Криптокот
![]() | |
![]() Cryptocat 3.1.24 работает на Windows 10. | |
Оригинальный автор(ы) | Надим Кобейси |
---|---|
Разработчик(и) | Надим Кобейси и участники [1] |
Первоначальный выпуск | 19 мая 2011 г. |
Финальный выпуск | 3.2.08 [2] ![]() |
Репозиторий | |
Написано в | JavaScript |
Операционная система | Кросс-платформенный |
Доступно в | 3 языка |
Список языков | |
Тип | Безопасная связь |
Лицензия | Стандартная общественная лицензия GNU |
Веб-сайт | криптография ![]() |
Cryptocat — это с открытым исходным кодом, настольное приложение выпуск которого прекращен, предназначенное для обеспечения зашифрованного онлайн-чата, доступного для Windows , OS X и Linux . [3] Он использует сквозное шифрование для защиты всех коммуникаций с другими пользователями Cryptocat. Пользователям предоставляется возможность самостоятельно проверять списки устройств своих друзей, и они получают уведомление, когда список устройств друга изменяется, а все обновления проверяются через встроенный загрузчик обновлений. [4]
Cryptocat был создан Надимом Кобейси и далее развивался вместе с сообществом участников открытого исходного кода и публикуется на условиях лицензии GPLv3 , хотя с тех пор его поддержка прекращена.
История
[ редактировать ]Cryptocat был впервые запущен 19 мая 2011 года как веб-приложение .
В июне 2012 года Кобейси заявил, что он был задержан на границе США сотрудниками DHS и допрошен по поводу сопротивления Cryptocat цензуре. Впоследствии он написал об инциденте в Твиттере, что привело к освещению в СМИ и резкому росту популярности программного обеспечения. [5]
В июне 2013 года исследователь безопасности Стив Томас указал на ошибку безопасности, которую можно было использовать для расшифровки любого сообщения группового чата, полученного с помощью Cryptocat в период с сентября 2012 года по 19 апреля 2013 года. [6] [7] Личные сообщения не пострадали, а ошибка была устранена месяцем ранее. В ответ Cryptocat выпустил рекомендации по безопасности, попросил всех пользователей убедиться, что они обновились, и проинформировал пользователей о том, что прошлые групповые разговоры могли быть скомпрометированы. [7]
В феврале 2014 года аудит, проведенный iSec Partners, раскритиковал модель аутентификации Cryptocat как недостаточную. [8] В ответ Cryptocat внесла улучшения в систему аутентификации пользователей, упростив пользователям аутентификацию и обнаружение атак «злоумышленник посередине» . [9]
В феврале 2016 года, сославшись на недовольство текущим состоянием проекта после 19 месяцев простоя, Кобейси объявил, что временно отключит Cryptocat и прекратит разработку своего мобильного приложения в ожидании полной переписывания и перезапуска программного обеспечения. [10] В марте 2016 года Кобейсси объявил о перевыпуске Cryptocat, полностью переписанного как настольное программное обеспечение вместо исходного программного обеспечения для веб-приложений, в виде общедоступной бета-версии и возобновлении работы службы. [11] Новый подход, ориентированный на рабочий стол, позволил Cryptocat получить выгоду от более тесной интеграции с рабочим столом в стиле, аналогичном Pidgin .
В феврале 2019 года было объявлено о прекращении поддержки Cryptocat. [12] По состоянию на декабрь 2019 года в продаже домен cryptocat и ссылка на сайт для мессенджера Wire . [13]
Функции
[ редактировать ]Cryptocat позволяет своим пользователям настраивать сквозное зашифрованное общение в чате. Пользователи могут обмениваться личными сообщениями, зашифрованными файлами, фотографиями, а также создавать и обмениваться аудио/видео записями. Все устройства, связанные с учетными записями Cryptocat, будут получать защищенные сообщения для пересылки, даже когда они находятся в автономном режиме.
Все сообщения, файлы и аудио/видео записи, отправляемые через Cryptocat, полностью зашифрованы. Пользователи Cryptocat привязывают свои устройства к своей учетной записи Cryptocat при подключении и могут идентифицировать устройства друг друга через диспетчер устройств клиента, чтобы предотвратить атаки «человек посередине» . Cryptocat также использует механизм доверия при первом использовании , чтобы помочь обнаружить изменения ключа идентификации устройства.
Cryptocat также включает в себя встроенный механизм автоматического обновления, который автоматически выполняет проверку подписи загруженных обновлений для проверки их подлинности, а также использует привязку сертификата TLS для предотвращения сетевых атак с использованием олицетворения.
Первоначально в 2013 году Cryptocat предлагал возможность подключения к Facebook Messenger для инициирования зашифрованного общения в чате с другими пользователями Cryptocat. [14] По словам разработчиков, эта функция должна была помочь предложить альтернативу обычной модели чата Cryptocat, которая не предлагала долгосрочные списки контактов. [15] Эта функция была отключена в ноябре 2015 года.
Прием и использование
[ редактировать ]использовал Cryptocat, В июне 2013 года журналист Гленн Гринвальд когда находился в Гонконге для АНБ встречи с осведомителем Эдвардом Сноуденом , после того как другое программное обеспечение для шифрования не сработало. первой [16]
В ноябре 2013 года Cryptocat был запрещен в Иране , вскоре после избрания нового президента Ирана Хасана Рухани , который пообещал более открытые законы об Интернете. [17]
Cryptocat был включен в «Оценочную карту безопасного обмена сообщениями» Electronic Frontier Foundation с 4 ноября 2014 года по 13 марта 2016 года. За это время Cryptocat имел оценку 7 из 7 баллов в системе показателей. Он получил баллы за шифрование сообщений при передаче, шифрование сообщений с помощью ключей, к которым у провайдера не было доступа ( сквозное шифрование ), предоставление пользователям возможности независимо проверять личность своих корреспондентов, обеспечение безопасности прошлых сообщений, если ключи были украдены ( прямая секретность ), код открыт для независимой проверки ( открытый исходный код ), хорошо документированы конструкции безопасности и проведен независимый аудит безопасности. [18]
Архитектура
[ редактировать ]Шифрование
[ редактировать ]Cryptocat использует алгоритм двойного храпового механизма для обеспечения прямой и будущей секретности сообщений после установления сеанса с использованием четырехстороннего рукопожатия Диффи-Хеллмана на эллиптической кривой . При рукопожатии используются долгосрочные идентификационные ключи, промежуточный подписанный предварительный ключ и одноразовый предварительный ключ. [19] Этот подход аналогичен протоколу шифрования, принятому для зашифрованных сообщений в мобильном приложении Signal . Цель Cryptocat — добиться конфиденциальности, целостности, подлинности источника, прямой и будущей секретности, а также неотличимости своих сообщений даже в сети, контролируемой активным злоумышленником. [4] Функции прямой секретности протокола, который использует Cryptocat, аналогичны тем, которые впервые были представлены в Off-the-Record Messaging .
Cryptocat использует расширенный стандарт шифрования в режиме Галуа/Счетчика для шифрования с аутентификацией, Curve25519 для эллиптической кривой общего секретного соглашения Диффи-Хеллмана, HMAC-SHA256 для получения ключа и Ed25519 для подписи. [20] Чтобы ограничить эффект компрометации долгосрочного идентификационного ключа, долгосрочные ключи используются исключительно один раз для первоначального обмена ключами с проверкой подлинности и один раз для подписания вновь созданного промежуточного подписанного предварительного ключа.
На транспортном уровне Cryptocat использует стандарт многоконечного шифрования сообщений и объектов OMEMO , который также обеспечивает поддержку нескольких устройств Cryptocat и позволяет осуществлять обмен сообщениями в автономном режиме. [4]
Сеть
[ редактировать ]Сеть Cryptocat опирается на конфигурацию XMPP , обслуживаемую через WebSockets . Согласно заявлению о миссии проекта, сеть Cryptocat передает только зашифрованные сообщения и не хранит никаких данных. [1] В дополнение к протоколу сквозного шифрования клиента Cryptocat связь клиент-сервер защищена TLS .
Распределение
[ редактировать ]С марта 2011 по март 2016 года Cryptocat официально распространялся через Google Chrome Web Store , Apple App Store и другие официальные каналы, контролируемые целевыми платформами. После перезаписи Cryptocat в настольное программное обеспечение в марте 2016 года оно стало распространяться исключительно через собственные серверы Cryptocat, которые также обеспечивают доставку подписанных обновлений. [21]
См. также
[ редактировать ]- Сравнение клиентов обмена мгновенными сообщениями
- Свобода информации
- Проект GNU
- Хактивизм
- Конфиденциальность в Интернете
Ссылки
[ редактировать ]- ^ Jump up to: а б Криптокат. «Заявление о миссии Cryptocat» . Архивировано из оригинала 7 апреля 2016 года . Проверено 22 апреля 2016 г.
- ^ «Примечания к выпуску Cryptocat 3.2.08» .
- ^ «Криптокот» . крипто.кот . Архивировано из оригинала 18 июля 2016 года . Проверено 29 марта 2016 г.
- ^ Jump up to: а б с «Криптокэт – Безопасность» . крипто.кот . Архивировано из оригинала 7 апреля 2016 года . Проверено 29 марта 2016 г.
- ^ «Задержание разработчика повышает интерес к монреальской Cryptocat» . Itbusiness.ca. 8 июня 2012 года. Архивировано из оригинала 29 января 2013 года . Проверено 28 июля 2012 г.
- ^ Стив Томас. «ДекриптоКот» . Архивировано из оригинала 26 июля 2015 года . Проверено 10 июля 2013 г.
- ^ Jump up to: а б Блог разработчиков Cryptocat. «Новая критическая уязвимость в Cryptocat: подробности» . Архивировано из оригинала 5 июля 2013 года . Проверено 7 июля 2013 г.
- ^ https://isecpartners.github.io/publications/iSEC_Cryptocat_iOS.pdf. Архивировано 12 ноября 2020 г. на Wayback Machine. [ пустой URL PDF ]
- ^ Криптокат. «Недавние аудиты и предстоящие улучшения» . Архивировано из оригинала 15 октября 2014 года . Проверено 22 июня 2014 г.
- ^ Палетта, Дамиан (22 февраля 2016 г.). «Как США борются с шифрованием, а также помогают его развивать» . Уолл Стрит Джорнал . News Corp. Архивировано из оригинала 19 июня 2018 года . Проверено 24 февраля 2016 г.
- ^ «Объявление о выпуске Cryptocat» . крипто.кот . Архивировано из оригинала 22 декабря 2016 года . Проверено 22 апреля 2016 г.
- ^ Cryptocat (5 февраля 2019 г.). «С завтрашнего дня мы прекращаем работу службы Cryptocat. Программное обеспечение больше не поддерживается» . @cryptocatapp . Архивировано из оригинала 12 декабря 2021 года . Проверено 5 февраля 2019 г.
- ^ "crypto.cat" . 7 ноября 2019 года. Архивировано из оригинала 7 ноября 2019 года . Проверено 5 декабря 2019 г.
- ^ Нортон, Куинн (12 мая 2014 г.). «Cryptocat создает зашифрованный одноразовый чат на любом компьютере с веб-браузером» . Ежедневный зверь . Архивировано из оригинала 19 июня 2014 года . Проверено 22 июня 2014 г.
- ^ Криптокат. «Cryptocat, теперь с зашифрованным чатом Facebook» . Архивировано из оригинала 11 ноября 2014 года . Проверено 22 июня 2014 г.
- ^ Гринвальд, Гленн (13 мая 2014 г.). Негде спрятаться: Эдвард Сноуден, АНБ и Служба наблюдения США . Столичные книги. п. 59 . ISBN 978-1627790734 . Проверено 22 июня 2014 г.
- ^ Франчески-Биккьерай, Лоренцо (21 ноября 2013 г.). «Иран блокирует службу зашифрованного чата, несмотря на заявления о свободе Интернета» . Машаемый . Архивировано из оригинала 22 июня 2014 года . Проверено 22 июня 2014 г.
- ^ «Оценочная карта безопасного обмена сообщениями. Какие приложения и инструменты действительно обеспечивают безопасность ваших сообщений?» . Фонд электронных границ. 4 ноября 2014 г. Архивировано из оригинала 15 ноября 2016 г. . Проверено 21 апреля 2016 г.
- ^ «Реализация Cryptocat Axolotl» . github.com . Проверено 22 апреля 2016 г. [ постоянная мертвая ссылка ]
- ^ «Криптографические примитивы Cryptocat» . github.com . Проверено 22 апреля 2016 г. [ постоянная мертвая ссылка ]
- ^ Криптокат. «Сервер загрузки Cryptocat» . Архивировано из оригинала 18 января 2019 года . Проверено 22 апреля 2016 г.
Дальнейшее чтение
[ редактировать ]- Гринберг, Энди (27 мая 2011 г.). «Crypto.cat стремится предложить сверхпростой обмен зашифрованными сообщениями» . Форбс .
- Кертис, Кристофер (17 февраля 2012 г.). «Бесплатное программное обеспечение для шифрования Cryptocat защищает право на неприкосновенность частной жизни: изобретатель» . Монреальский вестник . Архивировано из оригинала 19 февраля 2012 года.
- Дуайер, Джим (17 апреля 2012 г.). «Используя свои навыки работы с программным обеспечением со свободой, а не с большой выгодой» . Нью-Йорк Таймс .
- Ноулз, Джамилла (3 марта 2012 г.). «План сети Raspberry Pi для обеспечения свободы слова в Интернете» . Новости Би-би-си .
- Кирк, Джереми (14 марта 2012 г.). «Cryptocat стремится создать простой в использовании зашифрованный чат» . ПКМир . Архивировано из оригинала 17 декабря 2012 года.
Внешние ссылки
[ редактировать ]- Криптографическое программное обеспечение
- Программное обеспечение для обеспечения конфиденциальности в Интернете
- Бесплатное программное обеспечение безопасности
- Бесплатные клиенты для обмена мгновенными сообщениями
- Программное обеспечение, использующее лицензию GPL
- Бесплатное программное обеспечение, написанное на JavaScript.