B

Baltic Tea

Сервисы самоуничтожающихся зашифрованных сообщений / записок / файлов


Существует множество проектов, заявляющих о представлении пользователю возможности поделиться с другим человеком текстом или файлом, которые уничтожаются сразу после прочтения, скачивания или стираются по истечению установленного пользователем срока (от минут до месяцев). Как правило, при использовании сервиса такого рода формируется прямая ссылка на "записку", которую часто можно дополнительно снабдить паролем - его должны знать только отправитель и адресат, что защищает информацию от прочтения третьими лицами.

Я решила составить небольшой список таких сайтов, опираясь на личный опыт и сведения, которые можно найти в Сети. В процессе составления топа руководствовалась соотношениями безопасности, удобства, надежности и имеющейся компрометирующей информацией о проектах.

Пользуясь нижеперечисленными сервисами, необходимо помнить, что их разработчики/владельцы, как правило, НЕ МОГУТ ДОКАЗАТЬ, что одноразовые сообщения действительно удаляются с сервера, что сами сервера не ведут логи, а также то, что администрация не поделится информацией с властями и/или спецслужбами при соответствующем запросе. По этой причине крайне не рекомендуется использовать подобные сайты для передачи важной личной информации. Для обеспечения должного уровня секретности можно использовать сервисы типа "после прочтения сжечь" в связке с непосредственным PGP-шифрованием текста сообщения ключом человека, с которым вы хотите связаться (для этого подойдут программы GnuPG, Gpg4win, gpg4usb и др).


Clearnet-сервисы:

  1. Присутствует функция группового чата, а также приятный раздел с видео-мануалами. Отсутствует Google Analytics и Яндекс-Метрика на Secserv.me. Соединение HTTPS с шифрованием AES-256 и RSA 2048 бит. Поддерживаются любые типы файлов размером до 7 МБ с возможностью шифрования данных. Отсутствует расшифровка ключа на сервере, снова открыть URL сообщения нельзя. Возможность дополнительной защиты парольной фразой. Ключ создается из случайных данных браузера + вашей парольной фразы + уникальных случайных данных при помощи алгоритма Fortuna PRNG. После прочтения сообщения ссылка начинает вести к рандомному изображению - это единственное, что можно увидеть после "использования" ссылки. Но главная особенность Secserv.me заключается в том, что шифрование сообщения при помощи алгоритма AES-256 выполняется в браузере перед отправкой анонимного текста на сервер. Первая часть URL представляет собой уникальный идентификатор зашифрованного сообщения и отсылается на сервер, вторая часть является ключом дешифровки (начинается после символа #). Таким образом, ключ не передается на сервер, а значит сервер не может расшифровать сообщение и просмотреть его содержимое.

    URL-адрес сообщения: https:// secserv.me/read.php?REMD2re7mCCwM5W7PeX8Pg#HyyIDX9izPinXCavKs38UPfWmgylXk9fANBB1PrRCtY


  2. Проект основан на , имеется . Crypt-A-Byte использует шифрование на основе публичного ключа, а также технологии HTTPS / SSL и OpenPGP / PGP. Для пар ключей используется RSA, сообщения и файлы шифруются при помощи AES-256 и SHA-256 для хэширования. На сайте также присутствует генератор паролей и отправка одноразовых писем по e-mail. Из репозитория на GitHub можно собрать приложение для Unix-подобных систем, для Windows и Mac доступна тестовая сборка. Сообщения и файлы могут быть дешифрованы только введением кодовой фразы, заданной при создании ключа. Ваши данные никогда не хранятся в открытом доступе и невозможно расшифровать без вашей кодовой фразы (по уверению разработчика).


  3. Сервис с , также есть . Информация отправляется и принимается через SSL. IP-адрес пользователя к сожалению регистрируется. Пишется информация о браузере для дальнейшей оптимизации веб-сайта. При заходе на сайт по реферальной ссылке, собираются данные о местонахождение этой ссылки. Есть функция парольной фразы - нигде не сохраняется (записывается только bcrypted хэш). Записки можно хранить до 7 дней для анонимных пользователей и до 14 дней для бесплатных аккаунтов. Максимальный размер текстового сообщения составляет 100 КБ для анонимных пользователей, 100 КБ для бесплатных учетных записей и больше 100 КБ после оплаты.


  4. Открытое программное обеспечение. Ничего не сохраняется и не передается на сервер. Весь процесс шифрования происходит в браузере и не требует передачи каких-либо данных на сервер. WebCrypt опубликован под лицензией GNU GPL и основывается на криптографической библиотеке Стэнфордского университета ( ). Используйте сервис с осторожностью - по умолчанию сайт работает через HTTP, а не через зашифрованное соединение HTTPS.


  5. Данные шифруются, а пароли хэшируются с использованием Bcrypt. Регистрирует IP-адреса при отправке сообщения; IP-адреса также регистрируются во время попыток входа в систему (только после неправильного пароля и / или неправильной ссылки). Для сохранения сеанса пользователя используется 2 cookie-файла (первый для идентификатора сеанса, второй для шифрования сеанса), а также анонимные cookie-файлы Google Analytics. Cookies должны быть включены, чтобы опубликовать или прочитать сообщение, защищенное паролем. Сессия пользователя шифруется с помощью случайно сгенерированного ключа, который хранится в ваших cookie-файлах => администратор сервера или кто-либо другой не может прочитать информацию о вашем сеансе.


  6. Сервис от русского разработчика. Для начала общения в чате, нужно заранее сообщить собеседнику секретный ключ - любая фраза или набор букв, цифр, символов на кириллице или латинице. Далее собеседник должен ввести секретный ключ на главной странице и войти в беседу. Регистрация и создание никнейма не требуется. После того как все участники покинули беседу, переписка полностью удаляется с сервера и больше нет никакой возможности ее прочесть (по словам разработчика).


  7. Возможна установка количества разрешенных просмотров для сообщения. Не требуется установка cookie. Не сохраняется никакой идентифицируемой информации. Как только срок доступности сообщения истекает, оно удаляется их базы данных сервиса и не архивируется (снова лишь по словам разработчика/админа). Администрация сайта не гарантирует безопасность передаваемой информации.


  8. Никаких гарантий, совсем. Можно установить таймер, который отсчитывает указанное время от момента открытия ссылки, а потом уничтожает запись. Сообщения нужно прочитать до истечения 90 дней, иначе они будут безвозвратно утеряны.

Onion-cервисы:
  • CrypTor cryptorffquolzz6.onion
    Сервис от форума Rutor (rutorzzmfflzllk5.onion). Доступна функции прикрепления файлов, установки пароля, предпросмотра сообщения; имеет ряд языковых локализаций. Требует включенный JavaScript.

  • Enot enotegggr635n4lw.onion
    Одноразовые записки от UNITY (unityfinxomxhf73.onion), уничтожаются после просмотра. Суперминималистичный дизайн интерфейса. Работает без JavaScript.

  • Stronghold Paste nzxj65x32vh2fkhk.onion
    Записки-посты можно озаглавить, также на борту шифрование и комментирование сообщений. Не требует JavaScript.

КРАЙНЕ НЕ РЕКОМЕНДУЮ использовать следующие сервисы, так как часть из них имеет дырявую систему безопасности, часть ведет логи и сливает данные спецслужбам без колебания: , , , , и прочие сомнительные проекты.
 
Последнее редактирование модератором:
ghost

ghost

YW1uZXNpYQo=
Gold Team
12.05.2016
1 535
3 096
Поднимайте свой сервис. Или осваивайте gpg шифрование, используя 4096 битный ключ. И шлите мессаги хоть через румыло. Вообще надежно...
 
Genius1oci

Genius1oci

Well-known member
09.05.2018
45
39
Поднимайте свой сервис. Или осваивайте gpg шифрование, используя 4096 битный ключ. И шлите мессаги хоть через румыло. Вообще надежно...
A group of European security researchers have released a warning
| about a set of vulnerabilities affecting users of PGP and S/MIME.
| EFF has been in communication with the research team, and can
| confirm that these vulnerabilities pose an immediate risk to
| those using these tools for email communication, including the
| potential exposure of the contents of past messages.
 
ghost

ghost

YW1uZXNpYQo=
Gold Team
12.05.2016
1 535
3 096
A group of European security researchers have released a warning
| about a set of vulnerabilities affecting users of PGP and S/MIME.
| EFF has been in communication with the research team, and can
| confirm that these vulnerabilities pose an immediate risk to
| those using these tools for email communication, including the
| potential exposure of the contents of past messages.
Все gpg ключи до 2048 бит включительно - уязвимы! Мы эту тему на форуме ещё полгода назад обсуждали...
 
  • Нравится
Реакции: yarr, Vertigo и valerian38
Genius1oci

Genius1oci

Well-known member
09.05.2018
45
39
Прикол в том, что старые сообщения можно прочитать.
 
ghost

ghost

YW1uZXNpYQo=
Gold Team
12.05.2016
1 535
3 096
Только идиот юзает браузерные приложения для шифрования и почтовые клиенты в связке с ними. Браузерная почта. Или хардкорное шифрование в терминале!
 
Sergei webware

Sergei webware

Well-known member
07.02.2016
71
243
Выделить невидимый текст и отменить форматирование
 
Genius1oci

Genius1oci

Well-known member
09.05.2018
45
39
Я, например, использовал enigmail/Thunderbird (я тот самый идиот). На счет терминала, согласен. Раньше ленился(
 
  • Нравится
Реакции: ghost
grafomaf

grafomaf

Well-known member
09.11.2017
51
42
аааа главное шифрование это с человеком в живой среде
 
SearcherSlava

SearcherSlava

Red Team
10.06.2017
696
1 025
Посмотреть вложение 18405

Существует множество проектов, заявляющих о представлении пользователю возможности поделиться с другим человеком текстом или файлом, которые уничтожаются сразу после прочтения, скачивания или стираются по истечению установленного пользователем срока (от минут до месяцев). Как правило, при использовании сервиса такого рода формируется прямая ссылка на "записку", которую часто можно дополнительно снабдить паролем - его должны знать только отправитель и адресат, что защищает информацию от прочтения третьими лицами.

Я решила составить небольшой список таких сайтов, опираясь на личный опыт и сведения, которые можно найти в Сети. В процессе составления топа руководствовалась соотношениями безопасности, удобства, надежности и имеющейся компрометирующей информацией о проектах.

Пользуясь нижеперечисленными сервисами, необходимо помнить, что их разработчики/владельцы, как правило, НЕ МОГУТ ДОКАЗАТЬ, что одноразовые сообщения действительно удаляются с сервера, что сами сервера не ведут логи, а также то, что администрация не поделится информацией с властями и/или спецслужбами при соответствующем запросе. По этой причине крайне не рекомендуется использовать подобные сайты для передачи важной личной информации. Для обеспечения должного уровня секретности можно использовать сервисы типа "после прочтения сжечь" в связке с непосредственным PGP-шифрованием текста сообщения ключом человека, с которым вы хотите связаться (для этого подойдут программы GnuPG, Gpg4win, gpg4usb и др).


Clearnet-сервисы:

  1. Присутствует функция группового чата, а также приятный раздел с видео-мануалами. Отсутствует Google Analytics и Яндекс-Метрика на Secserv.me. Соединение HTTPS с шифрованием AES-256 и RSA 2048 бит. Поддерживаются любые типы файлов размером до 7 МБ с возможностью шифрования данных. Отсутствует расшифровка ключа на сервере, снова открыть URL сообщения нельзя. Возможность дополнительной защиты парольной фразой. Ключ создается из случайных данных браузера + вашей парольной фразы + уникальных случайных данных при помощи алгоритма Fortuna PRNG. После прочтения сообщения ссылка начинает вести к рандомному изображению - это единственное, что можно увидеть после "использования" ссылки. Но главная особенность Secserv.me заключается в том, что шифрование сообщения при помощи алгоритма AES-256 выполняется в браузере перед отправкой анонимного текста на сервер. Первая часть URL представляет собой уникальный идентификатор зашифрованного сообщения и отсылается на сервер, вторая часть является ключом дешифровки (начинается после символа #). Таким образом, ключ не передается на сервер, а значит сервер не может расшифровать сообщение и просмотреть его содержимое.

    URL-адрес сообщения: https:// secserv.me/read.php?REMD2re7mCCwM5W7PeX8Pg#HyyIDX9izPinXCavKs38UPfWmgylXk9fANBB1PrRCtY


  2. Проект основан на , имеется . Crypt-A-Byte использует шифрование на основе публичного ключа, а также технологии HTTPS / SSL и OpenPGP / PGP. Для пар ключей используется RSA, сообщения и файлы шифруются при помощи AES-256 и SHA-256 для хэширования. На сайте также присутствует генератор паролей и отправка одноразовых писем по e-mail. Из репозитория на GitHub можно собрать приложение для Unix-подобных систем, для Windows и Mac доступна тестовая сборка. Сообщения и файлы могут быть дешифрованы только введением кодовой фразы, заданной при создании ключа. Ваши данные никогда не хранятся в открытом доступе и невозможно расшифровать без вашей кодовой фразы (по уверению разработчика).


  3. Сервис с , также есть . Информация отправляется и принимается через SSL. IP-адрес пользователя к сожалению регистрируется. Пишется информация о браузере для дальнейшей оптимизации веб-сайта. При заходе на сайт по реферальной ссылке, собираются данные о местонахождение этой ссылки. Есть функция парольной фразы - нигде не сохраняется (записывается только bcrypted хэш). Записки можно хранить до 7 дней для анонимных пользователей и до 14 дней для бесплатных аккаунтов. Максимальный размер текстового сообщения составляет 100 КБ для анонимных пользователей, 100 КБ для бесплатных учетных записей и больше 100 КБ после оплаты.


  4. Открытое программное обеспечение. Ничего не сохраняется и не передается на сервер. Весь процесс шифрования происходит в браузере и не требует передачи каких-либо данных на сервер. WebCrypt опубликован под лицензией GNU GPL и основывается на криптографической библиотеке Стэнфордского университета ( ). Используйте сервис с осторожностью - по умолчанию сайт работает через HTTP, а не через зашифрованное соединение HTTPS.


  5. Данные шифруются, а пароли хэшируются с использованием Bcrypt. Регистрирует IP-адреса при отправке сообщения; IP-адреса также регистрируются во время попыток входа в систему (только после неправильного пароля и / или неправильной ссылки). Для сохранения сеанса пользователя используется 2 cookie-файла (первый для идентификатора сеанса, второй для шифрования сеанса), а также анонимные cookie-файлы Google Analytics. Cookies должны быть включены, чтобы опубликовать или прочитать сообщение, защищенное паролем. Сессия пользователя шифруется с помощью случайно сгенерированного ключа, который хранится в ваших cookie-файлах => администратор сервера или кто-либо другой не может прочитать информацию о вашем сеансе.


  6. Сервис от русского разработчика. Для начала общения в чате, нужно заранее сообщить собеседнику секретный ключ - любая фраза или набор букв, цифр, символов на кириллице или латинице. Далее собеседник должен ввести секретный ключ на главной странице и войти в беседу. Регистрация и создание никнейма не требуется. После того как все участники покинули беседу, переписка полностью удаляется с сервера и больше нет никакой возможности ее прочесть (по словам разработчика).


  7. Возможна установка количества разрешенных просмотров для сообщения. Не требуется установка cookie. Не сохраняется никакой идентифицируемой информации. Как только срок доступности сообщения истекает, оно удаляется их базы данных сервиса и не архивируется (снова лишь по словам разработчика/админа). Администрация сайта не гарантирует безопасность передаваемой информации.


  8. Никаких гарантий, совсем. Можно установить таймер, который отсчитывает указанное время от момента открытия ссылки, а потом уничтожает запись. Сообщения нужно прочитать до истечения 90 дней, иначе они будут безвозвратно утеряны.

Onion-cервисы:
  • CrypTor cryptorffquolzz6.onion
    Сервис от форума Rutor (rutorzzmfflzllk5.onion). Доступна функции прикрепления файлов, установки пароля, предпросмотра сообщения; имеет ряд языковых локализаций. Требует включенный JavaScript.

  • Enot enotegggr635n4lw.onion
    Одноразовые записки от UNITY (unityfinxomxhf73.onion), уничтожаются после просмотра. Суперминималистичный дизайн интерфейса. Работает без JavaScript.

  • Stronghold Paste nzxj65x32vh2fkhk.onion
    Записки-посты можно озаглавить, также на борту шифрование и комментирование сообщений. Не требует JavaScript.

КРАЙНЕ НЕ РЕКОМЕНДУЮ использовать следующие сервисы, так как часть из них имеет дырявую систему безопасности, часть ведет логи и сливает данные спецслужбам без колебания: , , , , и прочие сомнительные проекты.



















Google: Self-Destructing Messages pdf & Self-Destructing Data pdf
 
  • Нравится
Реакции: ghost
M

Main

New member
11.02.2019
1
0
Приветствую, а что думаете насчет privnote?
 
V

Valkiria

Приветствую, а что думаете насчет privnote?

КРАЙНЕ НЕ РЕКОМЕНДУЮ использовать следующие сервисы, так как часть из них имеет дырявую систему безопасности, часть ведет логи и сливает данные спецслужбам без колебания: , , , , и прочие сомнительные проекты.
 
  • Нравится
Реакции: Main
Мы в соцсетях:  ТелеграмВконтактеДзенФейсбукТвиттерЮтуб