Жоржъ Борманъ
Посвященный
Думаю, тебе не нужно лишний раз напоминать, почему тайна переписки должна по умолчанию оставаться тайной. Сейчас есть множество мессенджеров, каждый из которых предлагает какую‑то защиту от перехвата данных. Но не все они устроены одинаково, и у каждого есть уникальные особенности. В этой статье мы пройдемся по самым приватным и мессенджерам.
Чтобы обзор не раздулся до космических размеров, мы сразу отбросим всякую попсу вроде WhatsApp, Telegram и Facebook Messenger. Для регистрации в них требуется телефон, а защищенность — полностью на совести разработчиков. Будем ориентироваться в первую очередь на полную анонимность, грамотно выстроенное шифрование, а также отсутствие закладок — то есть открытый и прошедший сторонний аудит исходный код.
Почему не Signal?
У мессенджера Signal хорошая репутация среди поклонников безопасного общения, и это абсолютно заслуженно! Среди его достоинств:- открытый исходный код;
- сильная криптография, которая активна по умолчанию;
- проведенный аудит безопасности;
- кросс‑платформенность;
- наличие большого числа полезных функций: пересылка файлов, аудио- и видеозвонки;
- самоуничтожающиеся сообщения.
- требуется телефонный номер для регистрации. И только недавно была добавлена возможность показывать собеседнику никнейм вместо своего телефонного номера;
- Signal делится телефонными номерами со сторонними (!) компаниями, и уже была
Будь ласка, Увійти або Реєстрація щоб переглянути вміст URL-адреси!попытка взлома, в ходе которой телефонные номера утекали в руки злоумышленников;
- централизованная инфраструктура мессенджера. Если основные компоненты инфраструктуры выйдут из строя, работа мессенджера станет невозможной.
Session
Помимо серьезной защиты передаваемых данных, этот мессенджер отличается повышенной анонимностью. Он работает поверх сети Oxen, принцип которой схож с Tor: выстраивается цепочка служебных узлов от отправителя сообщения к получателю. Клиент есть для всех актуальных платформ: Android, iOS, macOS, Windows, Linux.
Session путает следы
При регистрации генерируется уникальный идентификатор пользователя и секретная фраза, предназначенная для восстановления аккаунта на новом устройстве. Поддерживаются все необходимые фичи современных мессенджеров: звонки, исчезающие сообщения, передача файлов, групповые чаты и так далее. Для получения уведомлений может использоваться инфраструктура Google (режим быстрой доставки), но самые параноидальные пользователи могут отключить эту функцию.
Режимы доставки
Без серверов Google сообщения будут продолжать приходить, но с некоторой задержкой. Впрочем, при тестировании даже «быстрая доставка» работала далеко не моментально.
Основной минус этого мессенджера в том, что разработчики выбрали спорные решения в плане безопасности: отказались от использования Perfect Forward Secrecy и режима правдоподобного отрицания.
Справка
Perfect Forward Secrecy (PFS) — это криптографическая функция, которая обеспечивает безопасность ключей шифрования, даже если долгосрочные ключи сервера скомпрометированы. В контексте сеансового шифрования PFS гарантирует, что каждый новый сеанс использует уникальный временный ключ, который не зависит от других ключей. Таким образом, даже если злоумышленник получит доступ к долгосрочным ключам, он не сможет расшифровать прошлую или будущую зашифрованную информацию, так как каждый сеанс использует отдельный ключ, который не сохраняется после завершения сеанса.Режим правдоподобного отрицания — это функция в системах шифрования и защиты данных, которая позволяет пользователю отрицать факт существования определенных данных даже под принуждением. Идея заключается в том, что пользователь может хранить секретную информацию в зашифрованном виде и предоставить доступ только к определенным данным, которые выглядят безобидно, в то время как более чувствительная информация остается скрытой и защищенной. Например, в некоторых системах шифрования можно настроить несколько паролей: один для доступа к обычным данным, а другой — для доступа к более важным данным. Если пользователь подвергается давлению, он может предоставить пароль к безобидным данным, делая вид, что это все, что у него есть, а истинно важная информация остается скрытой.
И еще из странных решений: чтобы поднять свой сервисный узел, нужно заморозить на своем счету валюту OXEN примерно на 15 тысяч долларов США. Объясняется это как защита от заспамливания неблагонадежными нодами.
Плюсы:
- полная анонимность благодаря сети Oxen;
- для регистрации не требуются никакие данные пользователя;
- возможность восстановления учетной записи при помощи секретной фразы;
- используется минимально необходимое количество передаваемых метаданных;
- открытый исходный код;
- децентрализованная структура сети;
- шифрование по умолчанию (используются стойкие криптоалгоритмы);
- проведен аудит кода.
- редкие обновления;
- анонимность обеспечивается только для сообщений;
- медленная доставка сообщений;
- наличие мелких багов;
- не используется PFS;
- другие спорные решения в архитектуре безопасности.
SimpleX
Наверное, самый интересный мессенджер в этой подборке, он же и самый загадочный. SimpleX удовлетворяет всем современным требованиям: есть аудио- и видеозвонки, передача файлов, исчезающие сообщения, группы пользователей и прочее. Регистрация анонимна и не требует вводить номер телефона или какие‑либо другие данные. Структура сети федеративная, с возможностью подключения собственных серверов‑ретрансляторов. Приятно удивляет обилие настроек: можно подключать свои ноды, серверы WebRTC ICE и XFTP для передачи файлов.
Настройки SimpleX
Для защиты данных используется протокол SMP (SimpleX Messaging Protocol), который заворачивается в TLS для связи с ретранслирующими серваками. Разработчики регулярно выпускают обновления и чинят баги, поэтому приложение работает стабильно. Разумеется, весь исходный код открыт.
SimpleX использует сильную криптографию, в том числе постквантовые алгоритмы. В общем, по продуманности архитектуры и доступным настройкам клиента SimpleX выгодно отличается в лучшую сторону от большинства мессенджеров. Возможность развертывать собственные серверы — еще один важный плюс.
Тем не менее лично я пока отношусь к SimpleX настороженно. Проект никак не зарабатывает деньги, но уровень поддержки у него не хуже, чем у коммерческих. Подозрительно! К тому же SimpleX зарегистрирован
Будь ласка,
Увійти
або
Реєстрація
щоб переглянути вміст URL-адреси!
, а правительство этой страны то и дело
Будь ласка,
Увійти
або
Реєстрація
щоб переглянути вміст URL-адреси!
на право граждан надежно
Будь ласка,
Увійти
або
Реєстрація
щоб переглянути вміст URL-адреси!
. Аудит исходников был проведен, но
Будь ласка,
Увійти
або
Реєстрація
щоб переглянути вміст URL-адреси!
, то есть Минобороны США. Впрочем, исходный код открыт, и шифрование благородные лорды пока не запретили, так что, возможно, беспокоиться рано.Стоит отметить и то, что разработчики выбрали для проекта необычный язык программирования — Haskell. Любители функциональщины оценят, но такой выбор автоматически сужает число людей, способных разобраться в исходниках.
Плюсы:
- для регистрации не требуются никакие данные пользователя;
- открытый исходный код;
- частые обновления;
- шифрование по умолчанию (используются стойкие криптоалгоритмы);
- возможность детальной настройки сети;
- возможность защиты IP-адреса при помощи ретрансляции через SMP-серверы (как предустановленные, так и введенные вручную);
- проведен аудит кода;
- минимальная передача метаданных, несмотря на федеративную архитектуру сети.
- лишь частично децентрализованая (федеративная) архитектура сети;
- потребляет много трафика для служебных нужд;
- регистрация в Великобритании;
- отсутствуют групповые звонки.
Jami
Это полностью децентрализованный мессенджер, не требующий для регистрации каких‑либо данных от пользователя. Сообщения шифруются при помощи RSA и заворачиваются в TLS — именно в таком виде происходит циркуляция сообщений между нодами. Еще из плюсов мессенджера — можно кастомизировать bootstrap-серверы, добавлять и использовать ноды в DHT-сети Jami, менять серверы STUN и TURN.
Настройки Jami
Есть даже возможность подключать плагины, и доступен SDK для их написания. Например, через плагин можно менять фон при видеозвонке.
Настройки Jami
Интересная особенность — при регистрации тебе предлагается создать псевдоним, который потом хранится на NameServer (NS) сети Jami. Если ты потеряешь свой профиль (например, забудешь пароль), то восстановить его не получится и воспользоваться своим старым именем тоже, потому что неймсервер уже знает тебя. Зато таким образом обеспечивается защита от подделки личности. Понятно, что неймсервер не хранит ничего, кроме имени, но даже это — хоть и небольшая, но утечка метаданных.
Еще одно интересное наблюдение: когда происходит миграция аккаунта на другое устройство, он ненадолго целиком загружается в сеть Jami, правда, под паролем, который сгенерирует программа. Вопрос: насколько качественный это пароль и действительно ли его невозможно предсказать? Однозначного ответа у меня нет, так что это тема для отдельного исследования.
Плюсы:
- для регистрации не нужны никакие данные пользователя;
- открытый исходный код;
- децентрализованная структура сети;
- частые обновления;
- шифрование по умолчанию (используются стойкие криптоалгоритмы).
- спорный подход к защите метаданных;
- не был проведен аудит кода.
Status
Еще один интересный мессенджер, в котором заодно есть криптокошелек и Web3-браузер. Как и все мессенджеры в этом обзоре, не требует номера телефона для регистрации, а для передачи сообщений использует стойкую криптографию и имеет открытый исходный код. Как и Session, использует блокчейн для работы. У Status есть свой криптовалютный токен — ERC20 SNT. Токены можно покупать, а можно получить, например за поднятие своей ноды сети.
Настройки Status
Раньше во время загрузки мессенджера использовались bootstrap-серверы, которые позволяли получить служебную информацию, но после того, как сеть разрослась, такие серверы не используются по умолчанию. Однако, если что‑то пойдет не так, ты можешь включить их в настройках.
Приложение в автоматическом режиме подключается к ближайшим нодам, но ты можешь выбрать ноду и вручную. А при желании — создать свою и подключаться только к ней (что, на мой взгляд, неплохая возможность). Да и в целом количество настроек впечатляет.
Юридическое лицо зарегистрировано в Швейцарии, где действуют строгие законы о конфиденциальности.
При тестировании Status я столкнулся с мелкими багами. Например, при первом запуске приложения нужно согласиться с политикой конфиденциальности и условиями использования, но, когда нажимаешь на гиперссылку, она отправляет на главную страницу сайта.
Политика конфиденциальности и условия использования Status
Кстати, нужные документы я нашел, проскроллив страницу до самого конца, но относились они к самому сайту, а не к мессенджеру.
Плюсы:
- для регистрации не требуются никакие данные пользователя;
- возможность восстановления учетной записи при помощи секретной фразы;
- открытый исходный код;
- децентрализованная структура сети;
- шифрование по умолчанию (используются стойкие криптоалгоритмы);
- встроенный криптокошелек и браузер;
- базируется в Швейцарии;
- проведен аудит кода.
- заметные баги;
- мессенджер пока мало используется и недостаточно протестирован.
Briar
Мессенджер Briar работает внутри сети Tor, к тому же может работать без интернета — по принципу ad hoc поверх Bluetooth или Wi-Fi (во втором случае для общения нужно быть в одной сети). Для регистрации не требуется номер телефона.Вообще, возможность работать совсем без интернета — это своего рода киллер‑фича. Понятно, что радиус будет невелик, но все же, если случится техногенный апокалипсис, это может пригодиться!
Мало того, на Android этот мессенджер умеет и распространяться без интернета. Для этого нужно выбрать в настройках «Поделиться этим приложением офлайн», после этого будет создана точка доступа Wi-Fi, к которой можно подключиться. Адрес и порт Briar сообщит сам. Подключаешься, и можешь поставить приложение на новое устройство.
Briar устанавливается офлайн
Что до приватности, то тут все толково: мессенджер по минимуму использует метаданные пользователя, так что можно особенно не переживать, что они куда‑то утекут.
Из минусов — нет синхронизации между устройствами. Если войти в свой аккаунт с нового телефона, доступ к прошлым перепискам получить ты не сможешь. Ну а если потеряешь пароль от своего аккаунта, потеряешь и сам аккаунт.
Нет и других привычных функций: аудио- и видеозвонков и даже полноценной передачи файлов! Прикреплять к сообщениям можно только картинки. Надо признать, что в современном мире эти недостатки могут оказаться решающими. Но зато есть встроенная система блогов: делиться с миром ценными мыслями тут может любой пользователь.
Для меня большим недостатком стали скудные настройки. Например, запрещено делать скриншоты приложения, и этот запрет никак нельзя снять. Нельзя даже вручную вводить адреса мостов Tor, только включить или выключить возможность их использования. О современных мостах WebTunnel, похоже, речи тоже не идет. То есть разработчик все уже решил за тебя и никакого выбора не дает.
Плюсы:
- для регистрации не требуются никакие данные пользователя;
- анонимность за счет сети Tor;
- открытый исходный код;
- децентрализованная структура сети;
- шифрование по умолчанию (используются стойкие криптоалгоритмы);
- проведен аудит кода.
- мало возможностей по сравнению с другими мессенджерами;
- нет синхронизации между устройствами;
- слабая кастомизация.
Выводы
Подведем некоторые итоги:- Jami — крепкий середнячок, безопасный и децентрализованный;
- Session — подойдет, если нужна анонимность вместе с конфиденциальностью сообщений (с некоторыми указанными оговорками);
- Status — комбайн, включающий в себя, помимо мессенджера, еще кошелек криптовалюты и браузер;
- SimpleX — стабильный мессенджер с гибкой кастомизацией и регулярными обновлениями;
- Briar — мессенджер для постапокалипсиса, простой как молоток и умеющий работать вообще без интернета.
