唠叨
群里有人推了个项目TgWechat,微信端对端加密插件,还特意@了我表示感谢,受宠若惊。
隐私问题其实说了很久,有人说微信其实一直看着我们聊天,具体是怎么样的,咱也不知道,咱也不敢问吖…
谁没个秘密呢,或者和朋友开个玩笑,或者和伴侣聊点”家常”,如果这些内容暴露在别人眼中,确实有点尴尬,但毕竟咱也没乱说啥吖…
不过加密聊天也可有能会给某些人提供某些庇护,导致出现一些安全问题,这也是一个大问题…
所以你让我说微信到底要不要、能不能看我们聊天内容,我确实也说不好…
所以这里不讨论这种问题,我只聊技术。
不是广告~~
端对端加密( end-to-end encryption),按我的简单理解就是A和B聊天,A说出去的话加密后,只有B能够解开密文,拿到明文,这个过程中网络传输过程全是加密的。
2017年8月,WhatsApp宣布对所有通讯信息进行端到端加密,WhatsApp超过10亿用户的所有信息(包括文字、照片、视频、文件和语音信息)在默认下都会进行端到端加密,包括群聊。
“我们的想法很简单:当你发送一条消息,只有接收你消息的人或群组可以读取,”WhatsApp创始人Jan Koum和Brian Acton表示,“没有人可以看到这些消息,网络罪犯、黑客、政府人员甚至我们都不能看到这些消息。端到端加密可确保WhatsApp通讯的隐私性,这有点像面对面的谈话。”
看了这个新闻,知道我没理解错。
其实我很早就写了个小工具,就实现了端对端加密,而且还是对聊天工具透明的,也就是说任何工具都能用。
哈哈,有点吹了…
小工具叫做Chisechat,slogn是“独属于你和我的心灵密令”,本来是我自用的小玩意,后来改了几版之后才分享出来的。
功能很简单,A和B都用Chisechat设置一个一样的密码(私下协商,打电话或者当面定好),A把要发的内容放到Chisechat加密,再用聊天工具把加密内容发给B,B拿到密文在Chisechat中解密查看。
看起来操作是不是挺麻烦,其实还好,因为我针对操作做了优化,基本不影响聊天体验,具体不说了,感兴趣的自行下载试用,地址:https://anhkgg.com/Chisechat/。
唯一让我拿出来分享的原因是,我觉得自己做的挺好玩,让我啰嗦说道一下。
Chisechat刚开始加密就是简单的xx算法+base64,然后base64的内容特征太明显,也不好看,我就开始想怎么弄得更自然一点,后来增加了两种模式。
1.增加base64中文版算法,也就是那些xx字符全换成我选的一些中文,这样编码结果看起来自然多了
2.后来觉得选的字太简单也不好看,就灵光一闪想到粤语。是的,粤语词看起来非常炫酷,非常好玩。
具体如何你们自行鉴赏一下:
OK,扯得有点多了,我的Chisechat其实一种粗糙且粗暴的一种解决方案,但够用了。
研究
那WhatsApp是如何做的呢?不知道。
但是搜索的时候,看到了这个必须拥有姓名的软件Telegram,也就是TgWechat参考的。
Telegram中文名好像叫做“电报”,很安全的感觉。Telegram号称”这个世界上没人能监控我”。
Telegram 为一对一的聊天提供端对端加密,加密模式是基于256位对称AES 加密,RSA 2048 的加密和Diffie-Hellman 的安全密钥交换协议。协议极其优秀,兼具数学和工程之美,不仅加密基础非常完善,在工程上也很出色,Telegram传递的消息为函数,可扩展性相当强。
Telegram用的是RSA-dh+AES来完成的端对端加密。
按我一个密码学渣的粗浅理解就是:
1.A和B拥有相同的p、q,通过RSA生成各自公钥和私钥。
2.私钥自行保存,公钥通过网络发送给对方。
3.互相拿到公钥后,和自己的私钥一起算出一个共享密钥
4.A和B算出密钥是一样的,这样就是可以互相AES加密解密了。
具体算法大家自行查看其他更详细的分享,比如对抗中间人攻击(RSA签名),爆破(p、q很大)。
看一下这个实例更好理解:
//https://blog.csdn.net/andylau00j/article/details/82178351
1.爱丽丝与鲍伯协定使用p=23以及g=5.
2.爱丽丝选择一个秘密整数a=6, 计算A = g^a mod p并发送给鲍伯。
A = 5^6 mod 23 = 8.
3.鲍伯选择一个秘密整数b=15, 计算B = g^b mod p并发送给爱丽丝。
B = 5^15 mod 23 = 19.
4.爱丽丝计算s = B a mod p
19^6 mod 23 = 2.
5.鲍伯计算s = A b mod p
8^15 mod 23 = 2.
总的来说,Telegram通过很牛逼的密钥交换算法让两方拥有了一样的密码,然后别人不知道,也找不到,这样子聊天内容一加密,就只有对方能够看到,如此完成了一个端对端加密的安全聊天通道。
再扯一句,Telegram是通过协议和算法来完成协商密钥,而我的Chisechat是人工通过其他通道协商的密钥,殊途同归,嘎嘎。
猜测
理论搞明白了,现在想想TgWechat是怎么做的呢(这玩意加的vm太多了…别想逆了)?
其实也有两种方式,一种类似于Chisechat的思路,自行设置密码,然后加密聊天,一种就是像Telegram一样通过协议和算法完成。
这前面密码的事都没啥好说的,关键在Wechat不是你自己的软件,要怎么插入一些自己的东西进去。
这里我也只是给出思路,猜测TgWechat是这么做的。
1.hook sendmsg、recvmsg。
2.密钥协商阶段,检查发送内容和接收内容是不是特定内容,是则通过算法生成公私钥,公钥sendmsg发送出去。
3.recvmsg收到公钥,算出共享密钥。
4.后续发送和接收到内容时,通过加密算法先加解密,再发送出去或者显示。
OK,基本就是这样了。
体验Chisechat:https://anhkgg.com/Chisechat/
参考:
2.全球没人能监控的聊天软件也要死了 — Telegram。
3.DH秘钥交换算法
4.TgWechat
来源:freebuf.com 2019-09-04 09:50:30 by: anhkgg
请登录后发表评论
注册