Браузерное расширение для шифрования сообщений в соцсетях
Доступ к нашим сообщениям во «ВКонтакте» есть у спецслужб и продается любым желающим в даркнете. Это непрятно, но перейти на более защищенные платформы сложно, ведь здесь все друзья и активности.
Так звучит моя теория о проблеме, которую я не стал проверять, а запилил сразу расширение для chrome. Как это работает?
Вы устанавливаете расширение, нажимаете на иконку, вбиваете придуманный ключ шифрования (key) и его название (name).
После передаете название и ключ своему другу или группе друзей по надежному каналу (лучше лично). Он устанавливает расширение и вбивает ключ. Можно шифровать сообщения! Напишите что-нибудь и нажмите на появившейся значок замка.
Текст должен привратиться в аброкадабру, которую можно отправлять. Чтобы сообщение расшифровалось, придется обновить страницу (особенность первой версии).
Работает расширение пока только с вк, если это можно назвать работает. Приходится перезагружать страницу, бывает едет верстка и, возможно, есть еще множество багов. Эта версия на коленке исключительно, чтобы получить первый фидбэк.
Решил попробовать подход с быстрой демонстрацией mvp без интервью, оценки рынка и т.п. Иногда получается достаточно интересно. Например, недавно выложил статью про свой скрипт для скрытия рекламы на vc.ru. Получил минусы и отрицательные комментарии. Оказывается, что пользователи либо не замечают рекламу, либо считают ее полезной. Вывод: у продактов vc есть чему поучиться.
Люди, которым нужна конфиденциальность, априори не будут вести переписку в вк.
А про DH вы слышали?
Я не слышал. Расскажите, пожалуйста.
Я имел ввиду Диффи Хеллман.
Не слышал. Спасибо, изучу.
А не проще ли просто переписываться в норм мессенджере изначально ?)
А можно просто из контекстного меню выбирать действие над выделенным текстом? Тогда можно вообще где угодно использовать, а не только вконтакте.
маленькая подсказка, для того чтобы безопасно обменяться ключами, можно шифровать их RSA1024. а сообщение соответсвено уже aes'ом шифровать.
Думал над этим, но решил не добавлять в текущую версию. Еще есть проблемма уязвимости ассиметричного шифрования от "человека посередине".
Ассиметричное шифрование как-раз и было придумано, что бы избавиться от проблемы mitm.
Единственная проблема здесь - быть уверенным, что открытый ключ принадлежит именно тому, с кем вы хотите общаться. Но это уже задача сертификатов.
Кажется, а данном случае, ассиметричное шифрование для генерации ключа aes здорово зайдет. Удачи проекту)
вы что-то путаете. это как раз симметричное шифрование к этому уязвимо(сами рекомендуете на листочке код передавать). а в случае rsa человеку по середине сначала придется подделать сообщение от друга. а потом еще у него заменить его собственный ключ шифрования иначе вы не сможет расшифровать сообщения от реального друга.
тут конечно наверное товарищ майор может такое провернуть.
нагнув вк раком, но думаю для этого надо иметь имя Усама.
Вы хорошо описали пример "человека по середине" при ассиметричном шифровании. Также сложно такое представить при передаче ключа лично. Так что, вроде бы, ничего не путал.
Безопасный ключ для AES можно сгенерировать пользуясь протоколом Диффи-Хеллмана. Это гарантированно безопасно и полностью автоматизированно.
Ещё интереснее переписку вести с использованием VK API и payload в объекте сообщения, который для чат-ботов делался. Будет невидимая переписка + шифрование :)
а можно скрин, что переписка продается в даркнете?
зато наверняка товарищ майор читает.
Акки других людей можно купить за 5-20 рублей , а там хоть переписку, хоть голые фото смотри😀 достаточно загуглить купить акк вк ретрив
и где скрин такого предложения?
и насколько я понял автора - переписку дают конкретных людей, а не рандомных
«Дайте скрин» «дайте скрин» . в гугле забанили ? Набери в поиске взлом вк и тд и обскринься на здоровье
я не нашел- сможете предоставить скрин?
в гугле искать сайты даркнета - глупо кстати.
И не про взлом речь, а о предоставление конкретной переписке конкретного пользователя- взлом это другое.
В статье говориться, что будет предоставлена переписка, а не осуществлен взлом
В так называемом «даркнете» «продаётся», что угодно, но только в основном это мошенники, которые просто зарабатывают на продаже воздуха)
и можно скрин такого предложения?
из даркнета, где продается все что угодно?
Это был сарказм. На просторах интернета и онион сайтов полно предложений о продаже чего угодно, но как только ты переводишь этим продавцам деньги, то они просто сливаются, вот и вся схема)
значит автор статьи врет? и доступ к переписке есть только у спецслужб?
так стоп... а если он врет про продажу переписки в даркет, может врет и про доступ к переписке к спецслужб... а значит изначально статья вранье)
А значит человек просто пытается продвинуть свое расширение под выдуманными предлогами...
Я делал такое 7 лет назад. Но не взлетело. Люди не хотят заморачиваться с ключами, это для них слишком сложно
JuiQbmn?
такая приблуда была на хабре сделана лет 10 назад и перезапуска не надо было)
https://habr.com/ru/post/213537/
https://habr.com/ru/post/193702/
тогда работала, сейчас не проверял
Передача ключа на листочке решается протоколом Diffie-Hellman. А так идея интересная, главное не нарушать правило криптографии - "Не придумывать свою криптографию" :)
Комментарий недоступен
Сформулированных пока нет, но шифрование происходит по стандартизированному алгоритму AES, данные (ключи) хранятся только в google-аккаунте пользователя, код проверен магазином расширений и доступен на github.
Боюсь представить, что там такого интересного майору и на черта неуловимым джо в таких раскладах использовать ВК
Очень заморочно, чтобы пользоваться в реале. Даже если не нужна будет перезагрузка и уйдут все баги, основное использование ВК идет с мобильных устройств. А с них придется пялиться на крякозябры собеседника, упорно набивающего сообщения в Хроме. Действительно, проще перейти в мессенджеры.
разве разработка и тп средств шифрования уже не лицензируется?)