Proje çerçevesinde (Tinfoil Chat), uç cihazların güvenliği ihlal edilse bile yazışmaların gizliliğini koruyacak, paranoyak korumalı bir mesajlaşma sisteminin prototipini oluşturma girişiminde bulunuldu. Denetimi basitleştirmek için proje kodu Python'da yazılmıştır ve GPLv3 altında lisanslanmıştır.
Şu anda uçtan uca şifreleme kullanan yaygın mesajlaşma sistemleri, yazışmaları ara sunuculardaki müdahalelerden ve transit trafiğinin analizinden korumanıza olanak tanır, ancak istemci cihazı tarafındaki sorunlara karşı koruma sağlamaz. Uçtan uca şifrelemeye dayalı sistemlerin tehlikeye atılması için, örneğin önceden bilinmeyen güvenlik açıklarından yararlanılarak, yazılım veya donanım yer imlerinin ilk kez tanıtılması yoluyla son cihazdaki işletim sisteminin, ürün yazılımının veya mesajlaşma uygulamasının tehlikeye atılması yeterlidir. cihaza veya bir arka kapı ile hayali bir güncellemenin teslim edilmesi yoluyla (örneğin, geliştiriciye istihbarat servisleri veya suç grupları tarafından baskı uygulandığında). Şifreleme anahtarları ayrı bir belirteçte olsa bile, kullanıcının sistemi üzerinde kontrole sahipseniz süreçleri izlemek, klavyeden verilere müdahale etmek ve ekran çıktısını izlemek her zaman mümkündür.
TFC, istemci tarafında üç ayrı bilgisayar ve özel bir donanım ayırıcının kullanımını gerektiren bir yazılım ve donanım kompleksi sunmaktadır. Mesajlaşma katılımcılarının etkileşimi sırasındaki tüm trafik, anonim Tor ağı üzerinden iletilir ve mesajlaşma programları, gizli Tor hizmetleri biçiminde yapılır (kullanıcılar, mesaj alışverişi yaparken gizli hizmet adresleri ve anahtarlarıyla tanımlanır).
İlk bilgisayar, ağa bağlanmak ve Tor gizli hizmetini çalıştırmak için bir ağ geçidi görevi görür. Ağ geçidi yalnızca önceden şifrelenmiş verileri yönetir ve diğer iki bilgisayar şifreleme ve şifre çözme için kullanılır. İkinci bilgisayar yalnızca alınan mesajların şifresini çözmek ve görüntülemek için, üçüncü bilgisayar ise yalnızca yeni mesajları şifrelemek ve göndermek için kullanılabilir. Buna göre, ikinci bilgisayarda yalnızca şifre çözme anahtarları, üçüncü bilgisayarda ise yalnızca şifreleme anahtarları bulunur.
İkinci ve üçüncü bilgisayarların ağ ile doğrudan bağlantısı yoktur ve ağ geçidi bilgisayarından “” kullanan özel bir USB ayırıcı ile ayrılırlar.”ve fiziksel olarak verileri yalnızca tek yönde iletir. Ayırıcı yalnızca ikinci bilgisayara veri gönderilmesine ve yalnızca üçüncü bilgisayardan veri alınmasına olanak sağlar. Ayırıcıdaki verilerin yönü aşağıdakiler kullanılarak sınırlıdır: (kablodaki Tx ve Rx hatlarının basit bir şekilde kesilmesi yeterli değildir, çünkü bir kesinti ters yönde veri iletimini hariç tutmaz ve Tx hattının okuma için ve Rx hattının iletim için kullanılmayacağını garanti etmez) ). Ayırıcı hurda parçalardan monte edilebilir, () ve GNU FDL 1.3 lisansı altında mevcuttur.
Böyle bir planla ağ geçidinin güvenliği ihlal edilir şifreleme anahtarlarına erişim sağlar ve kalan cihazlara saldırmaya devam etmenize izin vermez. Şifre çözme anahtarlarının bulunduğu bilgisayar tehlikeye girerse, veri akışı yalnızca bilgi alınarak sınırlı olduğundan ve ters iletim veri diyotu tarafından engellendiğinden, ondan gelen bilgiler dış dünyaya iletilemez.
Şifreleme, XChaCha256-Poly20'teki 1305 bit anahtarları temel alır; anahtarları bir parolayla korumak için yavaş bir karma işlevi kullanılır . Anahtar değişimi için kullanılır (Curve448'e dayalı Diffie-Hellman protokolü) veya PSK anahtarları (). Her mesaj mükemmel iletme gizliliğiyle iletilir (PFS, ) Blake2b karmalarına dayalıdır; burada uzun vadeli anahtarlardan birinin güvenliğinin aşılması, daha önce ele geçirilen bir oturumun şifresinin çözülmesine izin vermez. Uygulama arayüzü son derece basittir ve üç alana bölünmüş bir pencere içerir: gönderme, alma ve ağ geçidi ile etkileşimin günlüğünü içeren bir komut satırı. Yönetim özel bir yöntemle gerçekleştirilir. .
Kaynak: opennet.ru