Сейчас активно развивается ещё один дистрибутив, связанный с Tor — whonix. В отличие от Tails, предназначенного для использования в качестве основной системы, whonix используется как две виртуальные машины, что защищает от уязвимостей целевой системы. Даже если на целевой системе будет уязвимость, дающая рута, она всё равно не сможет обратиться к сети не через Tor или узнать реальный IP (если не учитывать вероятность уязвимостей виртуальной машины).
Ещё одно отличие от Tails: разработчик whonix не анонимен.
Если проводить сравнение дистрибутивов для анонимной работы, необходимо включить туда whonix.
Сайт whonix содержит большое количество информации, связанной с Tor и информационной безопасностью.
В свободном ПО каждый может прикрыть сам, если обнаружили, а в закрытом уязвимости могут и годами висеть, не будучи закрыты. Опыт показывает, что сообщество более заинтересовано в исправлении багов в открытых программах, чем корпорации в своих.
Более того, можно выбрать, какую версию у себя держать. Очень оправдан подход дебиана, когда багфиксы отправляются в старую версию кода, в которую ещё не успели принести новых багов вместе с фичами. К примеру, когда на линуксе ветки 3 обнаружили уязвимость, у меня ещё была версия 2.6, в которой этой уязвимости никогда и не было.
многие считают компьютер черным ящиком который живет своей жизнью.
Это не значит, что такое отношение к компьютеру верно. Даже президент обращался к гражданам с призывом изучать программирование, потому что для людей выгоднее понимать, как работает машина, а не считать её чёрным ящиком. Именно гики должны задавать моду в айти.
Это пока он не представляет интереса для «органов»
Либо этим «органам» придётся запретить Tor, или они будут грызть ногти, так как иного сколько-нибудь эффективного способа помешать вести переговоры через торчат нет. Максимум, на что они когда-либо смогут надеяться — это выявление IP-адресов. Чтобы прочитать содержимое диалогов, им пришлось бы найти брешь в алгоритмах шифрования, проверенных годами.
Меня не интересует, что интересно компании. Если она хочет зарабатывать деньги и ради этого предаёт мои интересы — я не буду пользоваться её продуктами и не буду советовать другим.
При чем тут ВК, если мы говорим про BitTorrent-chat и Skype? Да, ВК тоже городит свой велосипед с шифрованием, от которого толку будет не больше, чем от скайпа и BitTorrent-chat, раз они должны кому-то там подчиняться и сливать мою переписку. Посмотрите с точки зрения пользователя, а не производителя программ: есть программы — черные ящики, сливающие переписку из-за бестолковых законов, и есть торчат, простой как тапок, который в принципе ничего не может никому сливать, даже вашего местонахождения. Не представляю, чем должен руководствоваться пользователь, чтобы, зная это, выбрать первое. Так же и открытые исходники — это не абстрактный принцип, а жизненно важное требование для пользователя.
Слишком долго нужно «раскочегаривать». Я честно пытался отправить с его помощью сообщение самому себе и дожидался его доставки целую вечность. TorChat активируется почти сразу и доставляет сообщения без серьезных задержек, позволяя использовать его именно как чат и сразу. А ещё Bitmessage нет в стабильном дебиане, а торчат есть.
Спасибо, не знал об этом проекте. Однако, как написано в википедии, по умолчанию оно не является настоящим даркнетом (то бишь IP-адреса вылезают наружу). Преимущество торчата в том, что в нем невозможно что-то перепутать с настройками и запустить его не в режиме даркнета или с отключённым шифрованием. Он был спроектирован, чтобы работать как даркнет. Поэтому он качественно превосходит варианты Jabber+OTR+Tor или Skype/X + VPN и тому подобные костыли, в которых инструмент из clearnet пытаются приспособить к даркнету. Ну и наконец, торчат есть в стабильном дебиане, а RetroShare нет.
Во-первых, у таких вещей как линукс или буст тоже когда-то был один контрибутор… Во-вторых, контрибутор на самом деле не один. (Да, гитхаб показывает 1, но это вызвано тем, что автор публикует все изменения от своего имени. Плюс, есть независимые совместимые реализации, над которыми работает ещё дюжина людей.)
Для меня и многих пользователей было радостной новостью, что вполне рабочая версия TorChat включена в стабильный дебиан. А та технология, которая предлагается в статье, никогда туда не попадёт, в крайнем случае в раздел non-free, так как исходники они открывать не собираются. Для меня наличие программы в стабильном дебиане — это главный объективный критерий готовности к продакшену. Если Вам известны более адекватные критерии, готов их выслушать.
Всё это хорошо, но почти то же было в скайпе, плюс можно говорить голосом и через вебкамеру, а не только писать. Технология закрыта и открывать её не собираются. Я объяснял, почему любая закрытая технология обречена прогнуться под натиском прослушки.
Более того, этот чат раскрывает IP-адрес собеседника (скайп это тоже делает, даже если разговор передается через супер-ноду). Зачем нам ещё один скайп, когда есть TorChat, лишенный всех этих недостатков, начиная с закрытого кода?
Давным-давно скайп тоже преподносили, как защищенный криптографией IM. И что мы видим сейчас? Даже сами спецслужбы не отрицают, что прослушивают скайп. Как это стало возможно? Я считаю, что дело в закрытом протоколе и исходниках. Это делает технологию и её пользователей заложниками владельцев сервиса. Даже если программа когда-то и была безопасной, владельцам сервиса ничто не мешает внедрить в клиент уязвимость, позволяющую им прослушивать людей. А люди ничего не могут с этим сделать: серверы компании внедряют прослушку, а установить свои серверы нельзя из-за закрытых исходников. Серверы могут перестать поддерживать старые или пропатченные версии клиента, не обеспечивающие прослушку.
Где гарантии, что то же не произойдёт с телеграм? Слова конкрентных людей? Нонсенс. Зачем кому-то верить на слово, когда есть удобные решения, которые позволяют обойтись без этого?
OTR для приватного общения лучше, так как обеспечивает perfect forward secrecy. То есть, если постоянный приватный ключ будет скомпрометирован, содержимое перехваченных в прошлом сообщений OTR, использующих этот ключ, не будет раскрыто атакующим. Телеграм использует протокол обмена ключами Диффи-Хеллмана для достижения того самого perfect forward secrecy.
А torchat ещё лучше, так как он ещё к тому же бессерверный и анонимный, но слово tor в названии почему-то народ пугает. Кстати, набор криптографических алгоритмов такой же, как в телеграм: AES, RSA, DH key exchange.
Возможно, есть технический способ узнать частоты на месте. К сожалению, я не разбираюсь в этой технологии, но мне приходит идея брутить все частоты и измерять, сколько электричества получается собрать.
Если это невозможно, то частоты будут выкладывать в сеть, как сейчас выкладывают экранки. Дешевле договориться друг с другом и купить информацию 1 раз на всех, чем если каждый будет платить производителю.
Я закачиваю при помощи скрипта plowshare (с плагином mega к нему), через браузер неудобно. Никаких регистраций не требуется, ссылку скрипт выдаёт на stdout. Проверил только что — работает нормально.
Кто стоит за Tor, известно, по реальным именам, а не по никам, как в I2P. Кто держит ноды — добровольцы. И это говорит Вам один из них. Зловредные ноды находят и блеклистят — и это я тоже своими глазами видел. Мне не верится, что у АНБ есть достаточно нод, чтобы это было опасно.
я никак не могу повлиять на то, что они делают и по сути мало кто может
Вы можете использовать средства с шифрованием от одного человека до другого, тогда будет уверенность на уровне криптографии, что содержимое беседы никто больше не может прочитать. Одним из таких средств является TorChat. Если оба собеседника используют незаражённые машины и находятся в безопасном месте, то гарантия приватности вполне себе есть, опять же при условии, что криптография не содержит ошибок. Я больше верю в криптографию, чем в то, что в комнате, где Вы предлагаете провести личную беседу, нет прослушки.
Что обидно, скайп мог бы быть так же зашифрован, как TorChat, от программы до программы. Его уязвимость к прослушке — искусственная. Но исправить это нельзя, так как технология находится в руках корпорации и исходный код закрыт.
Это понятно, но удобнее было бы, если бы программа сама это делала. Бывает, что забываешь подмонтировать криптоконтейнер перед запуском торрент-клиента и он думает, что все данные пропали. Приходится делать force-check.
Одно дело анонимность, другое дело защита содержимого разговора. Я не всегда претендую на первое, но отказываться от второго — увольте. Тем более, что второе технически намного проще реализовать (в простейшем случае DH), чем первое (тут много что приходит в голову, начиная от Tor, и всё равно надежность не близка к 100%).
По поводу доверия к АНБ (не знаю, как ещё назвать вашу позицию). Никто не знает, что они хранят и о ком. Есть свидетельства в пользу того, что хранят всё, до чего могут дотянуться. Что из этого и когда может оказаться инструментом против отдельных людей — никто не знает. Простой пример: был убит человек, с которым кто-то говорил. Разумеется, они будут разыскивать этого кого-то, возможно будут считать его подозреваемым. А если этот кто-то поссорился с тем, кого убили (и этот разговор был автоматически записан), то тут и дело сошьют. Вот зачем, к примеру, нужны анонимность и защита разговора от посторонних ушей. Они далеки от идеала и любят превращать свои проблемы в наши. Тотальная слежка делает нас беззащитными против этого.
Смартфон тоже можно отобрать, но биткоин можно хранить прямо в голове! Создаем кошелёк в Electrum, запоминаем seed (12 частых английских слов), заносим на него деньги и эти деньги будут с Вами, даже если вся Ваша электроника будет захвачена «государственными вымогателями».
Но seed, который держат в голове, не годится для захватывающей истории, поэтому пусть супруги нанесут его себе в виде татуировок, 6 слов один, 6 слов другой. Как Майкл Скофилд. На всякий случай, правильный порядок слов знает только обладатель татуировок, а это 12! вариантов.
Кстати, судья уже признавал Bitcoin валютой, правда в кино. Спасибо хабру за ссылку на это кино; к сожалению, не могу найти, кто именно её здесь разместил.
Ещё одно отличие от Tails: разработчик whonix не анонимен.
Если проводить сравнение дистрибутивов для анонимной работы, необходимо включить туда whonix.
Сайт whonix содержит большое количество информации, связанной с Tor и информационной безопасностью.
$ hgit up commit
> git checkout commit
$ hgit cat file
> git show file
Сложнее со всякими rebase, mq, переключением ветвей, тегами.
Хорошо бы, чтобы враппер по умолчанию писал транслированную команду гита, чтобы помочь пользователю изучать гит.
Более того, можно выбрать, какую версию у себя держать. Очень оправдан подход дебиана, когда багфиксы отправляются в старую версию кода, в которую ещё не успели принести новых багов вместе с фичами. К примеру, когда на линуксе ветки 3 обнаружили уязвимость, у меня ещё была версия 2.6, в которой этой уязвимости никогда и не было.
Либо этим «органам» придётся запретить Tor, или они будут грызть ногти, так как иного сколько-нибудь эффективного способа помешать вести переговоры через торчат нет. Максимум, на что они когда-либо смогут надеяться — это выявление IP-адресов. Чтобы прочитать содержимое диалогов, им пришлось бы найти брешь в алгоритмах шифрования, проверенных годами.
При чем тут ВК, если мы говорим про BitTorrent-chat и Skype? Да, ВК тоже городит свой велосипед с шифрованием, от которого толку будет не больше, чем от скайпа и BitTorrent-chat, раз они должны кому-то там подчиняться и сливать мою переписку. Посмотрите с точки зрения пользователя, а не производителя программ: есть программы — черные ящики, сливающие переписку из-за бестолковых законов, и есть торчат, простой как тапок, который в принципе ничего не может никому сливать, даже вашего местонахождения. Не представляю, чем должен руководствоваться пользователь, чтобы, зная это, выбрать первое. Так же и открытые исходники — это не абстрактный принцип, а жизненно важное требование для пользователя.
Для меня и многих пользователей было радостной новостью, что вполне рабочая версия TorChat включена в стабильный дебиан. А та технология, которая предлагается в статье, никогда туда не попадёт, в крайнем случае в раздел non-free, так как исходники они открывать не собираются. Для меня наличие программы в стабильном дебиане — это главный объективный критерий готовности к продакшену. Если Вам известны более адекватные критерии, готов их выслушать.
Более того, этот чат раскрывает IP-адрес собеседника (скайп это тоже делает, даже если разговор передается через супер-ноду). Зачем нам ещё один скайп, когда есть TorChat, лишенный всех этих недостатков, начиная с закрытого кода?
Где гарантии, что то же не произойдёт с телеграм? Слова конкрентных людей? Нонсенс. Зачем кому-то верить на слово, когда есть удобные решения, которые позволяют обойтись без этого?
А torchat ещё лучше, так как он ещё к тому же бессерверный и анонимный, но слово tor в названии почему-то народ пугает. Кстати, набор криптографических алгоритмов такой же, как в телеграм: AES, RSA, DH key exchange.
Если это невозможно, то частоты будут выкладывать в сеть, как сейчас выкладывают экранки. Дешевле договориться друг с другом и купить информацию 1 раз на всех, чем если каждый будет платить производителю.
Используйте мегу.
Вы можете использовать средства с шифрованием от одного человека до другого, тогда будет уверенность на уровне криптографии, что содержимое беседы никто больше не может прочитать. Одним из таких средств является TorChat. Если оба собеседника используют незаражённые машины и находятся в безопасном месте, то гарантия приватности вполне себе есть, опять же при условии, что криптография не содержит ошибок. Я больше верю в криптографию, чем в то, что в комнате, где Вы предлагаете провести личную беседу, нет прослушки.
Что обидно, скайп мог бы быть так же зашифрован, как TorChat, от программы до программы. Его уязвимость к прослушке — искусственная. Но исправить это нельзя, так как технология находится в руках корпорации и исходный код закрыт.
По поводу доверия к АНБ (не знаю, как ещё назвать вашу позицию). Никто не знает, что они хранят и о ком. Есть свидетельства в пользу того, что хранят всё, до чего могут дотянуться. Что из этого и когда может оказаться инструментом против отдельных людей — никто не знает. Простой пример: был убит человек, с которым кто-то говорил. Разумеется, они будут разыскивать этого кого-то, возможно будут считать его подозреваемым. А если этот кто-то поссорился с тем, кого убили (и этот разговор был автоматически записан), то тут и дело сошьют. Вот зачем, к примеру, нужны анонимность и защита разговора от посторонних ушей. Они далеки от идеала и любят превращать свои проблемы в наши. Тотальная слежка делает нас беззащитными против этого.
Но seed, который держат в голове, не годится для захватывающей истории, поэтому пусть супруги нанесут его себе в виде татуировок, 6 слов один, 6 слов другой. Как Майкл Скофилд. На всякий случай, правильный порядок слов знает только обладатель татуировок, а это 12! вариантов.
Кстати, судья уже признавал Bitcoin валютой, правда в кино. Спасибо хабру за ссылку на это кино; к сожалению, не могу найти, кто именно её здесь разместил.
а закончил бы я фразу иначе: «которая не слишком хороша для хранения награбленного, в отличие от Bitcoin».