Cryptocat - безопасное общение

Патрик

11-10-2012 14:20:35

Criptocat – это интернет-чат с криптографическим шифрованием и стильным 8-битным дизайном. В отличие от других подобных программ, он крайне прост в установке и использование – достаточно инсталлировать приложение в браузер (так же как Google Talk) и вы можете совершенно секретно обмениваться сообщениями. Ни корпорации, ни спецслужбы, ни преступники не смогут перехватить ваш разговор (конечно, если у вас уже не стоит keyloger, или какое-нибудь другое шпионское ПО).


http://poslezavtra.be/Laboratory/2012/0 ... aniya.html

Anarchy Warrior

11-10-2012 18:06:43

https://github.com/kaepora/cryptocat/tr ... er/release - вот здесь можно скачать плагин дял своего браузера, поддерживаются Firefox, Chromium и Safari.
https://addons.mozilla.org/en-US/firefo ... cryptocat/
А вот исходники сервера я что то не нашёл

Jumper

15-01-2013 15:46:51

Представлен проект Cryptocat (https://crypto.cat/), в рамках которого создана реализация системы для организации работы web-чата, отличающаяся недоступностью передаваемых в рамках общения сообщений на сервере и транзитных узлах сети. Все передаваемые в внутри чата сообщения шифруются на стороне клиента с использованием алгоритма AES-256 и методов криптогрфии по эллиптическим кривым (http://ru.wikipedia.org/wiki/%D0%AD%D0%B...). Код клиентской и серверой части распространяется (https://github.com/kaepora/cryptocat) под лицензией AGPLv3. Серверная часть может быть запущена на любом хосте с интерпретатором PHP. Возможен запуск Cryptocat в виде скрытого сервиса Tor (http://xdtfje3c46d2dnjd.onion).


В процессе создания новой комнаты чата пользователь набирает случайную последовательность из 256 символов, на основании которых генерируется ключ для доступа к данной комнате. Подобный подход решает проблемы с качественной генерацией случайных чисел на стороне браузера. Просматривать сообщения в рамках созданной комнаты могут только пользователи получившие созданный ключ. Для упрощения процесса приглашения пользователей в чат обеспечена поддержка адресной книги Facebook. Так как данные изначально передаются в шифрованном виде, администраторы сервера, на котором размещена серверная часть чата, или провайдер клиента не могут перехватить сообщения. Для подтверждения личности пользователей чата предусмотрена возможность использования цифровых подписей. Из возможностей также можно отметить функцию отправки приватных сообщений определённому участнику и поддержку передачи в рамках чата изображений и zip-файлов.


Клиентская часть выполнена (https://github.com/kaepora/cryptocat/tr ... src/client) в виде браузерного web-приложения. Кроме того, подготовлены отдельные дополнения для браузеров Chrome и Firefox, которые позволяют полностью вынести логику работы чата на сторону клиента, используя сервер только для хранения зашифрованных данных и списка подключенных пользователей. Также доступны отдельные приложения для платформ Android, iPhone и Blackberry. Приложение для Android примечательно тем, что оно использует для передачи данных анонимную сеть Tor и в качестве сервера задействует скрытый сервис Tor.

URL: http://www.wired.com/threatlevel/2012/0 ... crypti.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=34438
http://www.opennet.ru/openforum/vsluhforumID3/85788.html

noname

15-01-2013 20:12:29

опять очередной бред
Ни корпорации, ни спецслужбы, ни преступники не смогут перехватить ваш разговор

я опять спрашивают, может ли гбэшная станция, подключенная к серверу провайдера перехватывать ключи ssl и использовать их для дешифровки сообщений юзера?

Load

15-01-2013 20:16:57

noname писал(а):я опять спрашивают, может ли гбэшная станция, подключенная к серверу провайдера перехватывать ключи ssl и использовать их для дешифровки сообщений юзера?


нет

noname

15-01-2013 20:48:23

Уязвимость находится в версии 1.0, ранних версиях TLS и на транспортном уровне безопасности. Версии TLS 1.1 и 1.2 не восприимчивы к уязвимости, однако они почти не используются, что делает такие сайты как PayPal, GMail и множество других уязвимыми, если злоумышленник имеет возможность контролировать связь между пользователем и конечным сайтом.

Load

15-01-2013 20:54:38

это BEAST-атака.. она в принципе применима только уж совсем в массовых масштабах