[nncp-devel] [RU] Состоялся релиз NNCP 5.1.2

public inbox for nncp-devel@lists.cypherpunks.ru
Atom feed

* [nncp-devel] [RU] Состоялся релиз NNCP 5.1.2
@ 2019-12-13 16:12 Sergey Matveev
  0 siblings, 0 replies; only message in thread
From: Sergey Matveev @ 2019-12-13 16:12 UTC (permalink / raw)
  To: nncp-devel

[-- Attachment #1: Type: text/plain, Size: 4947 bytes --]

Я рад сообщить о выходе релиза NNCP 5.1.2!

NNCP (Node to Node copy) это набор утилит упрощающий безопасный обмен
файлами и почтой в режиме сохранить-и-переслать.

Эти утилиты предназначены помочь с построением одноранговых устойчивых к
разрывам сетей небольшого размера (дюжины узлов), в режиме друг-к-другу
(F2F) со статической маршрутизацией для безопасной надёжной передачи
файлов, запросов на передачу файлов, Интернет почты и команд по принципу
выстрелил-и-забыл. Все пакеты проверяются на целостность, шифруются по
принципу точка-точка (E2EE), аутентифицируются известными публичными
ключами участников. Луковичное (onion) шифрование применяется ко всем
ретранслируемым пакетам. Каждый узел выступает одновременно в роли
клиента и сервера, может использовать как push, так и poll модель
поведения.

Поддержка из коробки offline флоппинета, тайников для сброса информации
(dead drop), последовательных и только-для-записи CD-ROM/ленточных
хранилищ, компьютеров с "воздушным зазором" (air-gap). Но также
существует и online TCP демон с полнодуплексной возобновляемой передачей
данных.

------------------------ >8 ------------------------

Этот релиз содержит два серьёзных и *критичных* исправления:

* Исправлена *критичная* уязвимость: аутентификация online нод могла
  приводить к некорректной идентификации удалённой стороны, позволяя
  скачивать чужие зашифрованные пакеты.
* Исправлена ошибка: в новосозданных конфигурационных файлах,
  приватный публичный ключ Noise были поменяны местами, что приводило
  к невозможности online аутентификации нод.
* Явная синхронизация (fsync) директорий для гарантированного
  переименования файлов.

Коммит 137c819a92961066efc7a7e5ef1999ad7f579113 изменяет и ломает логику
во время проведения аутентификации удалённой стороны, приводя (возможно) к
некорректной идентификации стороны, даже если публичный ключ собеседника
вообще не был упомянут в конфигурационном файле. Это постыдная и
серьёзная ошибка (хотя, так как пакеты зашифрованы, их
конфиденциальность и аутентичность компрометируются), и я приношу свои
извинения за неё и за нечаянно поменянные местами приватный и публичный
Noise ключи в новосозданных конфигурационных файлах.

------------------------ >8 ------------------------

Домашняя страница NNCP: http://www.nncpgo.org/
Коротко об утилитах: http://www.nncpgo.org/Ob-utilitakh.html

Исходный код и его подпись для этой версии находятся здесь:

    http://www.nncpgo.org/download/nncp-5.1.2.tar.xz (1106 KiB)
    http://www.nncpgo.org/download/nncp-5.1.2.tar.xz.sig

SHA256 хэш: 52B2043B 1B22D20F C44698EC AFE5FF46 F99B4DD5 2C392D4D 25FE1580 993263B3
Идентификатор GPG ключа: 0x2B25868E75A1A953 NNCP releases <releases@nncpgo•org>
Отпечаток: 92C2 F0AE FE73 208E 46BF  F3DE 2B25 868E 75A1 A953

Пожалуйста, все вопросы касающиеся использования NNCP, отчёты об ошибках
и патчи отправляйте в nncp-devel почтовую рассылку:
https://lists.cypherpunks.ru/pipermail/nncp-devel/

-- 
Sergey Matveev (http://www.stargrave.org/)
OpenPGP: CF60 E89A 5923 1E76 E263  6422 AE1A 8109 E498 57EF

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 833 bytes --]

^ permalink raw reply	[flat|nested] only message in thread

only message in thread, other threads:[~2019-12-13 16:21 UTC | newest]

Thread overview: (only message) (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2019-12-13 16:12 [nncp-devel] [RU] Состоялся релиз NNCP 5.1.2 Sergey Matveev