуждать живучесть софта бессмысленно - там не поможет ничего.
Тут от моей или вашей "веры" ничего не зависит. Белые списки работают именно так. Просто посмотрите, что перестает работать при их включении.
Тут от моей или вашей "веры" ничего не зависит.
спасибо, я ровно это и имел ввиду:
А если вы верите в тотальный "черный ящик", то обсуждать живучесть софта бессмысленно - там не поможет ничего.
Но если вам растолковать самому себе - понятнее.. осуждать не за что.
Просто посмотрите, что перестает работать при их включении.
куда ударение? посмотрИте или посмОтрите? вы, может, в ркн работаете или где - тогда неплохо было бы тоже доказывать суждения хоть чем-либо, кроме "посмотрите", хотя бы обыкновенной логикой. А то ой-ей-ей, авторитетное мнение. Просто посмотрите как ваши мультиакки вынесут не позже чем через месяц, со стилометрическим совпадением 97%+. И дизлайками в один и тот же момент времени после неугодной цепочки аргументов.
всего хорошего
не работает естественно пробывал
нет это просто шифрование на вашем устройстве отправка закодированного сообщения туда куда вы укажите при отправки (max почта vk и тд) в это суть
да в этом суть вы отправляете зашифрованное сообщение фото или до при белых писках там кнопка отправить через есть это мелочь но удобно ... просто удобно не копировать вставить а реализовано отправить через
тоже не работает . я все перепробовал когда отключают инет нельзя было отправить сообщение уж тем более фото или файл vless спасал какое то время через happ или другие клиенты но сейчас редко работает
дорогой мой! "когда отключают инет" - поздно думать о протоколах и приложениях.
Я ни в коем случае не умаляю твоё поделие, но без исходников оно - чушь полная, с тем же успехом скачиваешь макс и доверяешь его авторам. а если речь про голубиную почту - тогда неплохо было бы как минимум добавить кнопку "Print".
естественно пробовал ты всё, и vless, и XMPP, и TOX, и Matrix, и Hysteria2, и UDP TLS, вот буквально всё, кроме перезагрузки роутера.
и конечно же подобных приложений ещё не было в гугл плеях и апп сторах - https://apps.apple.com/us/app/aes256-encrypt-and-decrypt/id6467244017
https://play.google.com/store/apps/details?id=me.jagar.aes256
https://play.google.com/store/apps/details?id=coding.fries.aes_encryption_256_free_version
https://github.com/Monkshae/AES256
“Всё смешалось - кони, люди”(с)
поставил лайк за конструктивную критику и дизлайк за неконструктивную . Я написал что конечно пользуюсь обходом белых списков используя все что вы написали но если вы живёте городе где режим белых списков включен уже постоянно то обратите внимание что половина из тог очто вы написали уже не работает и если работает то не всегда и да я проверил все приложение и повторюсь приложение кроссплатформенного с удобной отправкой сообщений и шифрованием ни только текста но и документов и фот нет . (может есть но я не нашел) то что вы прислали простые шифровальщики без отправки без фото без кросс платформы . исходник согласен выложу как только допилю остальное , но рисков нет программа не имеет доступ в интернет и проверена она не может ничего сделать априори . она офлайн .но да вы правы выложу на github
спасибо за лайк, и не спасибо за дизлайк.
объясните пожалуйста (перехожу на вы - проснулась совесть) - "пользуюсь", но "не работает"?
далее: "(может есть но я не нашел)" - Jabber - не кроссплатформенный? не поддерживает передачу файлов? неудобно отправлять - нужно голубя почтового заправлять?
то что вы прислали простые шифровальщики без отправки без фото без кросс платформы
в том к сожалению и дело - это у вас - шифровальщик без кроссплатформы. IOS и Android это дай бог 1/3 платформа. а у вышеперечисленного хотя бы репозитории есть и RFC даже кое где.
но да вы правы выложу на github
поддержку адекватным код ревью без юмора, сарказма, иронии и выпадов - честно, качественно. всё будет отлично - так и скажу - всё отлично.
больших успехов. в любом случае спасибо вам за хоть что-то (работа, идея, код, предложение - многие останавливаются на чём то одном).
Спасибо. Я правда учёл все ошибки, и мне важно мнение профессионалов. Но Jabber тоже не работает при белых списках, у нас в Ростове-на-Дону точно, я тоже тестировал (у нас 90% времени сейчас работают только белые списки). Задача сейчас нетривиальная: сделать что-то легальное, чтобы передавать ту информацию, которую не хочется светить. Это сложно, и простых решений нет. И я как недавний пользователь Хабра (всего две статьи и две созданных программы) искренне благодарен всем, кто дал обратную связь, поставил и лайки, и дизлайки, это не важно. Мне до того, как я решился написать, говорили, что на сайте очень требовательные пользователи и что подобный пост получит только хейт. Но они ошибались: тут те люди, которые и являются теми креативными, критически мыслящими людьми, которые могут и должны помочь нашему обществу пройти через текущие сложности. в споре рождается истина .
>Так и просится мессенджер, с шифрованием, где переписка будет передаваться через электронную почту, например mail.ru
уже много лет существует и не надо ставить шпионящую оболочку фуфлоМАХа
Есть же почтовые клиенты, которые внутри себя шифруют/дешифруют почту (Open PGP etc.) - вот их и использовать, без дополнительного мессенджера.
Reticulum LXMF. MESH сеть, где хоть через голубиную почту QR кодами пакеты передавать можно.
delta chat
Дельта чат?
Лимиты Mail.ru
Количество получателей одного сообщения 30 — учитываются адреса во всех полях: «Кому», «Копия» и «Скрытая копия».
По количеству сообщений, отправленных в течение 1 часа
500 — ориентировочный лимит. Рекомендуем обратиться в поддержку, чтобы узнать лимиты для вашего аккаунта.
Diffie–Hellman позволяет через открытый канал создать общий закрытый ключ, не нужно ничего заранее обменивать.
del
Есть каналы связи и сообщение, которое надо по ним отправить. Безопасные каналы связи обрубаются, остается небезопасный, но стабильный (шанс обрубания минимален). Задача - послать конфиденциальное сообщение по враждебному небезопасному каналу. Решение - шифровать самому. Не нравится макс как пример открытого, но стабильного канала - замените его на любой другой канал. Макс просто как пример
Для привлечения внимания к статье и цензора к содержимому сообщения. Два в одном.
Мне кажется, можно пойти дальше. Например, расшарить папку на Яндекс.Диске. В ней будет лежать база данных мессенджера (какие-то общие настройки и т. п.). Структура такая: есть пользователи с именами, и чтобы добавить нового пользователя в свой мессенджер, достаточно дать ему доступ к этой папке с его именем или идентификатором.
Дальше всё просто: когда человек пишет в чат, информация выгружается на Яндекс.Диск.
Можете доработать мою идею 😁 Ну и, конечно, всё должно быть зашифровано и т. д. 😁
Есть ВК-мессенджер для тех, кому МАКС не подходит. Яндекс.диск - слишком сложно для переписки.
я не очень понял, а в чём минус условного OpenPGP? ну то есть там широкопризнанный стандарт, куча клиентов под любые платформы. Плюс несимметричные ключи, чтобы расшифровать мог только тот, кому предназначено.
Да, надо решить сначала как обменяться ключами - но это уже отдельная тема, которую и данная программа не решает.
Если рассматривать это как упражнение на вайбкодинг, то почему бы и нет...
Зумеры придумали шифровать данные вручную. Так то можно и кидать запароленные .rar архивы
Ха, ну можно и голубиной почтой запароленные флешки отправлять — тоже рабочая схема)
Но попробуй на телефоне создать запароленный rar с фоткой и отправить через MAX. А тут — открыл, нажал «зашифровать», отправил. Баланс между удобством и безопасностью.
Кстати в следующей версии думаю добавить шифрование по QR-коду — отсканировал и готово, даже пароль вводить не нужно. Может даже привязку к IMEI телефона как ключ — тогда расшифровать сможет только конкретное устройство. Уже в работе)
Может даже привязку к IMEI телефона как ключ
Нет, не может. EMEI известен провайдеру и товарищу майору, что прямо противоречит целям шифрования.
спасибо . я понял ,что дилетант в шифровании , но все коменты учту . суть статьи было не презентовать новый продвинутый сервис а показать как без mac сделать за пару дней кроссплатформенный шифровальщик пусть и действительно с отсутствием многих важных функций . след версию до того как выкладывать выложу сюда код вместе с комьюнити возможно сделаем что то полезное .
Спасибо за статью и приложение, и ваш опыт.
Можете объяснить, причем тут вообще Mac? Без Mac сейчас разработка не ведётся или я просто хз?
для ios приложений нужен xcode который работает только на macos. у меня мака нет, поэтому использовал github actions — при каждом пуше кода гитхаб запускает бесплатную macos машину в облаке, она компилирует проект и загружает билд прямо в app store connect. по сути гитхаб даёт мне мак на 15 минут бесплатно для каждой сборки. весь код писал на винде в обычном редакторе.
Основной посыл предыдущих двух людей был не во флешках или rar-архивах, а в PGP. И по факту мы имеем PGP, сомнений в котором нет, учитывая его историю, и нонейма sansmaster aka aleksandr bronnikov. Даже и не знаю, кто или что заслуживает доверия в таком деле, как шифрование.
У меня первая мысль была при прочтении статьи — «а запароленный архив отправить не проще?»
попробуй на телефоне создать запароленный
Попробовал. Даже ничего ставить не пришлось — в Total commander есть такая возможность.
А тут — открыл, нажал «зашифровать», отправил
Ну, в статье написано не совсем так. На самом деле — поставил лишнее приложение просто для шифровки, открыл, написал, зашифровал, скопировал, открыл мессенджер, вставил, отправил. Вот.
При том, что на ПК зашифрованный zip открывается вообще из коробки с минимальным количеством телодвижений. И не надо случайному получателю парить мозги с установкой непонятного приложения. А просто, звонишь — Вася, я тебе скинул архив, пароль — год рождения твоей собаки.
Ну не совсем так . пароль от архива очень легко можно найти с помощью брут форса , ну и это просто неудобно вам нужно открыть предложение ворд например написать там сообщение потом создать архив потом выбрать его через тот же max будь он не ладен .Не смотря на всю объективную критику моего подхода (которую я учел ) программа реально удобно отправляет сообщение непосредственно в чаты а также открывает зашифрованные файлы тоже прям в программе не нужно почти никогда ничего копировать и вставлять есть кнопка отпарвки.
Зачем rar, когда есть кроссплатформенный 7zip; с AES-256 из коробки, между прочим, с гарантией совместимости настроек между устройствами!
P.S.: алгоритм AES-256 by design защищён от брута пароля: фактическое шифрование производится здоровенным ключом, который строится на основе вашего пароля при помощи случайно сгенерированных данных.
тоже верно . но это все таки другое . тут расчет на удобство отправки сообщений одному пользователю от дурогого с z7ip так не получиться . то что я сделал это своего рода мессенджер без тунеля отправки (пока) 7zip это архив в моем случае файл шифрованный открывается в один клик . попробуйте мне важна обратная связь .
Ну смотри, OpenPGP — это круто, но попробуй объяснить маме что такое публичный ключ и связка ключей. Она закроет приложение на втором предложении.
Тут другая идея — пароль можно придумать из того что знаете только вы двое. Написал другу в чате «наше место плюс год когда познакомились» — и оба понимают что вбивать. Или «имя твоей бывшей и номер квартиры». Никакой обмен ключами не нужен, никаких серверов.
Да, для спецслужб такой пароль не преграда. Но это и не для спецслужб — это чтобы случайный человек, коллега или провайдер не прочитал твоё сообщение. Для бытовой приватности более чем достаточно.
А по поводу вайбкодинга — ну да, начиналось как эксперимент. Но три платформы, App Store, RuStore и реально работающее шифрование — неплохо для эксперимента)
это кстати тема - запилить простое PGP приложение для зумеров и их мам.
ну вот да, я тоже подумал, что сделать универсальную оболочку для PGP было бы логичнее. Когда приложение берёт на себя автоимпорт полученного ключа из сообщения, автоматический подбирает ключ для контакта итп.
Я пилил когда-то. Оболочка над gpg.exe, шифровала текст по паролю. Без всяких открытых ключей, связок, кей-серверов, подписей и прочего.
В этом и суть настройки pgp сложны обычные обыватели не склонны к сложностям (тем более зумеры)) .я вижу задачу попробовать сделать что то похожее на delta chat но проще . найти баланс . для профи действительно все уже придумали .
Пишите свой клиент MAX, но с шифрованием тогда. Простые юзеры зачастую даже не знают как в телефоне что-то скопировать/вставить, поэтому ваша программа вряд ли зайдет. Им нужно максимально просто: написал - оправил
А в чем именно сложность-то? PGP/OpenPGP/GnuPG базовая концепция проста как двери - генерация двух ключей, публичный и приватный. Публичный отправляешь кому угодно, да хоть на сайте публикуешь, а все, что им зашифровано - ты сможешь прочитать только с помощью одному тебе доступного приватного ключа. GUI к этому делу представлены в десятках вариантов, скрипты, API под любую платформу - какой смысл свой велосипед чудить? Неудобные GUI? Кто мешает написать +1 свой GUI, особо удобный и фантастически простой?
а мамам че шифроваться то?)
пароль можно придумать из того что знаете только вы двое.
и вот теперь у вас 200 контактов и 200 разных паролей. А еще вы знаете, что вчера менты приняли соседа Диму с его телефоном, надо его пароль пересоздать, а еще судорожно вспомнить, а не использовался ли этот пароль совместно и с другими контактами.
И теперь уже нужен парольный менеджер только под это.
Но данная проблема не решается ни ассиметричным шифрованием ни паролем на приложение поскольку если вашего соседа повязали то они возьмут у него телефон и "уговорят " его разблокировать телефон и прочитают все сообщения поскольку сами сообщения в данной редакции будут в том же max . Пока данное приложение больше игра чем реальный шифровальщик и уже тем более мессенджер но появилась идея создать что то типа delta chat с ассиметричным шифрованием но упростить сам процесс регистрации и привязки почты . будем тестировать .
В телефонной книге можно в поле Notes хранить публичные ключи каждого пользователя. Ключ - это же как пароль, только хитрый. Ключ Димы можно пометить как потерявший доверие или удалить. Так что если пользоваться ассиметричным шифрованием для сообщений, типа у каждого собеседника свой пароль, то каждый может читать только то, что было зашифровано для него. А процедура обмена ключей потребует дополнительный канал обмена кодовой информацией для валидации публичного ключа собеседника.
Ну смотри,
Нейроскам, ты ли это?!
Проблема обмена секретными данными включая создание ключа через открытый канал прослушиваемый решается протоколом Diffie–Hellman
насколько я помню, против MitM атак он уязвим, то есть всё равно надо как-то убеждаться, что ты беседуешь именно с Васей, а не т-щ майор берёт твои сообщения и передаёт их Васе. Иначе бы не было необходимости городить всю PKI инфраструктуру с CA.
Для общения с теми, с кем видишься регулярно лично подойдёт сканирование QR кода. Но если надо обменяться кодом с дедушкой, который живёт за океаном - задачка становится сложнее.
Diffie–Hellman уязвим к подмене. Если у нас есть "публичный" канал с аутентификацией то он защищен. То есть если вы уверены что именно ваш дедушка отправил вам это сообщение с публичным ключом то нет никакой опасности. То есть в нашем сценарии если вы уверены что Майор(первая буква MitM) не подменил "рукопожатие" причем с двух сторон то вопросов не возникнет.
Для личных целей вполне достаточно использовать другой канал для передачи или проверки ключа. Банально позвонить дедушке голосом и спросить первые и последние символы ключа. Товарищ колонель/майор не будет специально для вас запускать ИИ с голосом дедушки и его знаниями.
PS: На днях узнал, почему гастарбайтеры у нас так любят по видеосвязи со своими родственниками общаться. Оказывается - если без видео, то ты можешь разговаривать не с родственниками, а с Шайтаном. А видео Иблис подменить не может ;) Так и тут...
Кстати, да с асимметричными ключами даже проще. Перед общением можно сгенерировать пару и обменяться публичными ключами. И шифровать этими ключами, как итог приватный ключа на расшифровку не выйдет за пределы Вашей машины. Но это просто мысли)
PGP оттого и не взлетел - что там переусложнение простой задачи.
К слову, использую такую схему https://habr.com/ru/articles/1013424/comments/#comment_29707680
https://pteo.paranoiaworks.mobi/https://play.google.com/store/apps/details?id=com.paranoiaworks.unicus.android.sse
Есть мобильное приложение и сайт. Шифрует текст и файлы. AES.
PGP оттого и не взлетел
"Слово" PGP можно заменить на "шифрование". В абсолютном большинстве простая задача - обычный разговор. И если требуется хоть какие-то телодвижения, вероятность того, что решение останется в "узком кругу" достаточно высока.
Тоже в вашем комментарии их себе записал и тоже не понимаю смысла было городить свой велосипед. :)
я пока велосипед даже в этих 250 моментов не нашел . даже арнее работающий delta chat - увы не работает . pgp это просто тип шифрования вопрос не в нем а как иногда (повторюсь иногда ) отпрвть то что не нужно никому видеть быстро и просто) и да мое решение не идеальное но оботрите внимание на суть моей статьи - я просто поведал историю если кто то сделает лучше и поделиться я буду рад и указал как минимум как сделать быстро кросс платформу и она работает.
У меня были схожие мысли насчет такого подхода, правда я думал использовать ВК и их API
Делаем приложение, которое использует API ВК, но добавляем туда шифрование. ВК может заблокировать ID нашего приложения, но тут можно попробовать сделать динамические IDшники, несколько приложений и так далее, главное что мы используем каналы которые будут работать даже во время блокировки
В вашем варианте проблема в том, что нужно все делать в ручную, что не очень юзабельно для массового пользователя. А не массовому пользователю ваш продукт не нужен, так как есть другие инструменты, которые решают проблему и более удобные
Идея с VK API интересная, но рискованная — ВК может заблокировать приложение за нарушение правил использования API, и динамические ID это гонка вооружений которую сложно выиграть.
По поводу «всё вручную» — согласен, это главное что хочу улучшить. Собственно уже думаю над версией 2.0 где шифрование будет работать через общую папку на Яндекс.Диске. Выглядит как обычный чат — пишешь сообщение, оно само шифруется и улетает. Получатель видит его автоматически. Яндекс.Диск в белом списке, свой сервер не нужен, а Яндекс видит только зашифрованные файлы.
Сейчас v1.0 — да, ручной режим. Но фундамент (шифрование, кроссплатформенность, формат .darkm) уже работает. Осталось сделать транспорт автоматическим.
В моде ВК vtlite есть шифрование сообщений
Всё уже давно есть:
Phoenix (R) для ВКонтакте версия: 1.0.5
ещё в 2020м году поддерживал end-to-end шифрование, вот прямо такое, которое сделал автор - но ещё плюс авто обмен ключами, судя по всему, Diffie–Hellman
В UI самого VK выглядело как набор бит.
Договоритесь с получателем о парольной фразе (лично, по звонку — не через тот же мессенджер!)
Просто используйте RSA с подписями для обмена ключами, если хотите приватности. В таком случае не обязательно даже использовать какой-то другой канал связи, кроме выбранного вами мессенджера. А ещё можно использовать RSA с обеих сторон, в таком случае секретный ключ будет храниться исключительно на устройстве-получателе.
(я не эксперт в этом вопросе, но, пожалуй, это будет надёжнее и удобнее, чем ваш вариант)
Однако, я уверен, что у тех, от кого вы пытаетесь защитить переписку таким образом, появятся вопросы раньше и с большей вероятностью, чем если бы вы общались нормальным образом :D
Да, RSA с обменом публичными ключами — это правильный подход с точки зрения криптографии, не спорю.
Но представь: тебе нужно быстро скинуть коллеге фотку документа так чтобы никто не прочитал. Ты правда будешь генерировать RSA ключи, обмениваться публичными ключами, импортировать их? Или проще позвонить и сказать «пароль — наш любимый ресторан и год когда ходили»?
Тут выбор между академически правильным и практически удобным. Для повседневных задач общий пароль работает отлично.
А по поводу «появятся вопросы» — ну так base64 строка в чате выглядит как сломанная ссылка или техническая ерунда. Никто не будет разбираться что это, если не знает что искать. Хотя думаю в следующей версии сделать так чтобы зашифрованное выглядело как обычный осмысленный текст — типа «привет, как дела, погода хорошая». Пока упираюсь в то что количество слов ограничено и длинное сообщение в безобидный текст не спрячешь, но идея интересная)
Но представь: тебе нужно быстро скинуть коллеге фотку документа так чтобы никто не прочитал. Ты правда будешь генерировать RSA ключи, обмениваться публичными ключами, импортировать их? Или проще позвонить и сказать «пароль — наш любимый ресторан и год когда ходили»?
Стойкость алгоритма достаточно высокая, чтобы не нужно было менять ключи при каждом сообщении - имхо, раз в месяц достаточно.
А по поводу «появятся вопросы» — ну так base64 строка в чате выглядит как сломанная ссылка или техническая ерунда
Постоянный поток таких ссылок будет очень подозрителен)
Да, RSA с обменом публичными ключами — это правильный подход с точки зрения криптографии, не спорю
В 2026 году стоит предпочесть EdDSA
Или проще позвонить и сказать «пароль — наш любимый ресторан и год когда ходили»?
Внезапно, в OpenPGP предусмотрен и такой сценарий.
Отправлять зашифрованный текст не в виде текста, а в виде изображения. Тогда простые алгоритмы его не увидят.
Мне кажется или вы даже ответы прогоняете через чат gpt?
железно) Я один коммент увидел, написанный от руки и стилистика.. сильно отличается от остальных
А, прошу прощения, уже два
Вот тут уже форматирование сломалось, как иногда у ллм бывает
Под спойлером
Справедливое замечание! Без воды: у него в каждом сообщении узнаваемые формулировки.
Нет . Иногда через Claude ))со скилами human
Угу
Не поможет здесь ни RSA, ни Диффи-Хеллман. В середине все равно может быть товарищ майор, который обменяется ключами и с вами и с вашим собеседником. В общем случае, нормального решения здесь нет. Или использование третьей стороны для удостоверения собеседника (Удостоверяющие Центры, сертификатом которых подписываются ключи, PKI), или обмен ключами по второму безопасному каналу (оффлайн), или общий секрет - что предложено здесь.
Затем появился стандарт OpenPGP (который с годами не стоял на месте и обрастал поддержкой современных алгоритмов), равно как и независимый (от PGP corporation) софт.
Например, для андроид это
https://github.com/open-keychain/open-keychain
и
https://github.com/oversecio/oversec
(Последний, кстати, обеспечивает относительно вменяемый UX при использовании с Max любым приложением)
Спасибо за ссылки! Oversec интересная штука, не знал про него.
Но оба проекта по факту мертвы — oversec в архиве, open-keychain не обновлялся пару лет. И оба только Android. На iOS с этим вообще пусто — там нет аналогов которые работают поверх мессенджеров.
Dark Message работает на Android, iOS и Windows. Одно сообщение зашифрованное на телефоне расшифровывается на любой из трёх платформ. Это было кстати самой сложной частью — заставить русские пароли одинаково работать на Kotlin, Swift и Python)
Если с oversec есть нюансы с изменениями в современных версиях android по чтению с экрана, то в openkeychain-то что обновлять ? Он работает. Стандарт OpenPGP поддерживает. Yubikey всякие поддерживает. Чего ещё нужно? Обновления ради обновлений?
Одно сообщение зашифрованное на телефоне расшифровывается на любой из трёх платформ
Сообщение в формате OpenPGP зашифрованное любой софтиной, поддерживающей стандарт, расшифруется любой [другой] софтиной, поддерживающей стандарт. На любой комбинации платформ.
самой сложной частью — заставить русские пароли одинаково работать
Извините, но в этом месте очень хочется вставить facepalm.jpeg
Кстати, а на iOS есть удобный PGP клиент который шифрует текст, фото и документы для отправки через мессенджер? Не для email, а именно зашифровал — скопировал в MAX/чат — отправил? Я когда искал — не нашёл ничего живого.
Не по теме, но, может, кто знает где найти старинный "PGPDisk" для Windows 7 ?
я не нашел
Кроме oversec есть ещё (тоже, увы, подзаброшенный) https://github.com/amnesica/KryptEY - он только расшифровывать чтением экрана сам не умеет.
Ого, эта клавиатура может шифровать в человекоподобный текст! Интересно как работает этот режим Fairy Tale
В их ридми написано что просто добавляют к отвлекающему сообщению невидимые символы юникода
https://github.com/amnesica/KryptEY/blob/master/KRYPTEY.md#messageenvelope-and-message-encoding
интресно
Следующий шаг - стеганография: внедрять шифротекст в младшие биты картинки с котиками, ее и отправлять. Или в песенку. Главное, чтобы транспорт картинки не пережимал.
Кстати тоже об этом думал
Младшие биты(номера масок с высокой частотой косинуса) в jpg как раз можно использовать ведь они имеют очень малый импакт на общую картину так как они умножаются на чаще других маленькую константу
Тема интересная. Интересно насколько реально пойти дальше и сделать своего клиента к Максу
Чтобы было легко, удобно, массово
Ну и насколько я понял, при отвязке от Макса, это просто кодер декодер, микроприложулька на коленке без никакого прорыва. Мвп концепт на 1 семинар для школьников старших классов
Почта от яндекса (и наверное от маил ру тоже) в белом списке, так что дельтачат должен решить проблему "террористов". https://habr.com/ru/articles/899262/
В дельта чат медленно сообщения доходят, до 10 минут, как чат не удобен.
Письма обычно приходят очень быстро. Кстати да, чат тут не нужен тоже, есть обычные почтовые клиенты с отдельным шифрованием.
Из личного опыта - это зависит от того, какая почта используется и включено ли шифрование. На их тестовых серверах все работает быстро. А вот gmail или яндекс + шифрование - бывают необъяснимые затупы. Но если шифрование не использовать - тоже все шустро работает.
Спасибо за приложение. Feature request: предусмотреть защиту от повторного получения ранее полученных сообщений. Это, например, когда злоумышленник перехватывает и отменяет сообщение, где, по его мнению, содержится текст "да", и вместо него отправляет дальше ранее перехваченный пакет, где, по его мнению, содержится текст "нет". Возможно, я не прав и эта паранойя избыточна.
А что, у Макса нет API,чтобы юзер не парился с копипастом?
Тоже об этом подумал. Где API? Я все ждал, когда автор прикрутит своё творение через API к месседжерам, но не дождался.
API только для юрлиц как минимум для ботов это так. Недавно читал статью где автор пытался сделать но ему отказали по премодерации бота.
Будет )) все коменты очень полезные , думаю создать сначала прототипы всех вариантов которые тут предложили протестировать - создам для ios testflight для андройд открытый код .
ИИ не заменил разработчика — он заменил команду. Вместо бэкенд-разработчика, iOS-разработчика, Android-разработчика и тестировщика у меня был один помощник, который знает все платформы. Но финальные решения, тестирование на железе и понимание «что нужно пользователю» — это по-прежнему человек.
зачем этот нейрослоп, зачем? На хабре за объём текста приплачивают что ли? :)
)) нет суть статьи не в этом . ни в том показать как ИИ что то может сделать а как раз вовлечь сообщество провести брейн сторм .Просто появилась необходимость , как сделать просто безопасно и главное легально это вопрос .
зачем этот нейрослоп, зачем? На хабре за объём текста приплачивают что ли? :)
Нет, Anthropic — за рекламу своего слона.
А это законно? Мужик поставил полностью защищённый и неподконтрольный Vipole и его за это посадили.
В некоторых странах можно уехать надолго за отказ расшифровать свое сообщение, телефон итп. И это не совсем тоталитарные страны...
Можно подробности?
Томский районный суд приговорил местного жителя Константина Белоуса к трем годам ограничения свободы за использование защищенного мессенджера Vipole.
Суд квалифицировал его действия по статье 273 УК РФ – использование вредоносной компьютерной программы, заведомо предназначенной для нейтрализации средств защиты компьютерной информации.
Дело № 1-981/2022 от 21 октября 2022 г.
в этом и суть что в таком виде легально сервер свой сделать - нет .
Куда куда его посадили?
Не изобретайте велосипед.
PGP придуман так давно что деды которые им начинали пользоваться уже нянчат внуков.
Что было бы здорово улучшить:
Сделать папки для разных людей и показывать там переписку, как она бы выглядела в мессенджере. Можно даже uid папки передавать, чтобы у обоих пользователей сообщения не теряли папку, к которой относятся и импорт был бы легче.
Возможность текст тоже отправить файлом. И файлы чтобы открывались сразу этим приложением. Так переписки будут идти быстрее и проще.
Чтобы текст из мессенджера можно было не копировать, а отправить себе в приложение для расшифровки через функционал кнопки "поделиться".
Хорошая идея, но в статье нет самого важного для security инструмента: open source, понятного описания хранения пароля, ограничений на слабые пароли и независимой проверяемости билда. И главное - у вас не описан нормальный обмен ключами через публичную криптографию: хотя бы X25519 для обычного key exchange или CRYSTALS-Kyber PQ сценария уже стандартизированный NIST, а сейчас всё держится на заранее общей парольной фразе.
Одного не понял: нужно быстро скинуть коллеге что-то. А пароль ему как будете скидывать?
Статья имела бы смысл, сделай вы автоматическое установление безопасного соединения и обмен сообщениями в максе, а вы просто вручную шифруете сообщения и вручную же передаёте пароли.
По факту - стандартная задача передача секрета по открытым каналам связи. Пока вы говорите о e2e без промежуточных звеньев, всё складывается и понятно для чего продукт. Как только появляется ещё звено в виде Яндекс диска и т.д. возникает момент - это уже решено. В качестве примера - https://github.com/jhaals/yopass. Таких проектов много, я знаю как минимум 3, но точно есть ещё.
вообще все страдают от поломки голосовых и видео звонков. а обмен сообщениями и картинками это так - почтой всегда можно или sms.
Следующий шаг - расковыривание протокола Макс и создание кастомного мессенджера с шифрованием. Да, долго и сложно.
Дай бог не очень сильно обфусцировали, а то ведь и могли чтобы усложнить реверс инжиниринг. С учетом того что он шлет зашифрованные пакеты и пока даже не понятно какую именно инфу он сливает(только по внешним признакам пока известно) . И не будем подсказывать, что можно делать аутентификацию исполнителя кода(то есть криптографическая проверка, что сообщение отправляется с реального и неизменного клиента MAX) в общем ждем "античит" в максе и надеемся что этого не будет.
Как по мне, проще уж SMS использовать, чем ставить этот бэкдор. Тем более, для sms есть решения, поддерживающие шифрование из коробки.
какие ? как отправить документы и фотографии черз смс в зашифрованном виде?
Раньше тонна такого была. Вообще, вы же даже сами используете base64, вот так любые, в том числе, бинарные данные и отправляются. Причем, если использовать sms как транспорт, то нормальное e2e с автоматическим обменом ключами можно использовать.
Вообще, я бы сделал в приложении поддержу стандартного api для транспортов, а вот сами транспорты уже можно было бы собирать разные, sms, email, matrix, cloud, да что угодно.
И не хватает десктопных версий под мак и лин тогда уж.
Такие шифровальщики уже есть, но в них минус что надо сворачивать мессенджер, который на фоне может закрыться. Возможно, на андройде можно это всё встроить в кастомную клавиатуру, там чего только нет, переводчики, хранители паролей, стикеры и т.п.
Кажется деловую переписку, особенно пересылку договоров, лучше вести по электронной почте (мессенджеры просто для общения, можно и голосом обсудить - а многие именно так и предпочитают)
В нее же можно положить зашифрованный архив с договором (или какой-то другой ценной информацией, если есть опасения утечки)
У меня нет MacBook. Совсем. А для сборки iOS-приложения нужен Xcode, который работает только на macOS.
Весь процесс — от коммита до появления билда в TestFlight — полностью автоматический.
С TestFlight понятно. В как версия появляется в App Store, если нет MacBook?
Это, конечно, хорошо, но Вы сами пишете, что сообщения могут быть видны нежелательным субъектам, а учитывая, кто эти самые субъекты, они, заметив такой трафик, могут оправить к адресатам пояснительную бригаду с различными приспособлениями для криптоанализа. Ну или сделать предложение от которого невозможно отказаться. Так что гонять явно зашифрованный трафик через такую помойку тоже такое себе решение. Тем более, что в комментах уже писали про посадки за использование ПО для "нейтрализации средств защиты компьютерной информации".
Рано или поздно это должно было случиться. У меня тоже была подобная идея.
Раньше было несколько популряным расширение VK COFFEE, которое позволяло шифровать сообщения в комментариях вк. Для тех кто не в теме оно выглядело как
VK CO FF EE <прочией набор байт в hex>Их клиент автоматом подхватывал публичные сообщения и позволял иметь шифрованную переписку практически где угодно. Правда не помню как происходил обмен ключами c друзьями.
Отвлекаясь от технических моментов: если этим методом начнут пользоваться более менее массово, думаю, Скам перебанит такие аккаунты. Ведь когда надо это - частная компания, которая никому ничего не должна, а когда надо - государственный мессенджер.
Проблема не в том, что сообщения кто-то читает на лету, а в том, что тот же Макс чисто гипотетически может украсть ключи шифрования с устройства. Молчу уже про всякие UFED-ы. Так что мало шифровать сообщения. Нужно ещё подумать о контрфорензике
Есть статьи об этом? если это так то создаваnm ключи приватные как в PGP ни просто бессмысленно но и опаснее чем то что я реализовал . как раз хоте добавить вариант с ассиметричными ключами .
Специализированные статьи я не встречал. Однако в области уже адвокатской практики такие разборы встречаются очень часто. Погуглить можно адвокатские разборы вроде "изъятие телефона, изъятие переписки с устройства". Мобильный криминалист, UFED - все это прекрасно снимает дамп памяти. Где будут, собственно, и ключи. 99% уголовных дел почти всегда основаны на данных с изъятых устройств. Методы затирки вроде всяких DoD5220.22 могут быть не эффективны для SSD. Поэтому тут огромная проблема. Что делать, если устройство изъято. Как сделать ключи невалидными.
В vk coffe был режим шифрования сообщений, который на лету в чатах расшифровывал такие сообщения от других пользователей. А обычные юзеры видели сообщения вида «VKCOFFE AAFF44FJGOEJSUVIG и так далее». Не знаю зачем это написал, просто воспоминания нахлынули
Есть ещё OpenKeyChain (есть так же и в стандартных магазинах приложений), если я правильно понял идею автора - очень похожая штука в части шифрования текста. Можно выделить текст в поле ввода и зашифровать (не работает, если приложение как-то по своему обрабатывает контекстное меню).
Усложнение базовой задачи по отправка сообщения
Статья больше похожа на желание покрыть Максом хоть какой-то процент ИТшников.
Похоже главная задача, всё таки, обеспечить покрытие. Чтобы частный ВПН отследить и заблочить, или?
Мне кажется, проведена прекрасная работа, идея нравится, попробую протестить!
Спасибо :)
Идея как MWP ок, заниматься копипастом - неюзабельно. Читаешь статью, будто запрос в GPT сделал, те же самые фразы и выражения, которыми он любит отвечать.
Это не баг приложения, а особенность клавиатур.
Каким образом выбор не той раскладки это "особенность клавиатуры"? Может, все-таки особенность оператора этой самой клавиатуры?
Возможно, open source — чтобы любой мог убедиться в отсутствии бэкдоров
Почему не сразу open source? Любым закрытым криптографическим решениям нет доверия по умолчанию, особенно тут, когда неизвестно, что там навайбкожено - реальный AES-256 или неизвестно что с неизвестной криптографической стойкостью или вовсе без нее. "Используют банки и военные" выглядит ну очень тупо, это как на материнках MSI раньше писал, что они у них military-grade, мы все-таки на Хабре, а не на Пикабу, и люди тут понимают, что такое AES и для чего он используется. Почему AES, а не что-то другое, типа Blowfish и его потомков?
Приложение не требует интернета, не собирает данных, не требует регистрации и шифрует стандартом AES-256.
Поверю, когда увижу список разрешений и потроха.
Ну и самый главный вопрос.
А вам нужно отправить коллеге договор, другу — фотографию, или просто написать сообщение, которое не хочется показывать всему миру.
А не поделитесь, как вы заставите этих коллегу, друга и всех прочих поставить какое-то мутное приложение из магазина, лишь бы они могли видеть ваши творения? Договор коллеге пересылать по открытым каналам вместо внутренних коммуникаций компании, особенно пропуская через черт знает что - это разглашением коммерческой тайны как минимум попахивает со всеми вытекающими. В этом ведь и заключается самое главное препятствие подобного "шифрования" - для танго нужны двое, и если вторая сторона не поддерживает становление криптогиком или не имеет для этого достаточного резона, никто этим не будет пользоваться. Не говоря уже о том, что пересылка открытым текстом чего-то, что явно орет в мегафон одним своим видом "Я ЗАШИФРОВАНО ОСОБЫМ СПОСОБОМ", если вы опасаетесь слежки со стороны "белосписочных" сервисов - так себе идея.
в следующей версии я выложу все потроха . По поводу "я ЗАШИФРОВАН ОСОБЫМ СПОСОБОМ " это проблема и есть идея сделать переписку в виде осмысленных фраз , пока в прототипе сложность в том что чем более осмысленно тем больше слов нужно, и переписка превращается в тома "войны и и мир" но для коротких фраз выглядит как минимум интересным для рассмотрения .А так все что вы написали я согласен - глупо спорить .Проблема в том что сейчас нет решения идеального . Но вот прям сейчас когда твоему партнеру нужно тебе счет прислать (приватно) который не должен никуда попасть и сделать это срочно а интернета нет - это выход .Ни идеальный но я для этого и написал это чтобы узнать мнения профи .
Для веб-версии поди можно прозрачное шифрование навернуть поверх без особых хлопот, включая обмен открытыми ключами.
А вот в exe... поди тоже можно, но хлопот гораздо больше будет.
Из простого варианта - софтинку типа пунтосвичера написать, которая смотрит куда вводишь текст и перед нажатием ентера шифрует. Рассшифровка через выделение с горячей клавишей.
Звучит как решение...
Собственно все новое это хорошо забытое старое )))
Есть же Thunderbird со встроенным PGP, под Android так же есть Thunderbird c PGP.
Под iOS нет Thunderbird, но есть BlueMail с поддержкой PGP и S/MIME
Ставите и пользуетесь с любой почтой.
На fdroid есть sekreto например, делает то же самое. Шифрует сообщение под пароль, пароль можно лично сообщить или другим способом передедать. Но зачем, это очень сложная схема. Нужна только для реально секретных сообщений. Но такие сообщения и вызовут дополнительный интерес. Вот если бы это все было автоматизированно, грубо говоря надстройка, которая имитировала мессенджер и те, у кого такая же получают шифрованныые сообщения, а кто не парится те получают простые. Это было бы полезно и круто
для подобных вещей давно придумали delta chat
Всегда был уверен, что на телефонах должно быть что-то типа наследника pgp, где шифрование чего попало должно быть и так.
Идея интересная. Для подобных вещей использую архивы WinRAR (есть версия и для Android) с паролем и шифрованием имен файлов + Яндекс.Диск. Заодно и трафик экономится.
Насколько я помню деятельность по разработке всяких шифрующих (криптографических) программ в России подлежит лицензированию. Так что я бы подстраховался и прояснил этот вопрос, перед тем как писать статьи и пиарить приложения. Беглый поиск выдает постановлением Правительства РФ от 16.04.2012 №313 "Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств,...". Лицензированием занимает ФСБ и хотя им вряд ли будут интересны эксперименты начинающего криптографа (кто в молодости не делал свой шифровальный алгоритм), но забывать о юридической части не стоит. Буду рад ошибаться, если не прав..
это касается только средств шифрования для госов
Думаю, вы не правы. В упомянутом мною постановлении как раз исключением являются гостайна (для неё отдельные законы). Чем вы руководствуетесь в своем сообщении?
Лицензированием занимает ФСБ
Т.е. если нужна лицензия на софт - ее выдает ФСБ. Нужна она для госов. Если лицензия не нужна - то она не нужна.
Я про лицензируемые виды деятельности, и госы тут не причем. Вот прямая аналогия со ссылками на закон:
Федеральный закон от 04.05.2011 N 99-ФЗ (ред. от 31.07.2025) "О лицензировании отдельных видов деятельности"
Статья 12. Перечень видов деятельности, на которые требуются лицензии
разработка, производство, распространение шифровальных (криптографических) средств, информационных систем ...
медицинская деятельность ...
Сомнений, что медицинская деятельность требует ОБЯЗАТЕЛЬНОГО лицензирования, надеюсь, не возникает? А она идет в одном списке с «криптографией» (последняя даже под номером один).)) Таким образом, всё, что относится к медицинской деятельности и «криптографии» подлежит обязательному лицензированию. Остается лишь выяснить, относится ли бесплатное оказание медицинских услуг физическим лицом медицинской деятельностью? И, по аналогии, является ли создание и бесплатное распространение программ шифрования физическим лицом деятельностью из пункта 1? Принципиально неоднозначные моменты это «физ. лицо» и «бесплатно». Но вот я не уверен, что бесплатная врачебная практика физлицом не будет трактоваться, как незаконная медицинская деятельность. Типа стоматологический кабинет в подвале открыл, денег не беру (докажите, что беру) удаляю восьмерки по доброте душевной всем желающим. Аналогия понятна?
Значит мы пользуемся нелицензионным HTTPS, нелицензионной windows/linux и нелицензионным смартфоном (
Думаю, разработчики винды не ведут деятельность по разработке средств шифрования винды в юрисдикции России, а то бы их попросили получить лицензию. Но в целом мысль верная, много где можно найти странных непонятных юридических ситуаций формально попадающих под нарушение, часть из которых можно объяснить тезисом "не трогаем, потому что не критично, и пока "импортозаместить" нечем".
Как эксперимент интересно, но не более. Критические минусы:
1 передача парольной фразы. Сгодится для агента 007, но не для масс по множеству причин
2 неудобство, годится опять же только для агента 007 и тех, кто устроит этот механизм в свой транспорт без необходимости копировать. А в этом случае зачем нам в этой схеме вы?
3 передача большого количества непохожей на текс инфы равно блокировка аккаунта. А вы как думали, не читают?
Учитывая смысл этой системы - прятать то, что изначально не спрятано - очевидно что оно нужно только для подконтрольного третьим лицам транспорта типо шмякс. Соответственно решать надо 1 и 3 пункт . Увы первый решается только "неофициальным" клиентом. А вот с третьим подкидываю идею - вместо не читаемого текста каждое зашифрованное слово можно сопоставлять другому обычному слову. Сильно затратнее однако будет хотя бы напоминать реальную беседу. Впрочем увы скорее всего не спасет - запуск анализатора текста на связанность и "заблокирован на 72 часа ляля"
Да я выше писал уже сдал такой вариант осмысленный тест но пока проблема в том что если фраза длинная то сообщение растет в геометрической прогрессии превращается в Тома книг утрирую конечно . Но много слов получается если делать осмысленным беседу но получилось интересно в следующей статье покажу исходник и на ios testflight
Не занимайтесь этой ерундой. Даже нормальную стеганографию в медиа легко детектировать, не говоря о псевдослучайных текстах. Не нужно делать ставку на security through obscurity - давно известно, что это не работает.
а если это будет внутри дурого реального текста . например мы договариваемся что каждое второе предложение буде шифром а первое рольным тестом . я повторюсь суть статьи на мысль на вести а не решение полноценное прдложить
Это просто уменьшение коэффициента внедрения полезной информации в носитель. Также можно изменять не каждый младший бит картинки, а через 1, через 10 и т.п. Нужно просто разграничивать криптографию и стеганографию. Если создается приложение для стеганографии - для него свои требования: разный формат носителей, разный коэффициент внедрения информации и т.п.
Блин, а я наверно как и многие рассчитывал на приложение которое запускается поверх маха и используя его api и сервера пересылает информацию. И точно такое же расшифровывает. Ещё бы поверх всего этого добра звонки шифровать, вообще круто было бы
передставляеш какую борьбу устроят те кто стоят за разработчиками маха с этим "нелегальным" использованием их транспорта... Ой вою то будет! :-)
Там и перепаковка картинок "с котиками" и прочих медиаформатов начнется (вдруг стеганография используется) и не доставка сообщений которые ии не сможет прочитать и понять. Естественно все строго с заботой о пользователях.
Честно тоже не понимаю зачем тут макс, когда есть куча других вариантов
Дальнейшее развитие идеи - использовать MAX как транспорт для телеги. То есть поднять что-то вроде туннеля через МАХ, на противоположной стороне поставить сервер в географической локации с нормальным интернетом, и завернуть трафик от ТГ в этот туннель. Вот ради такого я бы поставил МАХ..
А если прикрутить к этому RSA или ECC, чтобы можно было повесить свой публичный ключ в описании профиля или еще где-то (примерно как делают с PGP для почты)?
о это прям круто, убирает главную головную боль — не надо заранее созваниваться и договариваться о пароле. повесил ключ в профиль и всё, кто хочет тебе написать — берёт оттуда и шифрует, а прочитать можешь только ты.
надо подумать как сделать чтоб юзеру не пришлось вникать в эти ключи. может при установке само генерит пару ключей и даёт короткий код типа DM-A7F3X вместо длинной простыни. беру в работу на v2.0, спасибо за идею!
Попробуйте, конечно, но здесь будет сложно. ECC-ключ в теории можно сжать до 40–50 символов в Base64 (на «короткий» код не очень похоже), а RSA и вовсе почти не поддается сжатию. Для по-настоящему коротких кодов (как в гуглокартах) вам потребуется БД в качестве слоя-переводчика, а это и для вас расходы, и для пользователей новый вектор атаки (MITM).
Может есть смысл сделать на html, css, js?
Не уверен, но мне кажется что в РФ это может оказаться незаконным. Шифровать сообщения вроде бы не запрещают, но только если вы предоставите ключи для декодирования в ФСБ.
правильно что не уверен, для физ лиц и личной переписки это не запрещено законом.
это не мессенджер, тут нет сервера и обмена сообщениями через нас. по сути это как запароленный архив с удобным интерфейсом. шифруешь у себя на телефоне, отправляешь сам как хочешь.
я уточнял этот вопрос — шифровать свои данные для личного использования в рф не запрещено. закон касается мессенджеров которые предоставляют сервис обмена, а мы просто шифратор и да gpg лучше но сложнее но если сгенерировать в этйцо проги код то расшифровать нереально
А шифрование отправляемой телеметрии можно сделать?
Пусть на том конце расшифровывают.
Кроме тащмаора, есть и вполне себе актуальная мошня, так что идея цифровой гигиены- здравая идея.
Но гораздо больше заинтересовала тема запуска ios приложений в других средах. Особенно в связи с этим экспериментом антропиков https://claude.com/blog/dispatch-and-computer-use
Код написан на Windows в обычном редакторе (Swift/SwiftUI)
Код загружается в GitHub (приватный репозиторий)
В репозитории настроен GitHub Actions — при каждом push запускается workflow
GitHub Actions предоставляет бесплатную macOS машину в облаке (macOS runner)
На этой машине автоматически:
Генерируется Xcode проект через XcodeGen (из файла project.yml)
Устанавливается сертификат и provisioning profile (из GitHub Secrets)
Компилируется приложение через
xcodebuildСоздаётся архив (.xcarchive)
Загружается в App Store Connect через
xcodebuild -exportArchive
Билд появляется в TestFlight/App Store Connect
Ну вы же уже читали Постановление Правительства РФ от 16 апреля 2012 г. N 313, я надеюсь? Создание криптографических средств в РФ является лицензируемым видом деятельности. А факультативно, ст. 14.1 КоАП РФ и ст. 171 УК РФ для общего развития, об ответственности за занятие лицензируемыми видами деятельности не имея лицензии.
проверил этот вопрос. ПП N313 касается лицензирования для юрлиц и ИП. я физлицо, не веду предпринимательскую деятельность, приложение бесплатное.
по сути приложение использует стандартные системные API шифрования — CryptoKit на iOS, javax.crypto на Android. это те же самые библиотеки что используют банковские приложения, браузеры, и тот же 7-zip. я не создаю новый алгоритм шифрования, а делаю удобную обёртку.
но вопрос справедливый и неоднозначный. если кто-то из юристов в комментах может уточнить — буду благодарен. не хочу делать вид что разбираюсь в праве лучше чем есть.
Нигде не нашёл обсуждения безопасного ввода пароля в присутствии других приложений.
QR и clipboard отпадают сразу, как и отображение пароля при вводе.
Спасибо автору за работу и за то, что вообще пытается закрыть дырку: а что делать, если каналу связи доверять нельзя.
Идея вполне привлекательна: зашифровал, отправил хоть через почту/Telegram/куда угодно, на той стороне расшифровал. В бытовых сценариях такой офлайн‑контейнер вполне может пригодиться. Аналоги есть (тот же GPG), но у многих решений, которые я трогал, откровенно хромает UX. Хорошо, что автор сделал на него ставку: для обычного пользователя это часто решающий фактор.
Но дальше начинаются нюансы:
AES-256-GCM + PBKDF2-HMAC-SHA512 - выбор хороший, но детали реализации важны не меньше алгоритмов.
Интересный момент про пароли: приложение на Android спокойно приняло "123". Понятно, что это сознательное решение в пользу UX - но было бы интересно услышать от автора, как он видит баланс между удобством и защитой от перебора.
Логичное развитие - асимметричное шифрование, но тут быстро оказываешься у порога PKI. Для айтишника это понятная история, а вот объяснить обычному пользователю, что такое публичный ключ - почти нереально, проверено лично. В общем, ИБ‑сообщество наверняка попросит больше технических деталей, и это нормально, но не потому что "все плохо". При этом ценность идеи и хороший UX от этого никуда не деваются. Спасибо автору - и будет интересно посмотреть на следующую версию.
Сделайте функционал "Поделиться" (как из Вашего приложения поделиться зашифрованным текстом, так и Ваше приложение пусть сможет принимать (зашифрованный) текст)
Не все зумеры знакомы с концепцией буфера обмена...
Пользуясь случаем - вопрос знатокам криптографии:
Есть ли такой механизм:
Расшифровать сообщение, даже зная пароль можно только ограниченный отрезок времени.
Тут нужна третья сторона, которая бы отдавала вторую часть ключа некоторое, заранее заданное время.
Если сторона ключ хотя бы при каком-то стечении обстоятельств, пусть даже на секундочку отдаёт - то он может быть сохранён, и вся затея теряет смысл.
Чтобы такой фокус работал, нужно чтобы третья сторона хранила ключ строго внутри себя, и сама расшифровывала сообщение - ну и отказывалась это делать по истечении таймера.
нужен асинхронное шифрование для этого уже в работе . будет aes 256 и pgp по переключателю плюс возможность отправки по через smpt как в delta chat внутри будеть обучение как создать пароль приложения (основная проблема delta chat обычные юзеры не знаю как это сделать и вводят обычный пароль а нужен другой и там нет об этом информации )
Возможна хохма с разделением по времени.
1) Алиса передаёт Бобу по открытому каналу https‑ссылки на некий двоичный файл F, который она загрузила на контролируемый ею вебсервер.
2) Боб скачивает этот текст и сохраняет его на свой компьютер.
3) Поскольку Алиса контролирует этот вебсервер, она видит, что файл F был скачан только единственный раз, то есть тащмаёр не мог его перехватить. Алиса удаляет файл с сервера.
4) Алиса передаёт Бобу по открытому каналу сообщение, например: «18 6A 3F 46 B8 71 38 .. DE AF 46». Боб берёт из файла F байты c этими номерами, и тем самым получает открытый ключ Алисы. Он шифрует этим ключом свой открытый ключ и отправляет результат, опять же по открытому каналу, Алисе. Алиса проделывает то же самое, но уже с новой ключевой парой. Каждый раз после расшифровки зашифрованного сообщения предыдущие ключи шифрования уничтожаются.
4) После N-ного раунда такого обмена Алиса и Боб имеют открытые ключи друг друга и могут свободно общаться. В то же время для тащмаёра этот обмен полностью бесполезен, потому как чтобы получить что-то полезное, он должен был проделывать те же самые действия строго одновременно с Бобом (или Алисой) — а если он хоть в одном случае опоздал, то использовавшегося в качестве ключа файла уже тупо не существует.
Я не профессионал, а интересующийся любитель. Хотя занимался проектированием и построением информационных систем на предприятии среднего размера под контролем ИБ. Все они, конечно обязаны включать современную криптографию и по сути, и по документам.
Не встречал такого. И не могу себе представить, как это можно реализовать на имеющихся технологиях.
Не привлечет ли внимание сам по себе какой-то диалог состоящий из шифра?
Прочитал только до описания способа работы, и не понял, зачем понадобилось делать ещё одно приложение
Всё написано до нас
Идея интересная но устанешь копировать туда-сюда каждое сообщение, думаю имеет смысл сделать форк того же Телеграма или Маха и прикрутить туда ваш модуль и кнопку чтобы расшифровывать сообщения с вводом паролей (разные чаты = разные ключи/пароли), доработка минимальная а польза реальная.
А в чем прикол без интеграции с мессенджерами? На сколько я понял - все сообщения копируешь / вставляешь
Вы придумали как консольную утилиту типа openssl перенести в приложение с интерфейсом?
Писал что-то подобное, но в консольном варианте по схеме "ключ + исходник"
Раз уж всё равно планируете пересылку данных через какой-нибудь условный Яндекс.диск, может быть сделаете приложение, которое будет условным VPN, который перехватывает только запросы к телеграмму и прогоняет трафик через Яндекс.диск?
Запрос на определенный ip отловил, на диск сохранил, сервер его прочитал, отправил куда надо, ответ обратно на диск записал, "ВПН" на телефоне файл с диска прочитал и отдал ответ приложению.
Можно даже прокси для ТГ поднять, чтобы удобнее было запросы перехватывать и отправлять. И пользоваться удобнее, включил прокси-телега работает через диск, выключил - через обычные средства.
Обязательно сделай чтобы запустить приложение надо вводить пин или по отпечатку. Ну а на комп я так баловался винраром.
https://disk.yandex.ru/d/N-topsIcY9z8pQ уже сделали выложу
немного не по теме, но не подскажете как аккаунты делали в сторах? тоже сейчас пишу приложение, озабочен как это все добро (android console fee) оплачивать из рф.
android consol бесплатный акк а вот для appl годиться любая карта иностранная если хотите выложу инструкцию как сделать карту на bybit быстро напишите сделаю
https://habr.com/ru/articles/1018714/ инструкция пишите в личку помогу никаких рефералов просто инструкция))
а можно ссылочку для версии на винде?
Можно, пожалуйста, файлик для пользования на ПК?
Друзья дописываю вариант со всеми вашими замечаниями . как думаете стоит ли делать совместимым с delta chat ? я имею ввиду полноценный чат ? то есть на pgp асинхронном шифровании - это наверное выложу отдельно разные все таки цели и суть программ . если да то как думаете что можно добавить в delta chat (понимаю как уже писали что это велосипед но не совсем я сделаю регистрацию только по почтам которые работают в рф - уже сделал но что изменить? ) . давайте вместе сделаем . пишите все учтем и выложим опен сорс
А можете подробнее рассказать про эту часть:
Решение: GitHub Actions. Я настроил CI/CD pipeline, который:
Берёт код из репозиторияЗапускает виртуальную macOS на серверах GitHubГенерирует проект черезXcodeGen(чтобы не хранить тяжёлый .xcodeproj в репозитории)Собирает, подписывает и загружает билд напрямую в App Store Connect
Весь процесс — от коммита до появления билда в TestFlight — полностью автоматический. Я пишу код на Windows, пушу в GitHub, и через 15 минут получаю готовый iOS-билд на своём iPhone через TestFlight.
тема оказалась интересной, поэтому решил не мучить комментарии, а написать отдельную статью со всеми подробностями — от регистрации Apple Developer из РФ до автоматической сборки через GitHub Actions. Когда выложу — скину ссылку сюда.... не для того что бы лайки получить просто всеми интересно . сегодня выложу . будет на скорую руку не придирайтесь )) главное суть будет
https://habr.com/ru/articles/1018714/ вот инструкция
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как я сделал шифрование поверх MAX, когда приватность стала роскошью