Поговорим о безопасности TOX?

[peacemaker]

Было уже много дискуссий, и какой клиент лучше и почему TOX. Остановимся на том, что мы выбрали TOX. Разберем его плюсы и минусы.

Данный текст я писал, основываюсь на официальную документацию

developers:start - Tox Wiki

wiki.tox.chat

Из плюсов, токс действительно децентрализованный. Но для соединения использует сеть DHT (Distributed Hash Table). Это запущеные ноды, которые хранят айпи адреса и соответствующие им публичные ключи. Такую ноду вы можете запустить свою.

Что то вида

DHT_node nodes[] =
{
    {"85.143.221.42",                      33445, "DA4E4ED4B697F2E9B000EEFE3A34B554ACD3F45F5C96EAEA2516DD7FF9AF7B43"},
    {"2a04:ac00:1:9f00:5054:ff:fe01:becd", 33445, "DA4E4ED4B697F2E9B000EEFE3A34B554ACD3F45F5C96EAEA2516DD7FF9AF7B43"},
    {"78.46.73.141",                       33445, "02807CF4F8BB8FB390CC3794BDF1E8449E9A8392C5D3F2200019DA9F1E812E46"},
    {"2a01:4f8:120:4091::3",               33445, "02807CF4F8BB8FB390CC3794BDF1E8449E9A8392C5D3F2200019DA9F1E812E46"},
    {"tox.initramfs.io",                   33445, "3F0A45A268367C1BEA652F258C85F4A66DA76BCAA667A49E770BCC4917AB6A25"},
    {"tox2.abilinski.com",                 33445, "7A6098B590BDC73F9723FC59F82B3F9085A64D1B213AAF8E610FD351930D052D"},
    {"205.185.115.131",                       53, "3091C6BEB2A993F1C6300C16549FABA67098FF3D62C6D253828B531470B53D68"},
    {"tox.kurnevsky.net",                  33445, "82EF82BA33445A1F91A7DB27189ECFC0C013E06E3DA71F588ED692BED625EC23"}
};

Значит ли то что, любой человек может подключиться, и узнать айпи адрес другого человека. Нет. Это можно сделать только когда два пользователя добавляют друг друга в друзья. Ведь выстраивается маршрутизация peer-2-peer.

Плохо ли это? Это легко лечится с помощью tor прокси. Тогда ваш IP адрес ни когда не будет виден.

По поводу шифрования. Все сообщения шифруются публичным ключом оппонента. И расшифровать его другим не представляется возможным. Как и осуществить атаку mitm.

Итого: tox+tor=безопасная переписка

Пример простого клиента для сети токс, можно посмотреть здесь.

developers:client_examples:echo_bot - Tox Wiki

wiki.tox.chat

 

[Gorg]

Остановимся на том, что мы выбрали TOX. Разберем его плюсы и минусы.

Ставлю лайк!
В целом я ЗА такие статьи, надо популяризировать алтернативные источники связи.
Вот вам ещё вопрос, какие видите методы раскрутки и привлечения народа в ТОХ, ведь сейчас понабегут и снова понапишут, что этим вашим токсом пользуется 2,5 человека, иными словами - как загнать людей в ТОХ, как перестать пользоваться всяким дерьмом с привязкой номера телефона и осознать что есть весьма неплохие альтернативы?

 

[BLUA]

Плюсую! Долой телеграм!

 

[Bastar]

Плюсую! Долой телеграм!

Интересно иногда почитать арбитражи, где начинают публикацию в общий фон деталей сделки, в скринах выясняется что сделку вели в телеграм, использовали голосовые и даже звонили друг другу)
Во времена приходов паранойи очень удобно помнить, что кто-то звонит в телеграм и спрашивает "ну как там с доступом?"

 

[pycckoe777]

Интересно иногда почитать арбитражи, где начинают публикацию в общий фон деталей сделки, в скринах выясняется что сделку вели в телеграм, использовали голосовые и даже звонили друг другу)
Во времена приходов паранойи очень удобно помнить, что кто-то звонит в телеграм и спрашивает "ну как там с доступом?"

 

[Bastar]

Ну что там с деньгами?
-Какими?
Которые я внес
-Куда?!
В фонд инвестирования пентестеров
-Ты куда звонишь?!
Тебе
-Кому!
Ну тебе, вот
-Ты ошибся, друг
Я в арбитраж.

 

[peacemaker]

Как популяризировать? Ну просто начните с себя! Все просто. Даркнет площадка не уйдет с jabber потому что это один из ее источников дохода (реклама). Как протокол тоже jabber хорош. Но он централизован и это огромный его минус.

К примеру закроется сегодня xmpp.jp или как он. И все. Связь с миром потеряна у тех кто был там. А у токс нет. Поднимается просто нода и все общаются как ни в чем не бывало. И то чтобы вывести токс из строя нужно положить все ноды.

 

[Codla]

>Значит ли то что, любой человек может подключиться, и узнать айпи адрес другого человека. Нет. Это можно сделать только когда два пользователя добавляют друг друга в друзья. Ведь выстраивается маршрутизация peer-2-peer.
>> в момент подключения чёрной к синей - синяя знает реальный ип чёрной? А потом, при соединении розовой с синей - синяя знает реальный ип розовой? Или засчет трех радомных нод синяя знает только последующее после неё (синей) звено(его ип адрес)?
В чем различие установки соединения и добавления в друзья?

И что значит "clothest to their real public key"? Как это выглядит? Паблик кей это хэш ип адреса?

И когда ты установил и запустил токс это = запущенной ноде на твоём устройстве?

 

[drunken master]

>Значит ли то что, любой человек может подключиться, и узнать айпи адрес другого человека. Нет. Это можно сделать только когда два пользователя добавляют друг друга в друзья. Ведь выстраивается маршрутизация peer-2-peer.
>> в момент подключения чёрной к синей - синяя знает реальный ип чёрной? А потом, при соединении розовой с синей - синяя знает реальный ип розовой? Или засчет трех радомных нод синяя знает только последующее после неё (синей) звено(его ип адрес)?
В чем различие установки соединения и добавления в друзья?

И что значит "clothest to their real public key"? Как это выглядит? Паблик кей это хэш ип адреса?

И когда ты установил и запустил токс это = запущенной ноде на твоём устройстве?

К чему такие вопросы? Снится миллион? )))

 

[PR1SM-NSA]

Ну что там с деньгами?

Олды в чате)


Есть вообще кто испольузет какие то средства связи без связки с тором (исключая школоту)?

 

[waahoo]

Олды в чате

 

[Stanford]

peacemaker В Tox собеседник видит ip, так же как при звонке через Whatsapp или Telegram. Поэтому вопрос, нужен ли Токс, если и в мессенджерах присутствует p2p + e2e оконечное шифрование без участия серверов? Какой клиент из Tox поддерживает из коробки всё через Tor и как там работают звонки через Tor?

P.S: есть другие клиенты получше, например Ricochet на ПК намного легче и без лишнего гоняет только через Tor. Либо на андроиде Briar, есть надежное шифрование, Tor тоже есть, общение через локальную сеть или Bluetooth, на случай военных действий, когда сети обрушены вместе с Tor =)

В таком случае, твой ПК и Tox будут абузой, а андроид с briar будет работать даже без интернета. =)

 

[Codla]

К чему такие вопросы? Снится миллион? )))

Почему миллион? Интересна техническая часть вопроса

 

[Bastar]

Олды в чате)


Есть вообще кто испольузет какие то средства связи без связки с тором (исключая школоту)?

Ну, братец, если полистать арбитражи, как я сказал выше, во многих пруфах участвует телеграм...

 

[nightly]

peacemaker В Tox собеседник видит ip, так же как при звонке через Whatsapp или Telegram. Поэтому вопрос, нужен ли Токс, если и в мессенджерах присутствует p2p + e2e оконечное шифрование без участия серверов? Какой клиент из Tox поддерживает из коробки всё через Tor и как там работают звонки через Tor?

P.S: есть другие клиенты получше, например Ricochet на ПК намного легче и без лишнего гоняет только через Tor. Либо на андроиде Briar, есть надежное шифрование, Tor тоже есть, общение через локальную сеть или Bluetooth, на случай военных действий, когда сети обрушены вместе с Tor =)

В таком случае, твой ПК и Tox будут абузой, а андроид с briar будет работать даже без интернета. =)

https://briarproject.org/download-briar-desktop/ - есть и на десктоп. Правда слегка лимитирован и приложение не натив, а какой-то емулятор.

 

[nightly]

Олды в чате)


Есть вообще кто испольузет какие то средства связи без связки с тором (исключая школоту)?

Знаю несколько человек с данного форума и экспы (шифровальщики), так они юзают телегу. Ещё и с мобильного связь держат

 

[Codla]

Ну, братец, если полистать арбитражи, как я сказал выше, во многих пруфах участвует телеграм...

Телеграм тоже в связке с тором можно использовать

 

[drunken master]

Почему миллион? Интересна техническая часть вопроса

Всё понял. Настоящий новорег )

 

[Bastar]

Телеграм тоже в связке с тором можно использовать

Звучит глупо и дико)
Как минимум, он стоит на телефоне, неясно что запрашивает, требует номер (и что что ты левый купил, мб он все равно чекает твою записную книгу?)
Да и в целом. запуская рабочую машину ты от и до запускаешь связку безопасности и уверен что все включил - мобильный это исключает.
Твое сообщение больше напоминает "Да, на носилках раненного удобно, но вот на срубленных ветках тоже можно тащить. А еще подушку положим. А еще колесики прикрутим, а еще, а еще"

А когда они голосовые используют, тор голос меняет?

 

[Codla]

И ещё вопрос. Так как центрального сервера, который обрабатывает соединения в токсе нет, то как происходит поиск устройства, которое вошло в сеть, но ни с кем не контактировало? Т.е. ни одна нода не простроит маршрутизацию до нового пользователя
Что-то наподобие arp запроса в сети токс происходит? В таком случае все ноды будут знать что такой то паблик хеш принадлежит вот этому айпи, так получается?