Объявлено (https://briarproject.org/news/2017-beta-released-security-au...) о начале публичного бета-тестирования новой системы обмена сообщениями Briar (https://briarproject.org/), нацеленной на обеспечение максимальной конфиденциальности и работающей без обращения к централизованным серверам. При доставке сообщений Briar обеспечивает работу в режиме P2P, при котором пользователи соединяются напрямую друг с другом. В качестве базового транспорта для построения P2P-сети предлагается анонимная сеть Tor, но Briar может функционировать вообще без подключения к интернету, обеспечивая прямое взаимодействие устройств по Wi-Fi или Bluetooth. Код написан на языке Java и поставляется (https://code.briarproject.org/akwizgran/briar/tree/master) под лицензией GPLv3.Программа оформлена в виде мобильного приложения (https://play.google.com/store/apps/details?id=org.briarproje...) для платформы Android. Приложение поддерживает передачу сообщений, публично-доступные форумы, закрытые чаты, блоги/статусы и импорт RSS. Основной целью разработки является создание децентрализованной системы, позволяющей людям свободное пространство для общения, планирования мероприятий и организации социальных инициатив, не ограниченное барьерами цензуры, противостоящее мерам блокировки и не подверженное прослушиванию.
Из ближайших планов отмечается создание версии Briar для настольных систем. В длительной перспективе, на базе предложенных в Briar технологий синхронизации планируется применить в областях, выходящих за рамки обмена сообщениями, таких как средства для совместной работы над документами и анализ ситуации во время кризисов.
Создание надстроек над Briar упрощает то, что все базовые функции синхронизации и реализации протоколов вынесены в отдельные библиотеки, которые могут использоваться обособленно для создания других продуктов. Версии для iOS не выпущена (https://code.briarproject.org/akwizgran/briar/issues/445) так как платформа накладывает жесткие ограничения на разработчиков, не позволяющие реализовать некоторые идеи P2P, и является закрытым проприетарным продуктом. При этом никто не мешает сторонним разработчикам попытаться создать неофициальную редакцию Briar для iOS.
Предложенная для тестирования бета-версия
обладает (https://sourceforge.net/p/briar/mailman/message/35957515/) одной особенностью - тестирование будет продолжаться до 21 октября, после чего список контактов и архив сообщений будет очищен. Подобный шаг объясняется желанием обезопасить пользователей от возможных недоработок в области безопасности, которые могут наблюдаться в процессе бета-тестирования, а также желанием развязать себе руки для внесения несовместимых изменений для выпуска 1.0.
Текущая кодовая база и применяемые в протоколах криптографические методы уже прошли (https://briarproject.org/raw/BRP-01-report.pdf) независимый аудит безопасности, выполненный немецкой компанией Cure53, известной своим аудитом проектов SecureDrop, Cryptocat и Dovecot. Проверяющие отметили высокое качество и хорошую читаемость кода Briar, а также обратили внимание, что код написан с оглядкой на безопасность и его разработчики понимают возможные угрозы. В команду (https://briarproject.org/about.html) Briar входит один из ключевых разработчиков анонимной сети I2P, участник разработки Freenet и LimeWire, автор инициативы Free Your Android.
Briar обеспечивает (https://code.briarproject.org/akwizgran/briar/wikis/home) шифрование всех данных на стороне пользователя (end-to-end) и также скрывает метаданные об участниках переписки. Все сообщения хранятся только на устройствах конечных пользователей, никакие облачные технологии с хранением на внешней системе не применяются. При использовании Tor программа создаёт на устройстве пользователя скрытый сервис Tor и соединяется со скрытыми сервисами Tor других людей из списка контактов. В случае отсутствие доступа к глобальной сети и Tor, программа пытается синхронизировать (https://code.briarproject.org/akwizgran/briar-spec/blob/mast...) накопившиеся сообщения через подключение к доступным поблизости контактам через локальную сеть, WiFi Direct или Bluetooth.
Добавление новых контактов в Briar производится через фотографирование QR-кода с другого телефона (подразумевается физическо присутствие лица, добавляемого в список контектов) или обмен контактами (уже добавленный пользователь может поделиться контактами другого лица). В дальнейшем приложение осуществляет синхронизации сообщений с пользователями, добавленными в список контактов, применяя для этого принцип P2P-сети. В случае если пользователь недоступен программа позволяет отправлять сообщения в offline.Основные угрозы и методы противостояния:
- Отслеживание метаданных. Для скрытия сведений о взаимодействии пользователей друг с другом применяется анонимная сеть Tor. Содержимое списка контактов хранится на устройстве пользователя в зашифрованном виде;- Перехват содержимого переписки. Для защиты содержимого сообщений от перехвата и подмены применяется шифрование на стороне пользователя (end-to-end);
- Блокировка работы и фильтрация контента. Фильтрация по ключевым словам блокируется end-to-end шифрованием, а блокировке противостоит децентрализованная архитектура системы, не требующая серверов для своей работы;
- Требования об удалении контента. Содержимое публичных форумов копируется на системе каждого подписчика, поэтому публикации размазаны по многим системам пользователей и отсутствует единое хранилище из которого можно было бы удалить публикацию;
- Совершение атак, нацеленных на инициирование отказа в обслуживании. Работа форумов не обеспечивается конкретными серверами и поэтому отсутствует конкретный объект для атаки. Все подписчики могут получить доступ к контенту независимо от подключения к сети, так как он копируется на их систему;
- Нарушение доступа к глобальной сети (например, в результате природных катастроф). Пользователи Briar могут поддерживать связь между собой через Bluetooth и Wi-Fi.
URL: https://briarproject.org/news/2017-beta-released-security-au...
Новость: https://www.opennet.ru/opennews/art.shtml?num=46896
софт для голубозубой кубы
https://blog.grobox.de/2017/how-f-droid-is-bringing-apps-to-.../
Чет ребятки замахнулись от души, фарш какойто, нет бы протокол сначала родить, с обфускацией трафика, короче не взлетит.
>...короче не взлетит.Эт почему-то?
Хотя бы по тому, что оно по возможностям уступает токсу, написано на жабе и только под андроиды.
Возможность пускать трафик через тор или без интернета мало кого заинтересует.
>>бета-тестирования новой системы... Из ближайших планов отмечается создание версии Briar для настольных систем.
Да мало ли че там отмечается, сначала создается протокол, или перерабатывается готовый, xmpp породил дохрена чего, завернуть его в свои сервера или в тор ваще без проблем, а это что, а это умеет qr-коды, да охренеть мне че скриншоты - слать контакт передавать или как, зачем эти костыли, чуваки явно не думали на перед ничерта и начали машину собирать с глушителя, а это уже говорит о многом; а то что на яве ваще, очередной высер, кто это портировать на си будет, оно кроме разрабов нафиг не надо никому, адекваты могут туннелировать тот же xmpp или irc на свои сервера, через шифрованные каналы.Существующих возможностей миллион, конкретно это выглядит убого и бессмысленно.
Новость про протокол будет не так интересна.Даже если бы они придумывали только протокол, то вероятность, что он будет популярен, очень мала.
Поэтому логично разрабатывать протокол и ПО, использующее его одновременно. Заодно они сразу понимают, что им надо в протоколе и также есть на чём его тестировать.Из новости понятно, что все функции по работе с протоколом они размещают в отдельных библиотеках, не привязанных к приложению и доступных другим разработчикам.
Таким образом любой желающий может сам написать свой клиент, с интерфейсом какой ему нравится и на любом языке.На Яве они написали, видимо, потому, что под Андроид. Для ПК напишут, наверно, на другом языке. Писать будут сами и в новости это написано. Не будут делать только под продукцию эпла.
>На Яве они написали, видимо, потому, что под Андроид.Нет. Это означает, что они не осилили bionic. Так что даю 200%, что си они вообще никогда не осилят. И их либы на псевдо-java сдались только тем, кто решит на это подзаработать. А когда разрабов это взбесит, как взбесило автора известной читалки, и прикроют код, начнут бабло еще хотеть получать. Это старая песня.
Ты не совсем понимаешь задачи, которые будет решать эта штука.
Она и не рассчитана на массового потребителя, точно так же, как и на профессионала в ИТ.
Именно поэтому такая реализация.
> только под андроиды"При этом никто не мешает сторонним разработчикам попытаться создать неофициальную редакцию Briar для iOS."
Зачем?Проще свое создать, чем воспроизводить это, тем более отдельного протокола нет как и спек.
>по возможностям уступает токсуПо способности разработчиков пересраться друг с другом что угодно уступает Токсу.
> Возможность пускать трафик
> без интернетаЭто как?
> Это как?Сказали же, без интернета.
Хорошо, поставлю вопрос по другому: зачем мне в локальной сети общаться через дерьмомеседжер, когда я могу подойти к человеку лично?
> Хорошо, поставлю вопрос по другому: зачем мне в локальной сети общаться через дерьмомеседжер, когда я могу подойти к человеку лично?Для тебя локалка - это сеть в одной комнате?
> Для тебя локалка - это сеть в одной комнате?В одном здании. На одной улице, какая разница? Это же не в другом городе. Мне проще спуститься\подняться на несколько этажей выше, чем в какой-то меседжер лезть.
Скажи это телеграмщикам которые на расстояние двух шагов через него общаются. Вот раньше интернет был дорогой и общались через блюпуп
Раньше так же в джаббере общались. Сидели в одной комнате и общались переписываясь в джаббере. Не все любят голосовое общение.
> Хорошо, поставлю вопрос по другому: зачем мне в локальной сети общаться через
> дерьмомеседжер, когда я могу подойти к человеку лично?Виртуальная частная сеть. Погугли. Локалка может быть и у тех, кто сидит на разных континентах.
Есть такие случаи в жизни, прикинь. Когда нельзя подойти и сказать, тем более, подойти и сказать каждому, кто рядом. Как пример как раз случай с чрезвычайными ситуациями, когда мобильная связь отключена.
> Чет ребятки замахнулись от души, фарш какойто, нет бы протокол сначала родить,
> с обфускацией трафика, короче не взлетит.все просто, они научились рисовать мордочки на яве, архитектуру им дадут только на следующем курсе - придется срочно все переписывать как обычно
Отлично просто. В свете грядущих событий в эрэфии может оказаться весьма полезным продуктом.
Да не грядёт никаких событий. Ну если только очередной "застой" не назвать событием...
Очнись, дружище. Застой давно тут.
Ну вот я и говорю, что ничего не "грядёт".
Ну если вы думаете что не проживете больше 20 лет то да не грядет, а так можно вспомнить что произошло после застоя, и как это отразилось на как раз людях предпенсионного возраста, так что тем кому сейчас 30+ будут в особо интересном положении лет через 20
Когда появились автомобили, то все ездили как хотели и где хотели. Но потом появились номера и правила и теперь без них ездить нельзя. Вывод - свободы в автотранспорте нет, нет демократии, жуткий застой уже более века.
> Когда появились автомобили, то все ездили как хотели и где хотели. Но
> потом появились номера и правила и теперь без них ездить нельзя.
> Вывод - свободы в автотранспорте нет, нет демократии, жуткий застой уже
> более века.Заметь. с номерами число аварий только увеличилось.
И автомобиьная мафия очевидна и борьба с интернетом под прикрытием борьбы с троллолизмом при наличии реальных нереашаемых проблем на лицо.
Может потому, что невменяемый водитель может задавить кого-то?
"Опасности" интернетов абсолютно несоизмеримы. Ненароком задавить тут никого не получится.
Да и никто не заставляет людей переставать думать головой, когда они окунаются в океан информации.
Если у кого-то чешутся руки позапрещать, то пусть позапрещают запрещателей, например.
Зря так думаешь. По смыслу воздействия на население и промывки мозгов отличная вещь интернет. Уже лучше телика.Вот почему сейчас все кто может сейчас полезли в мессенджеры? Кто их приберет тот будет рулить. Там свои отдельные кружки по интересам. Можно сделать просто адовое таргетирование по людям. И все схавают.
А головой думать не получится. Во первых человек подбирает окружения, для общения, под себя. В результате ему начинается казаться что большинство населения придерживается его мнения. Во вторых зеркальные нейроны - обезьянки повторяют всё друг за другом. А в третьих - кто сказал что вам весь океан информации отдадут, а не ранжированный как надо? Многократно натыкался что гугла не показывает мне в поиске нужные страницы, хотя пару месяцев назад я их точно по такому запросу находил.
> Когда появились автомобили, то все ездили как хотели и где хотели. Но
> потом появились номера и правила и теперь без них ездить нельзя.
> Вывод - свободы в автотранспорте нет, нет демократии, жуткий застой уже
> более века.так почитай правила для автотранспорта конча XIX начала XX веков, как раз в духе, с другой стороны сельские пацаны гоняли на мопедах даже в ссср, без прав и сдачи пдд ясен х.
Ждём Black Briar.
Чем лучше tox'а? Tor вот вот заблокируют, тут без шансов вообще.
Лучше две проги чем одна, не? А tor пусть сначала попытаются заблокировать.
> Чем лучше tox'а? Tor вот вот заблокируют, тут без шансов вообще.Любимый мой, TOX скорее мертв чем жив.
>> Чем лучше tox'а? Tor вот вот заблокируют, тут без шансов вообще.
> Любимый мой, TOX скорее мертв чем жив.На чём основано Ваше утверждение?
Qtox/Antox на замену скайпу не годится, для этого существует wire, но как защищённый, свободный, безопасный, открытый и надёжный мессенджер он вполне себе жив и годен!
Wire работает через Ж, кроме медленной чатилки он ни на что не годится. Разговоры по сети - долго звонит, иногда дозванивается и быстро теряет связь. С видео лучше, но все так же через одно место, нормально не видно и жутко тормозит. На андроиде так же желтая полоска вечно висит и говорит что интернета нету, для всех есть и для чата в Wire есть, а для видеозвонков/звонков уже нету, хотя все равно иногда дозванивается. Программа сырая, во всяком случае для Линуксов и Андроида. Я хотел хотя бы родственников со скайпа увести и фиг вам называется.
> Wire работает через Ж, кроме медленной чатилки он ни на что не
> годится. Разговоры по сети - долго звонит, иногда дозванивается и быстро
> теряет связь. С видео лучше, но все так же через одно
> место, нормально не видно и жутко тормозит. На андроиде так же
> желтая полоска вечно висит и говорит что интернета нету, для всех
> есть и для чата в Wire есть, а для видеозвонков/звонков уже
> нету, хотя все равно иногда дозванивается. Программа сырая, во всяком случае
> для Линуксов и Андроида. Я хотел хотя бы родственников со скайпа
> увести и фиг вам называется.Ничего из описанного не наблюдаю ни на одном из моих устройств и устройств знакомых и родственников - всего более 20
Tox - это, на секунду, протокол.Пока что его реализации пошли не дальше с "proof of concept".
Да, клиенты работают криво, лагают, звук/видео отваливается. Ну а что вы хотели, спроса нет, а разрабам явно не RedHat платит.Для тех. кто путает с tor-ом - tor палится уже на DPI провайдера, и уповать на него не стоит.
> Пока что его реализации пошли не дальше с "proof of concept".qTox вполне работоспособный.
> Да, клиенты работают криво, лагают, звук/видео отваливается.
УМВР. Отваливается только у родственников и друзей на вантузе. На Лине работает (почти) идеально.
Что? Токсом прямо сейчас пользуюсь, все работает и все устраивает.
>> Чем лучше tox'а? Tor вот вот заблокируют, тут без шансов вообще.
> Любимый мой, TOX скорее мертв чем жив.
> Любимый мой,Я понимаю, сейчас толерастия во все поля и вообще, ЭТО модно и молодежно, но ... можно обойтись без намеков на #00B8D9 цвет небесного cветила?
> Tor вот вот заблокируютИнтересно, интересно, можно технику блокировки описать? Они обыкновенные "Ресурсы в сети Интернет" то нормально блокировать не могут.
Интересная штука. Из замеченных недостатков: жрёт аккумулятор и при синхронизации через tor - очень большие задержки, от минуты и более.
То о чем ты тут настегал не воспроизводится на моих устройствах
> То о чем ты тут настегал не воспроизводится на моих устройствахЗначит твои устройства в одной сети находятся и синхронизация идёт напрямую.
>> То о чем ты тут настегал не воспроизводится на моих устройствах
> Значит твои устройства в одной сети находятся и синхронизация идёт напрямую.Знал бы ты как неправ
Ну и что это за треш?
Ставлю. Оно у меня запрашивает доступ к местоположению, камере, истории просмотра веб-страниц и т.п.
Это honey-pot какой-то.
Что-то ты гонишь, дорогой.Вот манифест:
> <uses-permission android:name="android.permission.ACCESS_NETWORK_STATE"/>
> <uses-permission android:name="android.permission.ACCESS_WIFI_STATE"/>
> <uses-permission android:name="android.permission.BLUETOOTH"/>
> <uses-permission android:name="android.permission.BLUETOOTH_ADMIN"/>
> <uses-permission android:name="android.permission.INTERNET"/>
> <uses-permission android:name="android.permission.READ_LOGS"/>
> <uses-permission android:name="android.permission.WAKE_LOCK"/>
> <!-- Since API 23, this is needed to add contacts via Bluetooth -->
> <uses-permission android:name="android.permission.ACCESS_COARSE_LOCATION"/>Впрочем, можешь выбросить все это из манифеста и сам собрать себе что надо.
> Что-то ты гонишь, дорогой.И в чём он гонит? Сходи на https://developer.android.com/reference/android/Manifest.per... и посмотри, что значит тот же ACCESS_COARSE_LOCATION.
Тебе же серым по желтому написали"Since API 23, this is needed to add contacts via Bluetooth"
Максимальная конфиденциальность во все поля! :D
https://twitter.com/BriarApp/status/888452161960595456Если кратко, этого требует ОС Android для синхронизации по Bluetooth.
>Код написан на языке JavaЗaкапывайте.
Должны были на крестцах написать, чтобы анб радовалось дырам?
На питоне же.
Есть только 3 языка: C++, C, Python. Остальное верно - з4к4пывайте.
Ты про Rust забыл.
Диванные аналитеги считают что в джаве нет дыр. Мы продолжаем следить за развитием событий.
учитывая что это стандартный язык разработки android приложений, то это много говорит о копателе
> учитывая что это стандартный язык разработки android приложений, то это много говорит
> о копателеНифига он не "стандартный". В Dev Tools так же есть компилятор С\С++.
И как решена небезызвестная проблема hole-punching'а в 3G/4G сетях? Посредством TURN серверов, вестимо? А за чей счёт этот банкет? И какая уж тут тогда максимальная конфединцеальность.
В Tor'е есть возможность открыть порты для входящих соединений? Просветите.
Не нужны ему никакие порты, все скрытые сервисы работают по принципу реверс-прокси.Это делает tor идеальным инструментом обхода NAT. В теории. На практике из-за отсутствия глобальной адресации, тор "наслаждается" проблемами схожими с DNS — от момент публикации скрытого сервиса до доступности клиенту могут пройти минуты. Отсюда и тормознутость систем, которые пытающихся использовать tor как халявный TURN-сервер.
>> Briar has received funding from Small Media, the Open Internet Tools Project, Access and the Open Technology Fund.Значит у них свои TURN сервера? А перегрузки не будет?
> работающей без обращения к централизованным серверам
> Briar обеспечивает работу в режиме P2P, при котором пользователи соединяются напрямую друг с другом.Ну как же, если почти все за NATом? Ведь даже для пробития дыры по UDP нужен "централизованный" STUN/TURN-сервер.
"Почти": если домашние десктопники ещё смогут открыть порт в роутере, то у мобильных пользователей шансов практически нет.
Как Tox пробивает наты, работая по умолчанию по UDP?
Он подключается к узлам не за NAT'ом, список которых зашит в клиенты.
> Ну как жеОсвой уже гугль..
Pwnat
Суперноды
Чистый IPv6 или в туннель
pwnat - может быть, но за многоуровневым NAT'ом 3G/4G сетей всё равно вряд ли сработает.
Суперноды - скажите ещё "принадлежащие автономной распределённой корпорации". До этого ещё далеко. А сейчас по факту это тот же мутный TURN.
IPv6 - не поддерживается большинством провайдеров.
pwnat не работает в реальном мире, когда клиент за NAT, и требует права суперпользователя. Но, в принципе, это можно обойти с помощью централизованного сервера, работающего по такому же принципу.
ЕМНИП, в pwnat одна сторона ("клиент") должна заранее знать внешний IP другой стороны ("сервера").
Вот если бы они запилили возможность любого клиента стать STUN-сервером для двух своих собеседников (например, десктопный клиент дома или на VPS-хостинге) - это было бы здорово.
Идеи интересные. Но. Зайчики, создавать мессенджер в котором сходу тебе пишут «А у нас тут бета, так что через 60 дней твой аккаунт удалим нафиг» и надеяться, что кто-то станет его тестировать — бредовая затея.
Не тестируй, я разрешаю.
Это значительно лучше, чем как оказалось в Ring:> This week-end, the server running the experimental server and the only node of
> the blockchain crashed and the blockchain data was corrupted.
> We restarted the service, however the existing blockchain data was lost.
> What does that mean for Ring users ?
> Ring accounts and contacts are preserved since they live on your devices,
> however blockchain usernames registered before 2017-07-15 are lost.
> Users can still join existing contacts using their RingID (in their history)
> and are encouraged to re-register a username.https://lists.gnu.org/archive/html/ring/2017-07/msg00024.html
P.S. Своё блокчейн имя я таким образом потерял. Кто-то другой его зарегистрировал на себя.
MWAHAHA. Спасибо за новость.
А то мне все уши проели как ринги-матриксы уделывают в ноль все другие мессенджеры. А на деле они и до альфы не доползли.
> ринги-матриксыВыбери одно.
Система была бы хорошей, если бы можно было синхронизировать сообщения через wifi, чтобы оно сохранялось на третьем устройстве , а потом вместе с тем устройством ехало к адресату флопинетом. Для шпионов- самое то !
Ребята, меня переполняют возвышенные чувства! На работе мы пробовали многие мессенджеры - Rion, Ring, Tox, сейчас вот остановились на Tox. В принципе отдел маленький, чтобы общаться хватает с лихвой. Я так понимаю этот Briar еще лучше, чем Tox?1. Возможность работы только по Wi-Fi и Bluetooth.
2. Криптографические протоколы, прошедшие аудит.
3. Некое подобие децентрализованных форумов (привет Zeronet).
И еще много интересных фишек. Но главное конечно криптография. В Tox свой протокол, неизвестно с какими дырами, хотя сама программа (по крайне мере qTox) весьма неплоха и для работы годится. Как появится Briar на десктоп - надо затестить.
> RionRiot (Matrix)?
На их сайте лже-https. он вроде есть, но Firefox говорит "незащищенное соединение".
Чем оно лучше ring.cx? Видео и голоса нет…
И правда, чем он лучше Ring/Tox?
вижу, что угрозе "взять и посадить всех пользователей в подконтродьных юрисдикциях" они не противостоят никак.
Непонятно, зачем большому брату этот ажиотаж с деанонимизацией? Те кому надо и так могут скрыто общаться минуя все популярные мессанджеры, pgp-пнуть пару раз jpg с нужной инфой бАльшим ключём и с мусором, и на электропочту разовую. Пусть хоть зачитаются.