Июл 18

Safety Jabber – защищенный обмен информацией

Несколько слов о личном опыте использования Safety Jabber для защищенного обмена информацией. Достоинства и недостатки.

Safety Jabber – бесплатный Интернет-мессенджер, обеспечивающий высокую, анонимность переписки (передачу информации: чат, пересылка файлов и т.д.).
Преимущества программы:

  • - высокая степень защиты личных данных;
  • - зашифрованный вид передаваемой информации;
  • - отсутствие необходимости настройки системы защиты пользователем.

Необходимость разработки программы была вызвана интересом пользователей сети Интернет к шифрации и защите личной информации, которую многие пользователи Интернета передают собеседникам в своих сообщениях. До появления этой программы для гарантирования анонимности переписки пользователь нуждался в достаточно серьезном опыте и навыках работы с системой для самостоятельной настройки и применения шифрования. Safety Jabber обеспечивает надежную защиту, работает автоматически, незаметно, и не требующую доработки. Safety Jabber – система, где шифрование встроено на программном уровне. Работа с Интернет-мессенджером Safety Jabber не отличается от работы с другими клиентами на основе протокола Jabber, но при этом переписка в Safety Jabber полностью анонимна и защищена от несанкционированного стороннего доступа. Для передачи сообщений SafetyJabber использует протокол XMPP. Реализовав расширение XEP-0027, а также добавив свое собственное расширение протокола, команда разработчиков Safety Jabber добилась полной совместимости со всеми популярными jabber-клиентами и поддержки стандартной системы шифрования, работающей в популярном клиенте PSI, смогла успешно организовать полностью автоматический обмен публичными PGP ключами. Главная особенность программы Safety Jabber – автоматический обмен PGP-ключами между клиентами. Еще одно отличие в том, что вся история сообщений хранится так же в зашифрованном виде, но эта возможность доступна только для коммерческой версии программного продукта.
http://safetyjabber.com/download.php – с этой страницы можно загрузить бесплатную или коммерческую версию программы (для последней стоимостью $49.99 оплата после установки на компьютер пользователя и генерации пользователем уникальной информации, идентифицирующей пользователя).


http://psi-im.org/ – по этому адресу можно скачать альтернативный незащищенный jabber клиент.

http://psi-im.org/download/lang/ru Инструкции по установке русского языкового пакета для Psi.

Впечатления от работы с программой. Плюсы и минусы.

Плюсы следующие:

  • поддерживается надежный алгоритм ассиметричного шифрования, возможность выбора длины ключа;
  • -пользователи сервиса не видят IP адресов собеседников, кто с ними контактирует, что обеспечивает высокий уровень анонимности.

Итого, на уровне обычного пользователя, надежное шифрование корреспонденции, удобный обмен открытыми ключами, простота использования программы. Стоимость коммерческой версии порядка $50 – не высока и вполне приемлема. Плюсом можно отметить и то, что облегченная версия клиента (с полной поддержкой шифрования) доступна для свободной бесплатной загрузки в виде исходника на C#, что позволяет разрабатывать собственные программы на основе данной программы.

Минусы:

  • хотя поддерживается асимметричный алгоритм шифрования, но работаем с открытым ключом, получаемым от клиента, с которым ведем переписку, а не с электронный цифровым сертификатом этого клиента, заверенным Центром сертификации, заслуживающим доверия. Потенциально возможна подмена открытого ключа злоумышленником, который подсовывает свой открытый ключ, т.е. вариант атаки “человек по середине”, если злоумышленник полностью контролирует проходящий через него трафик. Реализовать на практике такой тип атаки сложно, задача не тривиальная, но для противодействия таким атакам и используются сертификаты и Центры сертификации;
  • анонимность обеспечивается тем, что клиенты подсоединяются к серверу, сервер видит IP клиентов, но, выступая посредником, не передает информацию об IP другой участвующей стороне. Анонимность по IP обеспечивается, но только для рядовых пользователей. Администратор сервера может отслеживать, кто и с кем контактирует. Может или отслеживает, конечно, вещи разные. Поэтому не могу считать систему 100% анонимной, если человек работает со своего домашнего компьютера или рабочего. Есть различие между анонимностью обычных пользователей и вариантом, когда хотят проследить хакеры или спецслужбы. Jabber серверов.

Замечу, что можно сделать свой собственный jabber сервер. Заходим на Википедию (http://wiki.unixforum.org/wiki) и читаем статью “Делаем Jabber-сервер”. Еще один интересный текст http://muff.kiev.ua/node/62 Openfire – «Настройка собственного jabber-сервера обмена сообщениями«. Скачивать и настраивать сервер я не стал, но это вполне осуществимая задача. Жители столицы, введя в поисковике интернет в москве или перейдя по приведенной ссылке, могут получить информацию о порядка 300 столичных провайдерах, позволяющих подключиться к сети Интернет. Можно найти не только тех, кто предлагает простое подключение пользователям для работы в Сети, но и тех провайдеров, у кого можно размещать собственные сервера.

В принципе, можно выбирать более надежные или менее надежные сервера, но, а) что есть критерий надежности и где гарантия, что администраторы надежно настроили сервер и хакеры не смогут его взломать и получить информацию об IP адресах клиентов? И, вообще, кто администрирует эти сервера с децентрализованной структурой. Б) Так как используются только открытые и закрытые ключи, но не цифровые сертификаты, то где гарантия, что злоумышленник, взломав DNS сервер, не перенаправит клиента на созданный им поддельный сервер с таким же именем, что и настоящий. По цифровому сертификату, обратившись к Центру сертификации, можно определить, что ключ подменен, но в данном варианте сертификаты не используются. Конечно, задача взлома DNS сервера или внесения исправлений в файл hosts – не тривиальная и в практической реализации доступна не многим. Кое-что по теме можно прочитать в моей статье, опубликованной в Магии ПК несколько лет назад. “Сайт-ловушка. Зайди на него и оставь свой пароль…http://www.magicpc.spb.ru/journal/200803/19/01.php.

С учетом сказанного, я предпочитаю пользоваться электронными цифровыми сертификатами, выданными серьезными Центрами сертификации. Меня не очень беспокоит то, что IP компьютера с которого было отправлено письмо могут отследить, т.к. злоумышленнику это дает не много, ведь зашифрованную информацию прочесть он не может.

Поделитесь статьей со своими друзьями
Общайтесь со мной:
comments: Closed

Comments are closed.