Аннотация: Файл технического задания на систему не отслеживаемого обмена сообщениями
Wizard Mail System
Краткая описаловка конструктивной части архитектуры версии 1.0.
0. участвующее оборудование.
0.1. сервера apache-php в интернете. Можно покупные расшареные. Без исключительных функций(упал - другие остались). На HTTP-серверах никакие криптографические операции не производятся. Это только транспорт.
0.2.1. обычные интернетные компы пользователей с дополнительным софтом и возможностью использовать сменные носители.
0.2.2. обычные интернетные компы пользователей без дополнительного софта, но с возможностью использовать сменные носители. Можно комп в интернет-клубе.
0.2.3. обычные интернет бродилка на портативке с wifi, без дополнительного софта, но с возможностью использовать сменные носители. Можно ею пользовать всякие левые wifi по дороге на работу.
0.3. компьютеры off-line only, которые НИКОГДА не бывают on-line и физически находятся в хоне доступности от устройства помянутого в пункте 0.2.
0.4. операторы, которые носят файлы на сменных носителях между парочками помянутыми в 0.2. и 0.3.
1. транспортный уровень
1.1. Транспорт в интернете осущетсвляется транззитом через apache-php хосты, способные ловить пакеты по HTTP протоколу(я проверила режимы GET & POST) и собирать их в корректный бинарник. Бинарник отдается тоже по HTTP. При необходимости бинарник можно заююкать. Но у меня при тестах пролазило как есть. Формально обмен вышлядит как обращение к файлам на http-сервере. При просмотре контекста руками нет сомнений, что человек отличит это от обычных посещений сайта.
1.2. Файлы между локальными компами передаются руками пользователя как raw-data с минимальными шансами на перенос чего-то вредоносного из области spyware.
2. крипто-канальный уровень.
2.1. raw-data прокачиваемая через сервер имеет идентифицируемого отправителя и получателя. Между ними во время handshake установлен криптографический протокол с симметричным шифрованием и контролем корректности доставки. Ретрейны и прочие меры по обеспечению доставки идут в слое ниже канальной криптографии.
2.2. конечные пункты канальной криптографии могут стоять на устройстве 0.2.1. или на устройстве 0.3.
2.3. в силу достоверной идентичности участников обмена, невозможно проникновение в канал фальшивой информации от случайных вандалов, если только не будет явно(для оператора) взломано устройство 0.2.1., обеспечивающее канальное шифрование.
3. крипто-пакетный уровень
3.1. через условно достоверные и безошибочные каналы, описаные в 2., доставляются криптопакеты. Пакет должан быть закриптован ассиметричным ключем хоста-получателя. Пакет не обязательно предназначен для хоста-получателя.
3.2. Вполне возможно, что внутри пакета лежит другой пакет, готовый для отправки следующему хосту в цепочке транзита. Таким способом, пакет может прыгать по всему интернету, подвергаясь каждый раз расшифровке на очередном пакетном хосте, включая устройства 0.3., находящиеся в разных странах.
3.3. для установления факта переписки между двумя конкретными пользоватеями сети, необходимо взломать(можно оперативными методами) все транзитные хосты во всех странах и получить их приватные ключи. Других способов взлома не существует.
4. оконечное шифрование
4.1. Производится только на устройствах 0.3. Про ПЖП все слышали? Ну вот дыры из него убрать, и примерно похоже будет...
5. апликации
5.1. безопасныый канал под системой оконечного шифрования может быть использован примерно так же как TCP/UDP в интернете. Только до чертиков как медлительно(телепузики убегут скривившись). И по причине той же медлительности весь софт придется переписывать. Нагло изобразить VPN не получится. Мало кто согласится держать открытым окошко с запросом сутками... Но prefetch и кэш нам тоже в помощь.
5.2. Кроме апликаций пользователя, на устройствах 0.3. должны стоять генераторы шума, ведущие активную переписку со своими коллегами на всех других хостах. Это утопит реальную переписку в шуме.
6. финансы(думаю это уже для версии 2.0.)
Если случится чудо чудное и телепузики побегут пользоваться, то они будут платить какую-то микроденюжку за каждый транзитный пакет на каждом хосте владельцу хоста.
7. антивандализм(думаю это уже для версии 2.0.)
Телепузики никуда не побегут, но готовая система билинга позволит пресекать вандализм, поднимая цену доставки выше нуля. Если вандалы будут готовы даже платить за пакость, - поднять выше себестоимости и наживаться на наивной попытке вандализма.
8. легальность
Формально все это не запрещено законом всех известных мне стран. В Британии закон требует только отдать государству приватный ключ по первому требованию(иначе 2 года тюрьмы). Можно позаботиться о том, чтобы отдача приватного ключа ничего эцелопам не дала. Запасной вариант - "It's magic!". В РФ конституция гарантирует тайну переписки, а мы строжайше исполняем конституцию на техническом уровне. Можно прямо сказать - служим гарантами конституционных прав граждан, помогая любимому президенту в его нелегком труде. Не пора ли давать нам ордена? В США - аналогично. В BRD главная курица что-то выступала в пользу приватности открытым текстом...