新闻链接:www.hackbase.com
新闻时间:2014年9月6日
新闻正文:美国4chan论坛在大多数人眼里是分享色情或是反政府图片的匿名图片分享社区,但同时它也是试图颠覆国家安全局质量监测项目的网站之一。
自从去年斯诺登揭露美国国家安全局监听丑闻,该网站技术论坛的成员就开始讨论是否需要开发一个更安全的语音通讯软件作为Skype的替代品。很快他们创建了一个聊天室讨论这个项目,并且在存放控制代码和合作开发软件的平台GitHub上开了一个账户,开始上传代码。
最终,即时聊天系统Tox横空出世,现在你已经可以下载到这款超级好用的聊天工具的雏形了。这款安全的在线沟通工具,不仅仅是某个公司的产品,而是来自全世界的技术人员合作努力的结果,这也是斯诺登事件造成的持续影响之一。这款软件不仅是即时通讯工具,还可以提供邮件服务。
不过指望Tox能够完全保护你不受监听,还为时过早。像很多其他的同类软件一样,它还在早期研发阶段,但是其他的安全工具,比如即时信息加密插件Off The Record已经正式面世了。不过Tox一直在努力,想要开创一个独一无二的安全通讯系统。
一个通用加密管道
Tox团队最主要的任务是去中心化,除了提供加密之外,它还需要摆脱中央服务器的控制,这和BitTorrent是一个原理,它提供给用户点对点直接连接,服务器不会记录任何聊天数据,这样用户信息也就不会泄露了。
也有其他开发商想要建立安全的、点对点的通讯系统,比如Briar 和 Invisible.im,它是由美国黑客大牛HD Moore参与完成的,HD Moore也是流行安全漏洞检测工具Metasploit的开发者之一。还有其他的防窃听语音电话软件,比如Whisper Systems和 Silent Circle,他们通过传统的电信基础设施来防窃听。目前Tox正在努力把点对点通讯和语音电话二合一。
事实上,Tox想得更远,其实 Tox 目前并非一个终端级别的软件,而是一种加密过的 P2P 数据传输协议。Tox发言人David Lohle表示:“Tox就像一个隧道,安全而隐秘地通向另一个节点,你想通过这个管道运输些什么东西,那就取决于你的想象了。”打个比方,有一个开发者正在通过这种数据传输协议开发一款电信邮件代替品,而其他的人,正在开发一款替代品,用来取代采用点对点技术在不同设备之间直接同步文件的BitTorrent Sync。
要做Skype的替代者
也就是说,Tox的核心团队正在重点开发产品的功能,以期推出Skype的替代品。直至目前,Tox已经拥有了10个不同的客户端,每一种都具备不同的功能。Lohle说道:“Tox将会在未来推出一个适用于目前主流操作系统平台的软件,但是就目前来看,Tox只能为大家推荐一些特定的客户端来匹配你的系统。Linux 和Windows 用户可以选择μTox,OS X 用户则应当选择 qTox, Android 用户的首选应该是 Antox,苹果用户……抱歉,客户端目前还没有开发出来。”
目前μTox的设计还是比较粗糙的,但是界面和操作都简单明了。首先,下载客户端,然后它会自动生成一个公共密钥,你可以把这个密钥告诉给任何人知道,然后你会有一个私钥,这个你得自己保存了,保存在你的手机或者电脑上。接下来的操作就和Skype差不多一模一样了,你可以通过对方的公钥添加对方到你的联系人列表里,或者是点击他们的名字给他们发送一条信息,又或者直接点击大大的图标,直接呼叫对方。如果你要换台电脑使用,直接复制包含你私钥和联系人列表的文件就OK了。
但是目前为止,还有一些Skype拥有的功能,Tox没能完成复制。比如说,Skype可以发起多人语音,但是Tox仅仅只能发起文本方式的群聊。并且一个账号不能同时在两处登陆,也就是说,你想要同时手机和电脑都在线,就不可能了。但是Lohle表示,团队已经在理论上解决了多人语音的问题,这些功能正在开发中,很快就能和大家见面了。
他还表示,Tox目前没有盈利的计划,也不准备成立公司。他说道:“我们都把所有的时间奉献给了Tox,但是任何人都没有得到报酬,团队里至少有十个人表示,如果不是还在上学,如果不是另有工作,我倒是希望供职于Tox的,”另外,他们的头儿只有在网络上才能联系到,完全匿名,即便想要发工资也很难找到人。Lohle也说:“我们不认为有谁知道他的真实姓名。”
Tox
并不是太顺利
Lohle对Tox和发源地4chan之间的关系相当轻描淡写,他说道:“不过几周的时间,我们就开始自给自足了,我们在社交新闻网站Reddit还有Hacker news上发招募贴,很多队员都来自这些渠道。”和4chan拉开距离这种做法,是有理由的,种族歧视、恐同症、厌女症这些4chan上的日常基调,无论对用户还是对潜在的未来队员来说,都没有什么好的引导作用。
此外,论坛上还有很多恶意破坏的人。比方说,有一个Tox成员很担心Tox用户会互相泄露IP地址。对他提出的担忧,团队立刻做出了回馈,他们使用了洋葱路由(Onion Routing)技术,Tor Project就用这个技术来保护用户的网络隐私。但是这种及时的回馈依然没有阻止论坛上的质疑声浪,很难说这当中有多少是出自恶意破坏,又有多少是真心合理的担忧。
你相信Tox么?
几乎没有什么专家对Tox的代码进行过验看,但是Tox使用的是现在广受关注的一种叫做NaCl的加密算法,对Tox进行过估量的电子前沿基金会的高级技术人员Jacob Hoffman-Andrews说道:“NaCl是一个最新的代码库,它由专业人员设计,安全系数非常高。”
作为一个不错的加密库,NaCl的价格可以非常低廉,所以Tox团队可以节省大量资金,用于聘请一个专业的安全公司进行代码审计。“我们现在依靠开源社区,”Lohle说:“我们有大约15人每天每天每周每周夜以继日地盯着代码。”
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)