Комитет IETF (Internet Engineering Task Force), занимающийся развитием протоколов и архитектуры интернета, завершил формирование RFC для протокола MLS (Messaging Layer Security) и опубликовал связанную с ним спецификацию RFC 9420. Спецификация получила статус "Предложенного стандарта", после чего начнётся работа по приданию RFC статуса чернового стандарта (Draft Standard), фактически означающего полную стабилизацию протокола и учёт всех высказанных замечаний...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=59498
Нет времени объяснять, скорее сравните мне это с OTR.
В OTR заложена отрицаемость. А для бизнеса важно, чтобы было как можно меньше проблем для засуживания пользователей их сервисов. Потому что если бизнес не предпримет нужные меры для сбора доказательств на своих пользователей по своей инициативе, в том числе путём использования нужных протоколов, то это будет willful blindness, и вместо пользователей накажут бизнес. Mechanism design, ничего личного.
Ох уж этот злой бизнес, так и норовит простого анона с опеннета в суда притащить и там как следует засудить его за бессмысленные комментарии.
> Ох уж этот злой бизнес, так и норовит простого анона с опеннета в суда
> притащить и там как следует засудить его за бессмысленные комментарии.Как-то так. Корпорации - весьма ссыкливые штуки, они предпочитают спихнуть все проблемы на пользователей, максимально отмазавшись сами. Они "деньги зарабатывают" - а расходным материалом в этом процессе вы там уж сами как-нибудь (не) будьте.
Мне можешь не рассказывать, я с корпоративными клиентами знаком не по комментариям на опеннет. Для одной известной корпорации с названием из трёх букв (нет, не этих, пошляк) даже malpractice insurance пришлось как-то завести. Обычный бизнес с обычными людьми. Почему у местных анонов пригорает понять можно: ни разу в жизни ни за что серьёзнее порядка в своей комнате не отчечали, потому и разграничение зон ответственности воспринимается как личное оскорбление, а любые правила — как атака на собственную свободу. Ну, даст бог, когда-то повзрослеете.
Неа. Аноны опеннета никогда не взрослеют.ЗЫ:
Забавная картина, ты сам местный анон, и у тебя пригорает 😎
цифровые рабы
Даже на солнце есть пятна.
Будь скромнее 😏
> Мне можешь не рассказывать, я с корпоративными клиентами знаком не по комментариям на опеннет.Тогда какого фига?
> Обычный бизнес с обычными людьми.
"Ничего личного, это бизнес" - знаем, знаем.
> а любые правила — как атака на собственную свободу. Ну, даст бог, когда-то повзрослеете.
Самое приятное что можно сделать с корпорациями и их правилами это, повзрослев, научиться обходиться без них. Послав их правила известным курсом, и ориентируясь на честное и нормальное отношение к людям - а не вон то, в стиле алькапоне, когда белое называют черным если это выгодно. В данном случае еще и подставив, возможно даже ближнего своего, вызывающе неверными сведениями о свойствах месенжера. Что способно добавить вляпавшимся проблем в личной жизни при случае. Потому что копаться в месенжерах сейчас желаюших хоть отбавляй, они уже выстроились в очередь.
> "Ничего личного, это бизнес" - знаем, знаемВ том-то и дело, что не знаешь, потому что всю жизнь работаешь за зарплату.
> научиться обходиться без них.
Попробуй. Это достойное занятие для любого человека. Начни с того, чтобы съехать от родителей и ни дня больше не работать за зарплату. Это так же самый быстрый способ повзрослеть, который я знаю.
> копаться в месенжерах
То есть об осуждаемом предмете ты понятия не имеешь, стандарт не читал, а если и читал, то не понял. Но мнение составил по комментариям других анонимов.
>[оверквотинг удален]
> В том-то и дело, что не знаешь, потому что всю жизнь работаешь
> за зарплату.
>> научиться обходиться без них.
> Попробуй. Это достойное занятие для любого человека. Начни с того, чтобы съехать
> от родителей и ни дня больше не работать за зарплату. Это
> так же самый быстрый способ повзрослеть, который я знаю.
>> копаться в месенжерах
> То есть об осуждаемом предмете ты понятия не имеешь, стандарт не читал,
> а если и читал, то не понял. Но мнение составил по
> комментариям других анонимов.Ты предлагаешь ему работать за бесплатно?
> В том-то и дело, что не знаешь, потому что всю жизнь работаешь за зарплату.Не угадал!
> Попробуй. Это достойное занятие для любого человека. Начни с того, чтобы съехать
> от родителей и ни дня больше не работать за зарплату.... done :)
> Это так же самый быстрый способ повзрослеть, который я знаю.
Спасибо кэп. Это не обязывает меня стать корпоративным холуем или продвигать snake oil протоколы.
> То есть об осуждаемом предмете ты понятия не имеешь, стандарт не читал,
> а если и читал, то не понял. Но мнение составил по комментариям других анонимов.Составил мнение по описанию свойств. Сразу видно поделие корпоратов для решения своих проблем, путем перепихивания их на других. От AWS, Cisco, Cloudflare, Google, Meta, Mozilla ничего другое и не ожидалось. А эксперты по криптографии из матрикса - вообще известны тем что у них end to end шифрование в дефолтной либе - ломанули целиком и полностью. Вот тем корпам только такие стандарты и делать - в списке эксперты по втюхиванию snake oil 80 уровня, "такой же безопасный как TLS", как тут кто-то выдал :)
> Самое приятное что можно сделать с корпорациями и их правилами это, повзрослев,
> научиться обходиться без них.Без корпораций или правил?
> Без корпораций или правил?В идеале и того и другого. Хотя если с корпорациями взаимодействовать "снаружи", их внутренние корпоративные полиси - все же для их винтиков. И в таком виде они не настолко мерзкие уже. Плюс еще размер роялит. Чем крупнее - тем более затхлый климат, больше регуляций, бюрократии и волокиты.
> а также планируется в проектах Wickr и Matrix.Matrix - это хорошо. А как насчет Jami? Тоже перспективная вещь.
> Matrix - это хорошо. А как насчет Jami? Тоже перспективная вещь.Tox еще лучше :).
1) Крутое апи, когда бота можно за 10 минут накатать даже на си. Впрочем есть биндинги к питону, хрусту (как и реализация на нем) и чего там еще.
2) Децентрализованный более-менее по настоящему и относительно устойчивый. В том смысле что забанить сложно.
3) Мануальной конфигурации "чайниками" не требуется. Нет, объяснять чайникам как настроить STUN и TURN в "сложных случаях" - это не вариант, приветы Jami! С другой стороны активность p2p core весьма подконтрольна если вы гуру и считаете что оно вам надо. Может даже через Tor работать. Или любой TCP или UDP прокси/впн/etc по вкусу. Аргумент для сложных случаев и "дополнительного уровня защиты" - когда пров не видит что это было, например, и не задает лишние вопросы.
4) Гарантии попроще и попонятнее. Без потуг рассказывать что компрометация участника не проблема. Ну да, не проблема, только мессаги читать будет втихаря и в ус не дуть как легитимный участник - пока все расслабились под вон те заявы. Вон тот расслабон вызывает иногда презабавнейшие чатики, слив которых можно найти в интернете - когда кой-кто пару недель не подозревал что их "снимают скрытой камерой" в "якобы приватном" чате :))
5) Есть куча клиентов и ботов. А удобно себе с показометра за бортом в чатик температурку то пулнуть, вместо ходьбы к градуснику самому :). И клиент можно выбрать по вкусу - от текстовых для консольки до навороченных кутешных и мобильных подо все, вплоть до андроида и ифона.
6) Не завязано на корпоратов и их "стандарты" нужные им только для отмазывания своих задов и потуг все захапать под свой чуткий контроль.
жаль что помер
почаще повторяй, вдруг поверят :)
> жаль что померУ меня и моих друзей вполне живой. А что с ним будет? Функционирование этой штуки совершенно не зависит от блажи какой-то корпорации или ценного мнения (не)анонимов с опеннета. Чем он и прекрасен - распределенная технология живет до тех пор пока ей хоть кто-то пользуется. Клиенты пипл девелопает себе по кайфу, либы пилят, ботов мастерят. А что еще надо? Хайп? Хайп с месенжерах умеет плохо заканчиваться. Они не для этого.
>> жаль что помер
> У меня и моих друзей вполне живой. А что с ним будет?
> Функционирование этой штуки совершенно не зависит от блажи какой-то корпорации или
> ценного мнения (не)анонимов с опеннета. Чем он и прекрасен - распределенная
> технология живет до тех пор пока ей хоть кто-то пользуется. Клиенты
> пипл девелопает себе по кайфу, либы пилят, ботов мастерят. А что
> еще надо? Хайп? Хайп с месенжерах умеет плохо заканчиваться. Они не
> для этого.ну например qTox:
This repository has been archived by the owner on Feb 12, 2023. It is now read-only.
вот что с ним будет
из других кроссплатформенных клиентов я знаю более менее только uTox, которые еще более багованный
последний релиз которого был в янвере 2021-го
токс интересное начинание, но уже помер, его можно воскресить, но кто возьмется?
Не понял, про какой, всё-таки, мессенджер ты говоришь: Jami или Tox?
> Не понял, про какой, всё-таки, мессенджер ты говоришь: Jami или Tox?Про tox конечно. Jami - пример как делать p2p мессенжеры не надо. Навалили кучу "стандартных" протоколов не созданных для p2p, спихнули все проблемы на пользователя, с настройками stun/turn мануально, и через заковыристые сетевые конфиги с натами, фаерами и прокси ЭТО работать не будет, в отличие от. А tox находит дорожку даже если вот тут конективити нет но рядом в локалке кто-то все же приконектился. А в пределах локалки вообще живет без всякого инета, самодостаточная штука. При том те кто знает чего хочет могут гибко конфигурить как ему конектиться. Так что сетевой уровень этой штуки лучше чем jami на световые годы.
OTR между двумя, как понял mpOTR больше подходит для сравнения.
Необходимо форсировать унификацию, очень сложно выявлять и блокировать этот зоопарк.
Ещё сложнее расшифровывать этот зоопарк, а тут всё понятно и все бэкдоры в наличии из коробки.
А, вот в чём польза для товарища майора.
конэчно!
1 протокол лучше контролировать чем 101
> конэчно!
> 1 протокол лучше контролировать чем 101Ну дык заметь, plausible deniability там даже и близко нет - вместо этого "аутентификация участников". Это чтобы вы уж точно не отмазались что мсг - ваш :)). Внимание вопрос: а нафига вам шифрование если оно от практических угроз вас по сути и не защищает? :)
Об этом подумал тоже в первую очередь.>Поддержка MLS уже обеспечена в коммуникационных платформах Webex и RingCentral, а также планируется в проектах Wickr и Matrix.
>WebexCisco Webex is an American company which develops and sells web conferencing and videoconferencing applications. Говорим Webex подразумеваем Cisco. Старая АНБ-шная гвардия, ясно-понятно.
>RingCentral
На главной https://www.ringcentral.com "Microsoft Teams 2.0 integration for seamless cloud calling". Ясно-понятно.
>Wickr
Недавно продан законопослушным амерским корпорасам, ЯСНО.
>Matrix
Matrix на который долго наяривали как на "улучшенный XMPP" и "будущее мессенджеростроения", и что же с ним? А с ним тоже всё более-менее ПОНЯТНО:
https://www.nuegia.net/articles/matrix.xhtml
https://github.com/libremonde-org/paper-research-privacy-mat...
https://hackea.org/notas/matrix.htmlИтого: протокол сквозного шифрования MLS получил статус предложенного стандарта по причине того что в АНБ и ЦРУ устали разбираться с кучей разных мессенджеров, которые делают все кому не лень. И они решили сделать свой протокол (в котором они как обычно оставили множество лазеек для того чтобы всё прочесть и прослушать), а потом распиарить его как единственно возможный и "перспективный" (как Matrix несколько лет назад), а потом пересадить на него всех мессенджероделов.
WhatsApp сюда сразу совать не стали только потому чтобы сразу так очевидно не палиться, но думаю со временем его тоже включат в эту краплёную колоду. Это и будет окончательный признаком что MLS - просто очередная зондированная поделка от иностранных спецслужб.
В довесок смотрите закон Купера-Дэвиса, как раз вовремя его принимают.
Какие протоколы/клиенты/чатилки еще не опорочили себя сомнительными связями или серьезными проблемами с безопасностью? В каком чате еще нет тащмайора? Кто еще на белом коне?
Любой в яблоко, если через него передавать свой шифротекст gpg
Jabber, хотя OMEMO и не контролируется пользователем как OTR. Уже не одна сотня популярных конкурентов загнулась за это время. К сожалению, нет разработчиков, желающих допиливать опенсорсные клиенты, это главный недостаток.
Сколько OMEMO не пытался использовать - никогда не работает оно. Хотя возможно это проблемы линуксовых клиентов. Dino вот не взлетел у меня.
В Lurch работает, в Conversations работает, Gajim по-моему тоже работал всегда.
> Сколько OMEMO не пытался использовать - никогда не работает оно.Это общая проблема жабера, там нифига не работает как надо. Спеки навороченые, плохо документированые, есть эн вариантов как делать 1 и то же, и разные клиенты понимают это по разному. В жабере даже передача файлов работает раз через три.
Вот OTR - в принципе работает. Но это не заслуга жабера - он сделан так чтобы работать поверх всего. К сожалению наличие центральных серверов все равно позволяет простой анализ таймингов и объемов в удобных централизованных точках, здорово нивелируя ценность шифрования. И не надо рассказывать что сервер можно поставить. Регать домен, прописывая кастомные записи и сетапить жабасервер это занятие не для слабых духом. Значит большая часть контактов будет висеть на чужих серверах. Вот их то при случае и окучат.
Учитесь быть честны с собой - проблема в конкретном лице. В протоколе проблем нет.
Очевидный IRC.
Централизованный 100%, как от тов. майора защищает? XMPP, хотя бы, федеративный.
> Какие протоколы/клиенты/чатилки еще не опорочили себя сомнительными связями или серьезными
> проблемами с безопасностью? В каком чате еще нет тащмайора? Кто еще
> на белом коне?Tox тот же. Делается комьюнити, клиентов куча разных, протокол не делан корпоратами и их холуями зациклеными на стандартах. И потому нацелен на благо юзерей а не корпов.
>Какие протоколы/клиенты/чатилки еще не опорочили себя сомнительными связями или серьезными проблемами с безопасностью?simplex.chat
А если нужен дуплексный чат?
Контрольный маркер - Телега.
Если в телегу не запихнут, значит пиндосы весь мир решили насадить
в телеге вообще нет сквозного шифрования по умолчанию, а на дестопе нет совсемтелега - это новостная помойка
Пользоваться TG - себя не уважать.
Как много минусов, неужели придется писать свои протоколы и реализации которые точно никем не контролируются и уж точно не дырявые.
А Телега превратится в Аську?
Она и есть аська, поскольку аудитория переместилась.
RingCentral - сама контора питерская (DINS), но провайдер очень лицензируемой связи, в т.ч., с США, и, ввиду этого, скорее всего не могут без потери лицензий (читай - бизнеса) отказаться от добровольного внедрения прослушки и бекдоров.
С другой стороны, ввиду этих самых лицензируемых вещей речь и сейчас о приватности и невозможности прослушки не стоит.
Вот когда телега эту шнягу MLS интегрирует - тогда будет прикольно, да. Ну, сегодня-то они говорят, что ни с какими товарищами майорами не дружат, да-да.
США больше не добавляют бекдоры в алгоритмы одобренные для внутреннего рынка. Тому что уже обожглись с использованием этих бекдоров против себя.
Или просто стали более осторожными.
> RingCentral - сама контора питерская (DINS),Голова давным давно в штатах. Ксати, посмотрите откуда голова родом.
Ну и конторы в СПб уж больше года как не существует по обстоятельствам, о коих вы я полагаю, догадаетесь.
И уходили они максимально некрасиво. Сперва по отношению к тем, кто не поехал. А потом и по отношению к тем, кто поехал.
На какой странице поиска по запросу "MLS" находится этот протокол?
если погуглить твое имя, на какой ты будешь странице?
>Работа в асинхронном режиме - ключи шифрования могут быть выставлены без необходимости нахождения обоих участников в online.Целостность ключей обеспечивает кто?
Гарант целостности ключей.
АНБ, МИ-6, Моссад, ФСБ
А кому оно сейчас надо?
Jabber - присмерти
Tox - RIP
Matrix - метворожденвсе сидят на проприетарных поделках и сливают переписку левым людям на сервера
> Jabber - присмертиJabber он же XMPP - это почти стандарт, RFC3920, который через XML дружит с RFC2779 (Instant Messaging Protocol)
Hахрен этим корпорастам понадобился ещё один - не понятно.
> Jabber он же XMPPА если тошнит от тухлого XML, что юзать?
Тошнить может разработчика клиентов/серверов. А пользователя клиентов это как задевает? Пользователь этого XML в окне чатика не видит.
> А если тошнит от тухлого XML, что юзать?Tox. Компактный бинарный протокол в полном p2p. И некоторые замашки классического скайпа - пролезать без мыла даже через неудачные конфигурации сети.
Забыл про conversation
Он для джаббера. С него и начался ренесанс джаббера, как мне показалось. Хотя и совпадение по времени с появлением Signal не случайно.
А какая разница какой транспорт?
Ключи генеришь сам. Сейчас он умеет звонить.
Что еще нужно? Что умеет signal, чего не умеет сегодня conversation?
Так и замечательно, что у нас есть Conversations! Я о том, что по открытости (федерация) Conversations/Jabber лучше Signal, но OMEMO появился именно благодаря Signal.
> Matrix - мертворождёнОчень спорное утверждение, много разработчиков там делают чаты по своему софту (к примеру, там ReactOS, Mozilla, у KDE есть свой сервер, почти все федивёрсные штуки)
> Очень спорное утверждение, много разработчиков там делают чаты по своему софту (к
> примеру, там ReactOS, Mozilla, у KDE есть свой сервер, почти все
> федивёрсные штуки)Софт делается по сути 1 фирмочкой, чей сервак держит наверное более 80% сети. Толку с такой федерации мало: взбрыкнут или помрут элементсы - и 80% контактов резко вылетит.
А реактос и мозилла - образцовый пример тех кто умеет вляпываться в д@рьмо и хайповать вместо нормальной технической составляющей.
Скорее, раньше помрёте Вы, чем jabber (xmpp).
> MLS позволит унифицировать механизмы сквозного шифрованияПеревожу на русский: MLS позволит упростить механизм дешифрования товарищами майорами.
А говорят, это как надёжный TLS, но для мессенджеров.
Надежный - это тот, который создал себе сам и хранишь надежно от посторонних глаз
В криптографии так не работает, сделаешь ты крутой-невзламываемый шифр, а потом прийдет матиматик-аутист (буквально, никакого оскорбления матиматоков) и разложит твой шифр за 5 минут
AES тот математик уже разложил?
Да.
Уже нацелился на ГОСТ
Вот слоупок!
Сам спросил, сам соврал? Фантазер...
А Вы - молодец, точно подметили идиота!
Аутизм тоже не оскорбление
> Надежный - это тот, который создал себе сам и хранишь надежно от
> посторонних глазНу тогда шифр Цезаря наше все. Правда, как только вы его вынимаете из широких штанин, любой криптограф и даже пачка дилетантов аннулируют его в момент :)
Принцип обедающих криптографов.
> А говорят, это как надёжный TLS, но для мессенджеров.Т.е. по CVE каждый месяц? :)
>> MLS позволит унифицировать механизмы сквозного шифрования
> Перевожу на русский: MLS позволит упростить механизм дешифрования товарищами майорами.Каапитан, капитан, залогиньтесь! Очевидность который, конечно.
цифровые рабы не знают что бороться нужно расширяя права человека отменяя цифровые документы в развитых странах.
модераторы должны не цензурить, а организовывать борьбу за абсолютную свободу слова.
Это чтобы было проще и удобней шпионить через eBPF модуль руткита.