Не кидайте тапками. / Роскомнадзор :: реактор образовательный :: geek (Прикольные гаджеты. Научный, инженерный и айтишный юмор)

geek Роскомнадзор реактор образовательный 
Не кидайте тапками. Сам я в этом понимаю на уровне продвинутого юзверя. Пишу для совсем далеких от этой темы людей.
Как работают луковичные сети и почему РКН не может ничего сделать В И
Для того, чтобы понять что такое Тог сеть и как она устроена (в упрощенном виде), нужно понять как работают два типа шифрования информации.
По сути, у нас есть два етуяа варианта.
Вариант первый: Симметричное шифрование.
ец

(и наебал нужных и не очень запятых, так что вот: ",,,,,,,,," - поставьте сами)

Подробнее
Как работают луковичные сети и почему РКН не может ничего сделать В И Для того, чтобы понять что такое Тог сеть и как она устроена (в упрощенном виде), нужно понять как работают два типа шифрования информации. По сути, у нас есть два етуяа варианта. Вариант первый: Симметричное шифрование. ец шифр _-/! Алиса Боб Алиса и Боб передают информацию по зашифрованному каналу, ключ для зашифровки сообщения также является ключом для дешифровки. Грубо говоря, Алиса и Боб заранее договариваются о том, каким будет шифр и используют его. О плюсах и минусах данного метода говорить много не будем, ибо они очевидны. К примеру, сидя на канале между Алисой и Бобом можно путем нехитрых манипуляций и анализа понять каким являлся изначальный шифр. Часть 1. Р.Б. Надеюсь, сюда -не-придет толпа красногла-зиков, которая будет корректировать мои ошибки и не точности. Второй вариант: Ассимитричное шифрование. За такой удобный метод шифрования нужно сказать спасибо этим парням: Уитфилд Диффи, Мартин Хеллман и Малькольм Вильямсон. Вдаваться в подробности мы не будем, но... Эти ребята представили миру способ, которым в теории можно было шифровать сообщения раздилив шифр на две части. Публичный ключ & Назовем их Р и С. Закрытый ключ магия Боб Алиса Работает все предельно просто: Алиса генерирует у себя публичный и закрытый ключ. Любой пользователь, который хочет отправить Алисе его фетеграфии-чяена- сообщение может зашифровать его, посмотрев на публичный ключ Алисы (назовем его Рд). Допустим, Боб отправляет сообщение Алисе. Алиса Боб Боб пересылает сообщение Алисе, используя ключ Рд Алиса получает зашифрованное сообщение и расшифровывает его своим закрытым ключом (назовем его Сд). В обратном случае делаем все аналогично. Таким образом, Алиса и Боб обменялись сообщениями, но при этом никто не может прочитать их переписку, кроме их самих используя закрытые ключи. Правда, есть один большой недостаток, который рушит все. Между Алисой и Бобом может пристроится кое-кто еще. Скажем, его зовут *РаКмеН*. Помимо того, что Ражен жуткий пидар и не уважает личное пространство других людей, он еще и не терпит узнать какие фотки и в каких купальниках пересылала Алиса Бобу. _ _ Ражен перехватывает публичный ключ Боба и генерирует свой. После этого, отправляет Алисе свой публичный ключ, маскируясь под Боба. То же самое он делает и с Бобом. То есть Боб и Алиса обмениваются сообщениями, думая, что они зашифрованы их публичными ключами, но на самом деле все ключи сгенерировал Ражен. (Ражен - сервер, к примеру) Алиса Боб Ражен А вот здесть вот будет ебаный вотер-марк, и всем, кто копирует сей пиздец без моего разрешения будет абсолютно ничего. ©
geek,Прикольные гаджеты. Научный, инженерный и айтишный юмор,Роскомнадзор,реактор образовательный
Еще на тему
Развернуть
,
traki traki 20.07.201706:38 ответить ссылка 2.4
Автор поста ошибается. Никто не заствавляет пользователя безоговорочно принять подписанное контрагентом. Для этого есть доверительные отношения, выстраиваемые между центрами сертификации. Никто не мешает контрагентам сгенерить свои корневики и обменяться ими один раз и вообще оффлайн. И тогда хитропопый "человек посередине" может уприсылаться подмен и уперехватываться чужих фоток в купальниках. А потом будет их брутить...
robby robby 21.07.201716:31 ответить ссылка 0.0
Ркн всё ещё может прийти к тебе домой и набить ебало
Почти все ресурсы хранят сообщение+адрес+время. Адреса привязаны к провайдерам, а у провайдеров есть лог кому и когда кому какой назначили. Обычно звонят по телефону или пишут на мыло, поэтому между лицом в пол и постом в инфернетике проходит пара дней.
Первый фрейм.
Симметричный шифр: A - число, B - число, C - число. K1 и K2 - компьютеры.
A - известно обоим сторонам. B передается между ними, С = A*B.
B - станет обсуждаемой или даже переменной частью между сторонами соединения. Если результирующее С большое, а А известно только K1 и K2, то никто между двумя стульями K1 и K2 не узнает о содержимом. И да здравствует OTP. (Одноразовый пароль)
Ассиметричный. Последний фрейм:
Передавать ключи в открытом виде это как делать вдоль. Самоубийство еще и изощренным способом.
Провайдер может влезть в https. Почему?
Есть сертификаты. Есть их сервера. За выдачу сертификатов отвечают сервера сертификатов. Они являются удостоверяющим посредником, чтобы ключи(сертификаты содержащие ключи) шифрования не передавались напрямую. Провайдеры интернета находятся между вами и ими обоими, поэтому могут прочесть и сертификат и соединение.
Попытка подмены паблик ключей RSA внутри https:
о
9 О©
+ 9:47
https://www.pornhub.com/video/ Ц] •
Этот сайт не может обеспечить безопасное соединение
На сайте www.pomhub.com используется неподдерживаемый протокол.
ЕРЯ_881_УЕ*^ЮМ^0Я_С1РЮ_М18МАТСН
ПОДРОБНЕЕ
О
О
□
Проблема в том, что "луковица" не такая защищенная, как кажется, и полной анонимности с помощью нее достигнуть невозможно. Прошаренные бородатые дядьки могут запросто узнать всю информацию о твоей деятельности в интернете, какой бы навороченный прокси ты не использовал, все зависит от времени, через которое тебя найдут. Даже если ты самостоятельно построишь цепочку из серверов, каждый из них будет ссылаться на тот компьютер, который к нему подключен и эта цепочка приведет к тебе. Разумеется если ты пытаешься "безобразничать" прямо из своего дома, а не где нибудь с левого вай-фая.
Можно. Если при первичном и конечном соединении будет шифрование с безопасным ключем переданным через другой способ связи (в частности otp, где ключ передавать по смс или генератор ключа от времени по формуле известной только тебе и твоему впс). Поэтому на выходе нужна своя впс зарегистрированая на левое имя и оплаченная с воображаемой кредитки.
Таким образом дальше твоей впс они не уйдут. А дома реализацию шлюза-роутера воротить не на своем компьютере, а на роутере.
комп->роутер в тор или даркнет->роутер интернета->интернет->входящий гейт->сеть тор \ даркнета->наружный гейт->твоя впс ->ресурсы интернета
Технический можно купить взломанные впс или впс зареганные на чужое имя. Также с тех кто продает от их имени залить доплату с чужой кредитки.
*Неточности
Самое смешное, что я написал это именно так, ради того, чтобы кто-то поправил в комментах.
Проблема тора в том, что ip адреса нод известны (их не так много менее 1000) и если их заблокировать, то вы никуда не подключитесь.
То же самое с VPN при блокировке IP шлюзов, если их закрыть VPN у вас не будет.
Маскировка трафика тоже мало поможет, РКН рекомендует провайдерам ставить Deep Packet Inspection фаерволы и фильтровать на 7L.
По поводу сертификатов и https - можно зарезать протокол или потребовать от сайтов предоставить сертификаты, в этом случае вы даже не узнаете о middle man.
Поэтому не обольщайтесь.
Я пробовал заблокировать энд-ноды тора. Их и правда не много, но они постоянно меняются.
Но они в открытом доступе - они же сами и рассылают эти адреса, чтобы их могли использовать юзеры. Блокировать их как только они появляются совсем несложно.
Gwiny Gwiny 20.07.201716:42 ответить ссылка 0.2
Это входные ноды рассылаются, а выходные пользователям для работы знать не нужно. Я, наверное, не правильно понял автора коммента. У меня была задача не давать пользователям входить на мой сайт через Тор, а РКНу, конечно, надо не давать россиянам ВЫходить через Тор куда угодно
Тут и фича заключается в том, что входные ноды могут быть и просто промежуточными, так и выходными нодами. Придется банить всю сеть, ЕМНИП.
Нет, для входа в Тор тебе надо знать, где у него вход, в связи с чем список входных нод в каждый момент времени должен быть общедоступен, а значит теоретически - блокируем.
Только есть одна небольшая проблема... Для этого нужно эти адреса блокировать автоматически, что несколько сложно закрепить законодательно. Тем более что блокировать любые адреса которые создатели тора вывесят на своем сайте мягко говоря не очень умный поступок(впрочем, когда наше правительство это останавливало?).
Вы это говорите про страну в которой единогласно принят закон о до судебной блокировке сайтов и упрощенной (считай автоматической) блокировке "зеркал", а также бессмысленный закон Яровой. Вы думаете их остановит то, что они могут заблокировать вместе с нодой какой то случайный сайт)
Нехи-трых.
я так и не нашёл цп или подобное порно в торе , гавно браузер .
Хорошая попытка, товарищ майор.
Это не намного сложнее чем найти котиков в гугле, просто ты не очень умный.
Я понял что РаКмеН - тот ещё говнюк!
Inimo Inimo 20.07.201713:55 ответить ссылка 0.0
Не ясно, как в твоей схеме Ракмен создаёт сообщения для отправки Алисе и Бобу - у него нет закрытых ключей Алисы и Боба и он не может расшифровать сообщения, которые к нему приходят, чтобы перезашифровать их своими закрытыми ключами.
А ему они и не нужны. Он подключился между Алисой и Бобом еще до обмена ключами, так что когда Алиса посылает свой открытый ключ Бобу, Ракмен его перехватывает и подменяет своим, то же самое он проделывает и с ключом Боба. В результате и у Алисы и у Боба есть только ключи Ракмена, с помощью их они и шифруют сообщения, а Ракмену остается только расшифровать своими ключами, прочитать и зашифровать ключом адресата.
Ну так для этого и нужны удостоверяющие центры, открытые ключи которых находятся в цепочке сертификатов. А так да, если кто-то может перехватывать все пакеты и подменять их своими, то без хотя бы разового доступа к надежному каналу, безопасности вам не видать.
Для этого нужно, чтобы у Алисы в компе был корневой сертификат Ракмена, иначе шифрованный Ракменом траффик будет невалидный. Сделано именно для того, чтобы такие как Ракмен не пролезали.
Ну слушай, тут человек не понял даже этот простой пример, так зачем усложнять и вмешивать центры сертификации? Пост всё-таки про основы криптографии, а не про разбор существующих алгоритмов.
Кроме того, если Алиса и Боб это два обычных человека, которые просто хотят пообщаться в p2p мессенджере, то никаких корневых сертификатов и не будет, так как без зарегистрированного домена с поднятым на нем почтовым либо веб сервером(что обычным людям нафиг не упало) ты подписанные CA сертификаты даже получить не сможешь.
Так может он потому и не понимает, что не объясняется про корневые сертификаты и центры сертификации.

Для p2p-чата корневой сертификат тоже есть, кстати, не обязательно подписанный, можно и сгенерированный, но всё равно есть. И в этом случае сертификат Ракмена всё равно будет невалидный. Собственно, в этом весь смысл всех этих сертификатов - в защите от человека-посередине.
>Так может он потому и не понимает, что не объясняется про корневые сертификаты и центры сертификации.

Там кроме этого не объяснено еще и куча других вещей. Не стоит переусложнять, а все желающие максимальной точности всегда могут пойти почитать RFC, если им тут слишком мало информации.

>корневой сертификат тоже есть, кстати, не обязательно подписанный, можно и сгенерированный,

Извини, возможно я что-то не так здесь понял, но для меня данное предложение звучит как ересь. Как бы да, ты можешь сгенерировать себе хоть сотню самоподписанных корневых сертификатов, но передавать Бобу ты их всё-равно будешь через Ракмена, так что смысла в этом нет. Кроме того, для самоподписанных коневых сертификатов придется поднимать еще и свой сервер CA, который тоже никак не защитит от Ракмена, иначе говоря это полная бессмыслица.

Потому в p2p месседжерах никакие корневые сертификаты не используются, а место этого придумываются другие методы обмена ключами, самый распространенный: вначале Алиса и Боб обмениваются симметричным ключом по какому-либо другому каналу(например, пересылается по почте, или смской, или еще как), а потом с помощью этого ключа возводится зашифрованный канал и по нему уже они обмениваются открытыми ключами.
Ну правильно, посылая CA по другому каналу связи (например, почтой или на флешке), и устанавливая к себе в систему. В MS AD, OpenVPN или при аутентификации по IKEv2, SSTP как раз так.

Но ты прав, это лишнее тут, т.к. TOR использует самоподписанные сертификаты. Однако своя альтернативная проверка сертификатов на валидность (защита от подмены), как я понимаю, там есть, через публикацию релеями в децентрализованную сеть своих открытых ключей, чтобы Ракмен не мог притвориться Бобом.

На текущий момент есть примеры успешно проведенных аттак на exit-node. А вот с аттаками на entry-node сложнее, как я понимаю, т.к. надо контролировать всю сеть...
Ребят, я, конечно, сейчас сильно всех удивлю- но ТОР в данном посте вообще не причём. Это один из стандартных методов шифрования и "РаКмеН" здесь выступает в роли сниффера. То есть здесь описан метод, не зависящий от браузера. Тор работает за счёт "Луковой" структуры из цепочки адресов.

Ах да, ставлю полтос на то, что эту штуку сделал глупый пикабушник.
Я сейчас тебя удивлю еще больше: это введение, в котором рассказывается про шифрование вообще. А конкретно про тор говорится во второй части.
ну, ктож виноват, что у нас посты прнчто разбивать по кускам
Напиши заодно людям про метод диффи хеллмана для обмена ключами шифрования.
shteyner shteyner 20.07.201715:44 ответить ссылка 0.0
Только зарегистрированные и активированные пользователи могут добавлять комментарии.
Похожие темы

Похожие посты
Луковичные сети. База.
Для начала поймем как работает луковичная сеть:
[ИЗЧасть 2.
Пользователь Тог Ваня уж очень хочет посмотреть на трапов, для этого он ставит Тог.
Далее, уже сам Тог-клиент подключается к серверу, который является входным узлом Тог сети. Следующим действием с клиентом делятс
подробнее»

Роскомнадзор geek,Прикольные гаджеты. Научный, инженерный и айтишный юмор реактор образовательный

Луковичные сети. База. Для начала поймем как работает луковичная сеть: [ИЗЧасть 2. Пользователь Тог Ваня уж очень хочет посмотреть на трапов, для этого он ставит Тог. Далее, уже сам Тог-клиент подключается к серверу, который является входным узлом Тог сети. Следующим действием с клиентом делятс