Sa mga hangganan ng proyekto (Tinfoil Chat) ay nagtangkang lumikha ng isang prototype ng isang paranoid-protected messaging system na magpapanatili ng privacy ng mga sulat kahit na ang mga endpoint ay nakompromiso. Upang gawing simple ang pag-audit, ang code ng proyekto ay nakasulat sa Python at lisensyado sa ilalim ng GPLv3.
Pinoprotektahan ng mga karaniwang sistema ng pagmemensahe na gumagamit ng end-to-end encryption ang mga komunikasyon mula sa interception sa mga intermediate server at mula sa pagsusuri ng trapiko sa transit, ngunit hindi nito pinoprotektahan laban sa mga problema sa client device. Upang makompromiso ang mga end-to-end encrypted system, sapat na ang pagkompromiso sa operating system, firmware, o messenger app sa end device, halimbawa, sa pamamagitan ng pagsasamantala sa mga dating hindi kilalang kahinaan, sa pamamagitan ng unang pagpapasok ng mga bug sa software o hardware sa device, o sa pamamagitan ng paghahatid ng pekeng update gamit ang backdoor (halimbawa, kapag pinipilit ng mga ahensya ng paniktik o mga kriminal na grupo ang developer). Kahit na ang mga encryption key ay nakaimbak sa isang hiwalay na token, kung kontrolado ang system ng user, laging posible na masubaybayan ang mga proseso, ma-intercept ang data ng keyboard, at masubaybayan ang output ng screen.
Nag-aalok ang TFC ng solusyon sa hardware at software na nangangailangan ng tatlong magkakahiwalay na computer at isang nakalaang hardware splitter sa client side. Ang lahat ng trapiko habang nakikipag-ugnayan sa pagmemensahe ay ipinapadala sa pamamagitan ng anonymizing Tor network, at ang messaging software ay ipinapatupad bilang mga nakatagong serbisyo ng Tor (ang mga user ay nakikilala sa pamamagitan ng mga nakatagong address at key ng serbisyo habang nagmemensahe).
Ang unang computer ay nagsisilbing gateway papunta sa network at nagpapatakbo ng Tor hidden service. Ang gateway ay humahawak lamang ng naka-encrypt na data, habang ang dalawa pang computer ay ginagamit para sa encryption at decryption. Ang pangalawang computer ay maaari lamang mag-decrypt at magpakita ng mga natanggap na mensahe, at ang pangatlo ay maaari lamang mag-encrypt at magpadala ng mga bagong mensahe. Alinsunod dito, ang pangalawang computer ay mayroon lamang mga decryption key, at ang pangatlo ay mayroon lamang mga encryption key.
Ang pangalawa at pangatlong computer ay walang direktang koneksyon sa network at nakahiwalay mula sa gateway computer sa pamamagitan ng isang espesyal na USB splitter na gumagamit ng prinsipyo ng ""at pisikal na nagpapadala ng data sa isang direksyon lamang. Pinapayagan lamang ng splitter ang pagpapadala ng data sa pangalawang computer at tumatanggap lamang ng data mula sa ikatlong computer. Ang direksyon ng data sa splitter ay limitado ng (Hindi sapat ang simpleng pagsira sa mga linya ng Tx at Rx sa kable, dahil ang pagsira ay hindi pumipigil sa pagpapadala ng data sa kabilang direksyon at hindi rin ginagarantiyahan na ang linya ng Tx ay hindi gagamitin para sa pagbabasa, at ang Rx para sa pagpapadala). Ang splitter ay maaaring buuin mula sa mga pansamantalang bahagi, () at makukuha sa ilalim ng lisensyang GNU FDL 1.3.
Sa ganitong pamamaraan, nakompromiso ang gateway Magbibigay-daan ito sa pag-access sa mga encryption key at maiiwasan ang karagdagang pag-atake sa mga natitirang device. Kung ang computer na naglalaman ng mga decryption key ay makompromiso, ang impormasyon mula rito ay hindi maipapadala sa labas ng mundo, dahil ang daloy ng data ay limitado lamang sa pagtanggap ng data, at ang reverse transmission ay hinaharangan ng isang data diode.
Ang encryption ay batay sa 256-bit na mga key sa XChaCha20-Poly1305, at isang mabagal na hash function ang ginagamit upang protektahan ang mga key gamit ang isang password. Para sa pagpapalitan ng susi, ginagamit ang pagpapalitan ng susi. (Protokol na Diffie-Hellman batay sa Curve448) o mga PSK key (Ang bawat mensahe ay ipinapadala sa perfect forward secrecy (PFS) mode, ) batay sa mga Blake2b hash, kung saan ang pagkompromiso sa isa sa mga pangmatagalang susi ay pumipigil sa decryption ng isang dating naharang na sesyon. Ang interface ng application ay napakasimple at may kasamang window na nahahati sa tatlong bahagi: pagpapadala, pagtanggap, at isang command line na may log ng mga interaksyon sa gateway. Ang kontrol ay isinasagawa sa pamamagitan ng isang espesyal na .
Pinagmulan: opennet.ru
