Семейнограм docs

Техническая документация проекта. v2.0.0 RC

Обзор

Семейнограм — приватный мессенджер на базе MTProto 2.0 с anti-censorship транспортом gproxy-native. Трафик неотличим от обычного HTTPS видеостриминга для систем DPI.

Архитектура

Клиент (Android) Сервер (89.208.79.119) MTProto client gproxy-gateway (:8443) │ │ └── TCP 127.0.0.1:19150 ──┐ │ │ │ GproxyNativeClient (Java) │ │ │ │ │ ├── TLS 1.3 ──────────────┼──────────────┤ ├── Activation (4 steps) │ │ ├── X25519 key exchange │ │ └── AES-256-GCM frames ──┼──────────────┤ │ │ │ MTProto relay ──── teamgram (:10443) │ │ │ │ │ MySQL, Redis, Kafka │ │ etcd, MinIO

gproxy-native протокол

1. TLS 1.3 подключение

Клиент устанавливает стандартное TLS 1.3 соединение к серверу на порту 8443. Сервер предоставляет валидный SSL-сертификат (Let's Encrypt). Для DPI — это обычный HTTPS.

2. Steganographic Activation (4 шага)

Клиент отправляет 4 HTTP-запроса, в которых стеганографически спрятаны HMAC-токены:

Шаг	Метод	Путь	Где спрятан токен
0	GET	/	Cookie: `_ga=<token>`
1	GET	/assets/style.css	If-None-Match: `"<token>"`
2	GET	/assets/app.js	Cookie: `_gid=<token>`
3	POST	/api/analytics	JSON body: `{"sid":"<token>"}`

Токены генерируются из PSK пользователя через HMAC-SHA256 с time-based seed (окно 120 секунд ± допуск). Для DPI — обычные аналитические запросы браузера.

3. Tunnel Stream

После активации клиент открывает HTTP POST stream (/video/stream/session.mp4) — выглядит как видеостриминг. Через этот stream идёт key exchange и затем зашифрованные данные.

4. X25519 Key Exchange

Клиент → Сервер:  [32B X25519 pubkey] [24B nonce]         = 56 байт
Сервер → Клиент:  [32B X25519 pubkey] [24B nonce] [32B proof] = 88 байт

Shared secret = X25519(client_private, server_public)
Master key    = HKDF-SHA256(shared_secret, client_nonce||server_nonce, "gproxy-session-v1")
Client key    = HKDF-SHA256(master, "", "client-write-key")
Server key    = HKDF-SHA256(master, "", "server-write-key")
Nonce prefix  = HKDF-SHA256(master, "", "nonce-prefixes")[0:8]

5. Encrypted Frames

Все данные передаются в зашифрованных фреймах:

Wire Frame = [Header (12B cleartext)] [Ciphertext (N bytes)] [Auth Tag (16B)]

Header (12 bytes, AAD):
  [2B] payload_length (BE)
  [1B] frame_type: 0x01=DATA, 0x02=KEEPALIVE
  [1B] flags
  [8B] sequence_number (BE, anti-replay)

Encryption: AES-256-GCM
  Nonce = [4B prefix] + [8B sequence BE] = 12 bytes
  AAD = frame header (12 bytes)
  Payload = MTProto message + padding (VP8-like size distribution)

6. VP8 Камуфляж

Размеры фреймов подбираются по гистограмме VP8 видеокодека (WebRTC профиль):

Размер	Описание
~150 B	Малые P-frames
~350 B	Средние P-frames
~600 B	Стандартные P-frames
~900 B	Большие P-frames
~1200 B	Типичный размер (≈MTU)
~1400 B	Крупные P-frames
~3000 B	I-frame фрагменты

Компоненты

Сервер: gproxy-gateway (Go)

Порт: 8443 (TLS)
Язык: Go 1.22+
TLS: стандартная Go crypto/tls (TLS 1.2/1.3)
HTTP: Go net/http с поддержкой HTTP/1.1 и HTTP/2
Фасад: обычные запросы проксируются на лендинг Семейнограм
MTProto relay: после активации — bidirectional relay к teamgram (:10443)
Systemd: gproxy-gateway.service

# Путь: /data/teamgram/gproxy-gateway/
internal/
  crypto/     — X25519, HKDF, AES-256-GCM, HMAC-SHA256
  activation/ — 4-step steganographic handshake
  frame/      — wire frame encode/decode, VP8 padding
  server/     — TLS server, activation handler, tunnel, relay

Android клиент (Java)

Архитектура: чистая Java (без JNI для gproxy)
Шифрование: AES-256-GCM (javax.crypto, Android API 21+)
Key exchange: X25519 (java.security, Android API 31+ / BouncyCastle fallback)
DC address: 127.0.0.1:19150 (локальный relay)
Reconnect: автоматический с exponential backoff
Foreground Service: persistent notification для keep-alive

GproxyNativeClient.java  — протокол (TLS, activation, KE, frames)
GproxyTransport.java     — lifecycle (retry, reconnect, service)
GproxyService.java       — foreground service (Android notification)

Серверная инфраструктура

Компонент	Порт	Назначение
gproxy-gateway	8443	Anti-censorship gateway (gproxy-native)
teamgram	10443	MTProto server (Docker)
teamgram	11443	WebSocket MTProto (nginx proxy)
MySQL 8.0	3306	Основная БД
Redis 7	6379	Кэш/сессии
etcd 3.5	2379	Service discovery
Kafka 3.9	9092	Очередь сообщений
MinIO	19000	Объектное хранилище
gproxy VPN	4443	VPN (отдельно от мессенджера)

Безопасность

Аспект	Реализация
Аутентификация	PSK + HMAC-SHA256 токены (4-step activation)
Key exchange	X25519 (ephemeral, perfect forward secrecy)
Шифрование	AES-256-GCM (AEAD, authenticated encryption)
Anti-replay	64-bit sequence counter в каждом фрейме
Anti-DPI	TLS 1.3, VP8 camouflage, HTTP analytics pattern
Server identity	HMAC proof в key exchange response

Версии

Версия	Статус	Описание
v2.0.0-exp	RC	gproxy-native protocol (Java клиент + Go сервер)
v1.9.0	Stable	SOCKS5 relay через libgproxy
v1.5.0		Прямое MTProto подключение (без gproxy)
v1.0.0		Первый запуск

Репозитории

greevex/tg-server — серверная часть (teamgram + gproxy-gateway)
greevex/tg-android — Android клиент
greevex/tg-desktop — Desktop клиент
Ветка: gproxy-native-protocol

API / Админка

Админ-панель — управление пользователями, сессиями, чатами
API: /api/stats, /api/users, /api/sessions, /api/health и др.
Токен: Bearer авторизация