Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



20.07.2020

Baramundi

Pomoc w czasie pandemii.
20.07.2020

Stop infekcjom

CloudGuard
17.07.2020

Analiza zagrożeń

Kaspersky Threat Attribution Engine
17.07.2020

Strażnik danych

QGD-1602P
16.07.2020

Dysk przemysłowy

Transcend MTE352T
16.07.2020

Połączenie sił

Fugaku
16.07.2020

Brama bezpieczeństwa

Check Point 1570R
23.06.2020

PLNOG Online

PLNOG Online
23.06.2020

Nowe zagrożenie

Ramsay

Jak uniknąć podsłuchu

Data publikacji: 10-01-2018 Autor: Grzegorz Adamowicz
Rys. 1. Komunikator Pidgin –...

W artykule przyglądamy się bezpiecznym metodom komunikacji. Analizujemy protokoły komunikacyjne przeznaczone zarówno do przesyłania wiadomości tekstowych, jak i treści wideo i audio. Jednocześnie sprawdzamy, jakie komunikatory i inne narzędzia umożliwiają bezpieczną wymianę informacji.

Niezależnie od tego, czy korzystamy z Facebook Messengera, Google Hangouts czy innego komunikatora, wiadomości, które wysyłamy do współpracowników, znajomych czy rodziny, są przesyłane za pośrednictwem serwerów dostawcy tych usług. Nie ma przy tym znaczenia, że używamy szyfrowanego połączenia pomiędzy naszym komputerem a serwisem – wiadomość w postaci otwartego tekstu ląduje gdzieś na serwerze, skąd jest dopiero przekazywana do komputera osoby, do której jest adresowana.


O ile Facebook Messenger posiada opcję tzw. tajnych konwersacji, w których transmisja jest całkowicie szyfrowana, o tyle Google Hangouts już nie. Nowsze wcielenia tego serwisu pod nazwami Allo i Duo już wspierają takie szyfrowanie. Ale na szczęście serwisy te, będące pod kontrolą firmy trzeciej, w tym przypadku Face­booka i Google, nie są jedynymi opcjami dostępnymi dla normalnego użytkownika komputera, który chce skontaktować się z bliskimi. Przyjrzyjmy się zatem dostępnym możliwościom.

> Rozwiązania tekstowe

Protokół OTR (Off The Record) to protokół kryptograficzny, który zapewnia mocne szyfrowanie dla konwersacji tekstowych. Używa on kilku technik i algorytmów szyfrowania, które są powszechnie dostępne i uważane są dzisiaj za bezpieczne. Algorytm, którym są szyfrowane nasze wiadomości, to AES, klucze szyfrowania są na początku transmisji uzgadniane metodą Diffie-Hellmana służącą do wymiany kluczy poprzez niezabezpieczone medium. OTR używa również algorytmu do generowania sum kontrolnych SHA-1, który jednak w lutym 2017 roku został zdyskredytowany przez Google (zostało to udowodnione za pomocą dwóch różnych dokumentów PDF, które miały tę samą sumę kontrolną wygenerowaną przez SHA-1).

Dla przypomnienia – AES (Advanced Encryption Standard) jest specyfikacją szyfrowania danych opracowaną w roku 2001 przez Amerykański Instytut Standardów i Technologii (National Institute of Standards and Technology, NIST). Specyfikacja ta zastąpiła nieefektywny już algorytm DES, który funkcjonował od 1975 roku. AES, oprócz tego, że trudniej jest go złamać, jest szybszy od swojego poprzednika. Sposób wymiany kluczy metodą Diffie-Hellmana pozwala na bezpieczną komunikację z użyciem wspólnego tajnego klucza dla dwóch osób. Algorytm pozwala na ustalenie klucza przez nieszyfrowane połączenie, co ma miejsce przy komunikacji przez internet. Schemat ten został opublikowany już w roku 1976, ale pierwsze użycie odbyło się w roku 1997. W roku 2005 pojawiło się opracowanie, które ujawnia, że algorytm może być złamany przez atakującego, który posiada duże zaplecze swoich serwerów (tinyurl.com/fail-df).

OTR używany jest w wielu projektach open source jako solidny sposób na zapewnienie sobie prywatności w komunikacji. Najpopularniejszą implementacją OTR w świecie wolnego i otwartego oprogramowania jest protokół komunikacji XMPP (Extensible Messaging and Presence Protocol) znany pod nazwą Jabber.


Jedną ze starszych implementacji tej metody komunikacji jest Psi (psi-im.org), wieloplatformowa aplikacja do komunikacji, o klasycznym dla tej rodziny programów interfejsie, składającym się z okna głównego zawierającego listę kontaktów oraz okna (okien) konwersacji. Minimalistyczny i łatwy do opanowania interfejs przyciągnął wielu fanów i doczekał się kilku innych, bardziej rozbudowanych odsłon, takich jak Psi+ czy Psi-pedrito. Jednak rozszerzenie OTR nie jest domyślnie dostępne z tym produktem, a jego zainstalowanie będzie z pewnością problematyczne dla mniej doświadczonych użytkowników.

Pidgin, komunikator bardziej wszechstronny, obsługujący wiele różnych sieci, w tym polskie Gadu-Gadu, wygląda podobnie do Psi. Ma klasyczny wygląd, z oknem głównym z kontaktami i dodatkowymi oknami dla konwersacji. Ponadto dostajemy łatwy sposób uruchamiania rozszerzeń do programu, dzięki czemu możemy użyć pluginu Off The Record zapewniającego silne szyfrowanie dla konwersacji błyskawicznych. W tym celu będziemy musieli doinstalować dodatkowy pakiet o nazwie pidgin-otr w systemach z rodziny Ubuntu (rys. 1).

Warte wspomnienia są też komunikatory Gajim, który działa tylko na systemach z rodziny Linuks, oraz Adium dla komputerów od Apple (rys. 2).

Spośród bezpiecznych komunikatorów na telefony warto wymienić Signal (signal.org – rys. 3), który również pojawił się jako aplikacja desktopowa. Aplikacja bazuje na numerach telefonów, jako głównym sposobie identyfikacji użytkownika, dzięki czemu nie ma konieczności rejestrowania żadnego konta. Każde z urządzeń, na którym zainstalujemy aplikację, otrzymuje unikatowy klucz szyfrujący. Dodatkowo Signal może być używany jako zamiennik standardowej aplikacji obsługującej wiadomości SMS. Program doczekał się również konkurenta w postaci oprogramowania Silence (silence.im),
którego kod jest dostępny publicznie.

Kolejne alternatywne aplikacje, również godne naszej uwagi, to Telegram (telegram.org), który działa na podobnej zasadzie; WhatsApp (whatsapp.com) lub Viber (viber.com), który również obsługuje komunikację głosową.

Osobną kategorią komunikatorów tekstowych zapewniających bezpieczną komunikację są komunikatory bezserwerowe. Nie zyskały one jeszcze znacznej popularności, ale z pewnością w stosunku do XMPP, który wymagał serwera do działania, stanowią wartą uwagi alternatywę. W przypadku komunikatorów bezserwerowych pośrednik w postaci serwera nie jest konieczny. Unikamy w ten sposób słabego ogniwa w postaci pojedynczego centralnego punktu, do którego wystarczy się włamać, aby sukcesywnie podsłuchiwać wszystkie rozmowy odbywające się za jego pośrednictwem. Oczywiście jeśli używamy OTR, takie podsłuchiwanie będzie znacznie utrudnione, jeśli nie niemożliwe.

[...]

Doświadczony inżynier systemów. Specjalizuje się w automatyzacji procesów i monitoringu aplikacji rozproszonych. Propagator ruchu open source. Organizator wydarzeń związanych z IT. Freelancer. W wolnych chwilach twórca fantastyki i fantastyki naukowej

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"