Как написать такое клиент-серверное ПО на языке С?

← →
Artem (2013-04-30 12:52) [0]

Нужно чтобы в диалоге (можно в консоли) минимизировать вероятность прочтения третьими лицами сообщений - нужно очень хорошо шифровать. То есть сторонний софт здесь не катит, хотя бы потому что третьи лица могут прочесть. В двух словах - конфиденциальный чат. И желательно чтобы софт был IP-независим... Пока такие мысли, что серверная программа работает постоянно на хостинге, но конфиденциальность может быть нарушена.

← →
clickmaker © (2013-04-30 12:54) [1]

> чтобы софт был IP-независим

а что такое IP-зависимый софт?

← →
Artem (2013-04-30 12:57) [2]

clickmaker © (30.04.13 12:54) [1]

> чтобы софт был IP-независим

а что такое IP-зависимый софт?
То есть не нужно вводить IP-адрес собеседника, так как роутеры и прочее...

← →
antonn © (2013-04-30 12:58) [3]

нужен сервер к которому клиенты предварительно подключатся

← →
Компромисс1 © (2013-04-30 13:07) [4]

Зачем писать свое, если можно взять готовое решение? Вроде jabber подходит (http://en.wikipedia.org/wiki/XMPP)

← →
brother © (2013-04-30 13:08) [5]

а корованы грабить можно будет?
зы. с такой постановкой ТЗ - ничего дельного, одни улюбки :)

← →
brother © (2013-04-30 13:08) [6]

> То есть не нужно вводить IP-адрес собеседника, так как роутеры
> и прочее...

за что ты их так?

← →
БарЛог © (2013-04-30 13:10) [7]

Я такого софта 2 года ждал!

← →
RWolf © (2013-04-30 13:10) [8]

http://en.wikipedia.org/wiki/TorChat

← →
Artem (2013-04-30 13:13) [9]

Компромисс1 © (30.04.13 13:07) [4]

Зачем писать свое, если можно взять готовое решение? Вроде jabber подходит (http://en.wikipedia.org/wiki/XMPP)
Конфиденциальность

← →
brother © (2013-04-30 13:14) [10]

а нанять программиста?

← →
clickmaker © (2013-04-30 13:16) [11]

http://www.prostomac.com/2012/04/safety-jabber-konfidencialnost-garantirovana/

← →
Компромисс1 © (2013-04-30 13:16) [12]

> Конфиденциальность

Надеюсь, Вы знаете, что информация защищается не извращенностью алгорима шифрования, а ключом, который невозможно взломать за приемлиемое время.

← →
RWolf © (2013-04-30 13:18) [13]

Вот браузерный мессенджер: https://crypto.cat/

← →
Компромисс1 © (2013-04-30 13:22) [14]

RWolf © (30.04.13 13:18) [13]

Нет, автор хочет своё. Ведь если кто-то другой написал, то это уже неконфиденциально получается, авторы смогут взломать и всё прочесть...

← →
clickmaker © (2013-04-30 13:25) [15]

можно предложить автору переписываться пляшущими человечками

← →
DVM © (2013-04-30 13:42) [16]

> Artem (30.04.13 13:13) [9]
> Компромисс1 © (30.04.13 13:07) [4]
>
> Зачем писать свое, если можно взять готовое решение? Вроде
> jabber подходит (http://en.wikipedia.org/wiki/XMPP)
> Конфиденциальность

TLS пока не скомпрометирован. Алгоритм можно прикрутить любой, хоть ГОСТ, хоть пляшущих человечков.
Но с нуля на С реализовать все это сложно, проще взять готовые решения.

← →
Empleado © (2013-04-30 13:58) [17]

> DVM © (30.04.13 13:42) [16]
> TLS пока не скомпрометирован

PS. Имею возможность читать данные зашифрованные TLS/SSL в неограниченном количестве :). Не шучу.

Для полной уверенности, пользуйтесь IPSec с привязкой к IP адресу, с аутентификацией и с сильным алгоритмом шифрования.

← →
RWolf © (2013-04-30 14:05) [18]

> Empleado © (30.04.13 13:58) [17]

это подменой сертификата, что ли?
софт такие вещи не должен пропускать, вообще говоря; тот же браузер предупреждает об этом.

← →
DVM © (2013-04-30 14:15) [19]

> Empleado © (30.04.13 13:58) [17]

> PS. Имею возможность читать данные зашифрованные TLS/SSL
> в неограниченном количестве :). Не шучу.

Ну TLS это же не шифрование. Это протокол. Протокол поддерживает шифрование выбранным алгоритмом, но оно не обязательно.
При наличии ключа закрытого и я имею. Подмена ключа и сертификата не в счет, это не всегда реализуемо, да и обнаруживается.

← →
DVM © (2013-04-30 14:28) [20]

> Empleado ©

Ну и разумеется нужно мониторить весь диалог рукопожатия и обмена ключами и параметрами шифрования, чтобы в дальнейшем была возможность расшифровать данные. С середины вклинившись даже с закрытым ключом там делать нечего.

← →
Empleado © (2013-04-30 14:47) [21]

> это подменой сертификата, что ли?
> ... тот
> же браузер предупреждает об этом.

Совершенно верно.
Не должен. А когда его кладешь в trusted, то юзер и не подозревает о подмене.
ПС. Я не злой, я только учусь :)

← →
DVM © (2013-04-30 14:51) [22]

> Empleado © (30.04.13 14:47) [21]

> А когда его кладешь в trusted, то юзер и не подозревает
> о подмене.

Это уже не то. Нужен доступ к клиентскому компьютеру и опять же это легко обнаруживается, достаточно проверить подлинность сертификата.

← →
Компромисс1 © (2013-04-30 14:53) [23]

Точно. Тогда уже key logger эффективнее :)

← →
robt2 (2013-04-30 16:34) [24]

> Нужно чтобы в диалоге (можно в консоли) минимизировать вероятность
> прочтения третьими лицами сообщений - нужно очень хорошо
> шифровать

перефразирую....
вот стоит у меня за спиной 3-е лицо, а на экране чат, как сделать так чтобы я мог прочитать текст а 3-е лицо видело только кракозябры ?

← →
Artem (2013-04-30 16:45) [25]

перефразирую....
вот стоит у меня за спиной 3-е лицо, а на экране чат, как сделать так чтобы я мог прочитать текст а 3-е лицо видело только кракозябры ?
О таких 3их лицах речи не идет...

← →
robt2 (2013-04-30 16:47) [26]

а об каких ?
ты по факту пишешь что человек не должен это прочитать с ЭКРАНА !
цитата...

> Нужно чтобы в диалоге (можно в консоли)

← →
SergeyIT © (2013-04-30 17:10) [27]

robt2, общайтесь на китайском, корейском, японском... и писать ничего не надо

← →
Artem (2013-04-30 17:25) [28]

а об каких ?
1) Ну и чтобы минимизировать шпионаж в локалке, провайдере и.т.д. - (ну это, ИМХО, просто шифрование)...
2) Соц.сети, айсикью - всё остается в переписке. Если А хочет показать Б - смотри дескать что мне написал в вконтакте С (это выглядит более привлекательно, чем z56x1__093) - конфиденциальность пропадает ...

> вот стоит у меня за спиной 3-е лицо, а на экране чат, как
> сделать так чтобы я мог прочитать текст а 3-е лицо видело
> только кракозябры ? О таких 3их лицах речи не идет...

Сбербанк на банкомате так сделал.

← →
Artem (2013-04-30 18:01) [31]

Artem (30.04.13 17:25) [28]

Можно сфотографировать прямо с экрана и далее по тексту "смотри дескать что мне написал в вконтакте С". Конфиденциальную информацию можно только устно передавать, предварительно удостоверившись в отсутствии жучков.
Так в том то и дело в вконтакте можно связаться с этим человеком, а в описываемым ПО хз кто тебе это написал... Только ты знаешь...

> Сбербанк на банкомате так сделал

это как? символы меняются в зависимости от угла зрения?

Давайте по порядку. На данном форуме нет людей которые профессионально занимаются безопасностью и секретностью.

> Artem (30.04.13 17:25) [28]

Давай составь ТЗ. Огласим угрозы от которых требуется защитить.
Понятно что от 100% угроз мы не защитим. Но надо стараться. Надо сделать всё возможно и постепенно наращивать защиту.

> Можно сфотографировать прямо с экрана и далее по тексту
> "смотри дескать что мне написал в вконтакте С". Конфиденциальную
> информацию можно только устно передавать, предварительно
> удостоверившись в отсутствии жучков.

Во первых конфиденциальная информация может передаваться только людям которым она предназначена. Так что лишние люди её видеть не должны решается это просто они не будут допущены в комнату без соответствующего допуска.

По поводу сторонних модулей и приложений. Почему же они могут быть использованы. Просто они должны быть сертифицированные. Иначе за разработку будешь отвечать ты, а не сторонний поставщик.

> Ну и разумеется нужно мониторить весь диалог рукопожатия
> и обмена ключами и параметрами шифрования, чтобы в дальнейшем
> была возможность расшифровать данные. С середины вклинившись
> даже с закрытым ключом там делать нечего.

Мониторинг нужен для того чтобы при расследовании было понятно, кто украл конфиденциальную информацию. Что конкретно мониториться не сообщайте. А вот сказать что "все ваши действия записываются и если что вас смогут привлечь к ответственности". Тогда морально это остановит людей.

← →
robt2 (2013-04-30 18:11) [34]

> clickmaker © (30.04.13 18:02) [32]

нет их просто невидно если смотришь под углом - там хардкорная поляризационная пленка наклеена

← →
Vegeta (2013-04-30 23:32) [35]

Все хакеры через IRC общаются.

http://habrahabr.ru/post/133473/

[:|||||||||:]

> Нужно чтобы в диалоге (можно в консоли) минимизировать вероятность
> прочтения третьими лицами сообщений - нужно очень хорошо
> шифровать

Надо
а) на экране отправителя отображать введённый текст звёздочками (как при вводе пароля)
б) передавать по сети тоже звёздочками
в) на экране получателя отображать в том виде, в котором данные получены из сети.

100% конфиденциальность гарантирована!!!

ага и пароль будет 6 звездочек)

Есть такой блог infowatch.lj.com. Автор оказывает в том числе и платные консультации по вопросам ИБ. Ну и в любом случае типикстартеру может быть интересно почитать для набирания мудрости.

По поводу задачи с крякозяблами. Ну, понятно, что не надо допускать 3е лицо к себе за спину. Как говорил мне тренер по карате - в драке крутись, как хочешь, но за спиной у тебя должны быть только мертвые. Ну вот тут примерно также.

Из простых технических средств можно посоветовать выучить какую-нибудь сильно нестандартную раскладку клавиатуры, ну и выучиться читать шифр замены слету. Я, например, относительно бегло могу читать ntrcn d jib,jxyjq hfcrkflrt? Но при перехвате сообщения - будь уверен - это дешифруется слету.

Можно еще AltDesk поставить, там есть boss key - это если вдруг срочно сокрыть содержимое экрана, если 3е лицо заглянуло в комнату.

Еще стоит подумать о том, а так ли оно тебе надо, или это типа в тайне от мамы с другими школьниками переписываться. Судя по постановке задачи, мне кажется, там с вероятностью 99% нечто, не стоящее вообще каких-либо усилий по сокрытию информации, за исключением, возможно, чисто тривиальных - типа хранить переписку за ntfs паролем и никому ее не показывать.

← →
Artem (2013-05-01 16:18) [40]

Ладно ветку наверное можно закрывать...

Как написать такое клиент-серверное ПО на языке С? Найти похожие ветки