Szyfrowana, anonimowa komunikacja?

Regulamin forum
Uwaga! Poruszamy kwestie wyłącznie zgodne z prawem! Nie namawiamy do łamania prawa! Nie radzimy jak łamać prawo!
Weteran
Posty: 2518
Rejestracja: 21 marca 2014
Reputacja: 1468
Reputacja postu: 
0
Napiwki za post: 0 BTC

Re: Szyfrowana, anonimowa komunikacja?

Postautor: The Real McCoin » sobota, 4 kwietnia 2015, 12:04

lenny pisze:To akurat jest sprzeczne z jedną z potrzeb autora, aby rozmowy były nie powiązane z nim ani z drugą osobą.
Ok, to może: otworzyć okno przeglądarki w trybie prywatnym i skorzystać z https://chat.bitsie.com albo podobnego serwisu?

pm7
Weteran
Posty: 7893
Rejestracja: 20 maja 2012
Reputacja: 969
Reputacja postu: 
0
Napiwki za post: 0 BTC

Re: Szyfrowana, anonimowa komunikacja?

Postautor: pm7 » sobota, 4 kwietnia 2015, 12:23

Jakakolwiek słabo rozpowszechniona technologia wskaże na nich, jeżeli oboje będą jej używać jednocześnie.
Największe szanse ma TOR, albo publiczne hotspoty wifi (pamiętając o MAC karty sieciowej).

Bardzo Zły Moderator
Awatar użytkownika
Posty: 14347
Rejestracja: 16 kwietnia 2012
Reputacja: 2639
Reputacja postu: 
0
Napiwki za post: 0 BTC
Lokalizacja: Polska/Wwa/GW

Re: Szyfrowana, anonimowa komunikacja?

Postautor: rav3n_pl » sobota, 4 kwietnia 2015, 12:55

W BM trzeba sprawdzić status wiadomości, bo przed wysłaniem on szuka klucza publicznego odbiorcy. Wiec jak wysyłamy do kogoś, kto nie ma włączonego BM i ma nowy adres, jest problem.
Piffko: PLC/BTC 1Rav3nkMayCijuhzcYemMiPYsvcaiwHni
BIP39 Mnemonic z talii kart
Bitcoin Core 0.25
Linki do YT, TT, LI i reszty

Weteran
Posty: 2518
Rejestracja: 21 marca 2014
Reputacja: 1468
Reputacja postu: 
0
Napiwki za post: 0 BTC

Re: Szyfrowana, anonimowa komunikacja?

Postautor: The Real McCoin » sobota, 4 kwietnia 2015, 17:17

Dlaczego aplikacja Bitmessage dla Windows ma aż 15 MB?
Przecież oprócz kilku ikon nic tam nie ma.

Bardzo Zły Moderator
Awatar użytkownika
Posty: 14347
Rejestracja: 16 kwietnia 2012
Reputacja: 2639
Reputacja postu: 
0
Napiwki za post: 0 BTC
Lokalizacja: Polska/Wwa/GW

Re: Szyfrowana, anonimowa komunikacja?

Postautor: rav3n_pl » sobota, 4 kwietnia 2015, 17:32

Runtime Pythona i QT waży.
Piffko: PLC/BTC 1Rav3nkMayCijuhzcYemMiPYsvcaiwHni
BIP39 Mnemonic z talii kart
Bitcoin Core 0.25
Linki do YT, TT, LI i reszty

Wygadany
Awatar użytkownika
Posty: 557
Rejestracja: 3 listopada 2013
Reputacja: 1
Reputacja postu: 
0
Napiwki za post: 0 BTC
Lokalizacja: bardzo południowa wielkopolska

Re: Szyfrowana, anonimowa komunikacja?

Postautor: menesis » sobota, 4 kwietnia 2015, 19:28

lenny pisze:To akurat jest sprzeczne z jedną z potrzeb autora, aby rozmowy były nie powiązane z nim ani z drugą osobą. Widok zaszyfrowanych wiadomości w jego standardowym środku komunikacji na pewno wzbudziłoby podejrzenia.
Obawiam się, że coś za bardzo zamieszałem. Głównie mówię tu o pojęciu "powiązanie rozmowy z użytkownikami (mną i klientką)" Chciałbym to trochę uprościć. Jeśli ktoś kto uzyska dostęp do naszych komputerów i stwierdzi, że napewno się komunikowaliśmy, ALE nie będzie mógł odczytać treści to nie ma problemu.

Pomimo moich nieprecyzyjnych słów i nie do końca sprecyzowanych potrzeb dowiedziałem się o bardzo wielu rozwiązaniach (Tox, Telegram, OTR (Pidgin) Bitsie Chat, Proton Mail, BM, webcrypt.org itd) i generalnie mógłbym temat uznać za zamknięty. Ale stałem się fanem BM :) Zapraszam(y) do subskrybowania testowego kanału BM-2cV2kBcuVkxVSkyVyk2ahiHgsHZokRgT71 Z innym użytkownikiem forum staramy się rozpoznać szczegóły działania Kanałów BM więc jeśli dołączy się więcej osób (choćby miały wysłać tylko po jednej testowej wiadomości) to spojrzenie będzie szersze. Właściwie to, żeby ten wpis nie był zbyt mdły napiszę moje główne spostrzeżenia i wątpliwości odnośnie Kanałów BM.
- osoba tworzy Kanał poprzez File > Join/Create.... i tu nadaje mu nazwę i dostaje wygenerowany adres Kanału; w tym miejscu dostaje również informację, że aby ktoś mógł się do niego dołączyć musi dostać nazwę kanału i jego adres...
- ...ale tu pojawia się moje pytanie czym to się różni od kliknięcia PPM na dowolnym adresie z Address Book i wybraniu 'Subscribe to this address'?
- na utworzony poprzez 'Join/Create' Kanał można wysyłać wiadomości jako konkretny użytkownik czyli jako "ja" ORAZ jako "Kanał" (czyli w zakładc Inbox w polu 'From' będzie nazwa/adres Kanału...) - po co to?
- poza tym doszły mnie słuchy, że (w linuxowej wersji) przy wysyłaniu wiadomości jest suwak (?) pozwalający ustalić "termin ważności" wiadomości w Windowsie tego nie mam
Adam Freeland - We Want Your Soul
Bitcoin: 1Q3g3WHYgF9cRPVtKCZtVe8so2KdaBkVRP

Bardzo Zły Moderator
Awatar użytkownika
Posty: 14347
Rejestracja: 16 kwietnia 2012
Reputacja: 2639
Reputacja postu: 
0
Napiwki za post: 0 BTC
Lokalizacja: Polska/Wwa/GW

Re: Szyfrowana, anonimowa komunikacja?

Postautor: rav3n_pl » sobota, 4 kwietnia 2015, 20:06

Ten "suwak" jest być może w nowszej wersji z GITa, binarka pod wingrozę dość leciwa jest.
Po świętach może się pobawię i zrobię aktualną.
Piffko: PLC/BTC 1Rav3nkMayCijuhzcYemMiPYsvcaiwHni
BIP39 Mnemonic z talii kart
Bitcoin Core 0.25
Linki do YT, TT, LI i reszty

pm7
Weteran
Posty: 7893
Rejestracja: 20 maja 2012
Reputacja: 969
Reputacja postu: 
0
Napiwki za post: 0.0003 BTC

Re: Szyfrowana, anonimowa komunikacja?

Postautor: pm7 » sobota, 4 kwietnia 2015, 20:32

Jeszcze to http://www.privacytools.io/ tutaj podrzucę.

Moderator
Awatar użytkownika
Posty: 2715
Rejestracja: 19 maja 2013
Reputacja: 220
Reputacja postu: 
0
Napiwki za post: 0 BTC

Re: Szyfrowana, anonimowa komunikacja?

Postautor: GetBitCoin_pl » sobota, 4 kwietnia 2015, 22:29

pm7 pisze:Jeszcze to http://www.privacytools.io/ tutaj podrzucę.
Bardzo ciekawa lektura, powiem szczerze, że PGP zawsze mnie odrzucało ze względu trudność w używaniu. Na w/w stronce znalazłem fajny program http://www.gpg4usb.org/. Super sprawa, możliwość szyfrowania wiadomości kluczem PGP dla laików ;)
Wcześniej też nie interesowałem się co się stało po zakończeniu rozwijania projektu truecrypt, teraz wiem, że jest on kontynuowany przez inną grupę pod nazwą veracrypt https://veracrypt.codeplex.com/ gdzie podobno wyeliminowano wiele nieprawidłowości związanych z bezpieczeństwem wykryte w truecrypcie ;)
W Veracrypt można importować volumen truecrypt i zapisać do formatu veracrypt.

Wygadany
Posty: 611
Rejestracja: 6 lutego 2012
Reputacja: 102
Reputacja postu: 
0
Napiwki za post: 0 BTC

Re: Szyfrowana, anonimowa komunikacja?

Postautor: McGravier » niedziela, 5 kwietnia 2015, 07:25

Jeżeli chcecię się pobawić/pospamować/potrollować w BM to wejdźcie
join chan->
nazwa: /b/
adres: BM-2DBrj7qjmbVHNZUMPe6uVER6DmJauZppwA

Jedyna różnica jest taka, że oryginał ma obrazki :D

EDIT: jeśli chcecie wysłać tam wiadomość, to wpiszcie ten adres jako odbiorcę

Weteran
Posty: 2256
Rejestracja: 23 marca 2013
Reputacja: 140
Reputacja postu: 
0
Napiwki za post: 0 BTC

Re: Szyfrowana, anonimowa komunikacja?

Postautor: AdamM » niedziela, 5 kwietnia 2015, 22:08


Weteran
Posty: 1326
Rejestracja: 11 grudnia 2012
Reputacja: 6
Reputacja postu: 
0
Napiwki za post: 0 BTC

Re: Szyfrowana, anonimowa komunikacja?

Postautor: MusX » poniedziałek, 6 kwietnia 2015, 23:10

GetBitCoin_pl pisze:Bardzo ciekawa lektura, powiem szczerze, że PGP zawsze mnie odrzucało ze względu trudność w używaniu.
dlatego wlasnie powstal protonmail.ch, o ktorym wczesniej wspominalem.

Po aktualizacji wymagan przez autora wyglada na to ze jest to najwygodniejszy sposob, nie trzeba nic instalowac.

Weteran
Posty: 2518
Rejestracja: 21 marca 2014
Reputacja: 1468
Reputacja postu: 
0
Napiwki za post: 0 BTC

Re: Szyfrowana, anonimowa komunikacja?

Postautor: The Real McCoin » wtorek, 7 kwietnia 2015, 17:43

MusX pisze:dlatego wlasnie powstal protonmail.ch, o ktorym wczesniej wspominalem.
ProtonMail przestał przyjmować nowych użytkowników:
Due to high demand, we have hit our capacity limit. We are adding servers constantly and will send you an invitation as soon as possible.
Co ciekawe, twórcy deklarują, że jak masz sprawy podobne jak my tutaj, jakiś romansik z klientką, itp. to chętnie zapraszają, ale jeżeli jesteś Edwardem Snowdenem, to uciekaj stąd daleko :)
Ja się zastanawiam nad tym, jaką gwarancję ma użytkownik, który chce wysłać wiadomość do innego użytkownika Protona, że właściciel serwisu nie odczyta treści?

Wygadany
Posty: 611
Rejestracja: 6 lutego 2012
Reputacja: 102
Reputacja postu: 
0
Napiwki za post: 0 BTC

Re: Szyfrowana, anonimowa komunikacja?

Postautor: McGravier » wtorek, 7 kwietnia 2015, 21:30

Odczytać może, ale jej nie odszyfruje :)

Tak serio: Klucz dekodujący wiadomość jest odtwarzany z hasła po stronie użytkownika przy użyciu javascript. Proton mail nigdy go nie otrzymuje. Idea jest dobra, pytanie jaka jest gwarancja, że program w javascript nie ukradnie twojego hasła/klucza? Odpowiedź brzmi: w każdej chwili admin strony może zmienić ten program tak aby kradł klucze. Dlatego z używaniem protonmail należy się wstrzymać, aż powstanie opensourcowy klient na PC/androida

Bardzo Zły Moderator
Awatar użytkownika
Posty: 14347
Rejestracja: 16 kwietnia 2012
Reputacja: 2639
Reputacja postu: 
0
Napiwki za post: 0 BTC
Lokalizacja: Polska/Wwa/GW

Re: Szyfrowana, anonimowa komunikacja?

Postautor: rav3n_pl » wtorek, 7 kwietnia 2015, 21:49

Jeżeli jest na JS to można sobie stronkę "sklonować" żeby używało lokalnego skryptu, jak bitaddress.org
Piffko: PLC/BTC 1Rav3nkMayCijuhzcYemMiPYsvcaiwHni
BIP39 Mnemonic z talii kart
Bitcoin Core 0.25
Linki do YT, TT, LI i reszty

Weteran
Posty: 2518
Rejestracja: 21 marca 2014
Reputacja: 1468
Reputacja postu: 
0
Napiwki za post: 0 BTC

Re: Szyfrowana, anonimowa komunikacja?

Postautor: The Real McCoin » wtorek, 7 kwietnia 2015, 22:21

McGravier pisze:Klucz dekodujący wiadomość jest odtwarzany z hasła po stronie użytkownika przy użyciu javascript. Proton mail nigdy go nie otrzymuje.
Rozumiem, ale skąd będziesz wiedział, że tym użytkownikiem nie jest właśnie Proton?
Jeżeli jest, to może sobie odszyfrować twoją superzaszyfrowaną wiadomość.
W jaki sposób w Protonie wysyła się nową wiadomość?
Z tego co widziałem na zrzutach, wpisuje się tylko adres email odbiorcy, ale żeby zaszyfrować treść, potrzebny jest jeszcze klucz publiczny powiązany z odbiorcą.
Pytanie: skąd twój komputer bierze klucz publiczny odbiorcy?
McGravier pisze:jaka jest gwarancja, że program w javascript nie ukradnie twojego hasła/klucza? Odpowiedź brzmi: w każdej chwili admin strony może zmienić ten program tak aby kradł klucze. Dlatego z używaniem protonmail należy się wstrzymać, aż powstanie opensourcowy klient na PC/androida
Tu nie chodzi tylko o ProtonMail.
Pełno jest takich rozwiązań ze ściąganym kodem podczas wchodzenia na stronę.
Sam tutaj takie coś linkowałem.
To jest poręczne, ale dla snowdena (takie przeciwieństwo janusza) cholernie niebezpieczne.
Nie ma się praktycznie żadnej kontroli nad tym jaki kod zostanie wykonany, chyba, że robi się własny audyt po każdorazowym wejściu na stronę.
Jeżeli program jest instalowany, albo chociaż ręcznie aktualizowany i składowany w folderze, to ma się kontrolę na wprowadzaniem modyfikacji.
Jakiś czas temu można się było przekonać jak szybko przypadkowy babol zrobiony w kodzie i załadowany po wejściu na stronę może się przełożyć na straty w przypadku portfela online.
Czy JavaScript nie miał służyć głównie do animacji menu? :)

Weteran
Posty: 2256
Rejestracja: 23 marca 2013
Reputacja: 140
Reputacja postu: 
0
Napiwki za post: 0 BTC

Re: Szyfrowana, anonimowa komunikacja?

Postautor: AdamM » wtorek, 7 kwietnia 2015, 22:57

The Real McCoin pisze:Rozumiem, ale skąd będziesz wiedział, że tym użytkownikiem nie jest właśnie Proton?
Jeżeli jest, to może sobie odszyfrować twoją superzaszyfrowaną wiadomość.
W jaki sposób w Protonie wysyła się nową wiadomość?
ProtonMail's segregated authentication and decryption system means logging into a ProtonMail account that requires two passwords. The first password is used to authenticate the user and retrieve the correct account. After that, encrypted data is sent to the user. The second password is a decryption password which is never sent to us. It is used to decrypt data on your device so we do not have access to the decrypted data, or the decryption password. For this reason, we are also unable to do password recovery. If you forget your decryption password, we cannot recover your data.
Nie znają drugiego hasła użytkownika. Oczywiście zakładając że mają czyste intencje i nie wykorzystają jakiejś sztuczki by je wykraść.
The Real McCoin pisze:Z tego co widziałem na zrzutach, wpisuje się tylko adres email odbiorcy, ale żeby zaszyfrować treść, potrzebny jest jeszcze klucz publiczny powiązany z odbiorcą.
Pytanie: skąd twój komputer bierze klucz publiczny odbiorcy?
Może go sobie np. ściągnąć z serwera protonmaila? Przecież to nie problem, klucz ten może być jawny dla każdego.

Wygadany
Posty: 611
Rejestracja: 6 lutego 2012
Reputacja: 102
Reputacja postu: 
0
Napiwki za post: 0 BTC

Re: Szyfrowana, anonimowa komunikacja?

Postautor: McGravier » wtorek, 7 kwietnia 2015, 23:05

Bazę kluczy publicznych przypisanych dla poszczególnych adresów mailowych przechowuje sam protonmail.

Czyli w teorii mogą wykonać atak man-in-the-middle. Mogą podać dwóm osobom swój klucz publiczny.

Weteran
Posty: 2256
Rejestracja: 23 marca 2013
Reputacja: 140
Reputacja postu: 
0
Napiwki za post: 0 BTC

Re: Szyfrowana, anonimowa komunikacja?

Postautor: AdamM » wtorek, 7 kwietnia 2015, 23:15

Nigdy tego nie używałem. Ale ta javascriptowa implementacja powinna sprawdzać czy klucz publiczny nie został podmieniony. A przy pierwszej wiadomości musimy się upewnić że osoba, która jest po drugiej stronie jest tą za którą się podaje. Dlatego potrzebujemy drugiego kanału komunikacji, w sumie tak samo jak przy zwykłym pgp.

Weteran
Posty: 2518
Rejestracja: 21 marca 2014
Reputacja: 1468
Reputacja postu: 
0
Napiwki za post: 0 BTC

Re: Szyfrowana, anonimowa komunikacja?

Postautor: The Real McCoin » wtorek, 7 kwietnia 2015, 23:57

AdamM pisze:
ProtonMail's segregated authentication and decryption system means logging into a ProtonMail account that requires two passwords....
Czytałem to, ale nie o to chodzi.
AdamM pisze:Nie znają drugiego hasła użytkownika. Oczywiście zakładając że mają czyste intencje i nie wykorzystają jakiejś sztuczki by je wykraść.
To czy hasło drugiego użytkownika w ogóle będzie potrzebne zależy od tego jakim kluczem publicznym zaszyfrował dane nadawca.
AdamM pisze:Może go sobie np. ściągnąć z serwera protonmaila? Przecież to nie problem, klucz ten może być jawny dla każdego.
No właśnie, komputer nadawcy dostaje klucz publiczny od Protona, ale skąd pewność, że będzie to klucz odbiorcy, a nie jakiś własny Protona?
Żeby klucz, który otrzyma komputer był jawny to pewnie nieźle trzeba by się nagrzebać głęboko pod maską, a przecież nie po to przychodzą użytkownicy do Protona.
Proton działa w trybie "będzie pan zadowolony", cała czarna robota zostanie wykonana gdzieś przeźroczyście dla klienta.
AdamM pisze:A przy pierwszej wiadomości musimy się upewnić że osoba, która jest po drugiej stronie jest tą za którą się podaje. Dlatego potrzebujemy drugiego kanału komunikacji, w sumie tak samo jak przy zwykłym pgp.
Patrz wyżej.
Kliencie, wpisz tylko adres odbiorcy i treść wiadomości, a wszystko będzie dobrze. ;)

Wróć do „Anonimowość i bezpieczeństwo w sieci”

Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 3 gości