Tox - приложение для безопасной текстовой, голосовой и видеосвязи в интернете

persona non grata
marketmaker

marketmaker

Местный
ЗАБАНЕН
Регистрация
5/11/14
Сообщения
209
Репутация
-8
Реакции
283
RUB
0
Если вы планируете сделку с его участием, мы настоятельно рекомендуем вам не совершать ее до окончания блокировки. Если пользователь уже обманул вас каким-либо образом, пожалуйста, пишите в арбитраж, чтобы мы могли решить проблему как можно скорее.
В данном топике предлагаю обсудить - насколько безопасен Tox?

Wiki выдаёт следующую информацию:

Клиентская программа представляет собой свободное программное обеспечение с открытым исходным кодом, обеспечивающее полный набор привычных функций: голосовая и видеосвязь, режим конференции с несколькими участниками, указание и смена сетевого статуса, поддержка эмотиконов, возможность отправлять мгновенные сообщения и передавать файлы. Отсутствует реклама. Позиционируется как открытая, свободная, лишённая бэкдоров и не шпионящая за пользователями альтернатива Skype.

Логика работы Tox напоминает схему взаимодействия участников по протоколу BitTorrent. Реализована она примерно так же, как в облачном сервисе BitTorrent Sync. По аналогии с популярным торрент-клиентом, одна из версий приложения даже называется сходным образом – μTox. Использует пиринговый обмен информацией для улучшения пропускной способности, но в отличие от Skype, не требует регистрации для использования, а идентификатор пользователя создаётся локально. После установки μTox автоматически создаётся пара ключей. Публичный ключ можно передавать кому угодно – он служит как уникальный идентификатор для поиска собеседника. Секретный ключ хранится только у владельца и подтверждает его подлинность не раскрывая персональные данные. Центральный сервер отсутствует, поиск собеседников происходит через DHT.

При общей идее проекта разработка клиентских приложений ведётся отдельно для каждой операционной системы. Команды пишут десятки вариантов с отличающимся набором функций, но для скачивания с официальной страницы будут предлагаться только наиболее стабильные. μTox станет своего рода официальной версией для пользователей Linux и Windows, qTox предназначен для поклонников OS X, а Antox – мобильный вариант для ОС Android. Версии для iOS пока нет.

Совместная работа над проектом Tox осуществляется с помощью сервиса GitHub, где уже доступны исходники тестовой версии. Как видно из кратких описаний «ночных сборок»[3], защита соединения достигается за счёт использования SOCKS прокси-серверов. Также поддержка SOCKS5 позволяет перенаправлять весь трафик через Tor. Криптографические функции выполняются с помощью библиотеки NaCl, созданной международной группой специалистов по безопасности под руководством Даниэля Бернштейна (Daniel J. Bernstein) из Университета штата Иллинойс в Чикаго.


Выглядит более чем привлекательно! Удалось затестить на windows и Linux. В целом работа данной программы понравилась. Интерфейс удобный, в qTox можно быстро переключать аккаунты (хотя одновременно они не работают). Качество связи на уровне. Хотя с включённой веб камерой собеседник меня еле смог разобрать - не знаю, в чём была загвоздка.
Есть один минус - программа бывает выключается сама по себе.

Просьба, в теме писать только по делу. Если не владеете информацией - лучше не писать. Так же прошу указывать источники, которые Вы готовы привести в пользу своего довода.
 
Если говорить о ТОХ, то ссылаясь на сайт разработчика мы видим, что единственная стабильная рабочая версия это
Windows µTox 32/64 bit Weekly
Остальные версии имеют статус Nightly, про которые написано здесь:
"Вы можете загрузить ночные автоматические сборки, но будьте предупреждены — они могут содержать баги!"

Можно сделать вывод, что программа еще не доработана, одного windows сейчас недостаточно, будем ждать обновления до Weekly

В целом программа выставлена как аналог Skype, который давно уже скомпрометирован (доказательства выложены Сноуденом )
Код Tox написан на языке Си и под лицензией GPLv3.
+ : код в открытом доступе. Поддерживаются платформы Linux, Windows, Mac OS X и другие
- : практические все версии не закончены и остаются на уровне прототипов.

Для обеспечения адресации пользователей используется , работа с которой организована в стиле BitTorrent. Канал связи организуется при помощи надстройки над протоколом UDP с реализацией сеансового уровня (Lossless UDP). По Lossless UDP информации мало, это доработанный UDP.
Недостатки DHT:
  1. Работа клиента, как DHT-узла, создает большую нагрузку на маршрутизатор (роутер).
  2. Хеши публикуются открыто, что позволяет интерактивно отслеживать раздачи (чем и пользуются правообладатели).
  3. В имеющейся реализации DHT создает сильный паразитный трафик на компьютер клиента, поскольку сообщения DHT продолжают присылаться клиенту даже в том случае, если компьютер клиента больше не принимает такой трафик (когда программа выключена).

Для организации шифрования используется новая криптографическая библиотека .
Плюсы API Sodium включает следующие возможности:
  • Операции шифрования с использованием аутентифицированных открытых и симметричных (shared-key) ключей, позволяющие гарантировать, что зашифрованное сообщение останется в тайне и не сможет быть изменено атакующим;
  • Создание и проверка цифровых подписей по открытым и симметричным ключам. Позволяет получателю проверить, что сообщения отправлено именно тем, от кого его ожидали получить и не было изменено третьим лицом;
  • Операции хэширования, позволяющие сформировать слепок от сообщения, имеющий фиксированную длину, дающий возможность проверить соответствие хэшу начального сообщения, но не позволяющий восстановить элементы сообщений из хэша;
  • Средства для формирования для хэш таблиц непредсказуемых ключей из коротких сообщений, позволяющие исключить проведение DoS-атак через манипуляции с коллизиями хэшей. В качестве функции хэширования используется метод , отличающийся высокой производительностью и непредсказуемым результатом операции;
  • Безопасный генератор псевдослучайных чисел, пригодный для использования в криптографических операциях.
Функциональность разработки пока находится на уровне серии тестовых прототипов, консольного клиента, написанного с использованием библиотеки ncurses, и графического клиента на базе Qt5.

Также видно из кратких описаний «ночных сборок», что защита соединения достигается за счёт использования SOCKS прокси-серверов. Поддержка SOCKS5 позволяет перенаправлять весь трафик через Tor.
Tox работает по общей схеме ассиметричного шифрования: криптографические функции выполняются с помощью библиотеки NaCl (salt | «соль»), созданной международной группой специалистов по безопасности под руководством Даниэля Бернштейна (Daniel J. Bernstein) из Университета штата Иллинойс в Чикаго. После установки μTox автоматически создаётся пара ключей. Публичный ключ можно передавать кому угодно – он служит как уникальный идентификатор для поиска собеседника. Секретный ключ хранится только у владельца и подтверждает его подлинность не раскрывая персональные данные.
Все также как и в PGP и также при получении доступа к ПК юзера, секретный ключ может быть извлечен и скомпрометирован.


Согласно мнению одного из пользователей, на данный момент концепция проекта подразумевает уязвимость для флуд- и спам-атак:
«Наблюдение за сетью позволяет определить, кто ты, с кем ты говоришь и кому ты отправляешь запрос на авторизацию. Спамеры или хакеры могут запускать ботов и отправлять случайным пользователям спам или запросы на авторизацию».

Вывод: идея создания Tox кажется мне нормальной и заслуживающей внимания. Однако сам по себе открытый код ещё не гарантирует надёжной защиты, а безопасность «луковичной маршрутизации» неоднократно критиковалось. Если дальнейшее развитие проекта пойдет по системе TrueCrypt - это сбор средств на профессиональный аудит стабильных версий, то наверняка можно добиться хороших результатов.
 
Если вы планируете сделку с его участием, мы настоятельно рекомендуем вам не совершать ее до окончания блокировки. Если пользователь уже обманул вас каким-либо образом, пожалуйста, пишите в арбитраж, чтобы мы могли решить проблему как можно скорее.
сам по себе открытый код ещё не гарантирует надёжной защиты

Открытый код гарантирует отсутствие бэкдоров и ошибок в работе ПО. Что касается гарантий надёжной защиты, то здесь вопрос в большей степени философский. Что сегодня является безопасным, то завтра может считаться слабой защитой. Так или иначе - защита должна быть в комплексе.

на данный момент концепция проекта подразумевает уязвимость для флуд- и спам-атак

Данную уязвимость вроде как разрешили внедрением в программу антиспам кода. На сколько хорошо она работает - не знаю, но в настройках такая функция имеется.

они могут содержать баги

Да, баги имеются. В частности иногда программа сама по себе отключается. И работает с видео не качественно.
 
Если вы планируете сделку с его участием, мы настоятельно рекомендуем вам не совершать ее до окончания блокировки. Если пользователь уже обманул вас каким-либо образом, пожалуйста, пишите в арбитраж, чтобы мы могли решить проблему как можно скорее.
Промежуточные итоги использования Tox:
  • На большинстве компьютеров данная программа показала себя на порядок выше, чем скайп
  • Отправлял собеседнику очень большие файлы 2-3 Гб, всё работает как надо
  • Видео стало работать отлично, нет задержек
  • Звук на некоторых машинах отличный
  • А на некоторых даже настройки не помогают
  • На ряде компьютеров плохо инициализируется камера ноутбука
  • Не меняются настройки цвета, насыщенности, яркости и т.д.
  • Низкое разрешение вебкамеры
  • При коннекте с некоторыми компьютерами появляется дублирование голоса и слышишь самого себя
  • На некоторых компьютерах сбиваются настройки (язык и другие параметры программы)
Наилучшим образом программа работает под Линукс системами (за счёт открытого кода и хорошей документации), хуже всего под windows 8.1.

Впечатление от программы - только положительное!
 
Если вы планируете сделку с его участием, мы настоятельно рекомендуем вам не совершать ее до окончания блокировки. Если пользователь уже обманул вас каким-либо образом, пожалуйста, пишите в арбитраж, чтобы мы могли решить проблему как можно скорее.
Нашёл новый функционал в qTox - можно нажатием одной кнопки и выделением области на экране отправить собеседнику скриншот выделенной области без лишних усилий. В целом программы qTox и uTox под линукс стали стабильнее.
 
Сверху Снизу