C-toxcore: قم بتوثيق الأسئلة والأجوبة المتعلقة بشبكات التشفير و p2p

انت مخطئ. توجد عُقد تمهيد DHT لتسهيل الانضمام إلى DHT. إذا كنت ترغب في مزيد من التوضيح ، يمكنك إلقاء نظرة على هذه المقالة: https://en.wikipedia.org/wiki/Distributed_hash_table. بدلاً من ذلك ، يمكنك الانضمام إلينا في IRC ، في قناة #tox على Freenode ، وسنحاول شرح الأشياء بأفضل ما نستطيع.

قد تمر حركة المرور الخاصة بك من خلال عقد التمهيد التي تعمل بمثابة مرحلات TCP بينما تستخدم Tox TCP للاتصال بصديق. إنه مشابه لـ TURN . لا تزال حركة المرور الخاصة بك مشفرة من طرف إلى طرف ، لذلك لا يتم المساس بسرية ومصداقية رسائلك. ربما يكون ترحيل TCP هذا هو ما رأيته في تحليل حركة المرور الخاصة بك. تم وصفه بالتفصيل في مواصفات بروتوكول Tox .

إنها حركة مرور صوتية. إنه مشفر ولا يمكن للجهات الخارجية الآن فك تشفيره ، لكن هذا لا يعني أنه مستحيل في المستقبل.

لدي عنوان IPv4 / IPv6 مباشر. لماذا يجب علي إرسال بياناتي إلى العقد؟
أنت تقول - "عُقد تمهيد DHT موجودة لتسهيل الانضمام إلى DHT." ، لكن هذا ليس صحيحًا. تمر حركة المرور في لقطة الشاشة المرفقة عبر العقد ، وليس لي مباشرة.

"Tox هو برنامج سهل الاستخدام يربطك بالأصدقاء والعائلة دون أن يستمع إليه أي شخص آخر. " - إنها كذبة؟ حركة المرور المشفرة ، حسنًا. لكن هل تستخدم العقد للتوصيل؟ لا أعرف من حافظ على هذه العقد. ماذا لو كانت عقدة واحدة أو أكثر خاطئة؟

أنا أفهم كيف يمكن أن تبدو هذه النقطة غير صحيحة ، لذلك قمت بتقديم مشكلة توثيق لتحسين عرضنا لذلك. شكرا لشرح أفكارك.

لشرح مخاوفك المحددة بسرعة ، سأعيد صياغتها. يرجى إعلامي إذا أسأت فهم:

س: _أنا قلق من حقيقة أن حزم البيانات الواردة من جهاز الكمبيوتر الخاص بي لا يتم تسليمها مباشرة إلى جهاز الكمبيوتر الخاص بصديقي ، ولكن يتم أحيانًا (أو طوال الوقت ، اعتمادًا على ظروف الشبكة) نقلها عبر أجهزة كمبيوتر تابعة لجهات خارجية ._

ج: أولاً ، ضع في اعتبارك حزمة تنتقل مباشرةً من جهاز الكمبيوتر الخاص بك إلى كمبيوتر صديقك ، بافتراض أنك تستخدم شبكة wifi محلية:

• يقوم جهاز الكمبيوتر الخاص بك بإنشاء حزمة Tox مشفرة (انظر تفاصيل التشفير ) ، والتي يتم لفها في حزمة UDP تحتوي على منافذ المصدر / الوجهة (عشوائية / 33445) ، ثم في حزمة IP التي تحتوي على عناوين IP المصدر / الوجهة (أنت وصديقك) ، ثم إطار لاسلكي يحتوي على عناوين MAC للمصدر / الوجهة (أنت ونقطة (نقاط) الوصول).
• يتم إرسال هذا الإطار اللاسلكي عبر قناة مشفرة AES (بافتراض WPA2).
• تستقبلها نقطة الوصول اللاسلكية وكذلك كل مستخدم آخر للشبكة. عادةً ما يتجاهل المستخدمون الآخرون الحزمة ، لكن لا يتعين عليهم ذلك. تسمى حزم القراءة غير المخصصة لك بالاستنشاق. هذه هي النقطة الأولى التي يمكن للآخرين قراءة الحزمة عندها.
• يتم توصيل نقطة الوصول اللاسلكية بجهاز توجيه WAN (الإنترنت) الذي ينشئ اتصالاً بأجهزة التوجيه الخاصة بمزود خدمة الإنترنت الخاص بك عبر بعض الوسائل (اقتران صوتي ، ISDN ، ADSL ، كابل ، قمر صناعي ، ألياف ضوئية ، ...). يمكن تشفير هذا الاتصال (بعض الأقمار الصناعية) ولكنه عادة لا يكون كذلك. في هذه المرحلة ، سيقوم موجه WAN الذي أرسلت الحزمة الخاصة بك إليه بإنشاء إطار Ethernet يحتوي على عنوان MAC الخاص به وعنوان MAC الخاص بالموجه التالي الذي يتصل به ، وهو موجه ISP الخاص بك. أثناء النقل ، من المحتمل أن تكون عناوين IP و MAC غير مشفرة ويمكن قراءتها من قبل أي شخص يستنشق الألياف البصرية بينك وبين مزود خدمة الإنترنت. هذه هي النقطة الثانية التي يمكن للآخرين قراءة الحزمة عندها.
• بمجرد وصول الحزمة إلى مزود خدمة الإنترنت ، سوف تمر عبر أنظمة داخلية مختلفة في مراكز البيانات الخاصة بهم ، وربما تكون مشفرة أو غير مشفرة في نقاط زمنية مختلفة. سيحدد موجه ISP بعد ذلك جهاز التوجيه التالي الذي يجب أن يرسل الحزمة إليه ، والذي يحدده عنوان IP. للقيام بذلك ، سيقوم بفك غلاف إطار Ethernet الذي استقبله ولفه في إطار جديد وإرساله إلى جهاز التوجيه التالي. في أي وقت أثناء المعالجة في مزود خدمة الإنترنت ، يمكن لموظفي مركز البيانات أو إدارة النظام التابعين لمزود خدمة الإنترنت هذا الوصول إلى الحزمة الخاصة بك. ثالث نقطة الوصول.
• الآن ستنتقل الحزمة الخاصة بك من جهاز توجيه إلى جهاز توجيه (جرب traceroute $your_friend_ip لترى أين تذهب) ، ولكل منها وصول مجاني إلى إطار Ethernet وحزمة IP وحزمة UDP بالإضافة إلى محتوياتها. العديد من نقاط الوصول ، دعنا نسميها الرابعة.
• إذن قد يكون صديقك في موقف مشابه ، في شبكة wifi محلية في مكان مختلف. مرة أخرى يمكن لجهاز التوجيه وأعضاء الشبكة اللاسلكية قراءة الحزمة. نقطة الوصول الخامسة.
• الآن فقط ، أخيرًا ، تصل الحزمة الخاصة بك إلى كمبيوتر صديقك. يتلقى إطارًا لاسلكيًا ، ويفك غلافه للعثور على حزمة IP ، ويفك غلافه للعثور على حزمة UDP ، ويفكه للعثور على حزمة Tox ، والتي تتم معالجتها بعد ذلك عن طريق تنفيذ بروتوكول Tox. تتضمن هذه المعالجة فك تشفير الحزمة وفك تشفيرها والعمل عليها ، مما يؤدي عادةً إلى عرض عميل صديقك للرسالة أو تشغيل الصوت أو الفيديو أو القيام ببعض الأنشطة الأخرى على مستوى التطبيق.

كما ترى ، هناك العديد من النقاط أثناء الإرسال "المباشر" منك إلى صديقك حيث يمكن فحص الحزمة بواسطة أشخاص تعسفيين. يعني التشفير من طرف إلى طرف أنه لا يمكن لأي شخص في أي وقت بينك وبين صديقك قراءة المحتويات الفعلية التي كنت تنوي نقلها. يمكنهم دائمًا رؤية البيانات المشفرة فقط.

الآن ، ستؤدي إضافة مرحل TCP في المنتصف إلى إطالة المسار (يمكن نظريًا تقصيرها ، لكن هذا غير محتمل). يمكن لأي شخص يقوم بتشغيل الترحيل قراءة الحزمة ، تمامًا مثل أي شخص آخر بينك وبين صديقك. يضمن بروتوكول تشفير Tox أن اتصالك آمن.

الآن ، أرى أيضًا مصدر قلق ثانٍ:

س: ماذا يحدث إذا كانت إحدى العقد التي تنقل بياناتي شريرة؟ _
ج: يختار Tox عددًا من مرحلات TCP التي يمكنه استخدامها للتواصل في حالة تعذر اتصالات UDP المباشرة (على سبيل المثال بسبب NAT أو جدار الحماية). يمكن لمرحلات الشر أن تفعل أشياء قليلة جدًا لفعل الشر:

• يمكنهم اختيار عدم إرسال الحزمة. في هذه الحالة ، ستعيد Tox المحاولة عبر مرحل مختلف. لن يفشل الإرسال إلا إذا كانت جميع عقد التمهيد شريرة.
• يمكنهم إرسال حزمة معدلة. بفضل رموز مصادقة الرسائل ، من المحتمل اكتشاف أي تلاعب بالبيانات. إذا تمكن المرسل من التلاعب بطريقة لم يتم اكتشافها بواسطة البرنامج ، فستكون الحزمة التي تم فك تشفيرها غير موجودة ، وستتجاهلها طبقة التطبيق (وحدة فك ترميز بروتوكول Tox). لذلك فإن هذا له نفس تأثير عدم ترحيل الحزمة على الإطلاق.

هذا هو الأساس. لا يمكن بأي حال من الأحوال أن يقرأ التتابع الشرير بياناتك. يمكنه فقط اختيار عدم الترحيل ، وفقط إذا كانت كل عقدة تمهيد تشغيل شريرة ، فلا يمكنك التواصل. سيكون هذا مزعجًا جدًا ، ولن نكون سعداء به ، ولكن لا يتم اختراق معلومات أي شخص في أي وقت.

آمل أن يوضح هذا بعض الأشياء. لم أقم بتدقيق هذا الرد ، لكنني سأتأكد من تمثيله بشكل صحيح على الموقع للرجوع إليه في المستقبل. اسمحوا لي أن أعرف إذا كان لديك أي مخاوف أخرى. شكرا مرة أخرى على طرح هذا الأمر.

لقد قرأت رسالتك مرة أخرى واكتشفت أنني فاتني مصدر قلق آخر:

س: على الرغم من تشفير البيانات الآن ، ما الذي يضمن عدم فك تشفيرها في المستقبل؟
ج: ينفذ بروتوكول Tox السرية التامة للأمام من خلال استخدام المفاتيح المؤقتة. هذا يعني أنه في حالة اختراق أحد هذه المفاتيح ، يمكن فك تشفير بعض الرسائل ، ولكن ليس سجل اتصالك بالكامل. سيتم تقليص جزء "الرسائل القليلة" من هذه الجملة إلى "رسالة واحدة" في المستقبل. إذا تم اختراق مفتاحك السري طويل المدى ، فلا يمكن فك تشفير أي اتصال سابق.

إذا تم كسر بدائل التشفير التي نستخدمها ، فإننا نخسر. يعتمد الأمر على الطريقة التي يتم بها كسرها ، فهذه هي أسوأ السيناريوهات المحتملة:

• يمكن عكس التشفير ( salsa20 ) بسهولة بدون مفتاح. في هذه الحالة ، يتم اختراق جميع الاتصالات السابقة.
• يتم كسر بدائية تبادل المفاتيح ( curve25519 ) بطريقة يمكن بسهولة استرداد المفتاح السري باستخدام مفتاح عمومي. في هذه الحالة ، يتم أيضًا اختراق جميع الاتصالات السابقة.

من غير المرجح أن تصبح هذه السيناريوهات حقيقة في المستقبل القريب ، أو ربما إلى الأبد. من خلال الفهم الحالي في مجتمع التشفير ، يمكن فقط للحوسبة الكمومية أن تجعل السيناريو الثاني يحدث. يعتقد أن السيناريو الأول مستحيل.

بعد قولي هذا كله ، لاحظت أيضًا أنك قلت إن لديك عنوان IPv4 مباشر. ماذا يعني هذا؟ إذا كان لديك عنوان IPv4 عام مخصص لجهاز الكمبيوتر الخاص بك ، وكان المنفذ 33445 مفتوحًا ، فيجب على Tox إنشاء اتصالات مباشرة بسرعة كبيرة. إذا لم يكن الأمر كذلك ، فهذا خطأ ويجب أن نعمل معًا لمعرفة سبب اختياره لاستخدام TCP بدلاً من ذلك.

شكرا جزيلا على هذا التفسير. الآن أنا أفهم أكثر من ذلك بقليل.
لست متأكدًا من عنوان IPv4 المباشر ... أنا أستخدم WireGuard VPN. تم تثبيت WireGuard على خادم افتراضي ، يحتوي على عنوان IPv4 و IPv6 مباشر. يتم التفاف كل حركة المرور في مساحة الاسم.
معلومات شبكة الكمبيوتر المحمول: https://gist.github.com/DebugReport/1268e15c3bd1c99b56929d645d99392b
إذا كنت مخطئا ، أنا آسف.
ربما لا يكون IPv4 مباشرًا ، ولكن ماذا عن IPv6؟ يمكنني استخدام الاتصالات المباشرة إذا كان العميل الآخر لديه IPv6 أيضًا؟

نعم ، إذا كان لدى كلا الطرفين IPv6 ، ولم يحظر تكوين جدار الحماية المنفذ 33445 (أو أي منفذ آخر بالقرب من ذلك ، شيء بين 33445 و 33545) ، فيجب أن يعمل. هل صديقك في نفس VPN؟

رقم.
هممم ... سؤال. نحن بحاجة إلى استخدام العقد دائما؟ أو فقط إذا لم يكن لدى أحدنا IP مباشر (IPv4 فقط؟)؟
بالنسبة إلى IPv6 (أنا) <-> IPv6 (صديق) هل العقد ضرورية؟ إذا كانت الإجابة نعم - لماذا؟

(إبقاء هذه المشكلة مفتوحة حتى يتم الرد على كل هذه الأسئلة في التوثيق)

إذا كان لدى أحدكم عنوان IP عام ، فيمكن للآخر تشغيله باستخدام عنوان IP والمنفذ الخاصين به. هذا يتطلب دعم العملاء ولا أعتقد أن أي عميل لديه حاليًا:

• احصل على مفتاح DHT العمومي من العميل باستخدام IP العام ومنفذ مفتوح ( tox_self_get_dht_id ) ومنفذه ( tox_self_get_udp_port ).
• أرسل هذا المفتاح إلى الآخر بطريقة ما (إملاء عبر الهاتف أو رسالة على Skype أو شيء من هذا القبيل).
• يحتاج الآخر الآن إلى التمهيد باستخدام (key, ip, port) tuple.

بعد ذلك ، لديك شبكة Tox شخصية لشخصين. لذلك ، من الناحية النظرية ، لا تحتاج إلى أي عقد أخرى. إنهم يجعلون الأمور أسهل ، رغم ذلك.

إذا كان لدى أحدكم عنوان IP عام ومنفذ مفتوح ، فيجب أن يتيح لك الاتصال بعُقد التمهيد أيضًا إنشاء اتصال مباشر. لا علاقة لعقد تمهيد DHT فيما إذا كان يمكنك الاتصال أم لا. يجب أن يكون الاتصال المباشر ممكنًا حتى لو كان لدى أحدكم عنوان IP عام ومنفذ مفتوح. سيتصل الآخر به ، مما سيخلق مسارًا في جهاز التوجيه المحلي ويمنح العميل منفذًا عامًا عشوائيًا مؤقتًا.

مجرد ملاحظة: لقد لاحظت نفس السلوك مع C-Toxcore. أحد الطرفين موجود على خادم VPS بعنوان IP عام ولا يوجد جدار ناري ، والآخر خلف NAT ولكن لديه منفذ Tox مُعاد توجيهه - لذا يجب أن يكون بالإمكان الوصول إليهما بشكل متبادل. كان لا يزال يتم توجيه حركة المرور عبر TCP.

لا أرى هذا على أنه مشكلة أمنية ، لكنها بالتأكيد مشكلة تتعلق بقابلية التوسع إذا كانت شبكة P2P تنقل كل حركة المرور الخاصة بها عبر المرحلات.