Как можно безопасно общаться с другом?

Question

[timur102]

Здравствуйте. Как можно безопасно, без риска , что твое письмо может попасть в лапы ФБР, общаться с другом через OS ANDROID & LINUX (Использую эти ОС) ? Через почту ? Я боюсь, что мессенждеры могут передавать инфорамцию ФБР. ̶К̶а̶к̶ ̶в̶ы̶ж̶и̶т̶ь̶ ̶в̶ ̶э̶т̶о̶м̶ ̶м̶и̶р̶е̶?̶

Comments

[alex-1917]

представьтес пожлста по полной форме, гер офицер!

[key don]

Андройд? Разве что кастомная сборка без вообще каких-либо дополнительных программ, включая Gapps.

Answer 1

[АртемЪ]

Очень просто - шифровать.
Тут важный момент - шифровать самому, а не доверять это дело мессенджерам.
Например шифруете банальным PGP и уже зашифрованные данные отправляйте абоненту с помощью e-mail, вайбера, ватсапа, телеграма, и.т.д.

Если вы доверяете шифрование мессенджеру - то владелец мессенджера в любом случае имеет потенциальный доступ как ключам шифрования, так и к незашифрованному тексту, потому что шифрование осуществляется подконтрольным ему софтом.
А что он при этом заявляет - не сильно важно, заявлять он будет то, что ему выгодно.

Comments

[АртемЪ]

SyavaSyava,
Да программы для шифрования могут иметь уязвимости, и имеют их как и любой софт.
Но дело в том что это просто приложение шифрования, не имеющее доступа в сеть, оно выполняет просто работу по перемешиванию данных по алгоритму.
Если зашифрованное сообщение перехватят - перехвативший даже не будет знать какой алгоритм шифрования использовался и чем это шифровали.
Да и большинство уязвимостей для их эксплуатации требуют совпадения многих условий, т.е не позволяют гарантированно и без проблем прочитать любое сообщение, а так же очень дороги в эксплуатации.
В этом контексте расшифровка даже некриптостойкого шифрования будет крайне затратна и не выгодна.
Надо понимать что такие задачи не решают "в лоб" - не пытаются дешифровать во что бы то не стало, а оценивают какой способ получения более выгоден и эффективен.
В таких условиях гораздо проще получить информацию старыми добрыми оффлайн методами - общение с людьми, опросы, допросы, угрозы, обещания, шантаж, оперативно розыскные мероприятия.

Касательно мессенджеров - открытые исходники это конечно очень хорошо, но есть некоторые нюансы.

• Подавляющее большинство пользователей просто не разбирается достаточно в программировании, чтобы разобраться в коде и проверить наличие уязвимостей.
  
• Подавляющее большинство специалистов которые разбираются и могут - не делают этого, потому что это достаточно сложная и нудная работа, которую нет желания делать бесплатно.
  
• И самое главное - большинство популярных мессенджеров, да и вообще пользовательских программ регулярно обновляются, причем зачастую в фоновом режиме, незаметно для пользователя. Сегодня был один код - без уязвимостей, завтра другой код, с уязвимостями, послезавтра опять нормальный.
  

Как выжить в этом мире? Думать головой. Развивать свои компетенции в сфере информационных технологий. Не забывать анекдот про "неуловимого Джо", и почему он был неуловим. Быть готовым ответить за свои слова и действия.

В целом согласен и поддерживаю.
Кроме фразы - "Развивать свои компетенции в сфере информационных технологий."
Тут просто не для каждого это возможно и оправданно.
Любое изучение требует времени, в ущерб другому обучению - невозможно быть компетентным специалистом во всех областях.
Поэтому для хирурга гораздо полезнее изучить новые методы лечения, а для электрика перечитать лишний раз ПУЭ, нежели погружаться с головой в дебри криптографии и передачи данных.

[alex-1917]

твой ПГП давно открывается, бать!!))) сам давно погоны снял, коли такое советуешь?)) ахахах

[АртемЪ]

alex-1917, Да вы что? И как же это? Научите, приведите пример как расшифровать?
Если я вам пришлю текст зашифрованный PGP вы гарантируете что его взломаете?
Или просто фигни начитались в интернетах?

[Владимир Проскурин]

то владелец мессенджера в любом случае имеет потенциальный доступ как ключам шифрования

Каким образом? На примере телеграм: у меня есть исходники клиента, где в коде разноцветным по черному написано, что данные шифруются до передачи на сервер, и приватный ключ никуда не улетает. Каким образом у Дурова может быть доступ к сырым данным? AES еще никто не взломал (бруты не в счет), были какие-то предположения, которые не оправдались.

[АртемЪ]

Владимир Проскурин, Я разве говорил про взлом AES?

у меня есть исходники клиента

Вы хотите сказать, что провели полный аудит кода (а как иначе можно быть уверенным в отсутствии закладок), а потом из этих самых исходников скомпилировали клиента?
Или же вы просто скачали бинарник, заботливо скомпилированный под вашу ОС, и на всякий случай скачали исходники, дабы посмотреть на досуге?

[Владимир Проскурин]

spoiler

Вы хотите сказать, что провели полный аудит кода (а как иначе можно быть уверенным в отсутствии закладок),

Нет, не проводил, но у проекта на гитхабе 8000 звезд, вы думаете, что никто даже по кускам не смотрел исходники? Тем более, 73 контрибьюторов. Это дикий инфоповод, думаете никто не стал этого делать? Люди в ядре линукса находят всякие пасхалки, а линукс в тыщу раз сложнее клиента телеграмма. А такая заплатка обнаружится довольно легко, тупо чтением кода отправки данных (также можно перехватить трафик для сверки).

spoiler

Или же вы просто скачали бинарник, заботливо скомпилированный под вашу ОС, и на всякий случай скачали исходники, дабы посмотреть на досуге?

Я не пользуюсь телеграмом, но если бы пользовался, не отказался бы от такой возможности. Зато раньше стоял плеер Meridian с скомпилированными исходниками и моими изменениями для кеширования музыки. Проблем не вижу, дело 5 минут. Надо сравнить, что передает их телеграм и скомпилированный отдельно, будет интересно глянуть.

[АртемЪ]

Владимир Проскурин,

Нет, не проводил, но у проекта на гитхабе 8000 звезд, вы думаете, что никто даже по кускам не смотрел исходники?

Вы не проводили? А в закладки поставили, вот и звезда.
И так большинство. Многие ставят закладки не прочитав ни строчки кода.
По кускам конечно кто-то где-то смотрит, интересные технические решения, практическая реализация - это все интересно и полезно в работе.
Но просмотр по кускам не поможет выявить закладки, если они грамотно сделаны. Нужен именно полный и грамотный аудит.

Надо сравнить, что передает их телеграм и скомпилированный отдельно, будет интересно глянуть.

Вот именно - надо, интересно, но некогда.
Тех кто реально заинтересуется и будет копать - не более нескольких десятков.
Но это все исходники, а тут надо сравнивать с конкретным скомпилированным бинарником.

Поэтому не так уж все тут радостно, и надеяться на это не стоит.

Мораль сей басни такова -

• Открытые исходники это круто и полезно, и главное они позволяют провести аудит, и скомпилировать действительно безопасное приложение без закладок.
  
• Но сам факт существования отрытых исходников никак не гарантирует отсутствие закладок.
  

[Владимир Проскурин]

АртемЪ, выкладывание исходников с закладкой в сеть, это как оставить в лесу труп, вроде вероятность того, что кто-то в большом лесу наткнется на этот труп довольно невелика, но она есть, и в случае нахождения этого тупа, проблемы будут очень большие. Поэтому легче выложить чистые исходники без закладки (т.к. собирать бинарник будут единицы, а умные "плохие ребята" сами себе чат на открытых либах сделают) и сказать - изучайте, мы чисты. А бинарник уже выдавать с закладкой. Этот вариант отрицать сложно.
Ваш вариант конечно тоже отрицать сложно, но мне кажется, это было бы довольно глупо и рано или поздно, это всплывет.
Есть же всякие энтузиасты, которые каждый день ловят радиосигналы с космоса, прослушивают не занятые частоты (в надежде найти что-то), читают исходники линукса, изучают карты гугла (в надежде найти новые земли) и тут такие найдутся.

[АртемЪ]

Владимир Проскурин, Логично.
Но насчет закладок - грамотно замаскированная закладка вполне сойдет за уязвимость.

[Владимир Проскурин]

АртемЪ, ага, а потом если вдруг люди узнают
- это не мы, программист уже наказан.
и все чисты.

[Илья Кленин]

откуда известно, что информация, набранная на клавиатуре гаджета не передается напрямую, минуя мессенджеры... живи честно и к тебе не придут с ректальным криптоанализом... общество - стадо, а ВСБ и ФБР - пастухи, всякие там Путины, Обамы, Трампы, Меркили и пр. - просто Мона-Лизы, официальные лица, не более. Даже если вы выкинете свой смартфон, обзаведетесь обычной звонилкой, то если вы "на крючке" - ничто вас не спасет. Живите по закону и честно...

Answer 2

[CityCat4]

Ну опять...

Нет такой возможности

Почему.

Технические средства обеспечения безопасности переписки есть - например шифрование с помощью X.509, выпукская их самим для себя. Либо тупо делая письмо в тексте и шифруя его RAR-ом - способ туповатый и не удобный, но безопасность будет не хуже.

Но безопасности это не прибавит. Потому что если "люди в сером" захотят узнать, о чем Вы там переписываетесь - они просто спросят об этом. В такой форме, что не сможете отказать :) Понимаете, человек - самое уязвимое звено в этой системе, а терморектальный криптоанализ до сих пор не устарел...

По поводу мессенджеров я совершенно согласен с АртемЪ - что бы там ни говорил владелец мессенджера о невозможности предоставления ключей - такая возможность у него есть всегда Потому что это его софт и только он знает, что он там делает, а всем остальным остается только верить.

X.509 дает достаточный для "бытового уровня" уровень защиты. От государства же Вам никак не защититься, разве только трактор завести - но там можно под местные законы подпасть - что может оказаться куда чреватее...

Comments

[timur102]

Почему от государства не скрыться ? Они же не смогут расшифровать сообщение. А друг может ничего не рассказать

[Yan-s]

timur102, "может"... ну тогда пользуйтесь открытыми каналами, ведь спецслужбы "могут" и не обратить внимания.

Я боюсь, что мессенждеры могут передавать инфорамцию ФБР

Вот и ваш друг может.

[alex-1917]

можешь засечь время, через сколько твой вопрос забанят)))

[CityCat4]

alex-1917, прошло 17 часов, пока вроде открыт...

[CityCat4]

timur102, Вы внимательно прочитали мой ответ? Меня всегда в таких случаях поражает одно - почему Вы считаете, что государство придерживается каких-то правил, йопт? Оно их создает!

Поясняю для дебилов - когда государство захочет прочитать Вашу переписку, к Вам просто придут и скажут "или ключ шифрования или паяльник в .опу" (это конечно утрировано, чтобы понятно было, но смысл будет такой). И Вы сами отдадите им ключ. Поэтому заморачиваться бессмысленно.

Ну либо подняться еще на уровень выше и изучить что такое "отрицаемое шифрование", что такое стеганография и как доказать, что то, что у Вас на диске - это просто мусор в неинициализированной области (хотя на самом деле там шифродиск). Методы, конечно, есть. Но они требуют недюжинных знаний, большой подготовки, в том числе юридической и психологической, и много-много-МНОГО денег на все это...

[Developer]

А вот здесь ошибочка в рассуждениях.
Терморектальный криптоанализ применяется исключительно точечно и выборочно только к тем, кто дал повод заинтересоваться собственной персоной.
E2E-шифрование исключает возможность того, чтобы тобой заинтересовались. Чтобы поиск по ключевым словам и прочему не работал внутри зашифрованного траффика. А значит, не сработают триггеры

[alex-1917]

samodum, ТС-то повод уже дал))) выехали кароч к нему... Межгосударственная паяльная служба.

Answer 3

[NSA-bot]

Используйте мессенджер Tox. Открытый код, нет центрального сервера (из-за этого вам с другом нужно сначала обменяться ключами). Есть клиенты под все платформы. Из-за отсутствия сервера, нет уведомлений, поэтому разговор начинать в другом мессенджере или по телефону, перейдя в tox, или договариваться по времени, как Штирлиц :)

Comments

[NSA-bot]

И да, нет привязки к номеру телефона.

[FAN2 tom]

Регистрация - проще не придумаешь:
1. Установил чат.
2. Придумал логин и пароль.
3. Ввёл этот логин и пароль.
4. Пользуйся ))).
5. Чтобы тебя нашли - скинь ключ собеседнику любым доступным способом (можно на лист написать, так вообще секьюрно получится ))))

[NSA-bot]

FAN2 tom, да :)
Еще топикстартеру на заметку:
Можно пересылать картинки (да и просто файлы).
Можно говорить голосом (сам пробовал, звук отличный).

Уведомления на самом деле будут приходить, но только первые вроде минут 10 после последнего сообщения или звонка.

Answer 4

[Егор Казанцев]

BitMessages - шифровано , анонимно , без мета информации. Почта позволяет собирать так называемую мета информацию - на которую закон о тайне переписки не распространяется =)

Answer 5

[Developer]

Для этих целей миллион лет тому назад изобрели PGP

Answer 6

[Станислав Бодро́в]

Я боюсь, что мессенждеры могут передавать инфорамцию ФБР.

С чего такая щепетильность у законопослушного гражданина совершенно другой страны?

Как можно безопасно, без риска , что твое письмо может попасть в лапы ФБР, общаться с другом через OS ANDROID & LINUX (Использую эти ОС) ? Через почту ?

Никак. Лучше лично при встрече. Совсем не обязательно перлюстрировать и проводить морфологический или синтаксический разбор вашей с другом переписки. Достаточно фиксировать откуда, когда, с какого устройства и кому. Дальше строится социальный граф и включается в работу big data. Подтягиваются данные со сторонних сервисов тебя и твоего товарища - кто-то с данного телефонного номера с id сим карты зарегистрирован в соцсети, зареган на почте и т. д. Так вот окольными путями собирается цифровое досье. На основании которого можно прогнозировать ваше поведение. И уже совсем не важно о чём вы там друг другу пишете.

Answer 7

[Александр]

Если не доверяете никому, включая алгоритмам шифрования, то можно использовать одноразовый блокнот (абсолютно стойкий шифр )

Answer 8

[mletov]

Суть в том, что законодательно наложены ограничения на сложность алгоритмов шифрования.
Т е вы можете шифровать свои сообщения как хотите, но ровно до тех пор, пока у соответствующих служб хватает мощностей это расшифровать.

Соответственно, вам нужно начинать заморачиваться не только с приватностью, но и с анонимностью, чтобы не знали не только то, что вы отправили, но и то, что это вообще отправили вы. Иначе срабатывает все, что сказал CityCat4 про ректальный криптоанализ.

Даже если вы вообще ничего предосудительного в своих сообщениях не отправляли, сам факт использования слишком сложных алгоритмов шифрования может послужить поводом для возбуждения дела.

PS Да, наверное, можно соскочить, сказав, что я не сам шифрую, а использую сторонний софт, сложность его алгоритмов шифрования мне неизвестна и вообще я в этом ничего не понимаю. Тут я, к сожалению, не знаю точно, кого именно касаются эти ограничения, только производителей софта для шифрования или пользователей тоже.

Comments

[timur102]

Это не я, это скрипт , который я написал на python :_)

[CityCat4]

timur102, Вы это следаку будете обьяснять? :)

Answer 9

[fdroid]

Развернуть собственный чат-сервер Mattermost, Rocket.Chat, либо что-то другое аналогичное.

Answer 10

[nfire]

И почему-то никто не упомянул стеганографию, которая как минимум на уровень выше шифрования.

Comments

[sim3x]

Потому что она не решает проблему, а только скрывает ее
И ее никак нельльзя сравнивать с криптографией

[nfire]

sim3x, не решает проблему безопасного общения? Для меня это гораздо безопаснее передачи шифрованных сообщений.

[sim3x]

nfire, нет, не решает

Если для вас тега - лучше крипты, то вам лучше глубже ознакомится с сабжем