Най-добрите криптирани приложения за съобщения (и техните ограничения) през [year] г.

Искате ли да знаете кое е най-доброто приложение за криптирани съобщения? За съжаление не е толкова просто, защото приложения, които са идеални при някои обстоятелства често се налага да правят компромиси които ги правят по-малко практични в другите.

Това означава, че най-доброто приложение ще зависи от ситуацията, така че все още ще се нуждаете от няколко различни опции, които ви осигуряват правилната смес от практичност и съответните нива на сигурност за всеки даден разговор.

За да започнете, нека разгледаме причините, поради които трябва да използвате приложение за криптирани съобщения, както и функциите на хипотетично перфектно приложение. Тогава можем да проучим основните приложения, които се предлагат, както и кога да използваме всяко от тях.

За да завършим, ще навлезем в ограниченията на тези приложения и в ситуациите, при които дори най-добрата защита не може да запази данните ви.

Защо да използвате приложения за криптирани съобщения?

През последните години приложенията за съобщения се превърнаха в едно гише, където можем да проведем по-голямата част от нашата комуникация. Повечето от нас имат своите телефони през повечето време, така че тези приложения ни позволяват да комуникираме, когато пожелаем. Това направи приложенията за съобщения далеч по-практични от другите канали за комуникация като стационарни разговори и съобщения, базирани на десктоп.

В по-голямата си част тези приложения са безплатни, което е още едно предимство пред неща като телефонни обаждания и SMS съобщения. Повечето приложения предлагат множество различни начини, по които можете да се свържете и с други. Можете да изпращате на хората текстови съобщения, гласови съобщения, да извършвате гласови или видео разговори, да изпращате снимки и дори да споделяте файлове.

На всичкото отгоре предлагат редица приложения за съобщения криптиране от край до край, което по същество означава, че данните не могат да бъдат достъпни по време на пътуването ви между телефона и получателя ви. Това помага да се попречи на хакерите да слушат вашите разговори и да откраднат данни, освен това предпазва правителството и от подхранване.

Тези аспекти правят приложенията за криптирани съобщения по-сигурни от телефонни обаждания, текстови съобщения, стандартен имейл и дори скромната пощенска станция. Когато добавите всички тези функции заедно, има много причини да се възползвате от приложенията за криптирани съобщения. Но не всички от тях са създадени равни, нито техните разработчици винаги вземат сериозно сигурността ви.

Идеалното приложение за криптирани съобщения

Ако бихме могли да направим мечтано приложение, то би съчетало разнообразие от различни функции, но за съжаление реалността се намесва и ни принуждава да правим компромиси. Независимо от това, перфектното приложение ще бъде:

Способен за комуникация с всички

В идеалния случай бихме искали само едно приложение, с което да се свържем с всички. Както е в момента, ние преживяваме досадата да превключвате между различни приложения, текстове, имейл и обаждания, когато общуваме с нашите приятели, семейство и колеги.

Би било по-ефективно, ако просто можехме да направим всичко на едно място. Теоретично това може да се осъществи по два начина. Първото е, ако всеки има и използва универсално приложение за съобщения. Алтернативата е едно приложение да може да изпраща съобщения до всички останали приложения.

В момента, всички наши популярни приложения за криптирани съобщения могат да се използват само за разговори с други, които използват същата платформа. Не можете да изпращате съобщение на WhatsApp до нечий акаунт в iMessage, можете да го изпращате само до други потребители на WhatsApp (въпреки че скоро Facebook ще интегрира своите приложения, така че хората да могат да изпращат съобщения между WhatsApp, Facebook Messenger и Instagram).

Да накараме всички да използват едно и също приложение може да не е практично поради нашите различни нужди. Другият вариант е редица различни приложения да използват един и същ протокол, което позволява оперативна съвместимост. Например, ако сте потребител на Gmail, не сте ограничени само да изпращате имейли до други акаунти в Gmail. Можете да изпратите имейл до всеки. Както могат Outlook потребителите и всички останали.

Подобни системи са възможни за приложенията за съобщения, като е необходимо само няколко платформи да използват един и същ основен протокол. Това вече съществува, като приложения като ChatSecure и разговори, всяко от които използва XMPP протокол, позволяват на потребителите да изпращат и получават съобщения от различни приложения, които използват един и същ протокол.

Този подход не е перфектен и много разработчици са го отхвърлили както по търговски, така и по технически причини. В интерес на Facebook и други компании е да ви държат заключени в техните услуги за съобщения. В по-практичен смисъл използването на отворен протокол ограничава това, което разработчиците могат да постигнат и затруднява добавянето на нови функции за сигурност или функционални цели.

Пълнофункционален & лесен за използване

Ако искаме всички да използват едно и също приложение, то ще трябва да включва всяка функция, която потребителите биха могли да искат. Ако няма неща като видео чат, емоджи или GIF, някои потребители вместо това ще се насочат към други услуги, които предлагат тези опции.

В допълнение към своите функции, идеалното приложение би било просто и удобно. Това автоматично ще синхронизира нашите контакти, ще улесни намирането на нови хора и ще предложи бърза и лесна комуникация. За съжаление, няколко различни механизма за удобство са в противоречие с някои от мерките за поверителност и сигурност, които ще обсъдим по-долу.

Посветен на сигурността

Сигурността е от решаващо значение при всяка ситуация, в която изпращаме чувствителна или ценна информация. По подразбиране интернет е много несигурно място и нападателите могат да дебнат на всеки ъгъл. Ето защо е важно нашите приложения за съобщения да вземат сериозно сигурността си.

Една от най-важните функции за сигурно приложение е криптиране от край до край. Когато това се осъществява заедно с най-добрите практики за сигурност, по същество прави невъзможно всеки да има достъп до данни, които пътуват между приложението на вашия телефон и приложението на вашия получател. Това означава, че нито престъпниците, нито правителството могат да имат достъп до данни или съобщения в транзит през услугата.

За някои потребители перфектното приложение ще им позволи остават анонимни. Това означава, че платформата ще им позволи да се регистрират, без да предават никакви данни. В настоящия момент всички по-масови приложения изискват някакъв идентификатор, независимо дали е имейл или телефонен номер. В определени случаи има начини да се заобиколи това, но това все още е пречка.

Анонимните потребители в крайна сметка ще се сблъскат с проблеми с практичността, защото приложенията няма да могат да им предлагат удобни функции като синхронизиране на контакти, без да нарушават идентичността им.

И поради причини за поверителност и сигурност, е идеално приложението да избягвайте съхраняването на потребителска информация. Платформите трябва да събират и обработват някои метаданни, за да установят и активират вашите комуникации. Също така е възможно те да изтрият данните след това. Някои услуги обработват и съхраняват значително повече метаданни от техните конкуренти, което е огромен червен флаг за поверителност и сигурност.

Също така е важно всяко приложение за сигурни съобщения да бъде отворен код. Това означава, че кодът е достъпен за обществеността и може да бъде проверен от всеки. Колкото повече хора гледат кода, толкова по-голям е шансът някой да забележи уязвимости или злонамерени действия.

Трябва да се провеждат и външни одити за сигурност, но не и като заместител на софтуера с отворен код. Одити се извършват от малка група хора, което увеличава вероятността прегледът да бъде компрометиран. Резултатите също не могат да бъдат публикувани. Външните одити нямат същия вид контрол, който идва от колективните очи на общност, изливаща се върху изходния код.

Голямо разнообразие от други функции за защита, които също трябва да бъдат приложени, като например перфектна секретност напред. Това е термин за криптография, което означава, че дори и ключовете за криптиране да бъдат компрометирани в бъдеще, те не могат да бъдат използвани за достъп до минали съобщения. Други може да искат функции като саморазрушаващи се съобщения или дори механизъм, който деактивира заснемането на екрана.

Може да е идеално да имате много от тези функции за сигурност активирано по подразбиране за защита на потребителите, позволявайки им да деактивират тези, които пречат на използването им. Освен това, идеалното приложение може да има строги, стандартни и леки режими, които улесняват потребителите да адаптират конфигурацията на сигурността към техните нужди.

Не са важни само характеристиките – важно е и отношението на програмиста. Програмистът на това хипотетично приложение трябва да бъде ангажирани с поверителността, сигурността и прозрачността. Те трябва да се противопоставят на посегателства от властите и да отказват да събират потребителски данни за реклама.

Най-добрите приложения за криптирани съобщения

След като обсъдихме идеалните функции на приложението за защитени съобщения, можем да започнем да анализираме по-често срещаните приложения за техните положителни и отрицателни атрибути.

Ще започнем с покриването на няколко приложения, фокусирани върху сигурността и след това ще преминем към тези с по-широки мрежи. Предлагат се безброй други приложения, всяко със собствени интересни функции за сигурност или големи потребителски бази в определени региони.

Основната цел е да се проучат приложенията с най-добрата сигурност, както и най-често срещаните, за да ви даде представа кои са добре да използвате, както и тези, от които трябва да се избягвате.

1. Сигнал

Синя икона на сигнала от Тайлер Райнхард, лицензиран под CC0

Да започнем със сигнала, който често се разглежда като златен стандарт, когато става дума за приложенията за криптирани съобщения. Има много неща за това, съобразено със сигурността, въпреки че не е перфектно и някои алтернативи може да имат индивидуални функции, които някои потребители предпочитат.

Приложението предлага набор от функции, които го правят съпоставим с услуга като WhatsApp. Има всичко важно – от текст до видео разговори, групови чатове и емоджи. Освен това е невероятно лесен за използване в сравнение с други сигурни форми на комуникация като PGP.

Сигналът се откроява с настройката си за криптиране, която е организирана по такъв начин, че компанията като цяло нямате достъп до вашите данни или ключовете които го осигуряват. Той не държи и на вашите метаданни, така че когато властите призоват записите на сигнала, няма много неща, които могат да предадат.

Това е тествано в съда и преди, единствените данни, които компанията успя да предаде, бяха времевата марка за създаването на акаунта, както и кога за последен път е свързана. Запазването на такъв ограничен обем данни показва, че Signal поставя сериозно ниво на загриженост за сигурността и поверителността на своите потребители.

Може да не искате да се отегчавате от детайлите, но сигурността му се постига чрез различни алгоритми и механизми за защита. Те включват цифрови подписи на XedDSA и VXEdDSA, разширения троен протокол за съгласие с ключове Diffie-Hellman, както и Double Ratchet и Sesame алгоритмите.

Всеки, който има техническо ноу-хау, може да провери кода на сигнала, защото е отворен код. Той също така беше одитиран от изследователи, които не откриха „няма големи недостатъци в неговия дизайн“. Това е далеч по-светещ преглед, отколкото звучи като в света на сигурността.

Като цяло протоколът се справи изключително добре срещу всичките си проверки, поради което мнозина го разглеждат като най-доброто и най-практично решение за сигурни съобщения.

Едно от основните препятствия, които защитниците имат с приложението, е това изисква телефонен номер за регистрация. Използва се за проверка на акаунта на потребителя, премахвайки необходимостта от потребителски имена и пароли. Освен това улеснява откриването на контакти, които използват Signal.

Някои хора не са склонни да предадат своя телефонен номер, но е необходимо само да настроите акаунта. Потребителите могат също така да използват VoIP номер, стационарен или неличен номер, така че има проблеми с проблема..

Друг плюс за Signal е неговата структура, финансиране и цялостна визия. Той е основан от Moxie-Marlinspike, енигматичен човек, известен с това, че е анархист моряк, както и крипто-савант. След години клякане и автостоп той създава компания, наречена Whisper Systems.

Когато това бе придобито от Twitter, той стана ръководител на платформата за социална медия в киберсигурността. В крайна сметка напусна компанията, за да започне Open Whisper Systems – компанията, която сега развива Signal. По този начин той се отдалечи от опциите за акции от 1 милион долара.

Приложението е безплатно, без реклами и то не събира или продава своите потребителски данни. Понастоящем той съществува от безвъзмездни средства и дарения, които са дошли от Фондация „Свобода на печата“, Брайън Актън и други.

Въпреки че тези подробности не превръщат автоматично Signal в надеждна организация, той го прави по-надежден от алтернативи като Facebook, които разчитат на извличане на данни, за да направят милиарди.

Най-големият недостатък на Signal е, че той никъде не е толкова популярен, колкото основни приложения като WhatsApp или Facebook Messenger. Той е популярен за журналисти, активисти, политици и други, които се занимават с чувствителна информация, но не е видял същия вид широко приемане като по-големите си съперници.

Това означава, че може да не сте в състояние да го използвате, за да изпратите съобщения до много свои приятели, семейство или колеги. Можете да опитате да ги насърчите да го приемат, но не винаги е лесно да се продаде. Въпреки че това е една от най-добрите възможности за всеки път, когато се занимавате с чувствителна или ценна информация, може да се наложи да се върнете към по-малко сигурни алтернативи като WhatsApp или Facebook Messenger, за да говорите с определени хора.

2. Тел

Лого на текстово лого от Wire, лицензирани под CC0

Wire е по-малко популярен от Signal, но има някои разлики, които го правят подходяща алтернатива при определени обстоятелства. Той предлага основната група от очаквани функции, като съобщения, гласови и видео разговори, както и групови чатове. Той също така включва набор от инструменти за сътрудничество, насочени към бизнес пазара. Приложението Wire също е относително удобен и лесен за използване.

Едно от предимствата му е, че позволява на потребителите да регистрирайте се без да предавате телефонен номер. Те могат просто да се регистрират с потребителски имена и пароли. Нейните съобщения са шифровани с Proteus, който се основава на сигналния протокол. Wire използва SRTP и DTLS за гласови повиквания.

Тел също е с отворен код и е одитиран външно. По-ранните версии имаха някои проблеми със сигурността, въпреки че проблемите оттогава се решават. В настоящия си вид се смята, че приложението предлага високо ниво на сигурност.

Един от най-големите недостатъци на Wire е, че той съхранява много повече метаданни отколкото сигнал. Тази информация се съхранява като незабележим текст и включва кой е бил свързан и кога е нежелателно за потребителите, които искат да запазят тази информация скрита. Според изявления от Wire, тази информация се съхранява, за да помогне за синхронизиране на контактите на множество устройства.

Няма публична информация (към момента на писането), която да показва дали платформата е принудена от органите да предават потребителски данни, така че понастоящем не знаем как би изглеждало приложението по този начин в сравнение със Signal.

Съдейки по факта, че Wire събира повече данни, най-добре е да предположим, че би било така принудени да предадат повече на властите, но не знаем дали компанията е готова или не, когато се сблъска с исканията на правоприлагащите органи.

Проектът е базиран в Швейцария и се състои от много бивши служители на Skype. Първоначално той получи финансиране от Iconical и пое ангажимент срещу използването на реклами в подкрепа на платформата. Понастоящем предлага както безплатни планове, така и премиум опции, които по презумпция осигуряват финансиране за неговото развитие и текущи разходи.

Wire има по-малка мрежа от Signal, което означава, че потребителите имат дори по-малко хора, с които да общуват. Въпреки това, това е практично решение за бизнес потребители, тези, които искат а платформа за кръстосано устройство и за потребители, които не искат да предават своите телефонни номера.

3. Wickr

Уикър е един от по-стари приложения, насочени към сигурността, предлагайки функции като съобщения, видео разговори, споделяне на снимки и синхронизиране между устройства. Както всяко от приложенията, обсъдени в тази статия, Wickr има своите плюсове и минуси. Това означава, че ще бъде подходящ избор в някои ситуации, но не и в други.

Wickr предлага три различни услуги:

• Уикър ме – Безплатно приложение за лични съобщения.
• Wickr Pro – Платформа за бизнес сътрудничество с безплатни и платени опции.
• Wickr Enterprise – Мащабируем и готов за съответствие инструмент, насочен към задоволяване нуждите на предприятията.

Всяко от тези нива включва различни функции, които могат леко да променят настройките за сигурност и поверителност. Тази статия ще се занимава главно с Wickr Me, защото това е най-сравнимата услуга с другите приложения, които ще обсъдим.

Протоколът за съобщения на Wickr предлага криптиране от край до край с перфектна секретност напред и отлична изчезваща система за съобщения. Неговата настройка за сигурност получи благоприятни отзиви от експерти по сигурността и също така беше похвален от Фондация за електронна граница за цялостния му подход към прозрачността.

Приложението отнема метаданните от комуникацията, която пътува през мрежата му, което е печалба за поверителността на потребителите. Друга важна характеристика е, че не изисква телефонен номер или идентифицираща информация. Това означава, че може да се използва за анонимни съобщения, за разлика от Signal.

Уикър също има силна история на сигурността. Преди няколко години бяха открити някои бъгове, но оттогава те са кръпкани. Дори в нишата на сигурността такъв малък брой недостатъци е похвален.

Един от основните проблеми с Wickr е това това не е напълно отворен код. Кодът за криптографския протокол на приложението най-накрая бе освободен през [year] г., но клиентското му приложение и кодът от страна на сървъра все още не са налични.

Според ZDNet, бившият изпълнителен директор на Wickr е бил устойчив на пълното отваряне на кода поради „собствената интелектуална собственост на компанията и бизнес структура с печалба.“ Wickr пусна кода за протокола за сигурност след смяна на ръководството, но той все още отказва. да публикува кода в неговата цялост.

Много хора изглежда смятат, че приложението е напълно отворен код. Това впечатление може да се е разпространило, защото в много медийни статии не става ясно това само защитният протокол е направен с отворен код, а не клиентският или сървърният код.

Това е опасно погрешно схващане, защото кара хората да вярват, че пълният код е бил преразгледан открито от общността за бекграунд и други уязвимости. Това не е така и въпреки че компанията като цяло изглежда сравнително надеждна, не можем да знаем със сигурност, докато кодът не бъде напълно отворен код.

На този етап, Wickr изглежда не показва намерения да се насочи в тази посока, което би могло да показва, че правенето на код на протокола за сигурност с отворен код е по-скоро публичност, отколкото ангажимент за сигурност.

Шансът Wickr да има заден прозорец за властите може да е сравнително малък, но тъй като много други приложения, фокусирани върху сигурността, са изправени пред пълния контрол, който идва от отворен код, тези алтернативи са още по-малко вероятни да имат такава.

Въпреки че напълно отворени приложения обикновено са предпочитани от защитната общност, честно е да се помисли и за другата страна. Wickr е преминал външни прегледи от редица надеждни организации. Те включват Aspect Security, Veracode, NCC Group и AICPA. Компанията има и програма за баг-баунт, която предлага до 100 000 долара.

В крайна сметка ще трябва да вземете свое собствено решение дали се доверявате на компанията и нейните одити или дали предпочитате опция, над която общността с отворен код може да разгледа.

В крайна сметка Уикър е много прозрачен по отношение на това, какви данни събира, както и при какви условия може да бъде принуден да предаде лична информация на властите.

Wickr съхранява следната информация за тези, които използват услугата Me:

• Датата на създаване на акаунт.
• Видът на устройствата, за които е използван акаунта.
• Датата на последната употреба.
• Общият брой на изпратени и получени съобщения.
• Броят на външните идентификационни номера (имейл адреси и телефонни номера), свързани с акаунта, но не и самите външни идентификатори на открития текст.
• Изображението на аватара (ако потребителят предостави такова).
• Ограничен набор от записи относно последните промени в настройките на акаунта. Те могат да включват дали дадено устройство е добавено или спряно, но не включва съдържание на съобщение или информация за маршрутизация и доставка.
• Използваният номер на версията на Wickr.

Тези, които използват услугата Pro, съхраняват и следната информация:

• Тяхната мрежова принадлежност.
• Техният идентификатор на Wickr Pro (имейл адрес).
• Техният телефонен номер, ако е предоставен от мрежов администратор като втори фактор за удостоверяване.

В зависимост от начина на настройване на Wickr Pro, той може да събере още повече данни. Компанията включва следния отказ от отговорност:

За Wickr Pro конфигурацията на всяка мрежа може да варира в зависимост от нуждите на предприятието. По този начин информацията, която Wickr може да бъде в състояние да предостави в отговор на законно искане за потребителска информация, също ще варира.

Тъй като Wickr съхранява само изброените по-горе данни, това е единствената информация, която може да предаде на органите на реда, което означава, че не може да се откаже от съдържанието на съобщенията или метаданните. В политиката за поверителност на компанията се посочва също, че тя ще уведомява своите потребители, ако е имало искания за информация за техния акаунт, освен ако не е законно възпрепятствано да го направи. В този случай тя има за цел да уведоми засегнатия потребител веднага след като му бъде разрешено.

Wickr също така публикува доклади за прозрачност два пъти всяка година. Докладът му от 1 юли обхваща исканията, получени през предходните шест месеца, които включват:

• Пет заповеди за търсене, обхванали осем профила (една поръчка може да се отнася за повече от един акаунт).
• 49 съдебни разпореждания относно 75 сметки.
• 40 призовки за правоприлагане, покриващи 59 сметки.
• Нулеви искания за национална сигурност.
• 21 други искания.
• Четири искания, отнасящи се до резиденти извън САЩ.

Както казахме по-горе, когато Wickr получава тези искания, той може да предаде само информацията, която съхранява, а не съдържанието на съобщението или метаданните.

Основният екип на Wickr се състои от специалисти по киберсигурност и експерти по поверителността. Голяма част от първоначалното техническо развитие беше наблюдавано от един от съоснователите на организацията и нейния бивш технически директор, доктор Робърт Статица. Той има впечатляващо родословие на инфосек, което в комбинация с настоящото ръководство на компанията поддържа проекта в добри ръце.

Организацията получи първоначално финансиране от разнообразна група или организации, включително фондация Knight, Breyer Capital, Juniper Networks, CME Group, Wargaming и други. Това е доста стандарт за фирма с печалба. В момента бизнес моделът на Wickr се основава на предлагането на премиум услуги за абонамент.

Като цяло Wickr е доста подобен на Wire, защото предлага редица бизнес услуги и позволява на потребителите да се регистрират анонимно. Той печели допълнителни точки с това, че не съхранява метаданни, като Wire, но отказът му да направи кода си напълно отворен код ще отложи много повече хора, които са в безопасност.

Докато Wickr като цяло е добра услуга, Signal предлага по-голяма мрежа и няколко предимства за сигурността. Освен ако не изисквате конкретно инструментите за бизнес сътрудничество или анонимност, Signal е вероятно по-добрият избор при повечето обстоятелства.

4. Бунт

Riot използва различен подход към по-рано обсъжданите приложения и вероятно е най-добре да се остави на потребителите на захранване в момента. е с отворен код и използва федералния протокол Matrix, което означава, че потребителите на Riot не са ограничени да изпращат съобщения до други, които са инсталирали същото приложение.

Защото е изграден върху отворен стандарт, Riot съобщенията могат да бъдат доставени до всяко друго приложение, което също използва протокола Matrix. Това означава, че съобщение за Riot може да отиде направо във входящите кутии на всеки, който използва програми като Fractal или WeeChat Matrix.

Съединената природа го прави като имейл – можете да изпращате и получавате имейли от всеки, дори ако използвате Gmail и те използват Outlook. Подобно на имейла, протоколът Matrix има за цел да бъде широко приет, като позволява на хората да изпращат взаимно съобщения, независимо кой клиент използват.

Има официални мостове към протоколи като XMPP и IRC, както и инструментът за сътрудничество Slack. Общността също е разработила свои собствени мостове, които препредават съобщения към и от различни популярни видове комуникация, включително:

• електронна поща
• СМС
• WhatsApp
• сигнал
• Facebook Messenger
• Skype
• iMessage
• телеграма
• Google Hangouts
• WeChat
• раздор

Riot предлага различни общи функции, от текстови до видео разговори, частни чатове до групови чатове, споделяне на файлове и дори ботове. Той обаче не е толкова лесен за използване и далеч по-малко зрял от конкурент като Signal.

Въпреки привидните предимства на възможността да комуникирате между приложенията, федеративните системи също имат своите недостатъци. Те могат да направят развитието по-предизвикателно, което може да доведе до изоставяне от обградени системи като Signal и Wire. Това означава, че може да закъснеят с приемането на нови функции и механизми за сигурност, което прави услугите по-малко привлекателни.

Криптирането от край до край в Matrix протокола на Riot е изградено върху алгоритъма Double Ratchet, който сигналът също използва. Matrix използва MegOLM за групови чатове, както и редица други криптографски техники.

Riot все още е сравнително незряло приложение, така че настоящата му сигурност е спорна. През април сървърите за основния протокол Matrix бяха проникнат от хакер, което може да им е предоставило достъп до данни за съобщения, хешове за пароли и маркери за достъп.

Ключът за подписване на приложението Riot също може да е компрометиран, което потенциално би могло да позволи на нападателя да пусне злонамерена версия на Riot. Разработчиците пуснаха нова версия на приложението с различен идентификационен номер, за да предотвратят тази възможност.

На този етап изглежда, че не е извършен задълбочен одит на сигурността, така че е трудно да се разбере доколко добре Riot се задържа срещу контрола. Приложенията в ранните си етапи обикновено са изпълнени със проблеми със сигурността, така че потребителите трябва да бъдат предпазливи, но това не означава непременно, че Riot няма да бъде сигурно приложение в бъдеще.

Riot се връща към Amdocs, израелска многонационална компания, която сега е със седалище в САЩ. В компанията беше създаден инструмент за чат, който се преобразува в протокола Matrix. Създадено бе дъщерно дружество, което да се справи с проекта, но финансирането му бе прекъснато през [year] г..

Това доведе до основни разработчици, създаващи своя собствена компания да се съсредоточи върху изграждането на Matrix и Riot. Голяма част от първоначалното финансиране идва от общността, с парична инжекция от Статус, партньорства и потенциал за консултации. Съгласно този бизнес модел, приложението в момента се предлага безплатно, без рекламна поддръжка.

Съществува малко количество скептицизъм в интернет относно началото на приложението под Amdocs, което по-рано беше разследвано за възможно шпиониране, свързано с Израел. Разследването не намери никакви доказателства и проектът сега се ръководи от отделна компания. Връзката вероятно е един от най-малко засягащите аспекти на сигурността на Riot, но някои глупаци на инфосек обичат добра конспирация.

На този етап Riot има a сравнително малка мрежа. Уебсайтът му предполага, че има седем милиона потребители, докато Google Play Магазин претендира 10 000+. Цифрите на Riot със сигурност биха могли да бъдат точни, тъй като по-голямата част от общността му е съобразена със сигурността, което ги прави по-склонни да изтеглят приложението през браузъра си или F-Droid.

Въпреки малката си потребителска база, Riot е много по-използваем, отколкото тези числа предполагат поради своята оперативна съвместимост с други приложения, които използват протокола Matrix, както и неговите мостове към други платформи.

5. WhatsApp

WhatsApp Логотип от WhatsApp, лицензирано под CC0

Сега, когато обсъдихме няколко различни насочени към сигурността приложения, е време да разгледаме по-масовите платформи. Като компромис между сигурността и наличието на голяма мрежа, WhatsApp е може би най-добрият залог. По отношение на функциите, той има почти всичко, от което повечето хора се нуждаят, той е изграден на основата на протокола на Signal и има невероятен брой потребители, с 1,5 милиарда активни месечни потребители до края на [year] г..

Поради повсеместността му повечето читатели вероятно са запознати с него, така че няма да разгърнем подробно неговите функции. Най-важната част е нейната сигурност. През 2014 г. WhatsApp направи вълни в технологичната индустрия като една от първите големи платформи, които започнаха криптиране на съобщенията си от край до край по подразбиране.

Той си сътрудничи с родителските системи Open Whisper Systems на Signal, за да се случи това, водейки пакета в текущата вълна на приемане на криптиране. Въпреки че е построен по един и същ протокол, не всички аспекти са еднакви. Като начало, неговото код е патентован и не е отворен за проверка. Това означава, че не можем да сме напълно сигурни какво става под капака.

Въпреки че са открити няколко уязвимости, те бяха значително завишени от медиите. През [year] г. Guardian съобщи за значителен недостатък, който застрашава потребителите – обаче по-късно това се установи като неточно и оттогава хартията оттегли статията.

През май бе открита уязвимост в WhatsApp, но оттогава тя е кръпка. Въпреки че недостатъкът със сигурност е бил тревожен, той трябва да се разглежда в правилния му контекст. Той включваше много напреднала техника, разработена от NSO Group, компания за сигурност, която развива толкова сложни атаки, че по същество може да се разглежда като кибер-свръхзлавен конгломерат.

Не е ясно колко хора са засегнати, но ако подобни атаки продължават, хакът щеше да отнеме голям брой ресурси, можеше да се използва само целенасочено.

Следвайки тази логика, изглежда, че потребителите с нисък риск не са били уязвими и дори да са били, те са в безопасност, стига да имат инсталира най-новата актуализация. Въпреки тези случайни и препълнени отчети, платформата на WhatsApp е една от по-сигурните налични възможности

Въпреки че сигурността на приложението е прилична, най-тревожните разлики между WhatsApp и Signal се свеждат до количеството данни, което WhatsApp събира, както и кой го контролира. WhatsApp съхранява много повече метаданни от Сигнал, включително с кого е осъществен контакт, по кое време е станала комуникацията и колко време са продължили обажданията.

Той публично споделя тази информация и данни от адресната книга с властите, ако му бъде наредено да направи това. Въпреки че WhatsApp не може да предаде съдържанието на съобщението, метаданните често са достатъчни, за да помогнат на правоохранителните органи при разследванията му.

WhatsApp също предава тези данни на Facebook под оправданието, че уж помага за борба със спам, проследяване на показатели и показване на по-подходящи реклами. Изключението е в Европа, където регулацията на ЕС не позволява на компанията да го прави.

Facebook има дълга история на нарушенията на поверителността – бизнес моделът му разчита. Въпреки приличните приложения за сигурност на WhatsApp, трудно е да подминем подчинението си на толкова противоречива компания. Той вече споделя метаданните си, но може ли личността и сигурността да се влошат с течение на времето?

Всичко за бъдещето на WhatsApp е в ефир, защото Facebook в момента е в средата на мащабен ремонт, който има за цел да интегрира Facebook, WhatsApp и Instagram, за да позволи междуплатформени съобщения между услугите.

Трудно е да се знае как това ще се отрази на сигурността, тъй като на този етап не са публикувани много подробности. Facebook изрази по-голям ангажимент за поверителност в бъдеще, но на този етап не можем да сме сигурни как ще свършат нещата.

WhatsApp далеч не е перфектен, особено когато вземете предвид кой е неговият господар. Имайки предвид обаче, че толкова много хора вече го имат, е добър избор дали не са възможни по-сигурни опции.

6. Телеграма

Лого на Telegram от Javitomad, лицензиран съгласно CC0

Често се смята, че Telegram е сигурна алтернатива, но когато копаете по-дълбоко, не всичко е както изглежда. Той е богат на функции и се разраства бързо, особено в страни, в които други услуги са забранени.

Първият удар срещу приложението е, че неговата схема за криптиране, MTProto, се основава на собствената криптография на Telegram. Това е кардинален грях, защото криптографията е прословуто сложна и лесна за прецакване. Криптографите платформата отдавна е критикувана за това, че не използват по-сигурна и щателно разгледана схема за криптиране.

Втората основна вина е това само неговият изходен код от страна на клиента е отворен код. Това означава, че всъщност не знаем какво се случва със страната на сървъра. Telegram твърди, че в крайна сметка ще пусне целия код, но дотогава не може да бъде подробно разследван за проблеми със сигурността.

Telegram също беше критикуван за настройката си за съобщения по подразбиране, която не е криптирана от край до край. Компанията има достъп до ключовете, които защитават комуникациите на потребителя и теоретично може да бъде принудена да ги предаде на властите.

Telegram твърди, че това никога не се е случвало и че поради конфигурацията му, ще са необходими съдебни разпореждания от множество държави, за да го направят, но все още е проблем, че Signal и WhatsApp не споделят.

Telegram предлага и секретна чат функция, която криптира съобщенията от край до край, но и това е проблематично. Като начало, тя се основава и на противоречивата схема на шифроване на Telegram, която може да не е толкова сигурна, колкото твърди компанията..

Другият критичен аспект е това са необходими допълнителни усилия за криптиране на разговорите по този начин, което означава, че повечето хора не се занимават с това. Ако сте сигурни в сигурността, вероятно е най-добре да се придържате към приложение, което осигурява всичко по подразбиране, така че да не е необходимо да предприемате допълнителни стъпки, за да запазите комуникацията си безопасна.

Понастоящем груповите чатове не могат да бъдат кодирани от край до край. Компанията също е попаднала под обстрел за стартиране на конкурси за криптография, където се предлагат до 300 000 долара, ако някой може да атакува платформата по специфичен начин. Сценарият беше нереалистичен и се подиграваше от блогърите по сигурността.

Както се очакваше, никой не успя да спечели нито един от състезанията, но това не се дължи непременно на сигурността на Telegram. Конкурсите за крекинг обикновено се считат с пренебрежение от общността на инфосектите, тъй като те са такива често несправедливо и повече за позиране, отколкото за действителна сигурност.

Практиките за сигурност на Telegram може да не са най-лошите в света, но със сигурност изглеждат като сенчести. Сигурността винаги включва известна степен на доверие и някои от гореспоменатите практики разрушават това.

7. iMessage

iMessage се предлага с продукти на Apple по подразбиране, но точният й брой потребители е трудно да се намери. От [year] г. беше изчислено, че има около 700 милиона айфона по целия свят, така че приблизителна оценка за над един милиард потребители няма да бъде неразумна.

Въпреки че е ограничен до потребителите на Apple, важно е да разгледаме сигурността на приложението поради това колко е популярно. Първият основен проблем е това кодът е патентован и не е с отворен код, което означава, че общността на сигурността не е имала шанс да я разгледа.

Компанията провежда вътрешни одити, но е трудно да се получи информация за външни прегледи. Поради това е трудно да се разбере дали те са били проведени, кога се е състоял най-новият и какви са резултатите.

Друг проблем е, че iMessage използва 1280-битови RSA ключове. Въпреки че в момента те са достатъчно силни, за да се предпазят от повечето атаки, не е извън възможностите това нападател на национална държава може да ги насили. Поради тази причина в момента NIST препоръчва 2048-битови RSA ключове като минимум.

През годините в iMessage са открити няколко дупки в сигурността, но нищо възмутително. През 2016 г. изследователи от университета Джон Хопкинс откриха грешка, която им позволи да съберат ключа за криптиране, но оттогава той е лепен от Apple.

Що се отнася до цялостния подход за поверителност и сигурност на компанията, е трудно да се разбере къде всъщност стои Apple. Случаят на компанията с ФБР по отношение на стрелбата в Сан Бернардино изглежда показва, че както компанията, така и нейното шифроване от край до край са категорично против властите.

От друга страна, изтекли документи на NSA твърдят, че Apple е била една от шепа компании, които предоставили на трибуквената агенция достъп до техните системи, за да шпионират хората в определени ситуации. Компанията отрече активно участие в програмата.

Трудно е да се разберат точните позиции на Apple по този въпрос, но си струва да се отбележи правилата на компанията бизнес моделът не се върти около събиране на данни, за разлика от своите конкуренти, Facebook и Google. Като цяло iMessage вероятно не трябва да е първият ви избор за сигурност, но трябва да е добре, стига нивото на заплахата ви да не е твърде високо.

8. Facebook Messenger

Facebook Messenger 4 лого от Facebook, лицензирани под CC0

Накрая стигаме до една от най-популярните платформи за съобщения – приложение, от което трябва да се избягвате, ако се интересувате от вашата поверителност и сигурност. Facebook Messenger е повсеместен, безплатен, лесен за използване и продължава да добавя нови функции, но услугата не се прави никъде наблизо, за да защити интересите на своите потребители.

Facebook генерира по-голямата част от приходите си чрез събиране на лични данни и вмъкване на реклами, така че поверителността противоречи на настоящия й бизнес модел. Репутацията му за сигурност също не е точно звездна.

Като начало шифроването от край до край не се предлага по подразбиране. Както обсъждахме в раздела за Telegram, това означава, че по-голямата част от хората няма да се възползват от възможността да използват функцията си за тайни разговори, която е въз основа на протокола Signal. Резултатът е, че личните съобщения на повечето хора се сканират и анализират от платформата.

На всичкото отгоре кодът на компанията е патентован и не е отворен за преглед от изследователи и останалата част от общността с отворен код. Това означава, че ние не знаем какво се случва в действителност и има ли заден план или уязвимости.

Ако трябваше да покрием всички минали инциденти със сигурността и поверителността на компанията, щяхме да сме тук цял ден. Като отправна точка имаме:

• Скандалът с Cambridge Analytica.
• Предаване на потребителски данни на властите.
• Множество нарушения на данните.

Горните проблеми едва надраскват повърхността на проблемите с поверителността и сигурността на Facebook. Достатъчно е да се каже, че Facebook Messenger е почти най-лошото приложение, което можете да използвате, ако търсите сигурна и частна платформа.

Наскоро Facebook обеща промяна в посоката, за да се превърне в по-фокусирана върху поверителността компания. Предстои и основен ремонт за интегриране на WhatsApp, Instagram и Messenger, но е трудно да се каже доколко тези промени ще повлияят на услугите на компанията в дългосрочен план.

Други приложения за съобщения

Предоставихме ви бързо предаване на някои от най-популярните приложения, както и няколко с най-добрите подходи към сигурността. Има безброй повече, които попадат в която и да е от категориите, но просто не е практично да обхващаме всяка една от тях.

Ако искате да оцените приложение, за което не сме говорили, задайте следните въпроси:

• Насочена ли е към сигурността и поверителността?
• Отворен код ли е??
• Одитиран ли е??
• Добре ли е оценено от общността на сигурността?
• Имало ли е предишни инциденти със сигурността? Тези маловажни или големи ли бяха? Санирани ли са??
• Прозрачна ли е компанията?
• Гмуркащо ли е (внимавайте за buzzword като blockchain или криптиране на военни класове)?
• Кой го притежава? Какви са мотивациите им?
• Какъв бизнес модел го поддържа? Реклама? Извличане на данни? Абонаментите? Дарения?

Ако приложението се справи добре във всяка от тези области, тогава вероятно е надежден. Въпреки това може да си струва да опитате и да намерите преглед, проведен от доверен изследовател по сигурността.

Кое приложение за криптирани съобщения трябва да използвам?

Най-добрият подход е да използвате най-сигурното приложение, което е практично за вашите комуникационни нужди. Ако човекът, с когото искате да говорите, има приложение като Signal или желае да го изтегли, тогава защо да не го използвате вместо алтернатива, която ще запази вашата информация?

Като грубо и силно дискусивно ръководство (в зависимост от вашите индивидуални притеснения) е вероятно най-добре да оставите този списък с приложения в следния ред и да използвате първия, който отговаря на ситуацията:

1. Сигнал, проводник, Wickr или еквивалент на висока сигурност.
2. WhatsApp или iMessage.
3. телеграма.
4. Facebook Messenger.

Освен това трябва да отделите време за анализ на индивидуалното си ниво на заплаха, както и на рисковете от даден разговор или тема. Това ще ви помогне да решите кое приложение е най-подходящото в дадена ситуация.

Ако сте цел с висока стойност като Едуард Сноудън, най-добре е винаги да се придържате към по-сигурния край на спектъра. От друга страна, ако сте баба, пожелаваща на вашите внуци честит рожден ден, нуждите ви от сигурност вероятно не са толкова големи.

Защо трябва да използвате най-сигурното възможно приложение?

Използването на най-сигурното приложение идва с няколко различни предимства:

Той защитава вашите данни от компаниите, хакерите и органите на реда

Доказано е, че приложение като Signal не съхранява значителни потребителски данни. Това означава, че те не събират цялата ви информация и не я използват за рекламни цели или да се продава на други. Друго основно предимство е, че ако хакерите се опитат да получат достъп до сървърите си, те няма да излязат с нищо полезно.

Друго предимство е, че няма много данни, по които Signal може да се откаже от органите на реда, когато е подложен на натиск. Това е от решаващо значение за активисти или хора, живеещи в авторитарни режими, които могат да бъдат насочени несправедливо към властите.

Когато сравнявате приложение, фокусирано върху сигурността, с приложение, което попада в другия край на спектъра, като Facebook Messenger, разликите са изумителни. Facebook вероятно знае повече за вас от вашата мама и използва тази информация по редица съмнителни начини. Имаше многобройни нарушения на данните и изглежда не се притеснява от предаването на данни на властите.

Не е нужно да превключвате приложения, & предпазва от случайни разкрития

Често срещан аргумент е, че повечето комуникации не съдържат чувствителни или ценни данни, така че защо да си правим труда да я защитаваме? Като начало, разговорите имат тенденция да вървят по допирателни и лесно могат да доведат до това да говорим по теми, които изискват сигурност и поверителност, всички преди дори да го осъзнаем.

Ако това се случи в приложение като Facebook Messenger, данните попадат направо в ръцете на компанията и дори може да стигне до хакерите или властите. Ако вече използвате приложение, което защитава вашите данни, тези видове случайни плъзгания не са толкова голяма загриженост.

Когато използвате защитено приложение по подразбиране, това също означава, че вие не трябва да продължавате да превключвате приложения винаги, когато се появят чувствителни теми. Това прави нещата по-лесни и също така ви предпазва от обсъждане на тези теми в несигурно приложение от мързел.

Ако сте насочени към властите, това може да предостави и допълнителни защитни мерки. Нека да кажем, че провеждате по-голямата част от разговорите си във Facebook Messenger и винаги, когато се появи нещо важно, казвате „Да преминем към сигнал“ на вашия получател.

Ако властите стигнат до вашите записи във Facebook, те ще видят вашите чести препратки към сигнал и след това разговорът приключва. Те няма да могат да кажат за какво говорите по Signal, но информацията, която имат, им дава доста добро предположение, че може би си струва да разгледате.

Той също така им казва на кого сте говорили за това и кога. Понякога това може да е всичко, от което властите се нуждаят, за да получат подходяща основа за разследването си.

Бъдете прагматични

Винаги, когато можете, опитайте се да убедите приятелите, семейството и колегите си да използват по-сигурни платформи за съобщения. Ако говориш за нещо, което е чувствителни или ценни, трябва да настоявате да използвате подходящо защитено приложение.

Дори когато разговорите не са толкова важни, най-добре е леко да натискате получателите си да използват по-сигурно приложение. Но уверете се, че не се захващате прекалено много в сигурността и не изпускате от поглед други важни неща.

Ако някой иска да уреди дата на безобидно кафе чрез Facebook Messenger или братовчедът ви иска да ви покаже снимки на кучето си през платформата, може би трябва просто да го пуснете. Някои хора нямат време или не разбират нуждата от сигурност и в много ситуации просто не си струва да жертвате личните отношения.

Стига да не сте Джулиан Асандж, стойността на взаимодействието и приятелството вероятно е много по-голяма от загубите, които идват от Facebook, като разберете, че не мислите, че frappuccino трябва да съществуват или кучето на братовчед ви е изкривено.

Ограниченията на приложенията за сигурни съобщения

Ако преминете към услуга за защитени съобщения, е лесно да попаднете под илюзията, че вашите комуникации са безпроблемни. Те не са, и все още има няколко начина, по които вашите данни могат да бъдат компрометирани.

Дори ако използвате едно от най-добрите приложения там, всичко, което може да осигури, е криптиране от край до край. Това означава, че въвеждате данни в приложението, той се криптира, пътува през сървърите на организацията, доставя се до приложението на вашия получател и се дешифрира, след което съобщението е достъпно за получателя ви за достъп.

Въпреки че вашите данни ще бъдат безопасни, когато пътуват между приложенията, тя все още е уязвима, преди да е шифрована и след като бъде декриптирана. Това означава, че ако вашето или устройството на получателя ви е компрометирано, един атакуващ може да има достъп до комуникациите. Ето защо е важно да поддържате добра хигиена на сигурността, да се опитате да предотвратите появата на шпионски софтуер на вашето устройство.

Трябва да внимавате не само за злонамерен софтуер Ако използвате приложение, което архивира вашите разговори, това вероятно не се прави с високо ниво на сигурност. Въпреки че нападателите може да нямат достъп до вашата комуникация, докато пътува от приложение до приложение, може да са в състояние да стигнат до нея, след като е архивирано..

Слабите пароли също могат да доведат до излагане на вашите данни. Ако някой може да разбере, предположи или грубо принуди паролата ви или получателя ви, тогава може да има достъп до вашия акаунт и да види вашите съобщения. Силни пароли и двуфакторна автентификация може да ви пази, въпреки че трябва да внимавате за потвърждаване чрез SMS, защото е несигурно.

Друг основен проблем е, че вие ​​или вашият получател може да се окажете в ситуации, в които сте принудени да предадете вашите пароли или подробности за това, което е било обсъдено. Вашият получател може да бъде компрометиран от самото начало и може да информира властите или други противници.

Освен това, всеки от вас може да бъде заплашен от органите на реда с тежка присъда от затвора или да се предаде под влияние на изтезания. Хората ще предадат много информация, когато са под принуда.

Въпреки че използването на приложения за сигурност върви дълъг път към защита на вас, вашите данни и комуникации, има някои екстремни обстоятелства, при които това не може да помогне. Въпреки тази възможност, тези сценарии са невероятно редки и повечето хора трябва да се чувстват уверени в защитните мерки, които им предоставят приложенията, стига да ги използват по подходящ начин..