Рубрика «децентрализованные сети»

Tox logo

Hi everyone!

I like Tox and respect the participants of this project and their work. In an effort to help Tox developers and users, I looked into the code and noticed potential problems that could lead to a false sense of security. Since I originally published this article in 2016 (in Russian), many improvements have been made to Tox, and I lead a team that re-wrote secure Tox software from scratch using the Rust programming language (check out Tox-rs). I DO recommend using tox in 2019. Let's take a look what actually made us rewrite Tox in Rust.

Original article of 2016

There is an unhealthy tendency to overestimate the security of E2E systems only on the basis that they are E2E. I will present objective facts supplemented with my own comments for you to draw your own conclusions.

Spoiler: The Tox developers agree with my points and my source code pull request was accepted.

Читать полностью »

Конфиденциальность данных, IoT и Mozilla WebThings - 1

От переводчика: краткий пересказ статьи

Централизация устройств умного дома (вроде Apple Home Kit, Xiaomi и прочих) — это плохо, потому что:

  1. Пользователь становится зависим от определённого вендора, ведь устройства не могут общаться между собой за пределами одного производителя;
  2. Вендоры используют даные о пользователях по своему усмотрению, не оставляя пользователю выбора;
  3. Централизация делает пользователя более уязвимым, поскольку при хакерской атаке становятся уязвимыми сразу миллионы пользователей.

Mozilla провели исследование, в котором выяснили:

  1. Некоторые пользователи готовы пожертвовать конфиденциальностью данных ради комфорта;
  2. Большинство привыкло, что о них собирают данные, и удивляются, когда этого не происходит;
  3. Значительной части пользователей хотелось бы отказаться от слежки, но у них нет выбора.

Mozilla развивает свой стандарт умного дома, и призывает всех идти к децентрализации и изоляции. Их шлюз WebThings вообще не собирает никаких данных, и может работать полностью автономно.

Дальше пойдут подробности, ссылки, результаты исследований Mozilla.

Устройства умного дома помогают сделать жизнь чуточку легче, но в то же время для работы они требуют передачи контроля над вашей информацией своим компаниям-производителям. В недавней статье от New York Times Privacy Project о защите конфиденциальности онлайн, автор рекомендовал покупать устройства IoT только в том случае, когда пользователь «готов пожертвовать некоторой приватностью ради удобства».

Читать полностью »

18 мая (суббота) в Москве в 14:00, парк Царицыно, состоится сходка системных операторов точек сети «Medium».

Группа в Telegram

Сходка системных операторов точек сети «Medium» в Москве, 18 мая в 14:00, Царицыно - 1
Читать полностью »

Введение

function getAbsolutelyRandomNumer() {
        return 4; // returns absolutely random number!
}

Как и в случае с концепцией абсолютно стойкого шифра из криптографии, реальные протоколы “Publicly Verifiable Random Beacon” (далее PVRB) лишь пытаются максимально приблизиться к идеальной схеме, т.к. в реальных сетях в чистом виде она неприменима: договариваться надо строго об одном бите, раундов должно быть много, а все сообщения должны быть идеально быстрыми и всегда доставляться. Разумеется, в реальных сетях это не так. Поэтому, при проектировании PVRB под конкретные задачи в современных блокчейнах, помимо невозможности контроля получаемого рандома и криптографической стойкости, возникает еще много чисто архитектурных и технических проблем.

Читать полностью »

Будучи разработчиком PyGOST библиотеки (ГОСТовые криптографические примитивы на чистом Python), я нередко получаю вопросы о том как на коленке реализовать простейший безопасный обмен сообщениями. Многие считают прикладную криптографию достаточно простой штукой, и .encrypt() вызова у блочного шифра будет достаточно для безопасной отсылки по каналу связи. Другие же считают, что прикладная криптография — удел немногих, и приемлемо, что богатые компании типа Telegram с олимпиадниками-математиками не могут реализовать безопасный протокол.

Всё это побудило меня написать данную статью, чтобы показать, что реализация криптографических протоколов и безопасного IM-а не такая сложная задача. Однако, изобретать собственные протоколы аутентификации и согласования ключей не стоит.

Hearing

В статье будет написан peer-to-peer, friend-to-friend, end-to-end зашифрованный instant messenger с SIGMA-I протоколом аутентификации и согласования ключей (на базе которого реализован IPsec IKE), используя исключительно ГОСТовые криптографические алгоритмы PyGOST библиотеки и ASN.1 кодирование сообщений библиотекой PyDERASN (про которую я уже писал раньше). Необходимое условие: он должен быть настолько прост, чтобы его можно было написать с нуля за один вечер (или рабочий день), иначе это уже не простая программа. В ней наверняка есть ошибки, излишние сложности, недочёты, плюс это моя первая программа с использованием asyncio библиотеки.
Читать полностью »

Возможно ли, что период криптовалютной зимы стал золотым веком для технологии блокчейн? Добро пожаловать в 2019, год децентрализованных бирж (DEX)!

Каждый, кто имеет какое-либо отношение к криптовалютам или технологии блокчейн, переживает суровую зиму, которая ледяными горами отражается на ценовых графиках популярных и, не очень, криптовалют (прим.: пока переводили, уже ситуация немного изменилась...). Хайп прошел, пузырь лопнул, а дым рассеялся. Однако не все так плохо. Технологии продолжают развиваться и находят выход в таких решениях, как децентрализованные биржи (DEX — Decentralize Exchange), которые призваны кардинально изменить экосистему криптовалют в 2019 году.

Что такое децентрализованная биржа?

Читать полностью »

Microsoft обеспечит пользователям контроль над их онлайн-личностью - 1

Инженеры Microsoft хотят, чтобы пользователи не полагались на Google, Facebook и прочих интернет-гигантов при авторизации на онлайн-ресурсах. Новое решение, которое уже можно протестировать в пилотном режиме, применяет блокчейн-технологии, чтобы обеспечить всем желающим полный контроль над их идентификационными данными.
Читать полностью »

Появление криптовалют привлекло внимание к более широкому классу систем, в которых экономические интересы участников совпадают таким образом, что они, действуя ради собственной выгоды, обеспечивают устойчивое функционирование системы в целом. При исследовании и проектировании таких самодостаточных систем выделяются так называемые криптоэкономические примитивы — универсальные структуры, создающие возможность координации и распределения капитала для достижения общей цели посредством использования различных экономических и криптографических механизмов.

Одной из главных проблем краудфандинга является то, что потенциальные спонсоры проектов и организаций часто не имеют достаточного стимула для их финансирования. Особенно это касается общественно значимых проектов, пользу от реализации которых получают многие, в то время как бремя финансовой поддержки ложится на сравнительно небольшое число спонсоров. Долгосрочные проекты также нередко страдают от постепенного угасания интереса со стороны спонсоров и вынуждены постоянно вкладывать усилия в маркетинг. Подобные трудности могут привести к закрытию проекта, несмотря на его востребованность, и в совокупности также именуются проблемой безбилетника.

Технология программируемых денег открыла возможность реализации новых механизмов финансирования, которые помогают решить проблему безбилетника. Существование криптоэкономических примитивов облегчает эту задачу, позволяя создавать системы координации участников с заранее известными свойствами. Читать полностью »

И никто не вливает молодого вина в мехи ветхие; а иначе молодое вино прорвет мехи, и само вытечет, и мехи пропадут; но молодое вино должно вливать в мехи новые; тогда сбережется и то и другое. Лк. 5:37,38

В апреле этого года администрация крупнейшего в мире DC хаба объявила о начале поддержки безопасных соединений. Давайте посмотрим, что из этого вышло.Читать полностью »

Scuttlebutt — сленговое слово, распространённое среди американских моряков, обозначающее слухи и сплетни. Node.js разработчик Доминик Тарр, живущий на паруснике у берегов Новой Зеландии, использовал это слово в названии p2p сети, предназначенной для обмена новостями и личными сообщениями. Secure Scuttlebutt (SSB) позволяет делиться информацией, используя лишь эпизодический доступ к сети Интернет или даже при полном его отсутствии.

SSB работает уже несколько лет. Функции социальной сети можно протестировать при помощи двух настольных приложений (Patchwork и Patchfoo) и приложения для Android (Manyverse). Для гиков есть ssb-git. Вам интересно как работает offline-first p2p сеть без рекламы и без регистрации? Прошу под кат.

Secure Scuttlebutt — p2p социальная сеть, работающая и в оффлайне - 1
Читать полностью »