Društvo| IT| Ljudska prava| Planeta| Tehnologija

PhoneCrypt - besplatna zaštićena komunikacija

Dragan Pleskonjic RSS / 01.11.2013. u 23:26

logo_top.jpgNakon svih skandala u medijima o prisluškivanju telefonskih i drugih komunikacija, kao Skype-a i ostalih servisa, nemačka firma SecurStar je odlučila da objavi besplatnu verziju softvera PhoneCrypt (desktop verzija). Poruku o tome sam dobio od njih večeras i odlučio da odmah podelim sa vama. Možda će nekome biti korisna.

PhoneCrypt Desktop je softverski proizvod koji omogućava da sa svog računara obavljate zaštićenu komunikaciju glasom ili da ćaskate (engl. chat) sa svojim prijateljima, kolegama, poslovnim partnerima, rodbinom i slično, bez (prevelike) bojazni da vas neko sluša.

Program se može preuzeti odavde.

Da biste pričali sa nekim korišćenjem ovog programa, obe strane ga moraju imati instaliranog na svojim računarima.

Za ostvarivanje zaštite komunikacije, sve PhoneCrypt sesije su šifrovane "point-to-point" tj. od jedne do druge krajnje tačke i to različitim ključevima za svaku sesiju. Proizvođači tvrde da nema tajnih vrata (engl. backdoor). Tehnički gledano, obe strane koje ostvaruju komunikaciju u nekom trenutku, prvo generišu ključ za sesiju (256 bita), šifruju ga i razmene korištenjem javnog ključa drugog telefona. Kada oba telefona razmene zaštićene ključeve i uspostava sesiju, glas se digitalizuje, komprimuje i šifruje algoritmom AES 256-bita. Ceo proces se odvija automatski bez potrebe da korisnik zna tehničke detalje. Tokom komunikacije je prikazan jedinstven identifikator sesije na obe strane, tako da ova informacija može poslužiti da se otkrije slučaj napada "čovek u sredini" (engl. "Man-In-the-Middle"). Ovaj put ne bih da ulazim u previše tehničkih i matematičkih detalja primenjenih algoritama, jer ne verujem da će većini biti interesantno.

PhoneCrypt Desktop je kompatibilan sa PhoneCrypt mobile proizvodom koji se može kupiti od firme SecurStar. PhoneCrypt mobile radi na iPhone, Android, Symbian i Windows mobilnm telefonima.

Kako je navedeno na njihovom web sajtu, besplatna verzija ima ograničenja u dužini ključeva za šifrovanje.

Ostale informacije su na ovoj lokaciji, kao i na SecurStar i PhoneCrypt sajtu.

 

Moja kratka (moguća) FAQ sekcija

Q: Da li si koristio ovaj program?
A: Nisam, ali ću ga isprobati.

Q: Zašto su sada odjednom rešili da ga daju besplatno?
A: Možemo da nagađamo od razloga koje su naveli i sličnih uobičajenih razloga (reklama drugih srodnih proizvoda firme), do (ne)mogućih teorija zavere.

Q: Zašto si odlučio da ovu informaciju podeliš sa nama?
A: Nadam se da ćete isprobati i javiti da li radi, kako radi tj. vredi li. Više očiju više vidi. Nekada smo verovali da je Skype siguran, ali sada više ne.

Q: Da li je ovakva komunikacija stvarno sigurna?
A: Nadam se, ali nikad se ne zna. Hajde da zajedno proverimo i zaključimo.



Komentari (29)

Komentare je moguće postavljati samo u prvih 7 dana, nakon čega se blog automatski zaključava

Milan Novković Milan Novković 00:20 02.11.2013

Dragane ...

... o cryptopocalypsi između ostalog i DH alogirtma se već uveliko bruji u akademskoj sredini.

"Logično" je očekivati da su NSA rocket science squared za akademiju i da "barataju" DH-om od pre nego što je ušetao u Internet.

Tačnije, da ne barataju našli bi načina, zar im to nije skoro pa "zvanična" odredba, da spreče odlazak algoritma u najširi internet opticaj ako im nije pod kontrolom.

Al dobro, nije to tema, pretpostavljam, nije briga NSA, bar ne za nas smrtnike, nego razni entiteti usput i ogromna je šteta što PKI nije nikad ljudski zaživeo.

Sada je možda vreme i ova firma pokušava da iskoristi trenutak.
Dragan Pleskonjic Dragan Pleskonjic 00:26 02.11.2013

Re: Dragane ...

Veći problem algoritama su "dorađene" verzije i implementacije pod uticajem raznih "faktora." Moja pretpostavka je da ovi Nemci žele da pokažu da to nisu radili. Za AES važi da još nije "razbijen," barem koliko ja znam i nisam našao ni u naučnim časopisima niti hakerskim izvorima pouzdan nagoveštaj. Tačno je da o DH ima raznih priča.
Milan Novković Milan Novković 00:41 02.11.2013

Re: Dragane ...

Dobro, to bi bila interesana priča, "faktori" kod amera koje onda neko zaobiđe.

Samo je meni nerealna, zašto bi se NSA tako kockala - dozvoljavala "mračnu" i nezgodnu "čistu" matematiku na tržištu pa se upuštala u never-ending bitku u podrivanje, ili tvoje "faktorisanje" ko zna kojeg broja implementacija.

Nad Ciscom i tamošnjima imaju vlst, ali nemaju nad ostatkom sveta.

Meni je "logičnije" da imaju i matematiku, "čistu", u šaci pre nego što su je dozvolili - oni i zapošljavaju najbolje matematičare
Dragan Pleskonjic Dragan Pleskonjic 00:56 02.11.2013

Re: Dragane ...

Da, stvari su vrlo kompleksne:

"The Advanced Encryption Standard (AES) is a specification for the encryption of electronic data established by the U.S. National Institute of Standards and Technology (NIST) in 2001. It is based on the Rijndael cipher developed by two Belgian cryptographers, Joan Daemen and Vincent Rijmen, who submitted a proposal to NIST during the AES selection process."

Tada su pobedili Belgijanci na NIST konkursu...

-----

Upravo sam na mail listi za SHA-3 gde je jedan od autora Joan Daemen:

SHA-3 Winner is KECCAK - The National Institute of Standards and Technology (NIST) announced on October 2, 2012 the selection of KECCAK as the winner of the SHA-3 Cryptographic Hash Algorithm Competition and the new SHA-3 hash algorithm.

SHA-3 is a cryptographic hash function designed by Guido Bertoni, Joan Daemen, Michaël Peeters, and Gilles Van Assche, building upon RadioGatún.


Mešano...

I gde se nastavila rasprava i po izboru:

Interesting article from reputable source (IEEE): Can You Trust NIST? SHA-3 (Keccak) hash algorithm under question almost as soon as it was crowned as new standard.

Milan Novković Milan Novković 01:15 02.11.2013

Re: Dragane ...

Interesting article from reputable source (IEEE): Can You Trust NIST? SHA-3 (Keccak) hash algorithm under question almost as soon as it was crowned as new standard.

Pa da, nepisana klasika o kojoj se sada piše pomalo

Dobro, ima nas dosta koji volimo razne priče i teorije, ali gde bi bila logika da država koja podriva vlade drugih država u ime strateških interesa dozvoljava lokalnoj agenciji da rođenoj kući podriva strateške interese.
mlekac mlekac 00:22 02.11.2013

Samo da proverim

Verzija za PC je besplatna, a ona za mobilne se placa?

Nemam nista protiv da isprobam tu besplatnu verziju, samo jos da pronadjem s kim da caskam kriptovano?
Dragan Pleskonjic Dragan Pleskonjic 13:58 02.11.2013

Re: Samo da proverim

mlekac
Verzija za PC je besplatna, a ona za mobilne se placa?


Da, desktop verzija (Windows) je besplatna, pri čemu u besplatnoj verziji postoje neka ograničenja:

Limitations of PhoneCrypt Desktop:

The FREE PhoneCrypt Desktop solution encrypts communication with 2048 Bit while the commercial PhoneCrypt Mobile solution uses encryption with a keystrength of 4098 Bit. It is possible to establish a secure communication (voice and chat) between the FREE and the commercial solutions using 2048 Bit encryption. The keylength is adapted automatically without user actions.
Hansel Hansel 18:39 02.11.2013

Re: Samo da proverim

(Windows)

Poslao sam odmah link na blog drugaru u Kanadi, ali odmah je javio da nema verzije za Linux.

A baš smo nedavno eksperimentisali s Linphone-om, zašta sam bio ja "kriv" jer sam ga prethodno pitao da li bi mogla dva računara da ostvare prenos glasa bez posredništva kakvo, koliko ja shvatam, omogućuje Skype. Pitao sam jer sam pre 5-6 godina eksperimentisao s nekom starom verzijom jednog programa (PC Anywhere) i napravio vezu preko IP adrese (a program omogućuje, bar u opcijama piše, i razgovor između dve jedinice, ali to nisam uspeo da proverim pošto nikoga nije bilo za drugim računarom). Naravno, meni kao relativnom laiku bilo je to zanimljivo otkriće (internet kao velika "telefonska" centrala), mada mi je ostalo pitanje da li je ovo bilo moguće bez posredništva firme koja je program proizvela.

Drugim rečima, ako koristite bilo koji program koji omogućuje vezu između dva računara (pa i glasovnu), kolike su (teoretsko pitanje) šanse za upad/špijunažu ako u samim računarima nema gamadi? Ništa manje od Skype-a?
Dragan Pleskonjic Dragan Pleskonjic 19:01 02.11.2013

Re: Samo da proverim

Hansel
Poslao sam odmah link na blog drugaru u Kanadi, ali odmah je javio da nema verzije za Linux.


Nema Linux verzije, još.

Drugim rečima, ako koristite bilo koji program koji omogućuje vezu između dva računara (pa i glasovnu), kolike su (teoretsko pitanje) šanse za upad/špijunažu ako u samim računarima nema gamadi?


Odgovor nije baš jednostavan i pravolinijski. Ukratko i teoretski, mnogo manje nego u drugim slučajevima ukoliko su ispunjeni neki uslovi koji sprečavaju tj. minimizuju mogućnost napada "Čovek-u-sredini" (Man-in-the-middle), plus izbor adekvatnih algoritama šifrovanja, upravljanje ključevima, pravilna implementacija i slično.

Ništa manje od Skype-a?


Skype je bio na dobrom glasu dok se nije desilo nešto - tekst: Ko to tamo sluša Skype?
uros_vozdovac uros_vozdovac 19:55 02.11.2013

Re: Samo da proverim

Hansel


A baš smo nedavno eksperimentisali s Linphone-om,


Probajte Ekiga sasvim upotrebljivo
uros_vozdovac uros_vozdovac 20:03 02.11.2013

Re: Samo da proverim

Hmm, ako radi na iPhone, Android, Symbian i Windows mobilnm telefonima, onda nije tako strašno poterati ga ni na MeeGo-Maemo ili na Ubuntu, raspitaću se.
Hansel Hansel 11:11 03.11.2013

Re: Samo da proverim

Hvala, Uroše, a raspitivanje (ako sam te dobro razumeo, odnosi se na program koji si preporučio) -- samo ako i tebe zanima .
mr.fogg mr.fogg 09:57 04.11.2013

Re: Samo da proverim

Nema verzije za linux, ali radi preko wine-a
Probao sam instalaciju i prošla je bez problema.

Koristim PCLinuxOS, ali wine postoji i za druge linux distribucije.
Nemam sa kim da testiram program do kraja - možda ti možeš da probaš sa drugarom iz Kanade.
Good luck.

¸
Hansel Hansel 16:42 04.11.2013

Re: Samo da proverim

Hvala, javiću ti na PP (ili ovde ako tema ne bude zaključana).
Hansel Hansel 00:59 02.11.2013

Baš sam se pitao

gde si, Dragane, dok tresu afere o prisluškivanjima, a onda -- eto te, sa zanimljivom pričom!
iqiqiq iqiqiq 20:42 02.11.2013

Re: Baš sam se pitao

Hansel
gde si, Dragane, dok tresu afere o prisluškivanjima, a onda -- eto te, sa zanimljivom pričom!

sima2000 sima2000 08:40 02.11.2013

..

Koliko sam razumeo, NSA se pretežno bavi sakupljanjem "meta" podataka o ostvarenim komunikacijama širom sveta, tj. beleže ko sa kim priča i koliko često.
Čini mi se da ovaj tvoj softver ne rešava ovo pitanje..
Osim, ako zajedno sa kriptovanjem ne nude i nekakvu uslugu zaštićenog prosleđivanja poruka (proxy relay)..
maksa83 maksa83 09:20 02.11.2013

Re: ..

Koliko sam razumeo, NSA se pretežno bavi sakupljanjem "meta" podataka o ostvarenim komunikacijama širom sveta, tj. beleže ko sa kim priča i koliko često.

NSA se pretežno bavi sakupljanjem skoro svega, a ako je neko posebno zanimljiv kao npr. 25 svetskih zvaničnika onda mu i prisluškuje razgovore. Među njima i Anđele Merkel, a ono što je meni zanimljivo je da oni koriste stock telefone koje koristi i sav ostali svet. Dodatno mi je zanimljivo što se kao najneprobojniji pokazao potpuni tržišni underdog - Blackberry Z10, pa Anđela sad koristi to, dopingovano dodatnim nemačnik softverom za zaštitu.

Inače kao što se već 20-ak godina priča o projektu ECHELON i (tada) 4 čvorne tačke kroz koje prolazi sav saobraćaj, a Amerika prisluškuje, da kroz NSA sito prolazi sav mejl koji mogu da usisaju, a što se ispostavilo da je tačno (mada su tada oni nerdovi koji o tome pričaju od strane javnosti mahom bili proglašavani za tinfoil hat budale), sada se priča o kontroli još nižeg nivoa, mogućnosti da se uređaji hijackuju i kontrolišu na mnogo nižem nivou, npr. videti - BadBios - The Misterious Mac and PC Malware That Jumps Airgaps.

Da rezimiram - uređaji i prateći softver koji koristimo su postali toliko složeni da samo jedan vrlo mali promil ljudi ima znanje i opremu da potvrdi (ili ospori) njihov integritet, al' domaćin po svoj prilici ume o tome da kaže mnogo više.
Milan Novković Milan Novković 10:23 02.11.2013

Re: ..

uređaji i prateći softver koji koristimo su postali toliko složeni da samo jedan vrlo mali promil ljudi ima znanje i opremu da potvrdi (ili ospori) njihov integritet

Pa sad još malo kako se osvoji svetlo, sijalice od LED dioda, kako se u noći mimoiđemo na autoputu a ono se usput i cross-pollinatiramo

Dobro, "oni" su prvi stigli do root nivoa, "the art in intrusion" je sada i nama postavio osnovu za "the art of war", i iako smo mi pomalo haotični nas je mnogo više.

Evo sada i EC pumpa novac u add-hoc mreže, Horizon 2020 je, koliko bejaše, 70 milijardi Evra, samo što nije počeo, mesec-dva, smišljajte ideje, pišite ponude, sve što čovek može da poželi - tuča, frka, adrenalin, hormoni, sex

Al nije to ništa, čekamo elektrohemijske kapsule ispod kože (brain-stem je, pretpostavljam, idealno mesto) sa, naravno, odgovarajućim BIOS-om
maksa83 maksa83 10:47 02.11.2013

Re: ..

Al nije to ništa, čekamo elektrohemijske kapsule ispod kože (brain-stem je, pretpostavljam, idealno mesto) sa, naravno, odgovarajućim BIOS-om

- Kako si?
- Ae'o ne'am pojma, nešto me uhvatila neka smola, ovo vreme, sve...
- Jesi apgrejdovao firmver na jesenju verziju?
- Jesam, al' sam morao da vratim stari, kolje se sa onim Open Source firmverom za prostatu...
- Idi kod doktora da ti skenira portove, možda ti beže neki ARP paketi, mada to nema veze...
Dragan Pleskonjic Dragan Pleskonjic 13:41 02.11.2013

Re: ..

maksa83
NSA se pretežno bavi sakupljanjem skoro svega

Još samo kad bi ponudili servis vraćanja izgubljenih podataka, pa da prebrinemo brigu oko backupa, arhiviranja i sličnih stvari.
Inače kao što se već 20-ak godina priča o projektu ECHELON i (tada) 4 čvorne tačke kroz koje prolazi sav saobraćaj, a Amerika prisluškuje, da kroz NSA sito prolazi sav mejl koji mogu da usisaju, a što se ispostavilo da je tačno (mada su tada oni nerdovi koji o tome pričaju od strane javnosti mahom bili proglašavani za tinfoil hat budale)

... paranoike, treća oka, dosije X i slične atribute. Ali dođe i to vreme, nažalost, da se više ne zna gde je granica.
sada se priča o kontroli još nižeg nivoa, mogućnosti da se uređaji hijackuju i kontrolišu na mnogo nižem nivou, npr. videti - BadBios - The Misterious Mac and PC Malware That Jumps Airgaps.
Da rezimiram - uređaji i prateći softver koji koristimo su postali toliko složeni da samo jedan vrlo mali promil ljudi ima znanje i opremu da potvrdi (ili ospori) njihov integritet, al' domaćin po svoj prilici ume o tome da kaže mnogo više.

Invisible things: kod smešten duboko u chipset, firmware, procesore, matične ploče, mrežne kartice, razne kontrolere i slično, pa onda u operativne sisteme, sistemske programe, zatim u aplikacije...
uros_vozdovac uros_vozdovac 14:58 02.11.2013

Re: ..

maksa83
BadBios - The Misterious Mac and PC Malware That Jumps Airgaps.



I posle RMS creep, jašta.
Nego da dođem sebi od puta pa pišem opširnije.

p.s. ovaj PhoneCrypt vlasnički, ništa otvoren kod?
Dragan Pleskonjic Dragan Pleskonjic 17:58 02.11.2013

Re: ..

uros_vozdovac
p.s. ovaj PhoneCrypt vlasnički, ništa otvoren kod?


Da, od firme SecurStar.
Dragan Pleskonjic Dragan Pleskonjic 20:21 02.11.2013

Re: ..

maksa83
NSA


Čak ne mora ni NSA. Recimo malo ozbiljniji penetration tester - haker:

I challenged hackers to investigate me and what they found out is chilling.

Da ne idemo unazad na još neke drastičnije primere.
alselone alselone 19:58 02.11.2013

A bilo nam je cudno zasto je skajp placen

8.6 milijardi.

Nije se smelo dozvoliti da postoji toliko rasiren nacin za komunikaciju koji se ne moze prisluskivati.
Dragan Pleskonjic Dragan Pleskonjic 20:05 02.11.2013

Re: A bilo nam je cudno zasto je skajp placen

Da. Baš smo o tome diskutovali ranije ovde.

U tom smislu, biće interesantno pratiti dalji razvoj situacije sa SecurStar i PhoneCrypt. Ovo su, pak, Nemci.
alselone alselone 20:09 02.11.2013

Re: A bilo nam je cudno zasto je skajp placen

Dragan Pleskonjic
Da. Baš smo o tome diskutovali ranije ovde.

U tom smislu, biće interesantno pratiti dalji razvoj situacije sa SecurStar i PhoneCrypt. Ovo su, pak, Nemci.


Secam se tog bloga, bio je odlican.

Sa druge strane, mislim da su ljudi jako lenji i da svoj komoditet i navike nece menjati po cenu prisluskivanja. Npr. - ja. :)

Kad budem planirao da napravim sajt za prodaju droge, ko onaj lik sto je skoro osvanuo u novinama jer se, kreten, jedan dan ulogovao iz internet kafera, onda cu razmisljati o Linuksu, Toru i kriptovanim mesindzerima.
domazetovic.andrej domazetovic.andrej 14:30 05.11.2013

Zakoni?

Ne znam koliko je poznato, ali u USA postoji zakon koji vam zabranjuje da sifrujete svoje emailove kljucevima preko nnn bita. Kada sam ja to proveravao pre par godina bilo je 40 bita, sada je mozda povecano. Da li se to odnosi i na 'paketizovane' telefonske razgovore? Mozda je dobro za nas, ali u USA to moze biti zabranjeno?

Bice zanimljivo ako to postane standardni 'feature' mobilnih telefona. Bice da iz razloga 'nacionalne bezbednosti' to nikada nece dozvoliti proizvodjacima....

Dragan Pleskonjic Dragan Pleskonjic 16:03 06.11.2013

Re: Zakoni?

Da, ima još nekoliko država koje imaju slične ili čak i oštrije zakone u tom pogledu. Biće zanimljivo kako će se stvari odvijati i sa tog aspekta.

Usput, da pomenem nešto zanimljivo:

Zanimljiv koncept u naučnom radu: Decentralized Anonymous Credentials.

Tekst na temu gornjeg rada:
Crypto boffins propose replacing certification authorities with ... Bitcoin?

u podnaslovu i u tekstu:

Goodbye centralised control, hello 'Decentralised Direct Anonymous Attestation'
...

Key components of the system are:

• A Decentralised Direct Anonymous Attestation (dDAA) – the bit that gets rid of the CA.
• Anonymous resource management in ad hoc networks – using the dDAA technique to prevent impersonation in peer-to-peer networks.
• Credential auditability – in the same way as the Bitcoin blockchain is auditable because it's public, the researchers believe, the scheme offers a way to guard against people faking their certificates.

...


Biće zanimljivo pratiti da li ovaj koncept ima perspektivu.

Hvala Amiru Z. za link.

Arhiva

   

Kategorije aktivne u poslednjih 7 dana