- Регистрация
- 12 Июн 2019
- Сообщения
- 1.854
- Репутация
- 527
- Реакции
- 1.064
Сегодня поговорим про Cryptgeon – продвинутый сервис одноразовых записок, найденный на просторах GitHub.
Сервисы одноразовых записок – надежный способ наладить безопасную передачу сообщений. Работает схема так: пользователь пишет текст или отправляет файл с сообщением, а программа на сервере генерирует ссылку, по которой собеседник и получит сообщение. После просмотра содержимое записки стирается, а ссылка становится неактивной. То есть прочитать сообщение сможет только тот, кто впервые открыл ссылку, а перехват сообщения третьей стороной, если он будет иметь место, обнаружится моментально.
Самый известный и популярный сервис одноразовых записок – www.privnote.com. Здесь есть возможность задать пароль для записки, срок существования, уведомление на e-mail об уничтожении. Однако более тонко настроить политику показа и уничтожения записки и передавать файлы через Privnote нельзя. А еще исходный код программы закрыт и с недавних пор их сайт стал собирать куки.
Существуют клоны Privnote, которые не шифруют содержимое, крадут важную информацию и подменяют адреса криптокошельков. Будьте внимательны, единственный адрес сервиса: www.privnote.com.
Cryptgeon
Cryptgeon – альтернатива Privnote с открытым исходным кодом. Сервис поддерживает стойкое шифрование, передачу файлов и настройку количества просмотров и времени существования заметки. Открытый код позволяет развернуть Cryptgeon на собственном сервере, например, с помощью Docker. Изменяя переменные окружения в docker-compose.yml, можно настроить лимит на размер файлов, максимальные количество просмотров и время жизни записок в минутах, картинки, заголовки и текст на сайте – это полезно, если у вас есть форум или сообщество с уникальной айдентикой. Подробные инструкции по запуску и настройке есть в репозитории. Вот готовый пример сервиса, поднятый самим создателем проекта: www.cryptgeon.org.
Безопасность передаваемых данных обеспечивается так: программа присваивает к каждой записке id (длиной 256 бит), шифрует ее на стороне клиента с помощью AES в режиме GCM, используя ключ (также 256 бит длиной), а затем отправляет зашифрованное содержимое на сервер. Сервер никогда не видит ключ шифрования, а значит и не может расшифровать содержимое записки. Данные сохраняются в оперативной памяти и никогда не попадают на диск.
А еще в Cryptgeon длина ссылки на записку намного больше, чем в Privnote. Сравните:
https://privnote.com/JpsfQeog#pvYXKczN6
https://cryptgeon.org/note/1VB6S0pA...68b81cc4b8a8fb2990e724c9161c97d71f410562b4819
Сразу понятно, кто более устойчив к атаке перебором.
Однако Cryptgeon, в отличие от Privnote, не позволяет задать пароль для записки и не присылает уведомлений об уничтожении заметки на почту, поэтому рекомендуем использовать оба сервиса.
Иллюстрации
Настройка лимитов на показы и время жизни
Ссылка автоматически переводится в QR-код для удобства
Применение сервисов одноразовых записок
Cryptgeon и Privnote полезны, когда нужно передать информацию с уверенностью, что ее прочитает только адресат. Также с помощью Privnote и Cryptgeon можно реализовать принцип разрыва целостности информации. Допустим, вы хотите отправить сами себе связку логин-пароль. Лучше всего это сделать, передав логин по одному каналу связи, а пароль – по другому, например, через Privnote. С помощью разрыва потенциальный злоумышленник в случае успеха получит только логин. Точно так же можно поступать с закрытыми GPG-ключами, криптовалютными парольными фразами и т.д.
А вот пример, как помощью Privnote проверить надежность канала связи:
Автор: Vergil
Chipollino Onion Club
Сервисы одноразовых записок – надежный способ наладить безопасную передачу сообщений. Работает схема так: пользователь пишет текст или отправляет файл с сообщением, а программа на сервере генерирует ссылку, по которой собеседник и получит сообщение. После просмотра содержимое записки стирается, а ссылка становится неактивной. То есть прочитать сообщение сможет только тот, кто впервые открыл ссылку, а перехват сообщения третьей стороной, если он будет иметь место, обнаружится моментально.
Самый известный и популярный сервис одноразовых записок – www.privnote.com. Здесь есть возможность задать пароль для записки, срок существования, уведомление на e-mail об уничтожении. Однако более тонко настроить политику показа и уничтожения записки и передавать файлы через Privnote нельзя. А еще исходный код программы закрыт и с недавних пор их сайт стал собирать куки.
Существуют клоны Privnote, которые не шифруют содержимое, крадут важную информацию и подменяют адреса криптокошельков. Будьте внимательны, единственный адрес сервиса: www.privnote.com.
Cryptgeon
Cryptgeon – альтернатива Privnote с открытым исходным кодом. Сервис поддерживает стойкое шифрование, передачу файлов и настройку количества просмотров и времени существования заметки. Открытый код позволяет развернуть Cryptgeon на собственном сервере, например, с помощью Docker. Изменяя переменные окружения в docker-compose.yml, можно настроить лимит на размер файлов, максимальные количество просмотров и время жизни записок в минутах, картинки, заголовки и текст на сайте – это полезно, если у вас есть форум или сообщество с уникальной айдентикой. Подробные инструкции по запуску и настройке есть в репозитории. Вот готовый пример сервиса, поднятый самим создателем проекта: www.cryptgeon.org.
Безопасность передаваемых данных обеспечивается так: программа присваивает к каждой записке id (длиной 256 бит), шифрует ее на стороне клиента с помощью AES в режиме GCM, используя ключ (также 256 бит длиной), а затем отправляет зашифрованное содержимое на сервер. Сервер никогда не видит ключ шифрования, а значит и не может расшифровать содержимое записки. Данные сохраняются в оперативной памяти и никогда не попадают на диск.
А еще в Cryptgeon длина ссылки на записку намного больше, чем в Privnote. Сравните:
https://privnote.com/JpsfQeog#pvYXKczN6
https://cryptgeon.org/note/1VB6S0pA...68b81cc4b8a8fb2990e724c9161c97d71f410562b4819
Сразу понятно, кто более устойчив к атаке перебором.
Однако Cryptgeon, в отличие от Privnote, не позволяет задать пароль для записки и не присылает уведомлений об уничтожении заметки на почту, поэтому рекомендуем использовать оба сервиса.
Иллюстрации
Настройка лимитов на показы и время жизни
Ссылка автоматически переводится в QR-код для удобства
Применение сервисов одноразовых записок
Cryptgeon и Privnote полезны, когда нужно передать информацию с уверенностью, что ее прочитает только адресат. Также с помощью Privnote и Cryptgeon можно реализовать принцип разрыва целостности информации. Допустим, вы хотите отправить сами себе связку логин-пароль. Лучше всего это сделать, передав логин по одному каналу связи, а пароль – по другому, например, через Privnote. С помощью разрыва потенциальный злоумышленник в случае успеха получит только логин. Точно так же можно поступать с закрытыми GPG-ключами, криптовалютными парольными фразами и т.д.
А вот пример, как помощью Privnote проверить надежность канала связи:
- Создайте записку в Privnote, предварительно нажав «Не спрашивать подтверждение перед тем, как показать и уничтожить записку». Далее укажите e-mail, на который будет прислано уведомление, что записку прочитали и уничтожили. После этого сократите ссылку в любом сокращателе ссылок (так не будет понятно, что она ведет на Privnote).
- Отправьте ссылку по тому каналу связи, который хотите проверить. Желательно оформить сообщение так, чтобы вызвать интерес у третьей стороны. Можно указать, что по ссылке лежит пакет с важными документами, криптовалютными ключами и т.д. Конечно, ваш получатель должен быть проинструктирован по другому каналу связи, что сообщение открывать не надо.
- Если спустя время перейдете по ссылке и увидите, что записка уничтожена, появится повод подозревать ненадежность канала связи;
- Если записка будет цела, очень вероятно, что канал связи безопасен;
- Третий вариант с осторожным злоумышленником, который не переходит по ссылке, ибо догадывается, что это ловушка. Но в таком случае он просто не может знать, что передается в очередном сообщении в Privnote, значит, можно спокойно передавать важные данные именно таким способом.
Автор: Vergil
Chipollino Onion Club