The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Протокол шифрования сообщений OTR реализован в виде дополнения к Firefox

22.12.2011 20:03

В списке разработчиков протокола шифрования сообщений OTR (Off The Record) анонсировано дополнение для браузера Firefox, позволяющее вести зашифрованную переписку по незащищенным каналам. В данный момент дополнение поддерживает обмен сообщениями через Facebook с предотвращением анализа содержимого сообщений на серверах Facebook. Потенциально возможна реализация поддержки и других веб-сервисов. Исходный текст дополнения можно загрузить со страницы проекта в Gitorious.

  1. Главная ссылка к новости (http://lists.cypherpunks.ca/pi...)
Автор новости: Аноним
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/32640-otr
Ключевые слова: otr, chat, crypt, im
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (39) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, codejumper (?), 21:08, 22/12/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    замечательная штука в местах с резанным тырнетом
     
     
  • 2.5, Аноним (-), 22:48, 22/12/2011 [^] [^^] [^^^] [ответить]  
  • +4 +/
    OTR вообще замечательная штука для IM, столь же нужен как PGP для емыла. И что самое забавное, OTR в принципе все-равно поверх какого протокола работать, он очень нетребователен к "подложке".
     
  • 2.7, XoRe (ok), 23:58, 22/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > замечательная штука в местах с резанным тырнетом

    Против прослушки https никто не отменял.

    А вот шифрование сообщений facebook от самого facebook - это прикольно)
    Если прикрутить к вконтакту, можно вести оппозиционную переписку)

     
     
  • 3.10, Люк (?), 07:23, 23/12/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    https один хрен палит сам факт соединения... use Tor, бразерз.
     
     
  • 4.13, Xasd (ok), 09:20, 23/12/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > https один хрен палит сам факт соединения... use Tor, бразерз.

    а когда подключается через Tor к Facebook... и указываешь там свой FB-логон и FB-пароль -- Facebook не догадается кто это за такой "аноним" подключён? :-) :-)

     
     
  • 5.17, онанми (?), 14:25, 23/12/2011 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >а когда подключается через Tor

    ... доверяешь оконечным серверам тор, коих ограниченное количество.;) Их подконтрольность кому следует, у меня лично, не вызывает больших сомнений.

     
     
  • 6.21, Люк (?), 14:47, 23/12/2011 [^] [^^] [^^^] [ответить]  
  • +5 +/
    У меня свой релей - миновал час, как открыл 9030-й и 9001-й порты. Подскажите пожалуйста, он уже подконтрольнен кому следует или еще мне пока? )
     
     
  • 7.26, Аноним (-), 23:58, 23/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > У меня свой релей - миновал час, как открыл 9030-й и 9001-й
    > порты. Подскажите пожалуйста, он уже подконтрольнен кому следует или еще мне
    > пока? )

    Еще пара часов - и ваш айпишник забанят в википедии :)

     
     
  • 8.27, arisu (ok), 00:12, 24/12/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    туда им и дорога, приличные люди в такое место не ходят ... текст свёрнут, показать
     
  • 8.36, Аноним (-), 12:21, 24/12/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    в последнее время мазюкание собеседников википедией становится основным способом... текст свёрнут, показать
     
  • 7.32, Аноним (-), 06:22, 24/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > порты. Подскажите пожалуйста, он уже подконтрольнен кому следует или еще мне пока? )

    Ну если ты tor exit node то какие есть гарантии что ты не возьмешь сниффер и не снифанешь все что я шлю плейнтекстовым протоколом? А то и вклинишься между мной и серваком, ты ведь и так уже там - попутно патчить пакеты ничто не запрещает :)

     
     
  • 8.33, Люк (?), 11:43, 24/12/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Не используете оконечное шифрование при отправке приёме критически важных данных... текст свёрнут, показать
     
  • 7.41, онанми (?), 13:29, 25/12/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > У меня свой релей - миновал час, как открыл 9030-й и 9001-й
    > порты. Подскажите пожалуйста, он уже подконтрольнен кому следует или еще мне
    > пока? )

    Причем тут релей? Если речь о собственной входной/выходной точке, то тем более не понятно, где тут онанимность. ;) В данном случае ситуация еще проще и печальнее для собственника.

     
     
  • 8.42, Люк (?), 21:09, 25/12/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    После разрешения входящих по, скажем, вышеуказанным портам клиент автоматически ... текст свёрнут, показать
     
     
  • 9.43, онанми (?), 00:29, 27/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Ты прав Чего-то я сам не смог уже понять, что я имел в виду D Но не стоит сл... текст свёрнут, показать
     
  • 5.23, Люк (?), 16:52, 23/12/2011 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Дык открытый GnuPG или, на худой конец, проприетарный ПэГеПэ и никакой привязки к Facebook. Переписывайтесь себе на здоровье хоть на гугломэйле, хоть где, шпиёны мухаха.
     
     
  • 6.31, Аноним (-), 06:19, 24/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Дык открытый GnuPG или, на худой конец, проприетарный ПэГеПэ и никакой привязки
    > к Facebook. Переписывайтесь себе на здоровье хоть на гугломэйле, хоть где,
    > шпиёны мухаха.

    А ты попробуй PGP допустим в IRC использовать? Знаешь как ему нравится лимит на размер сообщения? :) F otr и через такое пролезает. И вообще, он решает чуть иные задачи.

    В pgp если некто отснифал траффик а потом отобрал у вас привкей - все что к вам летело может быть расшифровано. В otr с режимом perfect forward secrecy траффик между сторонами сессии шифруется временным динамически согласованным ключом. Он есть только в RAM участников обмена ключами. После того как эти ключи будут изничтожены (сессия завершена) - будет невозможно расшифровать ранее перехваченный траффик. Потому что временного ключа более нигде нет.

     
     
  • 7.34, Люк (?), 11:54, 24/12/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > А ты попробуй PGP допустим в IRC использовать?

    Казалось бы, причем тут Facebook )

     
  • 5.28, Аноним (-), 05:48, 24/12/2011 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > и FB-пароль -- Facebook не догадается кто это за такой "аноним" подключён? :-) :-)

    И что хуже, админ exit node потенциально может hijackнуть аккаунт.

     
     
  • 6.35, Люк (?), 12:00, 24/12/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Вообще-то для этого предназначено E2EE, не? оО
     
  • 3.16, Аноним (-), 14:24, 23/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Против прослушки https никто не отменял.

    HTTPS не является end-to-end шифрованием, SSL заканчивается на первом же сервере. А как сервер и то что дальше поступят с информацией - ты уже не контролируешь.

    В случае OTR расшифровать сообщение может только легитимный получатель которому оно адресовано. Что-то типа PGP, только шифрование динамически согласуется на ходу и более ориентировано на IM-like cтиль, более близкий к реалтайму.

    > А вот шифрование сообщений facebook от самого facebook - это прикольно)
    > Если прикрутить к вконтакту, можно вести оппозиционную переписку)

    Теоретически, OTR-у похрену через что именно передавать сообщения. У него есть некие собственные соглашения о том как и чего. К транспорту предъявляются довольно небольшие требования, так что OTR лезет поверх кучи разных протоколов. HTTP и сайты на оном в этом плане ничем не хуже остальных :)

     
  • 3.22, arisu (ok), 16:46, 23/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    к сожалению, отр элементарно блочится. всякие мордокниги просто будут считать отр-сообщения «спамом» с лёту и не пропускать. на том оно всё и умрёт.

    если что, это не про «отр не нужен», это про «мордокнига не нужна, как и попытки её 'починить'».

     
     
  • 4.29, Аноним (-), 05:58, 24/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > к сожалению, отр элементарно блочится.

    Даже устная речь элементарно блочится - был бы кляп под рукой.

    > всякие мордокниги просто будут считать отр-сообщения
    > «спамом» с лёту и не пропускать. на том оно всё и умрёт.

    Как известно, уровней абстракции существует бесконечное множество. Скажем i++ и предложим фильтру поумнеть на еще 1 уровень. Совершенно абстрактно от фэйсбуков или кого там еще.

    > если что, это не про «отр не нужен», это про «мордокнига не
    > нужна, как и попытки её 'починить'».

    Будь проще. Рассматривай это как просто (N+1) уровень абстрактного протокола.

    Во всех случаях смысл более-менее одинаков: есть некая промежуточная среда которая коммутирует и доставляет сообщения и она не является доверяемой и есть адресаты сообшений. Чем именно будут доставлены сообщения (SMTP, TCP/IP, XMPP, IRC, ICQ, HTTP via some server или что там еще) - не так уж и принципиально. Ну а OTR-у не так уж принципиально кто и как сообщения доставит :)

     
     
  • 5.37, arisu (ok), 13:43, 24/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    да мне, в принципе, всё равно (хотя авторов оригинальной библиотеки стоило бы немного попинать под зад за тотальную беду с её документированием: я пока себе встроил, семь потов сошло). просто не вижу смысла делать для мордокниги подобное.
     

  • 1.2, Аноним (-), 21:23, 22/12/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    [quote]В данный момент дополнение поддерживает обмен сообщениями через Facebook с предотвращением анализа содержимого сообщений на серверах Facebook.[/quote]
    А вот это уже интересно!
     
     
  • 2.11, Аноним (-), 08:51, 23/12/2011 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Что тут интересного? "Зависание в социалках" само по себе и "информационная безопасность" подходят друг к другу как кулак к носу!

    Хочешь безопасности - не будь социализированной обезьянкой и не трынди о себе на всех углах, возле которых каждая собака писает!

     
     
  • 3.18, Аноним (-), 14:25, 23/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Хочешь безопасности - не будь социализированной обезьянкой и не трынди о себе
    > на всех углах, возле которых каждая собака писает!

    Да, однако OTR позволяет перекидываться защищенными сообщениями через незащищенные каналы. Почему таковым не должна быть мочь социалка - ??

     
     
  • 4.38, Аноним (-), 14:47, 24/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Но зачем это делать через фейсбук? ЦРУ жаббером пользоватсья запретило?
     

  • 1.8, eye (?), 02:03, 23/12/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    там тоже нужно обмениваться ключами? тоесть они переизобрели то, чем пользуются уже 100 лет?
     
     
  • 2.14, Аноним (-), 10:14, 23/12/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я тоже подозреваю, что тут принципиально ничего нового. Просто некоторая обёртка для удобства. Уже давно можно было шифровать и подписывать свои сообщения через PGP и пастить их в виде ascii armor в текстовые окошки.
     
     
  • 3.30, Аноним (-), 06:11, 24/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > PGP и пастить их в виде ascii armor в текстовые окошки.

    Домашнее задание: попробуй подписать допустим сообщение в IRC. С его лимитом на максимум 512 байтов на все и вся. OTR'у такие моменты пофиг, для него не принципиально. А для pgp это почти фатально (ну ты сам будешь фрагментацию выполнять, а это утомительно и ремотной стороне будет неудобно руками собирать ошметки). Кроме того OTR преследует чуть иные цели. Например, там возможен perfect forward secrecy (компрометация приватного ключа не раскрывает ранее перехваченный траффик).

     
     
  • 4.40, nal (??), 13:20, 25/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    для IRC есть IRXP - 64-битный ключь правда только держит, но это мелочи, исходники то открыты, дописывай под что нужно
     
  • 2.15, rain87 (?), 13:22, 23/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    угу, скорей всего. точно так же как и снифинг в незашишённых вайфай сетях - вроде все знают, но пока не появился Firesheep, никто особо и не чесался на тему внедрения повсеместного хттпс. так что в любом случае позитив, глядишь шифрование всего и вся потихоньку станет нормой
     
  • 2.19, Аноним (-), 14:28, 23/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > там тоже нужно обмениваться ключами?

    OTR умеет динамический обмен на ходу. Единственное что требуется - сверить что fingerprint совпадает с тем что видит собеседник (MITMы же).

    > тоесть они переизобрели то, чем пользуются уже 100 лет?

    Они переизобрели это в удобном виде, который к тому же за счет протокола-оверлея пролезает через почти все что в принципе может передавать сообщения :)

     

  • 1.9, artem.stecenko (ok), 02:47, 23/12/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    По первой ссылке дополнение анонсировано ещё 28 июня... то бишь, это конечно новость, но не совсем новая...
     
  • 1.12, Xasd (ok), 09:13, 23/12/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    с точки безоасности (тайны переписки) -- идеия дополнения бред

    почему(?)

    все помнят навязчивые собщения которые возникают когда смешиваются вместе HTTPS и HTTP части внутри одной и тойжк www-страницы? почему возникают эти сообщения -- понимаете? потомучто [методом АКТИВНОЙ прслушивающей атаки] можно поменять HTTP-части документа таким образом что HTTPS-часть уже будет неактуальна или вообще подменена

    и во тут всё тоже самое!!

    смешивая вместе стандартные блоки Facebook и "защищённые" блоки (iframe) OTR -- методом АКТИВНОЙ атаки злоумышленники [тоесть те злоумышленники которые работают внутри Facebook и имеют возможность менять код Facebook] могут модифицировать Facebook-блоки таким образом что OTR-блок будет каким либо образом скомпромитирован или подменён на фальшивую копию

    # p.s.: а мараль такова -- пользоваться OTR надо из соответстующих программ-чатов (Gajim, например), а не через инъектированные www-страницы :-) ...правда в Gajim не OTR -- а нормальный End-To-End Encryption XEP-0116

     
     
  • 2.20, Аноним (-), 14:36, 23/12/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > что OTR-блок будет каким либо образом скомпромитирован или подменён на фальшивую
    > копию

    А откуда они возьмут легитимный ключ как у собеседника для правдоподобной подделки? Если не щелкать клювом и сверить fingerprint ключа, OTR защищает в том числе и от активно действующих MITM. Да, MITM может всучить свой ключ обоим сторонам и воткнуться посередине между адресатами. Но это проверяемо по fingerprint-у ключа (+есть режим preshared key, где mitm вообще в пролете если его не знает).

    > Gajim, например

    Спасиб, сами его юзайте. А так - OTR не требователен к транспортной среде. Логично что его прикрутили и к соцсетям. А почему нет?

     
  • 2.24, Аноним (-), 23:57, 23/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > смешивая вместе стандартные блоки Facebook и "защищённые" блоки (iframe) OTR -- методом АКТИВНОЙ атаки злоумышленники [тоесть те злоумышленники которые работают внутри Facebook и имеют возможность менять код Facebook] могут модифицировать Facebook-блоки таким образом что OTR-блок будет каким либо образом скомпромитирован или подменён на фальшивую копию

    Вы ничего не понимаете в асимметричной криптографии. Идите учить матчасть. Успехов!

     
     
  • 3.25, arisu (ok), 23:58, 23/12/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Вы ничего не понимаете в асимметричной криптографии.

    если бы только в ней…

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру