Безопасная одноранговая сеть для приложений, которая меняет экономику слежки • Реестр

ЗАЩИТА КОН Супергруппа Infosec Cult of the Dead Cow выпустила Veilid (произносится как vay-lid), приложения проекта с открытым исходным кодом, которые можно использовать для подключения клиентов и передачи информации в одноранговой децентрализованной манере.

Идея заключается в том, что приложения — мобильные, настольные, веб- и безголовые — могут находить и общаться друг с другом через Интернет конфиденциально и безопасно, без необходимости проходить через централизованные и часто корпоративные системы. Veilid предоставляет код, который разработчики приложений могут добавить в свое программное обеспечение, чтобы их клиенты могли присоединиться и общаться в одноранговом сообществе.

В ЗАЩИТА КОН презентация сегодня, Кейтлин «medus4» Боуден и Кристиан «DilDog» Риу побежал через технические детали проекта, на разработку которого, по-видимому, ушло три года.

Система, написанная в основном на Rust с небольшим количеством Dart и Python, использует аспекты службы анонимизации Tor и одноранговой межпланетной файловой системы (IPFS). Если приложение на одном устройстве подключается к приложению на другом через Veilid, ни один клиент не должен знать IP-адрес или местоположение другого из этого подключения, что, например, хорошо для конфиденциальности. Разработчики приложений также не могут получить эту информацию.

Дизайн Veilid задокументирован здесьа его исходный код здесьдоступный в соответствии с общедоступной лицензией Mozilla версии 2.0.

«IPFS не был разработан с учетом конфиденциальности», — сказал Риу собравшимся в DEF CON. «Tor был, но он не был создан с учетом производительности. И когда АНБ запускает 100 [Tor] выходных узлов, он может выйти из строя».

В отличие от Tor, Veilid не использует узлы выхода. Все узлы в сети Veilid равны, и если бы АНБ хотело следить за пользователями Veilid, как оно это делает за пользователями Tor, федералам пришлось бы контролировать всю сеть, что, надеюсь, будет неосуществимо, даже для агентства Nosuch. . Риу описал это так: «Как будто Tor и IPFS занимались сексом и создали эту штуку».

«Возможности здесь безграничны», — добавил Боуден. «Все приложения равны, мы настолько сильны, насколько слаб самый слабый узел, и все узлы равны. Мы надеемся, что все будут опираться на него».

Каждая копия приложения, использующая базовую библиотеку Veilid, действует как сетевой узел, она может взаимодействовать с другими узлами и использует 256-битный открытый ключ в качестве идентификационного номера. Здесь нет специальных узлов и нет единой точки отказа. Проект поддерживает Linux, macOS, Windows, Android, iOS и веб-приложения.

Veilid может общаться по UDP и TCP, а соединения аутентифицируются, имеют временные метки, надежное сквозное шифрование и цифровую подпись для предотвращения прослушивания, несанкционированного доступа и олицетворения. Используемая криптография была названа VLD0 и использует установленные алгоритмы, поскольку проект не хотел рисковать появлением уязвимостей из-за «своего собственного», сказал Риу.

Это означает XChaCha20-Poly1305 для шифрования, Elliptic curve25519 для аутентификации и подписи с открытым и закрытым ключами, x25519 для обмена ключами DH, BLAKE3 для криптографического хэширования и Argon2 для генерации хэшей паролей. При необходимости в будущем их можно будет заменить на более мощные механизмы.

Файлы, записываемые Veilid в локальное хранилище, полностью зашифрованы, а API-интерфейсы хранилища зашифрованных таблиц доступны для разработчиков. Ключи для шифрования данных устройства могут быть защищены паролем.

«Система означает, что нет IP-адреса, нет отслеживания, нет сбора данных и нет отслеживания — это самый большой способ, которым люди монетизируют ваше использование Интернета», — сказал Боуден.

«Миллиардеры пытаются монетизировать эти связи, и многие люди поддаются на это. Мы должны убедиться, что это доступно», — продолжил Боуден. Есть надежда, что приложения будут включать Veilid и использовать его для связи, чтобы пользователи могли получать пользу от сети, не зная всех вышеперечисленных технических вещей: она должна просто работать на них.

Чтобы продемонстрировать возможности системы, команда создала безопасное приложение для обмена мгновенными сообщениями на основе Veilid по аналогии с Signal под названием VeiledChat, используя фреймворк Flutter. Нужно еще много приложений.

Если дело пойдет по-крупному, Вейлид может проделать большую дыру в экономике слежки за капитализмом. Его пробовали и раньше, но результаты были неоднозначными или плохими, хотя у Культа есть репутация того, кто все делает правильно. ®