Состоялся выпуск P2P VPN 0.10 - реализации децентрализованной виртуальной частной сети, работающей по принципу Peer-To-Peer, при котором участники подключены друг к другу, а не через центральный сервер. Участники сети могут находить друг друга через BitTorrent-трекер, либо через других участников сети. Проект продолжает разработку оригинального приложения P2PVPN (автор Вольфганг Гинолас), которое не обновлялось с 2010 года. Исходный код P2P VPN написан на Java и частично на языке Си, и распространяется под лицензией LPGL 3.0...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=59638
А интересная тема! В современных условиях такие проекты вызывают особый интерес.
Если там есть опция "не использовать мой ip для доступа к сетевым ресурсам в моем регионе", то очень даже интересно.
i2p не?
для i2p нет софта: один клиент на джаве, второй фсб-шный
что же тебе везде фсбшники-то мерещатся
Все знают, что Телеграм ФСБ-шный. Вот он и пытается замазать ложью P2P VPN.
И эти клиенты не для того, что здесь описано
> второй фсб-шныйдругое дело родное анб и цру
им на тебя насрать и главное - не достать)
недавно рекламу показывали
> недавно рекламу показывалиТак не рекламу же получения 314лей от них?! Это другое :)))
тот который на плюсах?
не, он не имеет гейтов в обычный интернет. По крайней мере говорят что раньше были, а сейчас вроде уже и нет.
Так 2-а компа через транспорт соединить то можно? Али нет?
> он не имеет гейтов в обычный интернетПолно гейтов, плохо ищешь.
Итупи как бы не о ВПН вообще, там свой сетевой протокол.Кроме того того, там соединения точка-точка, если я ничего не путаю.
При желании конечно можно на нем сделать и ВПН, только там скорости сильно неочень и задержки.
> Если там есть опция "не использовать мой ip для доступа к сетевым ресурсам в моем регионе"Ещё раз, P2P VPN - не аналог NordVPN.
А openvpn?
OpenVPN не P2P и серверный и его на порядок сложнее настраивать.
>> Если там есть опция "не использовать мой ip для доступа к сетевым ресурсам в моем регионе"
> Ещё раз, P2P VPN - не аналог NordVPN.Из существюущих легких вещей - n2n какой-нибудь в таком духе. Но с DHT вот тут автор неплохо придумал. В этой идее что-то есть, но реализация конечно ужастик.
> Но с DHT вот тут автор неплохо придумал. В этой идее что-то есть, но реализация конечно ужастик.Дожили блин. Их уже DHT BitTorrent-а не устраивает.
> Дожили блин. Их уже DHT BitTorrent-а не устраивает.Ну как, сама идея с DHT прикольная. А вот весь монстр на яве с RSA, чатами и сбоку бантик - ну такое себе. А токсеры показали что можно было и еще эстетичнее, у них DHT "с интегрированной секурити" получился. Кстати для особых извращенцев есть таки и VPN через этот протокол. Я решительно не догоняю почему надо пытатсья скрещивать чаты с впн-ами, мне мухи отдельно от котлет больше нравятся. Потому что хороший чат и хороший впн лучше чем дерьмовый чат+дерьмовый впн все в одном. А если все хорошие вещи в 1 программу встроить попытаться, ffmpeg покажется на этом фоне сущей ерундой.
tinc
Требует наличия хотя бы одной ноды с белым ip. При наличии сотен нод в сети может жрать память как не в себя потом падать, похоже где-то память утекает. Чтобы избежать приходится грузить хотя бы пару раз в сутки.
Работает и тащит на себе несколько географически распределённых интранетов для разных задач, развиваемых с 2012 года.
Нагрузка не так уж чтобы прям приносила страдания.
Ключи генерятся с "-K4096", для вычислительно слабых клиентов на машинке пожирнее.
Но да, чем больше нод с "белым IP", тем лучше.
Все такие ноды сразу вписаны в клиенты.
Там, где клиенты в одном LAN могут такие ноды достать "за NAT-ом" - там в клиентах серые IP этих нод.Есть места, где ВСЮ сеть уже года 4 держит одна Raspberry Pi 3B с пятью USB-Ethernet гигабитными адаптерами (рядом бекапная на случай перегрева, ни разу не включалась кроме как для проверки работоспособности).
> Есть места
> держит однаТочно?
Точнее некуда.
> Требует наличия хотя бы одной ноды с белым ip.Ну а как иначе-то? В сабжекте то же самое:
It's sufficient for at least one network member to have a port forwarded. If both network members are behind NAT, they can only connect through a third member.
> с белым ipКак узнать цвет IP? А запах у них есть?
>> с белым ip
> Как узнать цвет IP? А запах у них есть?Если из интернета на айпи можно конектиться - он "белый". В смысле, по изначальной задумке интернет довольно симметричная штука, деление на клиент и сервер весьма условно и в случае UDP все отличие - лишь в том кто первый пакет пульнет. Когда оба пира друг друга знают, в нормальном варианте любой из них может начать сессию. Но поскольку IPv4 сейчас меньше чем устройств на планете - начались всякие извращения типа натов.
Продвинутые штуки типа Tox - в результате интегрировали нечто типа stun+turn в каждый пир, и любой известный узел может выступить "асистентом" в пробитии NAT, а те кому не лень пропускать чужой траф - и целиком релеить траф неудачников у которых это не удалось.
https://servernews.ru/1091368
Хрен разберешься как его юзать. Даже опытный пользователь линукса просто забьёт на него из-за полной неинтуитивности (командная строка vs нормальный UI), а в P2P VPN просто принял приглашение и работает, даже тупой пользователь винды разберется. Ну, и в tinc нет DHT.Так что отправляется он в мусорку, рядом с freelan.
P.S. А ещё tinc на сишке, что не безопасно для такого софта.
Дык перепиши же !
Для чего придумывали язык, которого нельзя называть ?
Если переписывать, то переписывать на инфраструктуре libtoxcore, где уже есть коннект между пользователями по P2P и шифрование. Народ пытался, наделал аш 3 ToxVPN, из которых только один работает (fToxTun), но там коннект только двух человек максимум.
Начинается ....Вот поэтому ржавые поделки и недоделки.
Возьмите tinc, раз вас так корёжит от c, ПЕРЕПИШИТЕ на самый безопасТный язычёк и будет щастье.
А то - "так мы не хотим писать, а так не умеем". От того и все ржут, что на ржавом так ничего доделанного и нет.
Феномен раст-евангелизма еще будут изучать психиаторы, диссертации писать.
А чем не устраивает toxvpn от cleverca22? Да, давно не обновлялся, но работает
> А чем не устраивает toxvpn от cleverca22? Да, давно не обновлялся, но
> работает- Нет поддержки винды - уже сразу не нужен.
- Можно коннектить только двух пиров.
(a) юзерспейсный, (б) необфусцированный
> Кнопка чата теперь мигает при получении сообщения.Встроенный чатик? Я может отстал от жизни, но зачем в VPN клиенте встроенный чатик?
И да, тут главный вопрос такой: трафик "умеет" быть похожим на что-то "дозволенное" (udp - HTTP/3 например)?
> Only people you invited may connect to your networkА кажись нашел в чем прикол чатика: социализация.
А то поставит параноик-социофоб клиент - и будут сидеть в одного.
> зачем в VPN клиенте встроенный чатик?— Брат ты мне канал забил брат
— Извини брат жи есть брат
> но зачем в VPN клиенте встроенный чатик?Чтобы тащ майор оперативно мог сообщить тебе, что на сайт nav***ny.com ходить не стоит.
Ну и адрес узнать, куда опергруппу отправлять
> адрес узнатьВот сейчас обидно сказал.
> Чтобы тащ майор оперативно мог сообщить тебе, что на сайт nav***ny.com ходить не стоит.Судя по последним событиям, товарищу майору скоро нужно будет не о VPN-ах беспокоиться, а о том, чтобы как можно быстрее свалить в Китай.
> Судя по последним событиям, товарищу майору скоро нужно будет не о VPN-ах
> беспокоиться, а о том, чтобы как можно быстрее свалить в Китай.А зачем они китайцам то?
Можно, как вариант, в КНДР.
> Встроенный чатик? Я может отстал от жизни, но зачем в VPN клиенте встроенный чатик?Для того, чтобы проверить работоспособность подключения, а так он не нужен и скорее всего в будущем будет удалён. Можно оставить просто чтобы был. :)
Если несильно "тянет" лучше оставить.
> Встроенный чатик? Я может отстал от жизни, но зачем в VPN клиенте
> встроенный чатик?Стараются не отставать от китайских товарищей. Надо еще офис и калькулятор встроить. Можно еще криптовалюту, не забыв майнер с отчислениями автору, и еще чего по мелочи.
Кстати без шуток, была идея сделать систему плагинов, чтобы например была интеграция с тем же Discord если создавать частные сетки для тех же игр.
> Кстати без шуток, была идея сделать систему плагинов, чтобы например была интеграция
> с тем же Discord если создавать частные сетки для тех же игр.Ты меня не слушай, а то я уже тут как-то пошутил про десктопное окружение в качалке. А deadfood (надеюсь я не переврал ник) прикололся и сделал качалку десктопным окружением. Вот я обломался то! Я правда не понимаю зачем качалке быть DE, но по своему уникально получлось :). Возможно какие-то качки-маньяки даже заценили =)
Yggdrasil Network only
What?
Yggdrasil Network only
Вот кстати да, yggdrasil уже работает и обеспечивает в целом не плохую скорость. Им бы автодисковери прикрутить в каком то виде и выбор оптимального маршрута...
в локальной сети дискавери работает же.
для глобала конечно надо прописывать адреса нод, их достаточно много.а вот с оптимальным маршрутом беда, согласен ((
Дай непротиворечивое определение оптимального маршрута.
да знаю, это сложный вопрос. но я наблюдал ситуации, когда внутри одного города трафик ходит через другой город, хотя можно было бы использовать другие местные ноды, которые даже в конфиге прописаны.
Иногда для rsync миксую ssh -J ygg-host another-host, потому что так оказывается быстрее.
Вопрос не просто сложный, а нерешаемый в общем случае. Потому транзитные провайдеры и держат армию админов вручную трафик инжинирить, прямо как ты.
Это p2p маршрут, как умеет делать Syncthing. И у Yggdrasil есть под рукой все технические возможности, чтобы можно было повторить эту фичу. Но авторы Yggdrasil делают исследовательскую задачку по маршрутизации, поэтому запиливать оптмизацию для маршрутизации средствами underlying network они не хотят. И, как опытные Go-программисты, не понимают, зачем вообще давать пользователям точки расширения функциональности и оптимизации, ведь юзер всегда может форкнуть всю их сеть, чтобы допилить маленькую фичу под себяhttps://github.com/yggdrasil-network/yggdrasil-go/issues/778
По какому параметру будем оптимизировать?
Дискавери в локальной сети было бы бомбой лет 20 назад, когда локальные сети строились на неуправляемых длинах. Сейчас, с подходом vlan на юзера, толку от него для задачи распределенного впн чуть больше чем 0.
Она без выхода в ClearNet. Но в ней есть мосты TOR.
так на любой своей же ноде можно настроить маршрутизацию в клирнет, и роутить трафик через нужных хост.
А какой смысл на своей ноде в этой стране? Нужно же к заблокированным ресусам доступ восстановить.
ну так подними ygg ноду в vps в другой стране, и маршрутизируй трафик туда, при желании можно поднять radvd в своей сети, и тогда и виндовые тачки и даже тот же mikrotik или tplink получит адрес из пула 300:/8.
А мне лень с криптовалютами заморачиваться.
Можно и заморочиться, но кто будет криптокошелёк пополнять?
> либо через других участников сетиТо есть, достаточно один раз мамкиной чегеваре попасть на узел, контролируемый товарищем майором, и дальше его будут вести, передавая с одного "правильного" узла на другой, не выпуская из поля зрения ни на минуту.
Как узнать, что он достоин такого
пристального внимания "достопотченных" товаристчей?
По стуку ?
Не понимаю причем тут тов майоры и чигивары к впн...
Ты чооо??? VPN - основное оружие информационного гверильяса! Как без VPN заходить на заблокированные Роскомпозором сайты и постить там боевые каменты?
Разве хозяин с тобой инструктаж не проводил?
прокси вообще не спасают?
а пороли от гугл почты могут украсть другие участники этой впн-связи?
Если что-то секретное, то голуби дешевле
Средства борьбы с беспилотниками могут оказаться эффективными и против голубей. В этой сети ожидаются большие потери пакетов.
Из пушки по воробьям.
Магнетронами
"28 апреля 2001 на практике реализован RFC 1149 членами Бергенской группы пользователей Linux (Норвегия). Они переслали 9 пакетов данных, содержащих по одному ICMP эхо-запросу, на 9 голубях в удалённый пункт, который находился на расстоянии 5 км. В пункт отправки успешно вернулись только 4 эхо-ответа. При потерях 55,6 % пакетов и времени задержки от 53 минут до 1 часа 40 минут, метод всё же доказал свою практическую работоспособность. "
Не могут, соединение через этот VPN идёт по одному порту, а другие приложения по другим.
Proton двигает эту тему в своем впн
> Proton двигает эту тему в своем впнЭто VPN приложение больше как Hamachi, а не NordVPN.
Читай описание к впн протона
И чо?
>Исходный код P2P VPN написан на Java и частично на языке СиТ.е., большей частью на Java. Знаем мы уже одну оверлейную сеть на Java, которая не тормозит.
> >Исходный код P2P VPN написан на Java и частично на языке Си...
> Выполнен переход с 1024-битных на 2048-битные ключи RSA.В бочке меда - чемодан г@вна. Надо было на 25519 переходить, ничем не хуже RSA зато ключи в разы компактнее и работает в цать раз быстрее. А квантовые компьютеры в случае чего крякнут что то что другое. Режима с PSK на этот случай, как у вайргада, у них конечно же нет?
И вообще, если кто хочет посмотреть как впн правильно делать пусть на вайргад смотрит до того как подрываться кодить свои аляповатые шедевры.
Таки скриптов немало в инете
Барбара например
Насколько я помню, уже много лет как, США выпустили документ в котором в связи с квантовой угрозой рекомендуется отказаться от элептических кривых и использовать обычный RSA с длинным размером ключа.
До того момента как не будут разработаны устойчивые к квантам алгоритмы.Думаю у них там в дефенс не дураки сидят.
> Насколько я помню, уже много лет как, США выпустили документ в котором
> в связи с квантовой угрозой рекомендуется отказаться от элептических кривых и
> использовать обычный RSA с длинным размером ключа.Чокаво? RSA первое что будет раздолбано если (квантовый) алгоритм Шора работает. Потому что изначально как раз про факторизацию чисел и сформулировано. RSA и без этого то пару раз хорошенько шатали на этом, достаточно вспомнить атаку на мелкие экспоненты. Изначально не было сказано что так нельзя. И вроде все работало. А потом это с треском разломали и стало можно подделиывать дофига секурбутов и сертификатов, лол. Более того - у RSA возможны "неудачные ключи" и проч. Отсев таковых сильно отдельный квест. В этом смысле 25519 куда проще, любой 32-байтовый рандом является валидным ключом, из него делается публичный. Конечно брать приватный ключ вида key[32] = {0} не совсем удачная идея, атакующий может догадаться до него, но тут уже вопрос в не очень рандомном рандоме, 32 ноля - не очень случайное число :)
Однако в конечном итоге вон то может затронуть весь класс проблем P != NP. Эллиптика в него тоже в конечном итоге входит. Как и многие иные варианты алгоритмов диффи-хеллмана (если не все известные). И потому есть обоснованные опасения что и там возможны квантовые версии алгоритмов сильно повышающие эффективность атак с тем же результатом что и для RSA, т.е. аннулирование схемы.
Для симметричного крипто это не очень работает: хучший сценарий для симметричных алго оценивается как ополовинивание длины ключа. Если 128 битное крипто с сложностью 2^64 пролетит, то вот 256-битное... 2^128 операций слишком дофига, это удержится. Поэтому симметричное крипто с 256-бит ключом (или более) таки не боится квантовых компьютеров даже в теории. Если конечно устойчивое по другим критериям, RC4 намекает что и обычные компьютеры могут раскрякать за минуту - если отклонения от идеала есть.
> До того момента как не будут разработаны устойчивые к квантам алгоритмы.
В случае point-to-point VPN можно юзать PSK с симметричным крипто - и оно удержится хоть там что. Свойства частично деградируют (может отвалиться PFS или plausible deniabilty) - но атакующий собравший траф его все же не расшифрует.
> Думаю у них там в дефенс не дураки сидят.
Эти недураки помнится dual EC DRBG помнится через нист пытались как стандарт протолкать. И еще мутные эллиптические кривые от NIST - выбранные хз как, кем, и без мощного публичного аудита независимыми криптографами. За что собссно NISTовская эллиптика и выпала из фавора. Особенно после обнаружения что Dual EC DRBG оказывается с бэкдором.
Способность квантовых ПК подбирать ключи зависит от количества связанных кубитов в системе.
Достаточное количество для взлома длинных RSA сделают ещё не скоро.И я не о нисте говорю.
> В бочке меда - чемодан г@вна. Надо было на 25519 переходить, ничем не хуже RSA зато ключи в разы компактнее и работает в цать раз быстрее.Для него нужно либо тащить дополнительную библиотеку, либо обновляться как минимум до Java 15. А RSA будет работать на Java 8.
> А квантовые компьютеры в случае чего крякнут что то что другое. Режима с PSK на этот случай, как у вайргада, у них конечно же нет?
Квантовые компьютеры это миф.
Выходи к нам из своей реальности
Спасибо, мне нормально с нормальными людьми, а не с плоскоземельщиками.
> Спасибо, мне нормально с нормальными людьми, а не с плоскоземельщиками.Жябист который не может исползовать либы которым более десятка лет да вдруг про плоскость земли вспомнил? Вы, типа, будете настаивать что земля плоская? А то амплуа разъезжается :)
p.s. а чуть более умные люди, писавшие Tox и его DHT - сделали DHT по ширине ключа 25519, т.е. 256 битов а не 160 (это из-за SHA1) как в торенте. Это им сиииииильно упростило p2p layer и многие вещи в нем по части начала секурных коммуникаций. Там если идентификатор в DHT знаешь, можешь ему секурно пакет послать. Пустячок а продуманный сетевой дизайн видно как-то так...
> Жябист который не может исползовать либы которым более десятка лет да вдруг про плоскость земли вспомнил?На самом деле по правде, пока что руки не дошли. И да, я на С++ пишу чаще чем на Java.
> а чуть более умные люди, писавшие Tox и его DHT - сделали DHT по ширине ключа 25519, т.е. 256 битов а не 160 (это из-за SHA1) как в торенте. Это им сиииииильно упростило p2p layer и многие вещи в нем по части начала секурных коммуникаций. Там если идентификатор в DHT знаешь, можешь ему секурно пакет послать. Пустячок а продуманный сетевой дизайн видно как-то так...
Нужно будет сделать поддержку нескольких алгоритмов:
RSA 2048, RSA 4096, Ed25519 и AES128, AES256, ChaCha20 для симметричных ключей.
Либо выбрать наилучшие, но RSA 2048 пока что тоже норм.
> RSA 2048, RSA 4096, Ed25519 и AES128, AES256, ChaCha20 для симметричных ключей.25519 сам по себе != Ed25519. И позволяет ряд эффектных фокусов.
Как то: секрет посчитаный через(their_public, our_secret) == секрет через (our_public, their_secret). Это такой себе диффи-хеллман, но размер ключей такой что они могут быть переданы заранее, "голубем" или смской или QR или даже вбиты с клавы или скопипащены если приспичило.
Там же и красивое апи crypto_box() в котором сложно наломать дров даже будучи дилетантом. Требования простые, их могут выполнить даже "двое из ларца". Оно как раз довольно удобно для пакетных штук с 1 стороны, с другой обеспечивает кучу желаемых свойств от PFS малой кровью (достаточно передать ремоте в энном пакете временный сессионный пубкей и получить их временный пубкей в ответ, а при завершении сессии выпилить временные секретные ключи назло атакующим). С RSA так конечно тоже можно - но keypair(RSA) для временных ключей зело медленная и дорогая операция чтоб на лету в сессии ее так уж регулярно делать. А для 25519 вполне вариант.
> Либо выбрать наилучшие, но RSA 2048 пока что тоже норм.
Да просто не понимаю чего этот RSA всем дался. Доисторический урод с кучей проблем и с безопасностью у него - весьма так себе. Особенно если не понимать что делаешь. А хреновая скорость оперций зарубаят ряд начинаний по чисто практическим мотивам. Пары ключей 25519 можно генерить как захотелось ключ линка в PFS сменить, хоть каждую минуту. И если через минуту временные ключи аннулированы - атакующий может что угодно делать но в памяти Алисы и Боба уже нет приватных ключей. Расшифровывать перехваченое чисто технически уже нечем: два публичных ключа не ведут к расшифровке трафика. Только к рантайм-аутентификации что алиса это алиса а боб это боб, раз могут шифровать этим ключом. С RSA сие задолбает нагрузкой на проц, там генерация ключей весьма нетривиальный процесс. Мало того что огромная математика так еще отсев проблемных ключей и проч, и проч.
А, да, в чем профит? Если гонять данные в стиле crypto_box() там явных подписей как раз НЕТ и доказательств что это именно Алиса и Боб послали - тоже. Кто угодно может заявить что это packet(our_privkey, their_pubkey). Но только адресат с парным "theor_privkey" сможет вообще понять - легитимный пакет оно или фэйк. У атакующего в канале нет приватных частей ключа, поэтому он не знает правда ли это алиса и боб или кто-то косит под них - доказать ничего нельзя.А подтверждение что алиса это алиса и боб это боб - возможность в рантайм шифровать вон то и вон то, соответственно. Если Алиса может расшифровать число кинутое бобом с (bob_private, alice_public) - окей, это и правда Алиса, а пакет и правда послал Боб. Можно, вот, "рантайм" аутентификацию (именно онлайн - по возможности шифровать и расшифровывать) без явных подписей. А ed25519 это как раз схема с явными подписями уже. Иногда неявная аутентификация не катит. Скажем пакетный менеджер явно предпочтет "офлайн" подпись майнтайнера, чем каждый раз делать онлайн-сессию к майнтайнеру чтобы тот доказал что он это он, скроив данные с шифрованием именно своим ключом, именно этому клиенту. Но вот для впн та механика что доктор прописал. Кент примерно это и сделал но у него там продвинутости есть, как я понимаю на основе идеи dual ratchet. Это дополнительно портит атакующим карму т.к. там дополнительный фактор аутентификации появляется на основе истории обмена пакетами. А у атакуюшего его разумеется нет без вообще совсем полного взлома истории обмена от и до - что крайне неудобное требование для атаки. А если хоть немнго трафика атакующему не досталось и что-то не доломано - с энного момента траф не расшифровывается. Это позволяет немного потрепыхаться даже при утечке долговременного ключа, если у атакующего нет части трафика - он может пролететь.
> Для него нужно либо тащить дополнительную библиотеку,У, там такие либы! Особенно tweetnacl - лезущий в сто 160-буквенных твитов ажЪ и работающий даже на самом ссаном микроконтроллере. И напрочь самодостаточный, от внешнего мира ему только функция получения рандома нужна (не может чистая математика рандом сама создать).
Впрочем (более быстрый) либсодиум с тем же апи и алго - есть практически везде уже дохрена лет. Им пользуется легион софта, а у вас будущее не наступило... эээ... наверное более чем через десяток лет после его появления?
> либо обновляться как минимум до Java 15. А RSA будет работать на Java 8.
А пойнт вон того упражнения вообще какой? Сделать очережную приложуху в стиле китайцев?
>> А квантовые компьютеры в случае чего крякнут что то что другое. Режима с PSK
>> на этот случай, как у вайргада, у них конечно же нет?
> Квантовые компьютеры это миф.Миф, не миф, а серьезные криптографы предпочитают подстраховаться и иметь запасной план. Впрочем от штуки с жявой и RSA-1024 наивно серьезного подхода безопасности ожидать. А посчитать AES или там ChaCha какое - "задача нерешаема" наверное, опять в яве поди либы нет.
А так идея - замечательная. Но реализация... ух... прости автор, но...
> Впрочем (более быстрый) либсодиум с тем же апи и алго - есть практически везде уже дохрена лет. Им пользуется легион софта, а у вас будущее не наступило... эээ... наверное более чем через десяток лет после его появления?RSA 2048 до сих пор актуален. Остальное уже ваши личные проблемы. Нужно будет поменять алгоритм - это делается на раз два.
> А пойнт вон того упражнения вообще какой? Сделать очережную приложуху в стиле китайцев?
Тут нет никаких упражнений, это просто различные варианты решения.
> Миф, не миф, а серьезные криптографы предпочитают подстраховаться и иметь запасной план.
По настоящему серьезные криптографы рофлят с квантовых компьютеров, потому что это на 90% пиар неработающих технологий, а 10% попытка заставить работать выдуманную математику в реальном мире.
> Впрочем от штуки с жявой и RSA-1024 наивно серьезного подхода безопасности ожидать.
Ну да, у вас видимо сишка - это безопасно. 🤡
> А так идея - замечательная. Но реализация... ух... прости автор, но...
Вы другие реализации этой идеи не пробовали. Либо нечто коммерческое и плати, либо заброшенное полурабочее гавно, которое не понятно как юзать, но зато понятно, что любой нуб это точно не осилит.
> RSA 2048 до сих пор актуален.Ну да, он не взломан полностью. Просто дурной по скрости и размеру ключей. Что не позволяет ни передать ключ так по простому "сбоку", в отличие от, сделав "обмен ключей в стиле диффи хеллмана" частично-офлайн или побочным каналом, и проблема если хочется что-то типа PFS т.к. временные пары RSA генерить на ходу такая себе радость.
> Остальное уже ваши личные проблемы.
У меня не может быть проблем т.к. я в здравом уме и предпочитаю софт написанный компетентными людьми. А сам суюсь в крипто только хорошо понимая что я делаю и нафига. И почему это секурно. Спросив гуру если вдруг сомневаюсь.
> Нужно будет поменять алгоритм - это делается на раз два.
Ну как бы такое отношение вызывает у меня определенные подозрения.
> Тут нет никаких упражнений, это просто различные варианты решения.
Решения какой именно проблемы?
> По настоящему серьезные криптографы рофлят с квантовых компьютеров, потому что это на
> 90% пиар неработающих технологий, а 10% попытка заставить работать выдуманную математику
> в реальном мире.Э нет. По настоящему серьезные криптографы - профессиональные параноики. И рассматривают самые странные вещи как "потенциальные угрозы". Надежное крипто может создать только супер-параноик. У остальных выходит лажа как раз потому что много рофлили и прободали валидные атаки в результате. Так что если много рофлят - это точно не профессиональные криптографы а ламерье.
>> Впрочем от штуки с жявой и RSA-1024 наивно серьезного подхода безопасности ожидать.
> Ну да, у вас видимо сишка - это безопасно. 🤡А я люблю и умею в antibug coding - в отличие от вон тех. Я смею на сишке управляющие фирмвари писать. Но видите ли я прочитал рекомендации и умные мысли от профи "how to". Это воздается. Да, кроме всего прочего я волком смотрю на операции с raw указателями без острой нужды и раздолбайскую аллокацию памяти. С другой стороны pain points у си не так много и если их знать и задаться целью, грабель и не будет. Куча критичного софта на си намекает. А вот на яве safety critical софт не особо пишут. Почему-то. Может, потому что в огромном рантайме чуть каждый месяц фиксят пачки CVE? Или он просто менее предсказуем :)
>> А так идея - замечательная. Но реализация... ух... прости автор, но...
> Вы другие реализации этой идеи не пробовали. Либо нечто коммерческое и плати,
> либо заброшенное полурабочее гавно, которое не понятно как юзать, но зато
> понятно, что любой нуб это точно не осилит.А тут крипот от нуба для нуба походу. Подставить нуба - вариант конечно :) но является ли это чем-то хорошим - спорный вопрос. А инфррмационная безопасность таки комплексный процесс, если нуб совсем нуб его можно лохануть более 9000 способов. И тогда даже отличное крипто ему не поможет. Все же немного соображаловки и нуб должен проявить. Иначе будет как с теми телеграмщиками которых ща пачками упаковывают вооооон туда.
>Квантовые компьютеры это миф.Не думаю6 что Р. Фейнман был глупым человеком.
Р. Фейнман был учённым, но как учённый он активно сотрудничал со разведслужбами США.
всё что нужно знать про эту поделку https://www.virustotal.com/gui/file/6801cbcf832cd38cacdcf094...
Там ругается на .exe файл для запуска .jar, который сгенерирован Launch4j.У меня вон ещё больше ругается. https://www.virustotal.com/gui/file/4708f193ebbc7bf9f1e34a8c...
Зато эта поделка работает в отличии от freelan, tinc и прочего, и её легко юзать, а ещё она open-source и бесплатная в отличии от Хамачи.
Хамачи пользовался лет 10 назад
Нынче заглянул и нихрена не понял что они наворотили
> Зато эта поделка работает в отличии от freelan, tinc и прочего, и её легко юзать,Не обращайте внимание на вирусы в нутри, вася сказал что все ок. Главное что вы их (вирусы) легко поставите и настроите.
> написан на Javaну нашли на чём писать. стыдаба
Надо было писать на сишке и ловить похеривания памяти, утечки, use-after-free и уязвимости в следствии всего этого.
> Надо было писать на сишке и ловить похеривания памяти, утечки, use-after-free и
> уязвимости в следствии всего этого.Ну вон Донфилд свой Wireguard написал. При том настолько качественно что даже в ядро, вот, взяли - и никаких особых утечек и чего там. Наверное как-то так впн и надо писать. И ничо, работает и сетап сводится к аж по сути копированию 1 конфига. Правда p2p он все же условный.
Кстати, там еще и роуминг есть - если сервер или клиент между делом сменит айпишник, по любой причине, очередной пакет от клиента или сервера потеравших пира - прекрасно восстановит сессию и юзер вообще не заметит что что-то изменилось. Сие очень приятное свойство для юзерей с падучими сессиями с меняющимися айпишниками, типа PPPo*/сотовых сетей/L2TP/etc... - это снаружи что то меняется а унутри тоннеля абстракции все на месте и ничего не отваливается соответственно. Никаких фаллаутов и реконектов.
Во! Буду мерзкий ssh через Wireguard подключать! Чтобы обрывов не было.
Wireguard и openvpn блокирнут в первую очередь
Обрыв будет и бесконечный
> Wireguard и openvpn блокирнут в первую очередь
> Обрыв будет и бесконечныйКто что блокирует? Амазон мне сеть на инстансе закроет или что?
Или вы о чём?
Опенвп стандарт в корпоративном всяком вообще.
Вот и будете корпоративеть по РФ
А протоколы блокирнут на раз-два при трафике за бугор
> Wireguard и openvpn блокирнут в первую очередь
> Обрыв будет и бесконечныйНу, скачай модуль обфускации UDP трафика с гитхабы. Или настрой шадоусоксы на проброс udp. Даже если сессия шадоусокса и сорвется, вайргаду то похрен, как и с провайдером, то что внутри этого не заметит.
хех..
ситуация с видом блокировки текущая.
Как будет дальше никто не знает. Т.е. что будет делать РКНиКо
в случае обфускации
Запретить и точка
Согласен. Нечего такие вещи на Java писать! Они бы ещё Электрон взяли!
Java != Javascript
> Java != JavascriptДа и что? Теорема Эскобара.
Ну да, наверное на расте получше будет, чем на Java, но зато кросс-платформенно)
Ой, лучше бы https://github.com/anywherelan/awl пользовались, тоже p2p VPN, но более кроссплатформенный, ui субъективно приятнее, релеи есть, а в остальном архитектурно похож
оно только р2р или есть провайдер с серверами по всему миру?
Вроде выглядит норм, но я уже что-то похожее проходил с Freelan и пару раз проблевался от кол-ва траха при настройке. И оно так и не заработало в итоге.
чё ток не придумают, лишь бы люди по интересам в обособленные независимые коммуны не собирались
Чёт я вообще не понимаю что это и зачем.Оно позволяет несколько компьютеров в одну изолированную сеть соединить без сервера?
И так чтобы никто посторонний не смог к ней подключиться?
> Оно позволяет несколько компьютеров в одну изолированную сеть соединить без сервера?Да, как в хамачи только сеть более устойчива, так как пиры кэшируют адреса друг друга и даже без этого публикуют на DHT ноде. Ну, и бесплатно и нет ограничения на 5 пользователей only.
> И так чтобы никто посторонний не смог к ней подключиться?
Тут в зависимости от варианта использования. Можно чтобы подключиться мог любой и была полная анархия, либо только по уникальным приглашениям, но их нужно раздавать вручную (вариант - сгенерить 999999 и раздать тоже рассматривается).
> Можно чтобы подключиться мог любой и была полная анархияНу сумасшедшие могут чем угодно заниматься.
> либо только по уникальным приглашениям, но их нужно раздавать вручную.
Приглашения надеюсь оформлены в виде уникальных криптографических ключей?
Интересна тема, вижу ей применение, но описание проекта выглядит странно, какие-то трекеры.
> Ну сумасшедшие могут чем угодно заниматься.Чаще всего противоположность анархии сваливается в диктатуру, а сумашедших по факту мало.
> Приглашения надеюсь оформлены в виде уникальных криптографических ключей?
Да, подписанных приватным ключом всей сети.
> Интересна тема, вижу ей применение, но описание проекта выглядит странно, какие-то трекеры.
BitTorrent трекер нужен, чтобы куда-то публиковать свой айпишник и порт, а другие участники сети смогли к тебе приконектиться, как в торрентах.
> Приглашения надеюсь оформленыТрадиционно по номеру телефона
> P2P VPN написан на JavaВаааа блин а уже подумал интересный проект. Мнда, жаль.
Для вас вообще есть нормальные ЯП?
Народ, если кому-то не сложно, можете потестить работу DHT в приложении?https://gitlab.com/Monsterovich/p2pvpn/-/jobs/4936146626/art...
Спасибо.
Идею всячески одобряю, давно такое хотел.I2p уг, emule+kad увы остановился на уровне районной файлопомойки.