Dalam batas-batas proyek (Tinfoil Chat) upaya telah dilakukan untuk membuat prototipe sistem pesan yang dilindungi paranoid yang akan menjaga kerahasiaan korespondensi bahkan jika perangkat akhir disusupi. Untuk menyederhanakan audit, kode proyek ditulis dengan Python dan berlisensi di bawah GPLv3.
Sistem perpesanan yang tersebar luas saat ini yang menggunakan enkripsi ujung ke ujung memungkinkan Anda melindungi korespondensi dari intersepsi di server perantara dan dari analisis lalu lintas transit, tetapi tidak melindungi dari masalah di sisi perangkat klien. Untuk mengkompromikan sistem berdasarkan enkripsi ujung-ke-ujung, cukup dengan mengkompromikan sistem operasi, firmware atau aplikasi messenger pada perangkat akhir, misalnya, melalui eksploitasi kerentanan yang sebelumnya tidak diketahui, melalui pengenalan awal penanda perangkat lunak atau perangkat keras. ke dalam perangkat, atau melalui pengiriman pembaruan fiktif dengan pintu belakang (misalnya, ketika memberikan tekanan pada pengembang oleh badan intelijen atau kelompok kriminal). Meskipun kunci enkripsi berada pada token terpisah, jika Anda memiliki kendali atas sistem pengguna, selalu dimungkinkan untuk melacak proses, mencegat data dari keyboard, dan memantau keluaran layar.
TFC menawarkan kompleks perangkat lunak dan perangkat keras yang memerlukan penggunaan tiga komputer terpisah dan pembagi perangkat keras khusus di sisi klien. Semua lalu lintas selama interaksi peserta perpesanan ditransmisikan melalui jaringan Tor anonim, dan program perpesanan dibuat dalam bentuk layanan Tor tersembunyi (pengguna diidentifikasi berdasarkan alamat dan kunci layanan tersembunyi saat bertukar pesan).
Komputer pertama bertindak sebagai gerbang untuk terhubung ke jaringan dan menjalankan layanan tersembunyi Tor. Gateway hanya memanipulasi data yang sudah dienkripsi, dan dua komputer lainnya digunakan untuk enkripsi dan dekripsi. Komputer kedua hanya dapat digunakan untuk mendekripsi dan menampilkan pesan yang diterima, dan komputer ketiga hanya dapat digunakan untuk mengenkripsi dan mengirim pesan baru. Oleh karena itu, komputer kedua hanya memiliki kunci dekripsi, dan komputer ketiga hanya memiliki kunci enkripsi.
Komputer kedua dan ketiga tidak memiliki koneksi langsung ke jaringan dan dipisahkan dari komputer gateway oleh splitter USB khusus yang menggunakan ββ dan secara fisik mengirimkan data hanya dalam satu arah. Splitter hanya memungkinkan pengiriman data ke komputer kedua dan hanya menerima data dari komputer ketiga. Arah data dalam splitter dibatasi penggunaannya (putusnya jalur Tx dan Rx pada kabel saja tidak cukup, karena putusnya tidak mengecualikan transmisi data ke arah yang berlawanan dan tidak menjamin bahwa jalur Tx tidak akan digunakan untuk membaca, dan jalur Rx untuk transmisi ). Pembagi dapat dirakit dari bagian bekas, () dan tersedia di bawah lisensi GNU FDL 1.3.
Dengan skema seperti itu, gateway dikompromikan mendapatkan akses ke kunci enkripsi dan tidak akan mengizinkan Anda melanjutkan serangan pada perangkat yang tersisa. Jika komputer tempat kunci dekripsi berada disusupi, informasi darinya tidak dapat dikirim ke dunia luar, karena aliran data hanya dibatasi oleh penerimaan informasi, dan transmisi sebaliknya diblokir oleh dioda data.
Enkripsi didasarkan pada kunci 256-bit pada XChaCha20-Poly1305, fungsi hash lambat digunakan untuk melindungi kunci dengan kata sandi . Untuk pertukaran kunci digunakan (Protokol Diffie-Hellman berdasarkan Curve448) atau kunci PSK (). Setiap pesan dikirimkan dalam kerahasiaan sempurna (PFS, ) berdasarkan hash Blake2b, di mana kompromi salah satu kunci jangka panjang tidak memungkinkan dekripsi sesi yang disadap sebelumnya. Antarmuka aplikasi sangat sederhana dan mencakup jendela yang dibagi menjadi tiga area - pengiriman, penerimaan, dan baris perintah dengan log interaksi dengan gateway. Pengelolaannya dilakukan melalui jalur khusus .
Sumber: opennet.ru