Ծրագրի շրջանակներում (Tinfoil Chat) փորձ է արվել ստեղծել պարանոյայից պաշտպանված հաղորդագրությունների համակարգի նախատիպ, որը կպահպանի նամակագրության գաղտնիությունը, նույնիսկ եթե վերջնական սարքերը վտանգի ենթարկվեն: Աուդիտը պարզեցնելու համար նախագծի կոդը գրված է Python-ով և լիցենզավորված GPLv3-ի համաձայն:
Ներկայումս տարածված հաղորդագրությունների համակարգերը, որոնք օգտագործում են ծայրից ծայր կոդավորումը, թույլ են տալիս պաշտպանել նամակագրությունը միջանկյալ սերվերների գաղտնալսումից և տարանցիկ տրաֆիկի վերլուծությունից, բայց չեն պաշտպանում հաճախորդի սարքի կողային խնդիրներից: Վերջնական գաղտնագրման վրա հիմնված համակարգերը փոխզիջման համար բավական է վտանգի ենթարկել օպերացիոն համակարգը, որոնվածը կամ մեսենջեր հավելվածը վերջնական սարքի վրա, օրինակ՝ նախկինում անհայտ խոցելիությունների շահագործման միջոցով, ծրագրային կամ ապարատային էջանիշերի սկզբնական ներդրման միջոցով: սարքի մեջ կամ հետին դռնով մտացածին թարմացումների տրամադրման միջոցով (օրինակ՝ հետախուզական ծառայությունների կամ հանցավոր խմբերի կողմից մշակողի վրա ճնշում գործադրելիս): Նույնիսկ եթե գաղտնագրման ստեղները գտնվում են առանձին նշանի վրա, եթե դուք վերահսկում եք օգտատիրոջ համակարգը, միշտ հնարավոր է հետևել գործընթացներին, գաղտնալսել տվյալները ստեղնաշարից և վերահսկել էկրանի ելքը:
TFC-ն առաջարկում է ծրագրային և ապարատային համալիր, որը պահանջում է երեք առանձին համակարգիչների և հաճախորդի կողմից հատուկ ապարատային բաժանարարի օգտագործումը: Հաղորդագրությունների մասնակիցների փոխազդեցության ընթացքում ամբողջ տրաֆիկը փոխանցվում է անանուն Tor ցանցի միջոցով, իսկ հաղորդագրությունների ծրագրերը կատարվում են թաքնված Tor ծառայությունների տեսքով (հաղորդագրությունները փոխանակելիս օգտվողները նույնացվում են թաքնված ծառայության հասցեներով և բանալիներով):
Առաջին համակարգիչը գործում է որպես դարպաս՝ ցանցին միանալու և Tor թաքնված ծառայությունը գործարկելու համար։ Դարպասը շահարկում է միայն արդեն կոդավորված տվյալները, իսկ մյուս երկու համակարգիչները օգտագործվում են կոդավորման և վերծանման համար: Երկրորդ համակարգիչը կարող է օգտագործվել միայն ստացված հաղորդագրությունները վերծանելու և ցուցադրելու համար, իսկ երրորդը՝ միայն նոր հաղորդագրություններ գաղտնագրելու և ուղարկելու համար: Համապատասխանաբար, երկրորդ համակարգիչն ունի միայն ապակոդավորման բանալիներ, իսկ երրորդը՝ միայն կոդավորման բանալիներ։
Երկրորդ և երրորդ համակարգիչները ուղիղ միացում չունեն ցանցին և դարպասի համակարգչից առանձնացված են հատուկ USB բաժանարարով, որն օգտագործում է «» և ֆիզիկապես փոխանցում է տվյալները միայն մեկ ուղղությամբ: Splitter-ը թույլ է տալիս միայն տվյալներ ուղարկել դեպի երկրորդ համակարգիչ և ստանալ տվյալներ միայն երրորդ համակարգչից: Տվյալների ուղղությունը բաժանարարում սահմանափակվում է օգտագործելով (մալուխի Tx և Rx գծերի պարզ ընդմիջումը բավարար չէ, քանի որ ընդմիջումը չի բացառում տվյալների փոխանցումը հակառակ ուղղությամբ և չի երաշխավորում, որ Tx գիծը չի օգտագործվի ընթերցման համար, իսկ Rx գիծը փոխանցելու համար: ) Սպլիտերը կարող է հավաքվել ջարդոնի մասերից, () և հասանելի են GNU FDL 1.3 լիցենզիայի ներքո:
Նման սխեմայով դարպասը վտանգված է մուտք գործեք գաղտնագրման բանալիներ և թույլ չի տա ձեզ շարունակել հարձակումը մնացած սարքերի վրա: Եթե համակարգիչը, որի վրա գտնվում են ապակոդավորման բանալիները, վտանգված է, դրանից տեղեկատվությունը չի կարող փոխանցվել արտաքին աշխարհ, քանի որ տվյալների հոսքը սահմանափակվում է միայն տեղեկատվության ստացմամբ, իսկ հակադարձ փոխանցումը արգելափակվում է տվյալների դիոդի կողմից:
Կոդավորումը հիմնված է XChaCha256-Poly20-ի 1305-բիթանոց ստեղների վրա, դանդաղ հեշ ֆունկցիան օգտագործվում է բանալիները գաղտնաբառով պաշտպանելու համար: . Բանալին փոխանակելու համար օգտագործվում է (Diffie-Hellman արձանագրություն՝ հիմնված Curve448-ի վրա) կամ PSK ստեղներով () Յուրաքանչյուր հաղորդագրություն փոխանցվում է կատարյալ առաջ գաղտնիությամբ (PFS, ) հիմնված Blake2b հեշերի վրա, որոնցում երկարաժամկետ ստեղներից մեկի փոխզիջումը թույլ չի տալիս վերծանել նախկինում գաղտնալսված նիստը: Հավելվածի ինտերֆեյսը չափազանց պարզ է և ներառում է երեք ոլորտների բաժանված պատուհան՝ ուղարկում, ստացում և հրամանի տող՝ դարպասի հետ փոխազդեցության մատյանով: Կառավարումն իրականացվում է հատուկ .
Source: opennet.ru