Лучшие зашифрованные приложения для обмена сообщениями (и их ограничения) в [year] году

Хотите знать, какое приложение для обмена сообщениями является лучшим? К сожалению, это не так просто, потому что приложения, которые идеально подходят в некоторых обстоятельствах часто приходится делать компромиссы что делает их менее практичными в других.

Это означает, что лучшее приложение будет зависеть от ситуации, поэтому вам по-прежнему понадобятся несколько различных опций, которые предоставят вам правильную смесь практичность и соответствующие уровни безопасности для любого разговора.

Для начала давайте разберемся с причинами, по которым вам следует использовать зашифрованное приложение для обмена сообщениями, а также с функциями гипотетического идеального приложения. Затем мы можем исследовать основные приложения в продаже, а также когда использовать каждое из них..

В заключение рассмотрим ограничения этих приложений и ситуации, когда даже лучшая защита не может сохранить ваши данные..

Зачем использовать зашифрованные приложения для обмена сообщениями?

В последние годы приложения для обмена сообщениями стали универсальными, где мы можем проводить большую часть нашего общения. У большинства из нас есть наши телефоны в большинстве случаев, поэтому эти приложения позволяют нам общаться, когда мы хотим. Это сделало приложения для обмена сообщениями гораздо более практичными, чем другие каналы связи, такие как стационарные звонки и обмен сообщениями на рабочем столе..

По большей части эти приложения бесплатны, что является еще одним преимуществом по сравнению с такими вещами, как телефонные звонки и обмен SMS-сообщениями. Большинство приложений предлагают различные способы связи с другими пользователями. Вы можете отправлять людям текстовые сообщения, голосовые сообщения, делать голосовые или видео звонки, отправлять фотографии и даже обмениваться файлами.

Помимо этого, ряд приложений обмена сообщениями предлагают шифрование от конца до конца, по сути, это означает, что данные не могут быть доступны в пути между вашим телефоном и получателем. Это помогает предотвратить прослушивание хакерами ваших разговоров и кражу данных, а также предотвращает слежку правительства..

Эти аспекты делают зашифрованные приложения для обмена сообщениями более безопасными, чем телефонные звонки, текстовые сообщения, стандартная электронная почта и даже простое почтовое отделение. Когда вы добавляете все эти функции вместе, появляется множество причин использовать зашифрованные приложения для обмена сообщениями. Но не все они созданы равными, и их разработчики не всегда серьезно относятся к вашей безопасности.

Идеальное приложение для зашифрованных сообщений

Если бы мы могли создать приложение мечты, оно бы сочетало в себе множество различных функций, но, к сожалению, реальность мешает и заставляет нас идти на компромиссы. Тем не менее, идеальное приложение будет:

Способен общаться со всеми

В идеале мы хотели бы иметь только одно приложение, которое мы могли бы использовать, чтобы связаться со всеми. В настоящее время мы испытываем раздражение от переключения между различными приложениями, текстами, электронной почтой и звонками, когда общаемся с друзьями, семьей и коллегами..

Было бы более эффективно, если бы мы могли сделать все это в одном месте. Теоретически это можно сделать двумя способами. Во-первых, если у всех есть и использует универсальное приложение для обмена сообщениями. Альтернативой было бы, чтобы одно приложение могло отправлять сообщения всем другим приложениям..

В данный момент, все наши популярные зашифрованные приложения для обмена сообщениями могут использоваться только для общения с другими, использующими ту же платформу. Вы не можете отправлять сообщения WhatsApp в чью-либо учетную запись iMessage, вы можете отправлять их только другим пользователям WhatsApp (хотя вскоре Facebook будет интегрировать свои приложения, чтобы люди могли отправлять сообщения между WhatsApp, Facebook Messenger и Instagram).

Заставить всех использовать одно и то же приложение может оказаться непрактичным из-за наших разных потребностей. Другой вариант – для разных приложений использовать один и тот же протокол, что обеспечивает совместимость. Например, если вы являетесь пользователем Gmail, вы не ограничены отправкой электронной почты только на другие учетные записи Gmail. Вы можете отправить электронное письмо любому. Как могут пользователи Outlook и все остальные.

Подобные системы возможны для приложений обмена сообщениями, все что требуется для нескольких платформ – использовать один и тот же базовый протокол. Это уже существует, причем такие приложения, как ChatSecure и Conversations, используют протокол XMPP, позволяя пользователям отправлять и получать сообщения из разных приложений, использующих один и тот же протокол..

Этот подход не идеален, и многие разработчики отвергли его по коммерческим и техническим причинам. В интересах Facebook и других компаний держать вас в своих службах обмена сообщениями. В более практическом смысле использование открытого протокола ограничивает возможности разработчиков и затрудняет им добавление новых функций в целях безопасности или функциональных целях..

Полнофункциональный & легко использовать

Если мы хотим, чтобы все использовали одно и то же приложение, оно должно включать в себя все функции, которые могут потребоваться пользователям. Если в нем нет таких вещей, как видеочат, смайлики или GIF-файлы, некоторые пользователи отправятся в другие службы, предлагающие эти варианты..

Помимо своих возможностей, идеальное приложение будет простым и удобным. Он автоматически синхронизирует наши контакты, облегчает поиск новых людей и обеспечивает быструю и удобную связь. К сожалению, несколько различных механизмов удобства вступают в конфликт с некоторыми мерами по обеспечению конфиденциальности и безопасности, которые мы обсудим ниже..

Посвящается безопасности

Безопасность имеет решающее значение в любой ситуации, когда мы отправляем конфиденциальную или ценную информацию. По умолчанию Интернет является очень небезопасным местом, и злоумышленники могут скрываться на каждом углу. Вот почему важно, чтобы наши приложения для обмена сообщениями серьезно относились к своей безопасности..

Одна из наиболее важных функций для безопасного приложения сквозное шифрование. Когда это реализуется в сочетании с лучшими практиками обеспечения безопасности, практически никто не может получить доступ к данным, которые передаются между приложением на вашем телефоне и приложением вашего получателя. Это означает, что ни преступники, ни правительство не могут получить доступ к каким-либо данным или сообщениям, передаваемым через службу..

Для некоторых пользователей идеальное приложение позволит им оставаться анонимным. Это означает, что платформа позволит им зарегистрироваться, не передавая никаких данных. В настоящее время все более распространенные приложения требуют определенного идентификатора, будь то адрес электронной почты или номер телефона. В некоторых случаях есть способы обойти это, но это все еще является помехой.

Анонимные пользователи столкнутся с проблемами практичности, потому что приложения не смогут предложить им удобные функции, такие как синхронизация контактов, без ущерба для их личности..

Из соображений конфиденциальности и безопасности приложение идеально подходит для избегать хранения пользовательской информации. Платформы должны собирать и обрабатывать некоторые метаданные, чтобы установить и включить ваши коммуникации. Для них также возможно удалить данные позже. Некоторые сервисы обрабатывают и хранят значительно больше метаданных, чем их конкуренты, что является огромным красным флагом для конфиденциальности и безопасности.

Также важно, чтобы любое безопасное приложение для обмена сообщениями открытый источник. Это означает, что код доступен для общественности и может быть проверен любым. Чем больше людей смотрит на код, тем выше вероятность того, что кто-то обнаружит уязвимости или вредоносные действия.

Следует также проводить внешние проверки безопасности, но не в качестве замены программного обеспечения с открытым исходным кодом. Аудит проводится небольшой группой людей, что повышает вероятность того, что проверка окажется под угрозой. Результаты также не могут быть обнародованы. Внешние ревизии испытывают недостаток в таком же тщательном изучении, которое приходит от коллективного взгляда сообщества, льющегося из исходного кода..

Широкий спектр других функций безопасности, которые также должны быть реализованы, такие как совершенная прямая секретность. Это криптографический термин, который означает, что даже если ключи шифрования будут скомпрометированы в будущем, их нельзя использовать для доступа к прошлым сообщениям. Другим могут потребоваться такие функции, как самоуничтожение сообщений или даже механизм, который отключает снимки экрана.

Возможно, было бы идеально иметь многие из этих функций безопасности включен по умолчанию защищать пользователей, позволяя им отключать тех, кто мешает их использованию. В качестве альтернативы, идеальное приложение может иметь строгие, стандартные и легкие режимы, которые облегчают пользователям адаптацию конфигурации безопасности в соответствии с их потребностями..

Важны не только функции, но и отношение разработчика. Разработчик этого гипотетического приложения должен быть стремится к конфиденциальности, безопасности и прозрачности. Они должны противостоять вторжениям властей и отказываться собирать пользовательские данные для рекламы.

Лучшие зашифрованные приложения для обмена сообщениями

Теперь, когда мы обсудили идеальные функции приложения для безопасного обмена сообщениями, мы можем приступить к анализу наиболее распространенных приложений на предмет их положительных и отрицательных качеств..

Мы начнем с нескольких приложений, ориентированных на безопасность, а затем перейдем к более широким сетям. Предлагается множество других приложений, каждое со своими интересными функциями безопасности или большими пользовательскими базами в определенных регионах..

Основная цель состоит в том, чтобы исследовать приложения с наилучшей безопасностью, а также с наиболее распространенными, чтобы дать вам представление о том, какие из них хорошо использовать, а также о тех, которые вам необходимо избегать.

1. Сигнал

Сигнал синий значок Тайлером Рейнхардом по лицензии СС0

Давайте начнем с Signal, который часто считается золотым стандартом, когда речь идет о приложениях для зашифрованных сообщений. С точки зрения безопасности у него много работы, хотя она и не идеальна, и некоторые альтернативы могут иметь индивидуальные функции, которые предпочитают определенные пользователи..

Приложение предлагает ряд функций, которые делают его сопоставимым с сервисом, таким как WhatsApp. Здесь есть все, что угодно, от текстовых звонков до видеозвонков, групповых чатов и смайликов. Он также невероятно прост в использовании по сравнению с другими безопасными формами общения, такими как PGP..

Сигнал выделяется своей настройкой шифрования, которая была организована таким образом, что компания в целом не могу получить доступ к вашим данным или ключам это обеспечит это. Он также не распространяется на ваши метаданные, поэтому, когда органы власти вызывают в суд документы, связанные с Сигналом, он не может многое передать.

Это уже проверялось в суде, и единственными данными, которые компания смогла передать, была отметка времени, когда была создана учетная запись, а также когда она была подключена в последний раз. Сохранение такого ограниченного объема данных указывает на то, что Signal уделяет значительное внимание безопасности и конфиденциальности своих пользователей..

Возможно, вы не захотите скучать по деталям, но его безопасность достигается с помощью различных алгоритмов и механизмов безопасности. К ним относятся цифровые подписи XedDSA и VXEdDSA, расширенный протокол тройного соглашения о ключах Диффи-Хеллмана, а также алгоритмы Double Ratchet и Sesame..

Любой с техническим ноу-хау может проверить код сигнала, потому что это открытый источник. Он также был проверен исследователями, которые не обнаружили «серьезных недостатков в его дизайне». Это гораздо более яркий обзор, чем кажется в придирчивом мире безопасности.

В целом, протокол невероятно хорошо справился со всей своей проверкой, поэтому многие считают его лучшее и наиболее практичное решение для безопасного обмена сообщениями.

Одним из основных недостатков приложения, которое беспокоит безопасность, является то, что оно требуется номер телефона для регистрации. Это используется для проверки учетной записи пользователя, устраняя необходимость в именах пользователей и паролях. Это также облегчает поиск контактов, которые используют сигнал.

Некоторые люди не хотят передавать свой номер телефона, но это нужно только для настройки учетной записи. Пользователи также могут использовать номер VoIP, стационарный или не персональный номер, так что есть обходные пути к проблеме.

Еще одним плюсом для Signal является его структура, финансирование и общее видение. Он был соучредителем Мокси-Марлинспайка, загадочного человека, известного как анархистский моряк, а также крипто-ученый. После нескольких лет сидения на корточках и автостопа, он стал соучредителем компании под названием Whisper Systems.

Когда он был приобретен Twitter, он стал главой кибербезопасности платформы социальных сетей. В итоге он покинул компанию, чтобы запустить Open Whisper Systems, компанию, которая сейчас разрабатывает Signal. При этом он ушел от $ 1 млн в опционах на акции.

Приложение бесплатно без рекламы, и это не собирает и не продает свои пользовательские данные. В настоящее время он существует на гранты и пожертвования, которые поступили от Фонда свободы прессы, Брайана Актона и других..

Хотя эти данные не делают Signal автоматически заслуживающей доверия организацией, она делает его более надежным, чем альтернативы, такие как Facebook, которые полагаются на интеллектуальный анализ данных, чтобы заработать миллиарды..

Самым большим недостатком Signal является то, что он далеко не так популярен, как популярные приложения, такие как WhatsApp или Facebook Messenger. Он популярен среди журналистов, активистов, политиков и других лиц, имеющих дело с конфиденциальной информацией, но не пользуется таким же широким спросом, как его крупные конкуренты..

Это означает, что вы не сможете использовать его для сообщения многим своим друзьям, семье или коллегам. Вы можете попытаться убедить их принять его, но это не всегда легко продать. Хотя это один из лучших вариантов, когда вы имеете дело с конфиденциальной или ценной информацией, вам, возможно, придется вернуться к менее безопасным альтернативам, таким как WhatsApp или Facebook Messenger, чтобы общаться с определенными людьми..

2. Провод

Провод текстового логотипа по проводам под лицензией СС0

Провод менее популярен, чем Сигнал, но имеет некоторые отличия, которые делают его подходящей альтернативой в определенных обстоятельствах. Он предлагает базовую группу ожидаемых функций, таких как обмен сообщениями, голосовые и видеозвонки, а также групповые чаты. Он также включает в себя ряд инструментов для совместной работы, ориентированных на бизнес-рынок. Приложение Wire также относительно удобный и простой в использовании.

Одним из его преимуществ является то, что он позволяет пользователям зарегистрироваться, не передавая номер телефона. Вместо этого они могут просто зарегистрироваться с именами пользователей и паролями. Его сообщения зашифрованы с помощью Proteus, который основан на протоколе сигналов. Провод использует SRTP и DTLS для голосовых вызовов.

Провод также с открытым исходным кодом и был проверен внешне. В более ранних версиях были некоторые проблемы с безопасностью, хотя проблемы с тех пор были устранены. В настоящее время считается, что приложение обеспечивает высокий уровень безопасности..

Одним из самых больших недостатков Wire является то, что он хранит гораздо больше метаданных чем сигнал. Эта информация хранится в виде открытого текста и включает информацию о том, с кем связались и когда, что нежелательно для пользователей, которые хотят скрыть эту информацию. Согласно заявлениям Wire, эта информация хранится, чтобы помочь с синхронизацией контактов между несколькими устройствами.

Нет общедоступной информации (на момент написания), которая указывала бы, была ли какая-либо власть вынуждена передавать платформу пользовательскими данными, поэтому в настоящее время мы не знаем, как приложение будет честным по сравнению с Signal..

Судя по тому, что Wire собирает больше данных, лучше предположить, что вынужден больше сдавать властям, но мы не знаем, хочет ли компания тянуть пятки, когда сталкивается с требованиями правоохранительных органов.

Проект базируется в Швейцарии и состоит из многих бывших сотрудников Skype. Первоначально он получил финансирование от Iconical и взял на себя обязательство не использовать рекламу для поддержки платформы. В настоящее время он предлагает как бесплатные планы, так и премиум-варианты, которые предположительно обеспечивают финансирование для его разработки и эксплуатационных расходов..

Сеть Wire имеет меньшую сеть, чем Signal, а это означает, что пользователи имеют еще меньше людей для общения. Несмотря на это, это практическое решение для бизнес-пользователи, те, кто хочет платформа для нескольких устройств и для пользователей, которые не хотят передавать свои номера телефонов.

3. Wickr

Викр является одним из старые приложения, ориентированные на безопасность, предлагая такие функции, как обмен сообщениями, видеозвонки, обмен фотографиями и синхронизация между устройствами. Как и у каждого приложения, рассмотренного в этой статье, у Wickr есть свои плюсы и минусы. Это означает, что это будет подходящий выбор в некоторых ситуациях, но не в других.

Wickr предлагает три разных сервиса:

• Wickr Me – Бесплатное приложение для личных сообщений.
• Wickr Pro – Платформа делового сотрудничества с бесплатными и платными опциями.
• Wickr Enterprise – Масштабируемый и готовый к соблюдению инструмент, предназначенный для удовлетворения потребностей предприятий..

Каждый из этих уровней включает в себя различные функции, которые могут немного изменить настройки безопасности и конфиденциальности. Эта статья будет в основном посвящена Wickr Me, потому что это наиболее сопоставимый сервис с другими приложениями, которые мы обсудим.

Протокол обмена сообщениями Wickr предлагает сквозное шифрование с идеальной секретностью пересылки и превосходной системой исчезающих сообщений. Его настройки безопасности получили положительные отзывы от экспертов по безопасности, и он также был похвалил Фонд электронной границы за его общий подход к прозрачности.

Приложение удаляет метаданные из сообщений, которые проходят через его сеть, что является выигрышем для конфиденциальности пользователя. Еще одной важной особенностью является то, что для этого не требуется номер телефона или какая-либо идентифицирующая информация Это означает, что может использоваться для анонимного обмена сообщениями, в отличие от сигнала.

У Викра также сильная история безопасности. Некоторые ошибки были обнаружены несколько лет назад, но с тех пор они были исправлены. Даже в пределах ниши безопасности такое небольшое количество недостатков заслуживает похвалы.

Одна из основных проблем с Wickr заключается в том, что это не полностью открытый исходный код. Код для криптографического протокола приложения был наконец выпущен в [year] году, но его клиентское приложение и код на стороне сервера все еще недоступны.

По данным ZDNet, бывший генеральный директор Wickr отказался полностью открывать код из-за «интеллектуальной собственности компании и коммерческой структуры бизнеса». Wickr выпустил код для протокола безопасности после смены руководства, но он по-прежнему отказывается опубликовать код в полном объеме.

Многие люди думают, что приложение полностью с открытым исходным кодом. Это впечатление могло распространиться, потому что многие статьи в СМИ не дают понять, что только протокол безопасности был сделан с открытым исходным кодом, а не код клиента или сервера.

Это опасное заблуждение, потому что оно заставляет людей поверить, что весь код был открыто проверен сообществом на наличие бэкдоров и других уязвимостей. Это не так, и хотя в целом компания выглядит достаточно надежной, мы не можем знать наверняка, пока код не станет полностью открытым исходным кодом..

На данном этапе Викр, похоже, не намерен двигаться в этом направлении, что может указывать на то, что создание кода с открытым исходным кодом протокола безопасности было скорее рекламным ходом, чем приверженностью безопасности..

Вероятность того, что у Викра есть бэкдор для властей, может быть относительно низкой, но, поскольку многие другие приложения, ориентированные на безопасность, подвергаются тщательному анализу, связанному с открытым исходным кодом, у этих альтернатив еще меньше шансов иметь один..

Хотя сообщества безопасности обычно предпочитают приложения с полностью открытым исходным кодом, справедливо рассмотреть и другую сторону. Wickr прошел внешние обзоры от ряда доверенных организаций. К ним относятся Aspect Security, Veracode, NCC Group и AICPA. У компании также есть программа вознаграждения за ошибки, которая предлагает до 100 000 $.

В конечном счете, вам придется принять собственное решение о том, доверяете ли вы компании и ее аудитам или предпочитаете ли вы вариант, который сообщество open-source может просмотреть.

С другой стороны, Wickr очень четко говорит о том, какие данные он собирает, а также при каких условиях он может быть вынужден передать личную информацию властям..

Wickr хранит следующую информацию о тех, кто использует сервис Me:

• Дата создания учетной записи.
• Тип устройств, на которых был использован аккаунт.
• Дата последнего использования.
• Общее количество отправленных и полученных сообщений.
• Количество внешних идентификаторов (адреса электронной почты и номера телефонов), подключенных к учетной записи, но не сами внешние внешние идентификаторы в виде текста.
• Изображение аватара (если оно предоставлено пользователем).
• Ограниченный набор записей о последних изменениях настроек аккаунта. Они могут включать сведения о том, было ли устройство добавлено или приостановлено, но не включают в себя содержимое сообщения или информацию о маршрутизации и доставке..
• Используемый номер версии Wickr.

Те, кто использует сервис Pro, также хранят следующую информацию:

• Их сетевая принадлежность.
• Их Wickr Pro ID (адрес электронной почты).
• Их номер телефона, если он был предоставлен сетевым администратором в качестве второго фактора аутентификации.

В зависимости от того, как настроен Wickr Pro, он может собирать еще больше данных. Компания включает в себя следующий отказ от ответственности:

Для Wickr Pro конфигурация каждой сети может варьироваться в зависимости от потребностей предприятия. Таким образом, информация, которую Wickr может предоставить в ответ на законный запрос информации о пользователях, также будет различной.

Поскольку Wickr хранит только перечисленные выше данные, это единственная информация, которую он может передать правоохранительным органам, что означает, что он не может отказаться от содержимого сообщения или метаданных. Политика конфиденциальности компании также гласит, что она будет уведомлять своих пользователей, если были запросы на информацию об их учетной записи, если это не было юридически запрещено. В этом случае он имеет целью уведомить пострадавшего пользователя, как только это будет разрешено..

Wickr также выпускает отчеты о прозрачности дважды в год. Его отчет от 1 июля охватывал запросы, полученные за предыдущие шесть месяцев, которые включали:

• Пять ордеров на обыск, охватывающих восемь учетных записей (один заказ может касаться нескольких учетных записей).
• 49 постановлений суда в отношении 75 счетов.
• 40 повесток в правоохранительные органы по 59 счетам.
• Ноль запросов национальной безопасности.
• 21 другие запросы.
• Четыре запроса в отношении неамериканских резидентов.

Как мы указали выше, когда Wickr получает эти запросы, он может передавать только информацию, которую хранит, а не содержимое сообщения или метаданные..

Основная команда Wickr состоит из специалистов по кибербезопасности и экспертов по конфиденциальности. Большая часть ее первоначального технического развития контролировалась одним из соучредителей организации и ее бывшим техническим директором, доктором Робертом Статикой. У него впечатляющая родословная Infosec, которая в сочетании с нынешним руководством компании держит проект в надежных руках.

Первоначальное финансирование организация получила от различных групп или организаций, включая Knight Foundation, Breyer Capital, Juniper Networks, CME Group, Wargaming и других. Это довольно стандартно для коммерческой фирмы. В настоящее время, похоже, бизнес-модель Wickr основана на предоставлении услуг премиум-подписки..

В целом Wickr очень похож на Wire, потому что он предлагает ряд бизнес-услуг и позволяет пользователям регистрироваться анонимно. Он получает дополнительные очки за то, что не хранит метаданные, как это делает Wire, однако его отказ сделать свой код полностью открытым исходным кодом отпугнет гораздо больше людей, заботящихся о безопасности..

В то время как Wickr, как правило, является хорошим сервисом, Signal предлагает большую сеть и несколько преимуществ безопасности. Если вам не требуются инструменты для совместной работы или анонимность, Signal, вероятно, будет лучшим выбором в большинстве случаев..

4. Бунт

Riot использует другой подход к ранее обсуждавшимся приложениям и, вероятно, на данный момент его лучше оставить опытным пользователям. Это с открытым исходным кодом и использует федеративный протокол Matrix, это означает, что пользователи Riot не ограничены отправкой сообщений другим, которые установили то же самое приложение.

Поскольку он основан на открытом стандарте, Riot сообщения могут быть доставлены в любое другое приложение, которое также использует протокол Matrix. Это означает, что сообщение Riot может отправляться прямо в почтовые ящики любого, кто использует такие программы, как Fractal или WeeChat Matrix..

Федеративный характер делает его похожим на электронную почту – вы можете отправлять и получать электронные письма от любого, даже если вы используете Gmail и они используют Outlook. Протокол Matrix, как и электронная почта, призван стать широко распространенным, позволяя людям отправлять друг другу сообщения независимо от того, какого клиента они используют..

Существуют официальные мосты к таким протоколам, как XMPP и IRC, а также инструмент для совместной работы Slack. Сообщество также разработало свои собственные мосты, которые ретранслировать сообщения на и из различных популярных типов связи, в том числе:

• Эл. адрес
• смс
• WhatsApp
• Сигнал
• Facebook Messenger
• Skype
• Шеззаде
• телеграмма
• Google Hangouts
• WeChat
• диссонанс

Riot предлагает множество общих функций, от текстовых звонков до видеозвонков, приватных чатов, групповых чатов, обмена файлами и даже ботов. Тем не менее, он не так прост в использовании и гораздо менее зрел, чем такой конкурент, как Signal.

Несмотря на кажущиеся преимущества возможности общаться между приложениями, федеративные системы также имеют свои недостатки. Они могут усложнить разработку, что может привести к отставанию от изолированных систем, таких как Signal и Wire. Это означает, что они могут опоздать с принятием новых функций и механизмов безопасности, что делает службы менее привлекательными.

Сквозное шифрование в протоколе Riot Matrix построено на основе алгоритма Double Ratchet, который также использует Signal. Matrix использует MegOLM для групповых чатов, а также ряд других криптографических методов.

Riot все еще является относительно незрелым приложением, поэтому его текущая безопасность спорна. В апреле серверы для базового протокола Matrix были проник в хакер, который мог дать им доступ к данным сообщения, хэшам паролей и токенам доступа.

Ключ для подписи приложения Riot также мог быть скомпрометирован, что могло позволить злоумышленнику выпустить вредоносную версию Riot. Разработчики выпустили новую версию приложения с другим идентификатором, чтобы предотвратить эту возможность.

На данном этапе кажется, что тщательного аудита безопасности не проводилось, поэтому трудно понять, насколько хорошо Riot противостоит проверке. Приложения на ранних стадиях, как правило, чреваты проблемами безопасности, поэтому пользователи должны быть осторожны, однако это не обязательно означает, что Riot не будет безопасным приложением в будущем..

Бунт восходит к Amdocs, многонациональной израильской компании, штаб-квартира которой находится в США. В компании был создан инструмент для чата, который превратился в протокол Matrix. Для управления проектом было создано дочернее предприятие, но его финансирование было прекращено в [year] году..

Это привело к Основные разработчики создают свою собственную компанию сосредоточиться на построении Матрицы и Riot. Большая часть первоначального финансирования была получена от сообщества, за счет денежных средств от статуса, партнерских отношений и возможностей для консультаций. В рамках этой бизнес-модели приложение в настоящее время предлагается бесплатно, без поддержки рекламы..

Существует небольшое количество онлайн-скептицизма по поводу начала приложения под Amdocs, который ранее был исследован на предмет возможного шпионажа, связанного с Израилем. Следствие не нашло никаких доказательств, и сейчас проектом управляет отдельная компания. Эта ссылка, вероятно, является одним из наименее важных аспектов безопасности Riot, но некоторые ботаники-любители любят хороший заговор.

На данном этапе Riot имеет относительно небольшая сеть. Его веб-сайт предполагает, что у него семь миллионов пользователей, а в Google Play Store – более 10 000. Цифры Riot, безусловно, могут быть точными, потому что большая часть его сообщества заботится о безопасности, что делает их более вероятными для загрузки приложения через браузер или F-Droid.

Несмотря на свою небольшую пользовательскую базу, Riot гораздо удобнее в использовании, чем подразумевают эти цифры, поскольку он взаимодействует с другими приложениями, использующими протокол Matrix, а также с его мостами к другим платформам..

5. WhatsApp

WhatsApp Логотип по WhatsApp под лицензией СС0

Теперь, когда мы обсудили несколько различных приложений, ориентированных на безопасность, пришло время взглянуть на более популярные платформы. Как компромисс между безопасностью и наличием большой сети, WhatsApp, вероятно, является лучшим выбором. По своим функциональным возможностям он имеет почти все, что нужно большинству людей, он построен на основе протокола Signal и имеет невероятное количество пользователей, с 1,5 миллиардами активных ежемесячных пользователей к концу [year] года..

Из-за его повсеместности большинство читателей, вероятно, знакомы с ним, поэтому мы не будем подробно останавливаться на его особенностях. Самая важная часть – это безопасность. В 2014 году WhatsApp завоевал популярность в сфере технологий как одна из первых крупных платформ шифрование его сообщений от начала до конца по умолчанию.

Для этого он сотрудничал с родительской компанией Open Whisper Systems, входящей в состав Signal, и стал лидером в современной волне внедрения шифрования. Хотя он построен с использованием одного и того же протокола, не все аспекты одинаковы. Для начала, его код является собственностью и не открыт для проверки. Это означает, что мы не можем быть полностью уверены в том, что происходит под капотом.

Хотя было обнаружено несколько уязвимостей, средства массовой информации значительно преувеличивали их. В [year] году Guardian сообщила о существенном недостатке, который ставит под угрозу пользователей – однако позже это было признано неточным, и с тех пор газета отказалась от статьи..

В мае в WhatsApp была обнаружена уязвимость, но с тех пор она была исправлена. Хотя недостаток, безусловно, вызывает беспокойство, его необходимо рассматривать в правильном контексте. Он включал в себя очень продвинутую технику, разработанную NSO Group, охранной компанией, которая разрабатывает такие сложные атаки, что ее можно рассматривать как кибер-суперзлодейский конгломерат.

Не совсем ясно, сколько людей пострадали, но если бы подобные атаки были чем-то, что могло бы быть выполнено, взлому потребовалось бы большое количество ресурсов для монтирования, и могли быть использованы только целевым образом.

Следуя этой логике, кажется, что пользователи с низким уровнем риска не были уязвимы, и даже если бы они были, они теперь в безопасности, пока они установлено последнее обновление. Несмотря на эти случайные и раздутые отчеты, платформа WhatsApp является одним из наиболее безопасных доступных вариантов мейнстрима.

Несмотря на то, что безопасность приложения является достойной, самые тревожные различия между WhatsApp и Signal сводятся к количеству данных, которые собирает WhatsApp, а также к тому, кто их контролирует.. WhatsApp хранит гораздо больше метаданных чем сигнал, в том числе с кем связались, в какое время произошла связь, и как долго длились звонки.

Он открыто делится этой информацией и данными адресной книги с властями, если ему приказано это сделать. Хотя WhatsApp не может передать содержимое сообщения, метаданных часто достаточно, чтобы помочь правоохранительным органам в проведении расследований..

WhatsApp также передает эти данные facebook под оправданием того, что он якобы помогает бороться со спамом, отслеживать метрики и показывать более релевантные объявления. Исключение составляет Европа, где регулирование ЕС не позволяет компании сделать это..

У Facebook долгая история нарушений конфиденциальности – его бизнес-модель опирается на это. Несмотря на достойные реализации безопасности WhatsApp, это трудно пройти его подобострастие к такой спорной компании. Он уже делится своими метаданными, но со временем его конфиденциальность и безопасность могут ухудшиться?

Все о будущем WhatsApp находится в воздухе, потому что Facebook в настоящее время находится в процессе масштабной перестройки, целью которой является интеграция Facebook, WhatsApp и Instagram, чтобы обеспечить кросс-платформенный обмен сообщениями между сервисами..

Трудно понять, как это повлияет на безопасность, потому что на данном этапе не было выпущено много деталей. Facebook выразил большую приверженность конфиденциальности в будущем, но на данном этапе мы не можем быть уверены, как все закончится.

WhatsApp далек от совершенства, особенно если учесть, кто его повелитель. Однако, учитывая, что так много людей уже имеют его, это хороший выбор, если более безопасные варианты не возможны.

6. Телеграмма

Логотип Телеграммы Джавитомад под лицензией СС0

Telegram часто считают безопасной альтернативой, но когда вы копаете глубже, не все так, как кажется. Он многофункциональный и быстро растет, особенно в странах, где запрещены другие услуги.

Первый удар по приложению состоит в том, что его схема шифрования, MTProto, основана на собственной криптографии Telegram. Это кардинальный грех, потому что Криптография, как известно, сложна и легко испортить. Платформа давно критикуется криптографами за то, что она не использует более безопасную и тщательно проверенную схему шифрования..

Вторая главная ошибка заключается в том, что только его исходный код на стороне клиента является открытым исходным кодом. Это означает, что мы на самом деле не знаем, что происходит на стороне сервера. Telegram утверждает, что в конечном итоге выпустит весь код, но до тех пор его нельзя будет тщательно исследовать на предмет проблем безопасности.

Telegram также подвергся критике за настройку обмена сообщениями по умолчанию, которая не шифруется от начала до конца. Компания имеет доступ к ключам, защищающим сообщения пользователя, и теоретически может быть вынуждена передать их властям..

Telegram утверждает, что этого никогда не было, и что из-за его конфигурации потребовалось бы судебное решение из нескольких стран, чтобы сделать это, но все еще вызывает озабоченность то, что Signal и WhatsApp не разделяют.

Telegram также предлагает функцию секретного чата, которая шифрует сообщения от конца до конца, но это также проблематично. Начнем с того, что он также основан на противоречивой схеме шифрования Telegram, которая может быть не такой безопасной, как утверждает компания.

Другой важный аспект заключается в том, что для шифрования разговоров требуются дополнительные усилия, Это означает, что большинство людей не беспокоятся об этом. Если вы заботитесь о безопасности, то, вероятно, лучше придерживаться приложения, которое по умолчанию защищает все, чтобы вам не пришлось предпринимать никаких дополнительных шагов для обеспечения безопасности вашего общения..

На данный момент групповые чаты не могут быть зашифрованы сквозным способом. Компания также подверглась критике за запуск криптографических конкурсов, где предлагалось до 300 000 долларов, если кто-то мог атаковать платформу особым образом. Сценарий был нереальным и был высмеян блоггерами безопасности.

Как и ожидалось, никому не удалось выиграть ни одно из соревнований, однако это не обязательно было связано с безопасностью Telegram. Сообщество инфосеков, как правило, с презрением относится к взламыванию конкурсов, так как они часто несправедливо и больше о позерстве, чем реальной безопасности.

Методы обеспечения безопасности Telegram, возможно, и не самые худшие в мире, но, безусловно, они кажутся сомнительными. Безопасность всегда подразумевает некоторую степень доверия, и некоторые из вышеупомянутых методов размывали это.

7. IMessage

iMessage поставляется с продуктами Apple по умолчанию, но точное количество пользователей сложно найти. По оценкам, по состоянию на [year] год во всем мире насчитывалось около 700 миллионов iPhone, поэтому оценка более одного миллиарда пользователей не была бы необоснованной..

Несмотря на то, что пользователи Apple ограничены ими, важно следить за безопасностью приложения, поскольку оно популярно. Первая серьезная проблема заключается в том, что код проприетарный и не с открытым исходным кодом, это означает, что у сообщества безопасности не было возможности просмотреть его.

Компания проводит внутренние аудиты, но трудно получить информацию о внешних проверках. Из-за этого трудно понять, были ли они проведены, когда произошла самая последняя и каковы были результаты.

Другая проблема заключается в том, что iMessage использует 1280-битные ключи RSA. Хотя в настоящее время они достаточно сильны, чтобы защитить от большинства атак, не исключено, что злоумышленник может навязать им грубую силу. По этой причине в настоящее время NIST рекомендует использовать 2048-битные ключи RSA как минимум..

За последние годы в iMessage было обнаружено несколько дыр в безопасности, но ничего страшного. В 2016 году исследователи из Университета Джона Хопкинса обнаружили ошибку, которая позволяла им собирать ключ шифрования, однако с тех пор Apple его исправила.

Когда дело доходит до общего подхода компании к обеспечению конфиденциальности и безопасности, трудно понять, где на самом деле стоит Apple. Дело компании в ФБР о стрельбе в Сан-Бернардино, похоже, показывает, что и компания, и ее сквозное шифрование решительно выступают против властей.

С другой стороны, просочившиеся документы АНБ утверждают, что Apple была одной из немногих компаний, которые предоставили трехбуквенному агентству доступ к своим системам, чтобы шпионить за людьми в определенных ситуациях. Компания отрицает какое-либо активное участие в программе.

Трудно узнать точные позиции Apple по этому вопросу, но стоит отметить, что бизнес-модель не вращается вокруг сбора данных, в отличие от своих конкурентов, Facebook и Google. В целом, iMessage, вероятно, не должен быть вашим первым выбором для обеспечения безопасности, но это должно быть хорошо, если ваш уровень угрозы не слишком высок.

8. Facebook Messenger

Логотип Facebook Messenger 4 по лицензии Facebook СС0

Наконец, мы подошли к одной из самых популярных платформ обмена сообщениями – приложению, от которого вам следует отказаться, если вы заботитесь о своей конфиденциальности и безопасности. Facebook Messenger является вездесущим, бесплатным, простым в использовании и продолжает добавлять новые функции, но службы недостаточно, чтобы защитить интересы своих пользователей..

Facebook получает большую часть своего дохода, собирая личные данные и вставляя рекламу, поэтому конфиденциальность идет вразрез с его нынешней бизнес-моделью. Его репутация в сфере безопасности тоже не совсем звездная..

Начнем с того, что сквозное шифрование не предлагается по умолчанию. Как мы уже обсуждали в разделе о Telegram, это означает, что подавляющее большинство людей не воспользуется возможностью использовать функцию «Секретные беседы», которая на основе протокола сигнала. В результате личные сообщения большинства людей сканируются и анализируются платформой..

Кроме того, Код компании является собственностью и не открыты для обзора исследователями и остальным сообществом открытого исходного кода. Это означает, что мы не знаем, что на самом деле происходит, и есть ли какие-либо бэкдоры или уязвимости.

Если бы мы покрывали все прошлые инциденты с безопасностью и конфиденциальностью компании, мы были бы здесь весь день. В качестве отправной точки мы имеем:

• Скандал с Кембриджской аналитикой.
• Передача пользовательских данных властям.
• Многочисленные утечки данных.

Вышеуказанные проблемы едва затрагивают вопросы конфиденциальности и безопасности Facebook. Достаточно сказать, что Facebook Messenger – это худшее приложение, которое вы можете использовать, если вы ищете безопасную и приватную платформу..

Facebook недавно пообещал изменить направление, чтобы стать компанией, более ориентированной на конфиденциальность. Также происходит капитальный ремонт для интеграции WhatsApp, Instagram и Messenger, но трудно сказать, насколько эти изменения повлияют на услуги компании в долгосрочной перспективе..

Другие приложения для обмена сообщениями

Мы кратко изложили некоторые из самых популярных приложений, а также несколько с лучшими подходами к безопасности. Есть еще бесчисленное множество, которые подпадают под любую категорию, но это просто не практично, чтобы охватить каждую.

Если вы хотите оценить приложение, о котором мы не говорили, задайте следующие вопросы:

• Это безопасность и конфиденциальность?
• Это с открытым исходным кодом?
• Это было проверено?
• Это хорошо воспринимается сообществом безопасности?
• Были ли какие-либо предыдущие инциденты безопасности? Были ли они второстепенными или крупными? Были ли они исправлены?
• Прозрачна ли компания??
• Это бесполезно (остерегайтесь модных слов, таких как блокчейн или шифрование военного уровня)?
• Кому это принадлежит? Каковы их мотивы?
• Какая бизнес-модель поддерживает это? Реклама? Сбор данных? Подписки? Пожертвования?

Если приложение работает достаточно хорошо в каждой из этих областей, то это вероятно заслуживает доверия. Однако, возможно, стоит попытаться найти обзор, проведенный надежным исследователем безопасности..

Какое зашифрованное приложение обмена сообщениями я должен использовать?

Наилучшим подходом является использование наиболее безопасного приложения, которое будет практичным для ваших потребностей в общении. Если у человека, с которым вы хотите поговорить, есть приложение, такое как Signal, или он хочет его скачать, то почему бы не использовать его вместо альтернативы, которая будет пылесосить вашу информацию?

В качестве приблизительного и весьма дискуссионного руководства (в зависимости от ваших индивидуальных интересов), вероятно, лучше пройти по этому списку приложений в следующем порядке и использовать первое, которое соответствует ситуации:

1. Сигнал, Провод, Wickr или эквивалент высокого уровня безопасности.
2. WhatsApp или IMessage.
3. телеграмма.
4. Facebook Messenger.

Вы также должны уделить время анализу вашего индивидуального уровня угрозы, а также рисков для конкретного разговора или темы. Это поможет вам решить, какое приложение является наиболее подходящим в данной ситуации..

Если вы целеустремленная цель, как Эдвард Сноуден, лучше всегда придерживаться более безопасного конца спектра. С другой стороны, если вы бабушка и поздравляете своих внуков с днем ​​рождения, ваши потребности в безопасности, вероятно, не так велики.

Почему вы должны использовать максимально безопасное приложение??

Использование наиболее безопасного приложения имеет несколько явных преимуществ:

Он защищает ваши данные от компаний, хакеров и правоохранительных органов

Доказано, что такое приложение, как Signal, не хранит значимых пользовательских данных. Это означает, что они не собирают всю вашу информацию и не используют ее в рекламных целях или продать другим. Еще одним важным преимуществом является то, что если хакеры попытаются получить доступ к своим серверам, они не собираются ничего полезного.

Еще одним преимуществом является то, что не так много данных, которые Signal может передать правоохранительным органам при оказании давления. Это крайне важно для активистов или тех, кто живет в авторитарных режимах, которые могут быть несправедливо преследованы властями.

Когда вы сравниваете приложение, ориентированное на безопасность, с приложением, которое находится на другом конце спектра, таким как Facebook Messenger, различия удивительны. Facebook, вероятно, знает о вас больше, чем ваша мама, и использует эту информацию несколькими сомнительными способами. У него было много утечек данных, и, похоже, его не беспокоит передача данных властям..

Вам не нужно переключать приложения, & защищает от случайного раскрытия

Распространенным аргументом является то, что большинство сообщений не содержат конфиденциальных или ценных данных, так зачем их защищать? Начнем с того, что разговоры имеют тенденцию выходить за рамки касательных и могут легко привести к тому, что мы будем говорить о темах, требующих безопасности и конфиденциальности, еще до того, как мы это осознаем..

Если это происходит в приложении, таком как Facebook Messenger, данные попадают прямо в руки компании и даже может в конечном итоге пробиться к хакерам или властям. Если вы уже используете приложение, которое защищает ваши данные, такие случайные ошибки не являются проблемой..

Когда вы используете безопасное приложение по умолчанию, это также означает, что вы не нужно переключаться между приложениями, когда появляются важные темы. Это делает вещи проще, а также защищает вас от обсуждения этих тем в небезопасном приложении из-за лени.

Если на вас нацелены власти, это также может обеспечить дополнительные гарантии. Допустим, вы ведете большую часть своих бесед в Facebook Messenger, и всякий раз, когда появляется что-то важное, вы говорите получателю «Давайте переключимся на сигнал».

Если власти заполучат ваши записи в Facebook, они увидят ваши частые ссылки на Signal, а затем разговор закончится. Они не смогут сказать, о чем вы говорили на Сигнале, но информация, которую они имеют, дает им довольно хорошее предположение, что, возможно, стоит посмотреть.

Это также говорит им, с кем вы говорили об этом и когда. Иногда это может быть все, что нужно властям, чтобы получить надлежащую основу для своего расследования.

Будь прагматичным

По возможности старайтесь убедить своих друзей, семью и коллег использовать более безопасные платформы обмена сообщениями. Если вы говорите о чем-то чувствительный или ценный, вы должны настаивать на использовании подходящего безопасного приложения.

Даже если разговоры не так важны, лучше осторожно заставить своих получателей использовать более безопасное приложение. Но убедитесь, что вы не слишком увлечены безопасностью и упускаете из виду другие важные вещи.

Если кто-то хочет назначить безопасное свидание с кофе через Facebook Messenger, или ваш двоюродный брат хочет показать вам фотографии своей собаки через платформу, возможно, вам следует просто позволить им. Некоторые люди не имеют времени или могут не понимать необходимость безопасности, и во многих ситуациях просто не стоит жертвовать личными отношениями.

Пока вы не Джулиан Ассанж, ценность взаимодействия и дружбы, вероятно, намного больше, чем любые потери, которые приносит Facebook, обнаружив, что вы не думаете, что фраппучино должны существовать, или что собака вашего двоюродного брата однобокая.

Ограничения приложений для безопасного обмена сообщениями

Если вы переключитесь на безопасную службу обмена сообщениями, легко поддаться иллюзии, что ваша связь пуленепробиваемая. Их нет, и они все еще несколько способов, которыми ваши данные могут быть скомпрометированы.

Даже если вы используете одно из лучших приложений, все, что оно может предоставить, – это сквозное шифрование. Это означает, что вы вводите данные в приложение, они шифруются, перемещаются по серверам организации, доставляются в приложение вашего получателя и расшифровываются, а затем сообщение становится доступным для вашего получателя..

Пока ваши данные будут в безопасности, когда они перемещаются между приложениями, он все еще уязвим до того, как был зашифрован и после того, как был расшифрован. Это означает, что если ваше устройство или устройство получателя было взломано, злоумышленник может получить доступ к сообщениям. Вот почему так важно соблюдать правила гигиены, чтобы предотвратить попадание шпионских программ на ваше устройство..

Это не просто вредоносное ПО, за которым вам нужно следить. Если вы используете приложение, которое поддерживает ваши разговоры, это, вероятно, не выполняется с высоким уровнем безопасности. Хотя злоумышленники могут не иметь доступа к вашему сообщению, когда оно перемещается из приложения в приложение, оно может получить доступ к нему после резервного копирования.

Слабые пароли также могут привести к раскрытию ваших данных. Если кто-то может узнать, угадать или обмануть пароль вас или вашего получателя, он может получить доступ к вашей учетной записи и просмотреть ваши сообщения.. Надежные пароли и двухфакторная аутентификация может держать вас в безопасности, хотя вы должны следить за проверкой SMS, потому что это небезопасно.

Еще одна серьезная проблема заключается в том, что вы или ваш получатель можете оказаться в ситуациях, когда вам придется передавать свои пароли или подробности о том, что обсуждалось. Ваш получатель мог быть скомпрометирован с самого начала и может информировать власти или других противников.

В качестве альтернативы, любой из вас может в конечном итоге подвергнуться угрозе со стороны правоохранительных органов здоровенным приговором к тюремному заключению или под угрозой применения пыток. Люди будут передавать много информации, когда они находятся под принуждением.

Хотя использование приложений безопасности имеет большое значение для защиты вас, ваших данных и ваших сообщений, существуют некоторые экстремальные обстоятельства, в которых это не поможет. Несмотря на такую ​​возможность, эти сценарии невероятно редки, и большинство людей должны чувствовать уверенность в том, что их приложения предоставляют им гарантии, если они используют их надлежащим образом..