i2p + privoxy как сделать?

I2P работает как обычный прокси-сервер. Просто настрой глобальный прокси для сетевого подключения.

а тор? Есть гайды с ним и privoxy

Разве у i2p есть ноды для выхода в обычный инет? Да, outproxies, но они необязательны и не являются неотъемлемой частью сети.

это может помешать тому же обновлению?

Раньше была одна в Германии. Тормозила как сонная улитка. Сомневаюсь, что сейчас стало сильно лучше.

Какому такому обновлению? При чём тут обновление? Мой поинт в том, что из сети i2p нет выхода в обычный инет, а если он и есть, то тормозной, ненадёжный и совсем не как в TOR.

Не стало — теперь её закрыли. Выхода из I2P больше нет.

весь трафик через i2p

Использовать privoxy именно для ВСЕГО трафика — очень плохая идея. Для такого следует использовать iptables.

Я дам шаблон, дальше самостоятельно:

#!/bin/sh

### настройка переменных
# список адресов, работающих мимо Tor(пример: локальная сеть)
_non_tor="192.168.1.0/24 192.168.0.0/24 172.16.0.0/24"

#TransPort нашего Tor
_trans_port="9040"

#основной порт i2p
_i2p_port="10232"

### очистка правил iptables
iptables -F
iptables -t nat -F

### настройка iptables *nat
iptables -t nat -A OUTPUT -m owner --uid-owner tor -j RETURN
iptables -t nat -A OUTPUT -p udp --dport 53 -j REDIRECT --to-ports 9053
iptables -t nat -A OUTPUT -p TCP --dport 53 -j DNAT --to-destination 127.0.0.1:9053

#прямой доступ для $_non_tor
for _clearnet in $_non_tor 127.0.0.0/9 127.128.0.0/10; do
   iptables -t nat -A OUTPUT -d $_clearnet -j RETURN
done

#перенаправление всего остального на TransPort
iptables -t nat -A OUTPUT -p tcp --syn -j REDIRECT --to-ports $_trans_port

### настройка iptables *filter
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p TCP --dport $_i2p_port -j ACCEPT
iptables -A INPUT -p udp --dport $_i2p_port -j ACCEPT
iptables -A INPUT -p icmp -j DROP

#прямой доступ для $_non_tor
for _clearnet in $_non_tor 127.0.0.0/8; do
   iptables -A OUTPUT -d $_clearnet -j ACCEPT
done

#разрешаем input для localhost
for _clearnet in 127.0.0.0/8; do
   iptables -A INPUT -d $_clearnet -j ACCEPT
done

#разрешаем только i2p и Tor input/output
iptables -A OUTPUT -m owner --uid-owner tor -j ACCEPT
iptables -A OUTPUT -m owner --uid-owner i2p -j ACCEPT
iptables -A OUTPUT -j REJECT
iptables -A INPUT -j DROP

Это для перенаправления в Tor. torrc при таком подходе вот такой:

SocksPort 9050
SocksPort 9150 # Это для Tor Browser
TransPort 9040
DNSPort 9053

Для направления всего в I2P нужно менять настройки, но учитывая, что из I2P нельзя выйти, это может быть плохим решением.

Теперь по поводу браузеров — используем модифицированный Tor Browser:

1. prefs.js — его надо положить в папку профиля(about:profiles -> open directory или КАТАЛОГ_С_TORBROWSER/Browser/TorBrowser/Data/Browser/profile.default): http://7apievo4h7gelatn.onion/tor/prefs.js

Дополнить настройками из файла detor.js (http://7apievo4h7gelatn.onion/tor/detor.js) для работы с системным демоном Tor.

ИЛИ

2. Скачать и распаковать profile.default(http://7apievo4h7gelatn.onion/tor/profile.default.tar.xz) и положить все файлы по адресу КАТАЛОГ_С_TORBROWSER/Browser/TorBrowser/Data/Browser/profile.default

ИЛИ

3. Скачать, распаковать и запустить преднастроенный Tor Browser(http://7apievo4h7gelatn.onion/tor/tor-browser_en-US.tar.xz)

Для I2P используем отдельный браузер, просто указав в его настройках прокси 127.0.0.1 как адрес и порт нашего I2P.

Наверно, чтобы не привлекать к себе внимание в I2P лучше выходить не со своего провайдера, а через какую-нибудь хостинговую ноду?

Как наименее заметно и подозрительно подключаться к такой ноде и где ее лучше взять?

Может быть, подключаться по порту 443 и может быть даже завернуть траф в SSL.

Собственно сам траф, наверно, это SSH через obsfproxy?

Т.е. примерно так:

SSH Client + obsfproxy + SSL wrapper -> Internet -> HAProxy + ssl unwrapper + «bfsunproxy» + SSH server.

HAProxy для всех кроме своего айпи может показывать красивую Welcome страницу :)

Размещать софт для такого тунеля в идеале наверно на одноплатниках Cortex A7 с аппаратным крипто для хранения SSH ключей типа Rutoken ECP2?

И можно добавить еще один подобный Cortex A7 с Rutoken ECP2 на другом конце I2P, чтобы к нему тоже цепляться по SSH (через I2P).

Провайдер -> Одноплатник1 (SSHserver1 + I2P client) -> Одноплатник2 (SSHserver2 + I2P server) -> TOR -> своя VPS нода (SSHserver3 + OpenVPN клиенты для выхода через паблик VPN, которые почти нигде не заблокированны в отличии от TOR.

Одноплатники и выходную VPS ноду надо приобретать анонимно.

Одноплатники можно разместить у незнакомых жаждущих халявы студентов в общаге в каких нибудь труднодоступных далеких ебенях, оплачивая им ежемесячный интернет. Также оплатить им покупку одноплатников с Rutoken с Авито с помощью крипты, например Monero.

На одноплатниках желательно конечно запустить OpenBSD, но не уверен, поддерживается ли там хранение закрытых ключей SSH через PKCS 11.

Какие-нибудь еще рекомендации?

Наверно, чтобы не привлекать к себе внимание в I2P лучше выходить не со своего провайдера, а через какую-нибудь хостинговую ноду?

Не знаю, насколько сильно I2P привлекает внимание. Снаружи по оттиску трафика похоже на зашифрованный битторрент. Конечно, могут быть вредоносные узлы в сети, подконтрольные следящим организациям, которые собирают все IP участников сети(справедливо и для Freenet). Тут проблема, Tor в этом плане получше, хотя не так давно в I2P добавили «режим клиента», но он пока экспериментальный.

Как наименее заметно и подозрительно подключаться к такой ноде и где ее лучше взять? ... и далее ниже

Наименее заметно — через onion-сервис Tor, поднятый на VPS. В onion-сервис можно обернуть SSH, telnet, FTP, что угодно, что поддерживает TCP. При таком подходе сам VPS — эдакий сидбокс. Качаем через него торренты, раздаём канал и т.п. Результаты работы выкачиваем напрямую через onion-сервис.

И настроить легко, и незаметно, и безопасность на высоте, даже telnet получает сильное шифрование. Туннелируя запросы в SSH, получаем SSH через Tor(localhost -> Tor -> SSH -> clearnet), анонимность сильно проседает, но можно посещать ресурсы, огородившиеся от Tor.

Теперь подлкючаем воображение. Поднимаем onion-сервис, открываем на нём порт, например 443. Внутри VPS запросы на этот порт перенаправляются на другой, например порт I2P(4444), в результате они будут идти напрямую в I2P, не покидая VPS.

Теперь желательно использовать TorDNS для всех DNS-запросов в системе. Это тот минимум, который стоит рекомендовать всем просто ради безопасности, так как обычный DNS не шифруется и легко подменяется. Короткая инструкция тут: https://wiki.archlinux.org/index.php/Tor#TorDNS

Открываем наш браузер, прописываем в настройки прокси onion-сервис и его порт как SOCKS5(включаем проксирование DNS), в about:config ставим(не обязательно при настройке TorDNS):

network.dns.forceResolve 127.0.0.1
network.dns.ipv4OnlyDomains 127.0.0.1
network.dns.localDomains 127.0.0.1
network.dns.native-is-localhost true

Замечу — вышеописанный пример с браузером я в таком виде не проверял, но проверял в системе, в которой всё перенаправляется в Tor через iptables. Успешно заработало с Tor Browser, что позволило через него посещать .i2p.

Плюсы — не нужно светить свой домашний IP, не нужно ждать инициализации маршрутизатора, не нужно бояться перебоев с электропитанием(резкое отключение I2P приводит к блокировке вашего IP другими маршрутизаторами на некоторое время); вы помогаете сети I2P, держа узел на высокопроизводительном и беспребойном сервере 24/7/365; вы помогаете сети Tor, внося разнообразие в шаблоны её использования.

Минусы — слегка медленнее(совсем чуть-чуть), нужно платить за VPS, нужно всё настраивать и поддерживать.

Если боимся провайдера, записывающего ваши подключения к IP сторожевого узла Tor, можем настроить скрытый мост obfs4 на другом или даже том же VPS(лучше всё же на другом, скоро станет понятно). Подняв скрытый мост obfs4, поднимаем на той же машине VPN и открываем к нему доступ, публикуя адрес и настройки на VPN Gate https://www.vpngate.net/en/

Ждём анонимусов, которые начнут использовать VPN, после чего можно смело подключать себя к нашему мосту. Все запросы пойдут через него, даже запросы на корневые серверы каталогов(они обычно идут напрямую, светясь у провайдера). Это поможет, если противник силён, но не обладает достаточно качественной техникой, например хорошим DPI. Не поможет против нормального DPI, вроде китайского.

где ее лучше взять?

Покупаем VPS за Monero или хотя бы Bitcoin.

Размещать софт для такого тунеля в идеале наверно на одноплатниках Cortex A7 с аппаратным крипто для хранения SSH ключей типа Rutoken ECP2?

Мы можем настроить проксирование по схеме Whonix даже на маршрутизаторе, если получится зашить на него свободную прошивку вроде OpenWrt. У проекта Whonix есть базовые инструкции. Тогда не нужно даже возиться с iptables, privoxy и прочим, подключил Wi-Fi/провод и готово.

Только SOCKSAuth придётся донастраивать, без него анонимность Tor Browser сильно пострадает.

Одноплатники можно разместить у незнакомых жаждущих халявы студентов в общаге в каких нибудь труднодоступных далеких ебенях, оплачивая им ежемесячный интернет.

Плохо, очень плохо. Засветишься по камерам наружного наблюдения и при оплате услуг связи(провайдеры не принимают криптовалюты). Лишние трудности только.

Вообще вся эта схема на фоне подхода с onion-сервисом излишне усложнена и потому потенциально ненадёжна, даже небезопасна. Безопасность и работоспособность простых систем контролировать много проще.

Тем более, что выход через VPN = постоянный выходной узел = тривиальная атака пересечением = деанонимизация, и очень быстрая деанонимизация. Наблюдая совсем недолго и проведя единственную атаку шейпингом, противник(ФСБ/АНБ) надёжно деанонимизирует тебя.

Это не говоря уже о том, что при таком подходе твои коммуникации будут представлять собой сетевую аномалию(для пассивного наблюдателя), и аномалию уникальную.

Рекомендую к ознакомлению: https://trac.torproject.org/projects/tor/wik/doc/TorPlusVPN http://www.dds6qkxpwdeubwucdiaord2xgbbeyds25rbsgr73tbfpqpt4a6vjwsyd.onion/wik...

Для выхода в «обычную» сеть на ресурсы, которые блокируют Tor, используем кэширующий прокси + VPS + onion-сервис на нём. Подключаемся к VPS через onion-сервис и работаем с кэшем.

При правильной настройке можно говорить всем вокруг: «Good Luck, I'm Behind 7 10 Proxies!»

Ходят слухи, что алгоритмы прошедшие сертификацию FIPS прозрачны для АНБ:

On the home page you proudly write «No NSA - no backdoors». And at the same time you use the ECC curves, which are all considered unsafe. The weaknesses of these curves are listed, for example, on the «Safe Curves» website. All curves that Nitrokey offers are known to be suspected of being influenced by NSA. Nitrokey does not offer a curve that is considered safe: Curve25519, E-382, M-383, Curve383187, Curve41417, Ed448-Goldilocks, M-511, E-521. Therefore, when you see the list of supported curves, you think that «Made in Germany» is not complete and that the following would be more correct: «Made in Germany, approved by NSA». For years, manufacturers have been able to order chips that implement specific functionality. Among other thingsyou could order making chips with a few sure curves. The chips may be a little more expensive because they are not mass-produced. But at least the customers would have a choice: a cheaper Nitrokey only with NIST curves or a slightly more expensive Nitrokey with safe curves. Why don't you order making chips with safe curves? Reply

Submitted by Jan Suhr on February 11, 2020 - 5:31 pm The criteria by which Safe Curves is rated are practical criteria and do not claim that NIST curves have NSA back doors. After all, the website is called «Safe Curves» and not «Secure Curves». In addition, I do not know any reputable cryptologist who strongly advises against NIST curves because of concerns about NSA back door. Ultimately, however, everyone can decide for themselves which curves they want to use. Our Nitrokey Start supports Curve25519, among others. The reason why Curve25519 is not supported by all of our models is that the NXP chip cards used do not support this curve. There are currently no other realistic chip cards that support Curve25519. As soon as that changes, our other models will also support the Curve25519.

https://web.archive.org/web/20200710183650/https://www.nitrokey.com/news/2019...

С моей точки зрения проблема с VPS в том, что на них невозможно сохранить в безопасности приватные ключи и сессионные ключи.

А если стащить закрытый ключ для например SSH, то уже можно устроить MITM. Проброс ключа PKCS11 через USBIP не решает проблемы тыринга сессионных ключей, по SESPAKE ФКН2 с Rutoken 3000 работает только КриптоПРО 5, но есть ли удобные туннели использующие КриптоПРО 5 для аутентификации и выработки сессионного ключа?

Может быть попробовать вот это? http://web.archive.org/web/20200711001805/https://habr.com/ru/company/aktiv-c...

Но «Скорость шифрования ГОСТ 28147-89: до 109 КБ/сек.» древним алгоритмом, какая то дичь, почему было не прикрутить аппаратное эллиптическое крипто асимметричных ключей к OpenSSH?

Плохо, очень плохо. Засветишься по камерам наружного наблюдения и при оплате услуг связи(провайдеры не принимают криптовалюты).

Так студентам отправлять в крипте, зачем самому ходить платить за их интернет?

Лишние трудности только.

Согласен, что трудности, я бы предпочел Rutoken ECP2, подключенный к анонимной VPS, но как этого добиться в организационном плане?

Даже ходить настраивать ненадо к студентам, просто отправить инструкцию, как это подключить к интырнет и розетке, ссылку на готовый образ OpenBSD, ссылки на оборудование.

Оплата криптой, и пусть сами все покупают и настраивают с помощью чата через Tor+Tox и т.п.

Потом платить помесячно за инет и на пивко или здоровый образ жизни.

Только таких каналов придется несколько параллельно поднимать, потому что надежность одной точки студентов да еще под атаками ганстолкеров невелика, будет постоянно моргать свет, изчезать интернет и т.п.

Ходят слухи, что алгоритмы прошедшие сертификацию FIPS прозрачны для АНБ:

И Tor, и OpenSSH используют curve25519, она считается свободной.

С моей точки зрения проблема с VPS в том, что на них невозможно сохранить в безопасности приватные ключи и сессионные ключи.

А если стащить закрытый ключ для например SSH, то уже можно устроить MITM

Как, если дальше ты подключаешься по TLS/I2P? Не пройдёт проверку такое соединение и будет закрыто.

Кроме того, если мы перенаправляем соединение напрямую через onion-сервис, то его даже перехватить очень трудно, а отследить попытку очень легко.

Это не говоря уже о том, что серверу для аутентификации ты даёшь только открытый ключ, закрытый у тебя локально. Локальный ключ можно защитить тем же gpg.

Но «Скорость шифрования ГОСТ 28147-89: до 109 КБ/сек.»

Зачем использовать ГОСТ для анонимности? ГОСТ используется вообще гораздо реже, что очень сильно ударит по ней непредсказуемым образом. И я не о безопасности шифрования, а о характерных признаках и следах, по которым можно отличить ГОСТ от RSA например.

Так студентам отправлять в крипте, зачем самому ходить платить за их интернет?

Нищий студент не умеет анонимно работать, его придётся долго и упорно учить, да он ещё и донести куда надо может, да так, что ты и не поймёшь. Лишний раз кому-то доверять хоть что-то — плохо.

Согласен, что трудности, я бы предпочел Rutoken ECP2, подключенный к анонимной VPS, но как этого добиться в организационном плане?

Я теперь совсем не понимаю, чего именно мы пытаемся добиться. Скрыть использование I2P от мира? Пожалуйста, выше отписал как. Зачем нам токен, да ещё и подключённый к анонимной VPS?

В этой схеме так много точек отказа, что совсем страшно становится.

Нищий студент не умеет анонимно работать, его придётся долго и упорно учить, да он ещё и донести куда надо может

А зачем ему анонимно работать? Достаточно самому анонимно выйти с ним на связь через Tor+Tox. Но этому опять же помешает уже ПЭМИ на моей стороне. Надо хотя бы виртуальную клаву, глушилку Соната Р2 и т.п.

А все остальные шаги пусть они хоть напару с тов. майором делают :)

, да так, что ты и не поймёшь. Лишний раз кому-то доверять хоть что-то — плохо.

Может быть, самостоятельно (анонимно) оформить заказ на Авито и т.п. на настройку одноплатника (по заранее проверенному алго), заливку его в компаунд, а потом чтобы студент выкупил.

Я теперь совсем не понимаю, чего именно мы пытаемся добиться. Скрыть использование I2P от мира? Пожалуйста, выше отписал как. Зачем нам токен, да ещё и подключённый к анонимной VPS?

Я еще не переварил суть всех твоих предложений, но пока мне кажется, что будут нужны свои аппаратные ноды Cortex A7 (без spectre) пока не уверен в каких частях схемы, может быть и не прямым соединением, а через TOR/I2P, с аппаратным крипто для SSH через OpenSC, вроде бы немало гуглится самоделок на базе STM32, но зато с правильной кривой 25519.

Может быть, посоветуешь лучший рецепт для самодельного аппаратного крипто 25519 с неизвлекаемыми ключами, работающими с OpenSSH по OpenSC?

И кстати студент может проживать в какой-нибудь одной из самых бедных стран мира где-нибудь в Африке, очень надо нашим товарищам майорам ездить туда?

Кроме пятого Yubikey какие еще есть реализации OpenPGP Card v3.4 с поддержкой Ed25519? Какая-нибудь самодельщина на STM?

Наверно, GNUK на FST-01 ?

Он поддерживает OpenPGP Card v3.4 ?

http://www.fsij.org/doc-gnuk/intro.html#target-boards-for-running-gnuk

А почему никто не знает про open source Canokey ?

https://github.com/canokeys/canokey-stm32

CanoKey is an open-source USB/NFC security token, providing the following functions:

OpenPGP Card V3.4 (RSA, ECDSA, ED25519 supported) PIV Card TOTP / HOTP (RFC6238 / RFC4226) U2F FIDO2 (WebAuthn)

It works on modern Linux/Windows/macOS operating systems without additional driver required. Hardware

Current Canokey implementation is based on STM32L432KC MCU, which features a Cortex-M4 processor, 256KiB Flash, 64 KiB SRAM, and a full-speed USB controller.

Не хочется быть первооткрывателем, о GNUK куда больше инфы, а уж тем о Yubikey 5C.