程序员对私密聊天的乱想
### 唠叨群里有人推了个项目(https://github.com/dplusec/tgwechat),微信端对端加密插件,还特意@了我表示感谢,受宠若惊。
隐私问题其实说了很久,有人说微信其实一直看着我们聊天,具体是怎么样的,咱也不知道,咱也不敢问吖...
谁没个秘密呢,或者和朋友开个玩笑,或者和伴侣聊点"家常",如果这些内容暴露在别人眼中,确实有点尴尬,但毕竟咱也没乱说啥吖...
不过加密聊天也可有能会给某些人提供某些庇护,导致出现一些安全问题,这也是一个大问题...
所以你让我说微信到底要不要、能不能看我们聊天内容,我确实也说不好...
所以这里不讨论这种问题,我只聊技术。
### 不是广告~~
端对端加密( end-to-end encryption),按我的简单理解就是A和B聊天,A说出去的话加密后,只有B能够解开密文,拿到明文,这个过程中网络传输过程全是加密的。
> 2017年8月,WhatsApp宣布对所有通讯信息进行端到端加密,WhatsApp超过10亿用户的所有信息(包括文字、照片、视频、文件和语音信息)在默认下都会进行端到端加密,包括群聊。
> “我们的想法很简单:当你发送一条消息,只有接收你消息的人或群组可以读取,”WhatsApp创始人Jan Koum和Brian Acton表示,“没有人可以看到这些消息,网络罪犯、黑客、政府人员甚至我们都不能看到这些消息。端到端加密可确保WhatsApp通讯的隐私性,这有点像面对面的谈话。”
看了这个新闻,知道我没理解错。
其实我很早就写了个小工具,就实现了端对端加密,而且还是对聊天工具透明的,也就是说任何工具都能用。
哈哈,有点吹了...
小工具叫做(https://anhkgg.com/Chisechat/),slogn是“独属于你和我的心灵密令”,本来是我自用的小玩意,后来改了几版之后才分享出来的。
功能很简单,A和B都用Chisechat设置一个一样的密码(私下协商,打电话或者当面定好),A把要发的内容放到Chisechat加密,再用聊天工具把加密内容发给B,B拿到密文在Chisechat中解密查看。
看起来操作是不是挺麻烦,其实还好,因为我针对操作做了优化,基本不影响聊天体验,具体不说了,感兴趣的自行下载试用,地址:(https://anhkgg.com/Chisechat/)。
唯一让我拿出来分享的原因是,我觉得自己做的挺好玩,让我啰嗦说道一下。
Chisechat刚开始加密就是简单的xx算法+base64,然后base64的内容特征太明显,也不好看,我就开始想怎么弄得更自然一点,后来增加了两种模式。
1. 增加base64中文版算法,也就是那些xx字符全换成我选的一些中文,这样编码结果看起来自然多了
2. 后来觉得选的字太简单也不好看,就灵光一闪想到粤语。是的,粤语词看起来非常炫酷,非常好玩。
具体如何你们自行鉴赏一下:
OK,扯得有点多了,我的Chisechat其实一种粗糙且粗暴的一种解决方案,但够用了。
### 研究
那WhatsApp是如何做的呢?不知道。
但是搜索的时候,看到了这个必须拥有姓名的软件Telegram,也就是TgWechat参考的。
Telegram中文名好像叫做“电报”,很安全的感觉。Telegram号称"这个世界上没人能监控我"。
> Telegram 为一对一的聊天提供端对端加密,加密模式是基于256位对称AES 加密,RSA 2048 的加密和Diffie-Hellman 的安全密钥交换协议。协议极其优秀,兼具数学和工程之美,不仅加密基础非常完善,在工程上也很出色,Telegram传递的消息为函数,可扩展性相当强。
Telegram用的是RSA-dh+AES来完成的端对端加密。
按我一个密码学渣的粗浅理解就是:
1. A和B拥有相同的p、q,通过RSA生成各自公钥和私钥。
2. 私钥自行保存,公钥通过网络发送给对方。
3. 互相拿到公钥后,和自己的私钥一起算出一个共享密钥
4. A和B算出密钥是一样的,这样就是可以互相AES加密解密了。
具体算法大家自行查看其他[更详细的分享](https://blog.csdn.net/andylau00j/article/details/82178351),比如对抗中间人攻击(RSA签名),爆破(p、q很大)。
看一下这个实例更好理解:
```
//https://blog.csdn.net/andylau00j/article/details/82178351
1.爱丽丝与鲍伯协定使用p=23以及g=5.
2.爱丽丝选择一个秘密整数a=6, 计算A = g^a mod p并发送给鲍伯。
A = 5^6 mod 23 = 8.
3.鲍伯选择一个秘密整数b=15, 计算B = g^b mod p并发送给爱丽丝。
B = 5^15 mod 23 = 19.
4.爱丽丝计算s = B a mod p
19^6 mod 23 = 2.
5.鲍伯计算s = A b mod p
8^15 mod 23 = 2.
```
总的来说,Telegram通过很牛逼的密钥交换算法让两方拥有了一样的密码,然后别人不知道,也找不到,这样子聊天内容一加密,就只有对方能够看到,如此完成了一个端对端加密的安全聊天通道。
再扯一句,Telegram是通过协议和算法来完成协商密钥,而我的Chisechat是人工通过其他通道协商的密钥,殊途同归,嘎嘎。
### 猜测
理论搞明白了,现在想想TgWechat是怎么做的呢(这玩意加的vm太多了...别想逆了)?
其实也有两种方式,一种类似于Chisechat的思路,自行设置密码,然后加密聊天,一种就是像Telegram一样通过协议和算法完成。
这前面密码的事都没啥好说的,关键在Wechat不是你自己的软件,要怎么插入一些自己的东西进去。
这里我也只是给出思路,猜测TgWechat是这么做的。
1. hook sendmsg、recvmsg。
2. 密钥协商阶段,检查发送内容和接收内容是不是特定内容,是则通过算法生成公私钥,公钥sendmsg发送出去。
3. recvmsg收到公钥,算出共享密钥。
4. 后续发送和接收到内容时,通过加密算法先加解密,再发送出去或者显示。
OK,基本就是这样了。
参考:
1. (https://yq.aliyun.com/articles/194780)
2. [全球没人能监控的聊天软件也要死了 — Telegram](https://www.anquanke.com/post/id/102545)。
3. (https://blog.csdn.net/andylau00j/article/details/82178351)
4. (https://github.com/dplusec/tgwechat) 谢大佬解析思路,大同小异,我本来在吾爱分享了的,结果帖子还没审核过:https://www.52pojie.cn/thread-1017776-1-1.html 正好我在学v*p*n的IPsec协议 稍微学了一点密码学IPsec使用对称加密和非对称加密本地产生一个随机数密码表 用密码表加密数据 然后获取对方公钥 ,使用公钥加密密码表 ,这样继承了对称加密的速度快,又继承了非对称加密的源认证和完整性,其中也可以加入散列函数获取MD5值和密码表打包成为数字签名,数字签名和数据一起发送给对方,对方使用私钥解开密码表和数字签名,用散列函数获取到的MD5值和传递过来的MD5值对比,能够确保数据的完整性。刚刚学完我也在想能不能运用在自己写的聊天中 这样能够确保数据被截获也不会被解密{:301_997:}结果楼主已经做出来了 这个也是把对话粘贴来粘贴去,更自己直接代码生成个加密字符串没什么区别,也是麻烦 谢谢大佬提供的思路 其实Telegram比较好用 好高深啊 高大上。谢谢分享。赶脚这东西越安全就越来越不安全。东西越复杂,漏洞也就越多 toutou aaaaaaaaaaaaaaaaaa 直接用新华字典上的字做秘钥,估计更保密吧!
页:
[1]
2