11 replies to this topic

[SAR]

Moin,

ich möchte euch mein aktuelles Pub-Projekt vorstellen: EDC
Um die erste Frage zu beantworten: Encrypted Data Communication

Und gleich die zweite Frage: Um sich bisher mit Leuten sicher auszutauschen, muss folgendes passieren:
Klaus und Peter wollen miteinander kommunizieren, sie haben sich in einem Forum kennen gelernt.
Peter und Klaus möchten aber eine sichere Kommunikation, nirgendswo gespeichert, keine Spuren im Netz und die NSA soll auch nicht alles wissen.
Hierzu erstellen beide eine ICQ-Nummer oder verbinden sich auf einen Jabber-Server. Aber egal wie man es dreht und wendet: Sie müssen IMMER einer dritten Stelle vertauen ... sei es ICQ oder Toolbase.
Genau da setzt EDC an: Es ermöglicht eine verschlüsselte Datenkommunikation auf IP Basis.
Auf Deutsch: Einer von beiden spielt Host, während der andere sich einfach mit dieser IP verbindet. Einer muss dem anderen nurnoch seine IP verraten (wobei die IP auch verschleiert werden kann) und dazu die Schlüssel der verschiedenen Verschlüsselungen.

EDC ist zZ in einem sehr frühen Stadium und bis jetzt kann nur der Client Nachrichten senden.
Geplant ist quasi ein Chat. Geplant ist grade nur ASCII-Text und Dateiübertragung.
Das Ganze soll OpenSource werden und soweit offen gehalten werden, dass andere Programmierer eigene Versionen programmieren können.


Ich hab meine (mit Alkohol und Engerydrins versetzte) Test-Aufbau-Phase hinter mir. D.h. einen Quellcode der zu wirr und wild ist, dass weiteres Arbeiten damit unmöglich ist.

Meine Frage an euch: Soll ich das Projekt komplett erneuern, sodass man es veröffentlichen kann?
(Das ist dann die Kaffee-Phase)


Bin über jedes Feedback gespannt.

>>>Die erste Version<<<




Mfg.
SAR

Edited by SAR, 28 October 2014 - 18:55 Uhr.

[Eester]

Also ich persönlich finde es ist eine gute Idee und diese sollte gefördert werden.

Wenn du den Grundbau soweit fertig hast und es nur noch *verschönern* möchtest... ist es gut und ich würde mich freuen.

Meine einzigen Fragen wären da:
-In was ist es den Programmiert?
-Wie & mit was wird es verschlüsselt?
-Ist die Verschlüsslung loggbar oder gar knackbar?

Natürlich weiß ich das man alles knacken kann, solange die zeit stimmt...
(Zitat:(Lucy) Das leben besteht aus der Zeit und nicht aus Zahlen.)


PS:
Ich hätte da einiges was ich dadran machen könnte, würde mich echt freuen...

[SAR]

Frage #1: In C# - "Nachahmer" in anderen Sprachen sind erwünscht.

Frage #2: z.Z. XOR -> AES256 -> XOR

Frage #3: Für AES gibt es noch keine bekannte Sicherheitslücken. Mit der Kombination aus AES und XOR und only-Byte-Übertragung kann man nur mit selbstgeschriebenen Bruteforcer decrypten. Durch die Kurzlebigkeit der Schlüssel sehe ich kein Risiko.


Mfg.
SAR

[loginman1]

Ich persönlich würde sagen das du dir ruhig Zeit geben sollst, bist dein Code nicht mehr durcheinander aussieht und das du dir wirklich sicher bist das man es so veröffentlichen kann desweiteren würde ich mit vertrauenswürdigen Personen zusammen arbeiten, was ich eh schon denke das du das tust als letztes kann ich nur sagen das ich das Projekt eine sehr gute Idee ist, da man heute zu Tage kaum noch ein Onlinenachrichtendienst trauen kann.

MFG
Loginman1

[SAR]

Ich hab nicht vor den Code zu überarbeiten, sondern alles von Grund auf neuzumachen - die alten Projekte dienen als Vorlage.

Als Bleistift (ich hasse dich @Ch!ller): In der Test-Aufbau-Phase klatsche ich alles wild zusammen - sodass es unter Laborbedingungen funktioniert. Hier habe ich viel Unordnung und teilweise rudimentären Code.
Dadurch kenne ich alle Besonderheiten und kann im zweiten Durchlauf deutliche bessere Resultate erzielen. Ist aber deutlich mehr Aufwand (und ist nicht ganz so lustig ), deswegen frage ich schon im Voraus ob überhaupt Interesse besteht.


Mfg.
SAR

[PaulaAbdul]

Also einfach ausgedrückt: Es handelt sich um einen Instant Messenger mit verschlüsselter Übertragung auf P2P Basis oder?

[SAR]

Jein. Für den Anfang plane 2 Teilnehmer - in diesem Fall könnte man es tatsächlich p2p nennen.

Aber die zugrunde liegende Architektur ist nicht p2p sondern Host-Client-Prinzip. Wenn nun 3 Leute eine Unterhaltung führen, dann ist einer der Server/Host - die beiden Clienten wissen nichts voneinander und können sich auch keine direkten Nachrichten senden.


Mfg.
SAR

Edited by SAR, 10 October 2014 - 11:08 Uhr.

[PaulaAbdul]

das würde aber ja auch bedeuten, dass sich die nachrichten via man in the middle eingriff manipulieren lassen bevor sie beim dritten user ankommen. dennoch finde ich die grundidee nicht schlecht und habe ich in dieser form bisher auch noch nicht gesehen.

[SAR]

Du kannst sie manipulieren, ja, aber ohne die Schlüssel kommt nur Kauderwelsch bei der Gegenseite an. Außerdem ist es schwer bis unmöglich einen bestehenden Stream zu übernehmen.
Anders ist es bei einem mitm-Angriff der startet bevor der Stream aufgebaut ist, aber hier ist die Software schlauer - beim Verbindungsaufbau werden verschlüsselte Keywords gesendet. Die Seiten akzeptieren sich nur dann, wenn die verschlüsselten Keywords von der Gegenseite korrekt entschlüsselt werden können. Kurz gesagt: Es gibt einen Handshake der beiden Parteien.

Das Gleiche auch wenn Fremde auf den Server verbinden - sobald der Handshake nicht richtig ist, wird die fremde Verbindung einfach geschlossen. (Und es wird auch eine Meldung der IP ausgeben, falls man den Hacker hacken/ddosen will. )



Mfg.
SAR

[B1nary]

Einer von beiden spielt Host, während der andere sich einfach mit dieser IP verbindet. Einer muss dem anderen nurnoch seine IP verraten (wobei die IP auch verschleiert werden kann)

Wahrscheinlich steh ich grade tierisch auf der Leitung, aber wie verschleiere ich meine IP-Adresse, ohne einer dritten Stelle zu vertrauen?

[SAR]

Mit einem VicSock den du selbst infected hast, zum Bleistift.


Mfg.
SAR