návod Hunterov úvod do bezpečnej komunikácie

[xhunterx 55]

Hunterov úvod do bezpečnej komunikácie

Pokračovanie môjho návodu Hunterov úvod do bezpečnosti. Tentokrát sa zameriavam na bezpečnú komunikáciu cez internet. V tomto zozname som vybral len aplikácie, ktoré stoja za zváženie a majú rôzne výhody a nevýhody. Aplikácie, ktoré sú podobné alebo horšie ako uvedené som nespomínal, keďže nieje dôvod ich používať.
1. E-Mail
1.1 Proton mail
Protonmail je email zameraný na bezpečnosť. Používa sa pomocou prehliadača alebo mobilnej aplikácie. 
Výhody:
+ Skoro každý má e-mail
+ E2E Šifrovanie, takže ani protonmail nemôže vidieť vaše správy
+ Hostované vo švajčiarsku, kde právo na súkromie je zakotvené v ústave
Nevýhody:
- Bezpečnosť v prehliadači je pochybná v porovnaní s aplikácoiu
- Ak ten, s kým komunikujete nepoužíva proton mail, tak je šifrovanie zložitejšie a menej bezpečné.

1.2 Enigmail
Enigmail je rozšírenie pre Mozilla Thunderbird. Umožnuje šifrovanie mailov pomocou GPG.
Výhody:
+ Skoro každý má e-mail
+ Funguje s každým providerom e-mailu.
+ GPG je staré a dobre otestované
Nevýhody:
- GPG je veľmi zložité na správne použitie, ľahko spravíte kritickú chybu, ktorá znehodnotí vašu bezpečnosť

2. IM s telefónnym číslom
2.1 Signal
Signal je aplikácia podobná whatsapp. Používa silné E2E šifrovanie pomocou Signal protokolu, takže provider nevidí obsah vašich správ. Signal neukladá metadáta, jedine čo sa ukladá je: dátum registrácie, dátum posledného prihlásenia.
Výhody:
+ Podobné whatsapp, jednoduché na použitie.
+ E2E Šifrovanie, takže ani Signal nemôže vidieť vaše správy
+ Neukladá metadáta
Nevýhody:
- Hostované v USA, kde ochrana súkromia je porovnateľná s diktatúrami. 
- Vyžaduje telefónne číslo, ktoré každý, komu napíšete uvidí.

3. IM bez telefónneho čísla

3.1 XMPP

XMPP je otvorený federovaný protokol. To že je otvorený znamená, že existuje viacero rôznych aplikácií, ktoré môžu komunikovať jedna s druhou. To že je federovaný znamená, že si môžete vybrať providera alebo hostovať uzol samy rovnako ako u emailu. Osobne používam Gajim ako PC klient, Conversations ako android klienta a dismail.de ako providera.
Výhody:
+ Federovaný, umožnuje si vybrať providera s dobrým súkromím alebo hostovať vlastný server
+ Umožnuje E2E šifrovanie pomocou rozšírenie, používa variantu Signal protokolu zvanú OMEMO
Nevýhody:
- Veľmi zložitý na použitie
- Klienti majú často nízku kvalitu
- OMEMO je len rozšírenie, navyše ho veľa klientov nepodporuje
- Neviem nájsť švajčiarsky server  

3.2 Wire

Wire je aplikácia, ktorá je zadarmo pre súkromné účely a platená pre komerčné použitie. 
Výhody:
+ Jasný plán speňaženia, profesionálny prístup
+ E2E šifrovanie, takže Wire nemôže čítať vaše správy
+ Jednoduchý na použitie
Nevýhody:
- Naposledy keď som testoval zabugovaný
- Komerčná firma pravdepodobne nebude riskovať svoj biznis proti súdnym príkazom, možná spolupráca s vládou

4. Decentralizované IM
4.1 Tox

Tox je decentralizovaná aplikácia, takže žiadna jedna firma nemôže sledovať vašu aktivitu a je velmi zložité Tox zavrieť, podobne ako Torrenty. Tox je otvorený a má viacero klientov podobne ako XMPP.
Výhody:
+ Decentralizovaný
+ Viac klientov, používam qTox a zdá sa, že má dobrú kvalitu
+ Samozrejme E2E šifrovanie (v decentralizovanom systéme je nutné).
Nevýhody:
- Nemôžete posielať správy offline používateľom, keďže neexistuje server, ktorý by ich uchovával
- Užívateľa musíte pridať pomocou pseudo-náhodného textu a nie zapamätateľného užívateľského mena.

5. YOLO kategória
5.1 Deamonsaw
Deamonsaw je aplikácia, ktorá využíva sociálnu kryptografiu a každý môže hostovať vlastný server. Server neukladá žiadne informácie.
Výhody:
+ Extrémna bezpečnosť a súkromie
+ Celkom pekná aplikácia
Nevýhody:
- Najnovšia verzia nieje open-source
- Socialna kryptografia je otravná
- Neukladá správy, takže keď ste offline sa vám stratia
- Žiadny rozumný človek by niečo takéto nikdy nepoužíval

6. Sociálne siete
6.1 Mastodon

Mastodon je federovaná sociálna sieť podobná twitteru.
Výhody:
+ Veľmi pekná stránka, možno krajšia ako twitter
+ Federovaná, takže sa môžete sami rozhodnúť, komu zveríte svoje dáta
+ Môžeťe svoje dáta stiahnuť a nahrať na iný uzol, ak zmeníte názor
Nevýhody:
- Ako sociálna sieť nemá E2E šifrovanie, takže musíte veriť uzlom a neposielať citlivé údaje
- Chvíľu trvá si zvyknúť na štýl stránky, ktorý je veľmi odlišný od twitteru.

6.2 Diaspora*

Diaspora* je federovaná sociálna sieť, ktorá chce konkurovať Facebooku. Myšlienka je síce pekná, ale zatiaľ to nieje konkurencieschopné.
Výhody:
+ Celkom jednoduchý systém podobný Google+
+ Federovaná, takže sa môžete sami rozhodnúť, komu zveríte svoje dáta
+ Môžeťe svoje dáta stiahnuť a nahrať na iný uzol, ak zmeníte názor
Nevýhody:
- Ako sociálna sieť nemá E2E šifrovanie, takže musíte veriť uzlom a neposielať citlivé údaje
- Nemá skupiny, ktoré sú dôležitou súčasťou FB
- Celkovo pomerne nedokončená sociálna sieť, čo sa funkcií týka
 

7. Doplnkové

7.1 Privatebin

Privatebin je služba podobná pastebinu, avšak umožňuje E2E symetrické šifrovanie (zamknutie na heslo). Môžete hostovať vlastný server, alebo použiť verejný. Okrem bežného zdieľania je taktiež vďaka funkcii vymazania po prvom prečítaní vhodný na zdieľanie informácií vo verejnom prostredí. Napríklad ak by som chcel v chate na pawno.cz niekomu dať svoj email (a neexistovali by súkromné správy), stačilo by ho vložiť do pastu a nastaviť na jedno prečítanie. Potom ho poslať do pawno chatu. Ten komu som ho chcel poslať by si ho prečítal a ak by niekdo neskôr prišiel a chcel ho získať, už by bol smazaný.
Výhody:
+ E2E šifrovanie, heslo + kľúč v linku
+ Jednoduché hostovanie vlastného serveru aj na free hostingoch.
+ Umožňuje vymazať paste po prvom prečítaní a zároveň nastaviť dobu vypršania.
+ Šifruje E2E aj keď nezadáte heslo, heslo je automaticky vložené do linku.
Nevýhody:
Nevidím žiadne
7.2 Ghostbin
Ghostbin je služba podobná pastebinu a privatebinu. Umožňuje E2E symetrické šifrovanie (zamknutie na heslo). Má krajšie formátovanie kódu ako privatebin, avšak horšiu bezpečnosť.
Výhody:
+ E2E šifrovanie
+ Pekná prodpora pre rôzne programovacie jazyky.
Nevýhody:
- Bez hesla nešifruje, takze silné heslo je extra dôležité (na rozdiel od privatebinu)

8. Čo tu chýba
V tomto návode chýba služba na zdieľanie súborov. Počul som dobré veci o OnionShare a zaujímavo vyzerá aj Magic Wormhole. Nič menej keďže som tieto aplikácie osobne neskúšal, netrúfam si ich tu odporúčať alebo hodnotiť.
Taktiež tu chýba cloudové riešenie. Ja osobne momentálne preferujem Nextcloud, ale taktiež ho nemám dostatočne dlho na to, aby som hodnotil. Zaujal ma aj Seafile. Podobné je owncloud. Možno aj Least Authority S4 a spideroak.

Edited 25. Duben, 2018 by xhunterx

[Bloodman 295]

Este doplnim 2 veci:

1. Mail u OSXu dokaze rozpoznat nainstalovany OpenGPG a umozni vam jak podpisovat, tak sifrovat maili priamo v aplikacii.

2. IRC cez Tor na freenode by som povazoval za tiez bezpecnu komunikaciu.

[xhunterx 55]

před 2 hodinami, Asakura Yoh said:

1. Mail u OSXu dokaze rozpoznat nainstalovany OpenGPG a umozni vam jak podpisovat, tak sifrovat maili priamo v aplikacii.

Nice, a taktiez trosku znepokojujuce, ze to detekuje PGP.
 

před 2 hodinami, Asakura Yoh said:

2. IRC cez Tor na freenode by som povazoval za tiez bezpecnu komunikaciu.

Ak by si vysvetlil IRC by som bol vdacny. Do toho som sa nikdy moc nedostal, ani moc neviem, ako to presne funguje. Je to podobne ako XMPP? Pripadne ake to ma vyhody?

Edited 23. Duben, 2018 by xhunterx

[Bloodman 295]

On 4/23/2018 at 20:32, xhunterx said:

Nice, a taktiez trosku znepokojujuce, ze to detekuje PGP.
 

Ak by si vysvetlil IRC by som bol vdacny. Do toho som sa nikdy moc nedostal, ani moc neviem, ako to presne funguje. Je to podobne ako XMPP? Pripadne ake to ma vyhody?

Je to v podstate one to many komunikace prostrednictvom nejakeho servera (napr. freenode). Riesia sa tam veci od opensource projektov (napr. RedHat to pouziva ako primarny komunikacny kanal) az po koordinacie utokov roznych hackerskych skupin. Komunikacia neni sifrovana a je prakticky verejne dostupna komu kolvek. Bezpecnou komunikaciou by som to nazval skor v zmysle, ze ak na IRC pristupujes cez Tor, tak si nevystopovatelny, mas uplnu anonymitu a mozes sa ucastnit lubovolnych diskusii. IRC sa ovlada pomocou commandov a bezne sa pouzivaju napr. terminalovi klienti.

[xhunterx 55]

Aha, no mozno nemusiet sa registrovat je vyhoda, ale XMPP tiez umoznuje v podstate to iste vratane pristupu cez Tor zabudovanu v klientoch a navise maju rozne druhy sifrovania, privatnych miestnosti a podobne, takze pridat to nepridam. Nieje dovod, ked podobna sluzba to uz je. Ako som pisal, vybral som len najlepsie sluzby ktore poznam, keby som pisal vsetky, je ich tu aspom 2x tolko.

[BRUT.me 3]

ono IRC a XMPP sa môžu zdať laikovi že umožňujú v podstate to isté, ale oba protokoly sú založené na úplne inej filozofii a nie sú si až tak podobné ako si myslíš, irc je ešte starší než www a je skôr komunitne orientovaný, kdežto xmpp je orientovaný viac IM, a hlavne samotný IRC server neukladá žiadnu komunikáciu, to je z pohladu bezpečnosti najväčší rozdiel oproti ostatným (teda ledaže ho admin nenastaví na debug mode ) sám mám vlastný irc server a používam ho najčastejšie na komunikáciu cez net, toto je proste naj open source služba overená rokmi s najširšími možnosťami využitia

[Tanga 131]

před 55 minutami, BRUT.me said:

hlavne samotný IRC server neukladá žiadnu komunikáciu

Najdeš kvadrilion open-source implementacii serverov kde ak to nie je, tak si to dokodiš za 10 sekund, keďže spravy nie su šifrované.

[BRUT.me 3]

super Tanga, vidno že si v obraze takže 10²⁴ vravíš, pošleš mi aj ich zoznam? dám ti k dispozicii aj ftp lebo to bude evidentne väčší súbor

 

[Tanga 131]

mal som irc server, bez ludi, ale mal :D. nespominam si na nazov, proste skus google..
http://www.inspircd.org/
https://www.unrealircd.org/
https://github.com/oragono/oragono
https://github.com/jrosdahl/miniircd

srsly dude, das do googlu open source irc server a klikas zaradom.. 

dokonca ten prvy, inspiricd podporuje logging vsetkych sprav defaultne... https://wiki.inspircd.org/LogTypes

Edited 11. Květen, 2018 by Tanga
logging

[xhunterx 55]

Presne ako tanga hovori. Aj XMPP servery maju prisluby ze nebudu ukladat spravy, ale to rovno do sprav na zaciatok mozes napisat: "Pls necitajte admini." a je to asi rovnako efektivne. XMPP som zvolil oproti IRC lebo aj ked mozno neni orientovane na komunitu, tak chatove skupiny podporuje a hlavne ich umoznuje sifrovat (ak su uzavrete, ak su otvorene to nema zmysel).

[Woody 114]

Máte někdo zkušenosti s tímto softwarem? https://cs.wikipedia.org/wiki/Tor_(software)

[BRUT.me 3]

Tanga necital si poriadne co som pisal, ja už mám roky vlastný IRC server nech sa ale poskladáš akokoľvek chceš nenajdeš ich ani milion, nie to ešte kvadrilión

@Woody ja priamo s TOR Browserom, nainstalujes a surfujes anonymne...