Какой мессенджер самый защищенный

Содержание

Выбор правильного мессенджера

Проблема с подобными приложениями состоит не в шифровании, а в протоколировании метаданных. Какой из мессенджеров лучше, вы узнаете из блока на следующей странице. Сам Сноуден рекомендует программу Signal. Его выбор необычайно хорош — к такому же мнению пришли и исследователи проблем безопасности из Оксфордского, Квинслендского университетов и университета Макмастера.

То, как мало регистрирует Signal, продемонстрировал всплывший наружу запрос американского суда к разработчику этого приложения, компании Open Whisper Systems (OWS). Единственной информацией, которой смогла поделиться OWS, стало время регистрации в сервисе и время последнего использования. Недостаток: у этого мессенджера практически нет пользователей.

И все же сегодня и WhatsApp, и Facebook делают ставку не только на собственные приложения, но и на протокол Signal. Благодаря этому данные полностью и надежно шифруются по принципу end-to-end (сквозное шифрование). В Face­book Messenger вам придется, однако, сначала активировать эту функцию в меню «Я | Секретные переписки».

Оптимизация. В Facebook Messenger сквозное шифрование сначала необходимо задействовать через пункт «Секретные переписки»

У WhatsApp и Facebook сами сообщения не могут быть отслежены, однако Face­book целиком сохраняет метаданные. В связи с этим мы рекомендуем склонить всех своих знакомых к переходу на приложение Signal. И все же, несмотря на предостережения, многие спокойно могут продолжать пользоваться WhatsApp и другими приложениями.

В WhatsApp необходимо дополнительно убедиться, чтобы как можно меньше информации проходило через серверы компании. Для этого зайдите в настройки приложения и отключите в разделе «Приватность» первые три опции. Не забудьте избавиться и от «Отчетов о прочтении». Так на серверы WhatsApp попадет минимальное количество метаданнных.

Если вам повезет, вы сможете уговорить собеседников, с которыми вы общаетесь чаще всего, перейти на использование приложения Signal. По отношению к безопасности и приватности на данный момент у него нет конкурентов. Существуют версии программы для iOS и Android. В ближайшее время разработчики планируют выпустить обновление, в котором интерфейс в плане удобства использования ориентирован на WhatsApp.

Избавляемся от прослушки

Для повседневных разговоров с использованием смартфонов не обязательно покупать криптофон, который по умолчанию шифрует беседу. В большинство мессенджеров уже интегрировано приложение для бесплатных звонков. Его преимущество заключается не только в шифровании, а еще и в том, что его использование не будет стоить вам ни копейки.

Для максимального сокращения расхода трафика на телефонные разговоры активируйте «Экономию данных»

Все, что вам требуется, — это подключение к Интернету. Однако не забывайте, что при этом расходуется примерно 1 Мбайт трафика в минуту. Если разговаривать таким способом в среднем час в день, в месяц у вас уйдет 1,8 Гбайт. Для долгих бесед советуем пользоваться открытыми сетями Wi-Fi.

Впрочем, с помощью одного трюка вы можете сократить расход трафика. В разделе «Настройки | Данные» поставьте флажок рядом с опцией «Экономия данных». Теперь в приложении не будет использоваться технология HD-Voice, при этом качество звонка ухудшится, но потреб­ление трафика понизится.

Если применить все советы, представленные в данной статье, вы практически идеально убережете свою информацию от атак. В большинстве случаев после этого даже у секретных служб не останется шансов добраться до ваших данных.

Понятно, что стопроцентной защиты не существует. Но теперь для просмотра потребуется приложить неимоверные усилия, поскольку данные оптимальным образом зашифрованы и защищены, даже когда разведки Великобритании и США проводят полномасштабную слежку.

Самый безопасный мессенджер

> WhatsApp После поглощения сервисом Facebook базы данных компаний все сильнее объединяются. В будущем информация всех пользователей WhatsApp будет автоматически синхронизироваться с Facebook, что позволит этой службе создавать точные профили. При этом сам мессенджер в принципе очень надежен. Внедрение сквозного шифрования для всех клиентов и видео- и аудиотелефонии было встречено на ура.

> Signal Самым безопасным мессенджером на данный момент является Signal. Отличное шифро­вание и оптимальные профили приватности: приложение сохраняет лишь момент регистрации и последнего использования. Разработчикам, однако, еще нужно серьезно поработать над удобством обслуживания.

> Threema Гораздо комфортнее работать со швейцарским продуктом Threema. Полное шифрование, незначительный сбор информации и качественная помощь пользователю объясняют звание лучшего мессенджера.

Нюанс: пока у этого приложения еще слишком мало фанатов. Но ситуация может измениться: после выборов в США был зарегистрирован прирост пользователей почти на 40 процентов.

Сквозное шифрование, или end-to-end encryption (E2EE), считается панацеей от настойчивых попыток хакеров и силовых ведомств ознакомиться с онлайновой перепиской. Смысл E2EE часто сводится к тому, что ключи хранятся только на устройствах собеседников и не попадают на сервер… но это не совсем так. Давай посмотрим, как в действительности обстоят дела с E2EE, на примере популярных мессенджеров.

Шифрование в мессенджерах

Написать эту статью меня подтолкнуло исследование Obstacles to the Adoption of Secure Communication Tools (PDF). Как выяснили его авторы, «подавляющее большинство участников опроса не понимают основную концепцию сквозного шифрования». Проще говоря, люди обычно выбирают мессенджер сердцем, а не мозгом.

Начнем с того, что E2EE имеет свои особенности в каждом мессенджере. В Signal оно почти образцовое. В WhatsApp формально такое же, как в Signal, за исключением одного очень важного момента: смена основного ключа абонента WhatsApp не блокирует отправку ему сообщений. Максимум можно включить бесполезное уведомление (которое отключено в дефолтных настройках). В Viber сквозное шифрование неактивно по умолчанию, да и появилось только в шестой версии. В Telegram E2EE также используется только в секретных чатах, причем реализованы они довольно странно.

Конфликт Роскомнадзора с Telegram вообще создал отличную рекламу последнему. Рядовые пользователи теперь считают творение Дурова настоящей занозой в спине спецслужб (или чуть пониже ее), которые ничего не могут сделать с пуленепробиваемым инновационным сервисом. Поклонники Telegram сравнивают его с Signal и утверждают о превосходстве первого.

Однако в криптографии не бывает чудес, и особенно — в прикладной. Многие математически красивые идеи оказываются безнадежно испорчены реализацией, когда удобство и подконтрольность ставят выше безопасности и приватности (а так происходит практически всегда).

Исходно в мессенджерах применялся протокол OTR (Off-the-Record). Он использует симметричное шифрование AES в режиме CTR, протокол обмена ключами DH и хеш-функцию SHA-1. Схема AES-CTR обеспечивает так называемое «спорное» (в хорошем смысле) шифрование и возможность отрицания авторства текста, если его перехватят. Всегда можно сослаться на то, что перехвативший трафик сам изменил шифротекст так, чтобы он соответствовал другому варианту расшифровки той же длины. Например, вместо «сходи за хлебом» получилось «отрави королеву» — технически это возможно, и такое свойство специально заложено в алгоритм.

Протокол OTR выполняет аутентификацию собеседников и шифрует переписку между ними. Он безопасен до тех пор, пока участники разговора регулярно проверяют отпечатки открытых ключей друг друга и противостоят атакам по другим векторам (включая социальный инжиниринг).

Главный недостаток OTR заключается в том, что после отправки нового ключа требуется дождаться подтверждения от собеседника. Если он офлайн, то связь будет временно невозможна. Одним из выходов стал алгоритм Double Ratchet (DR), разработанный пять лет назад Тревором Перрином и Мокси Марлинспайком в Open Whisper Systems. Сегодня DR используется в Signal, WhatsApp, Viber и многих других мессенджерах, поддерживающих сквозное шифрование по умолчанию или как отдельную опцию (секретные чаты).

Упрощенная схема алгоритма Double Ratchet (источник: signal.org). Алиса и Боб начинают сессию, обмениваясь публичными ключами

Сквозное шифрование

Схема E2EE использует комбинацию из криптографических систем с открытым и закрытым ключом. Она очевидна в общих чертах и довольно сложна на уровне деталей. В ней используется масса взаимосвязанных ключей, часть из которых обязательно попадает на сервер и, более того, обязательно загружается на него до начала переписки, чтобы ее можно было начать в произвольный момент. Давай рассмотрим ее подробнее.

Начало схемы ты наверняка знаешь, поскольку оно стандартно для всех систем асимметричного шифрования, — генерируется пара ключей. Это необходимо потому, что криптосистемы с одним ключом (вроде AES) использовать в переписке в чистом виде слишком трудно. С ними пришлось бы как-то организовывать защищенный канал для передачи ключа (например, встречаться лично), а потом делать это снова при каждой его смене.

Тут же все как в привычном PGP: есть два собеседника (Алиса и Боб), каждый из которых генерирует свою пару ключей. Затем они обмениваются публичными ключами, сохраняя в тайне парные им секретные. Публичные ключи передаются по открытому каналу (на то они и публичные, пусть перехватывают на здоровье) и служат для двух целей: они позволяют зашифровать сообщение и проверить его подпись. Соответственно, секретные ключи используются для расшифровки и формирования подписи.

INFO

Термин «сообщение» используется здесь в широком смысле. Сообщением может быть текст, медиафайл или служебные метаданные, которыми мессенджер обменивается с сервером. Часть этих данных содержит временные метки, состояние клиентского приложения и новые ключи.

Такая криптосистема кое-как работает в электронной почте, поскольку это сервис для доставки отдельных зашифрованных сообщений произвольной длины. Пользуясь им, собеседники не обязаны одновременно быть онлайн. Все сообщения накапливаются на сервере и скачиваются с него по требованию после того, как пользователь успешно пройдет авторизацию. Расшифровка происходит локально при помощи секретных ключей, которые никуда не передаются. Почта с PGP популярна, но работает далеко не идеально. Почему? См. статью «Алиса и Боб в стране PGP».

К сожалению, в чистом виде схема асимметричного шифрования также не годится для мессенджеров, поскольку эти сервисы ориентированы на интенсивную онлайновую переписку в виде цепочки коротких сообщений. Они должны отображаться в строго определенном порядке, а собеседник может в любое время оказаться офлайн и нарушить структуру диалога.

К тому же шифровать множество коротких сообщений одним ключом — плохая идея. Всего за день переписки их создаются сотни (если не тысячи). Во многих сообщениях количество шифротекста минимальное и предсказуемое (смайлик, стикер). Также у них есть стандартные заголовки, которые упрощают криптоанализ.

Особенность переписки в мессенджерах в том, что из-за типовых метаданных за короткое время атакующий может перехватить большой объем предсказуемого шифротекста. Его львиная доля будет соответствовать известному открытому тексту. Если она будет шифроваться одним ключом, то при успешной атаке окажутся скомпрометированными все ранее написанные сообщения и даже те, которые собеседники напишут в будущем.

Чтобы этого не происходило, в мессенджерах предусмотрены такие свойства, как прямая и обратная секретность. Они подразумевают невозможность прочитать отправленные ранее и написанные в будущем сообщения, имея на руках только текущий ключ шифрования. Для этого используется многослойное шифрование с переходом от асимметричной к симметричной криптографии и дополнительные ключи с разным временем жизни.

Диффи, Хеллман! Дайте три!

Из открытой документации известно, что в Telegram аутентифицированное распределение ключей обеспечивает классический протокол Диффи — Хеллмана (DH). Он создает мост между асимметричным (RSA) и симметричным (AES) шифрованием, давая возможность энному количеству собеседников вести зашифрованную переписку, передав только публичные ключи по открытому каналу. Для этого в нем генерируются сессионные ключи, представляющие собой общий секрет или общий эфемерный ключ. Он вычисляется на основе секретного ключа одного собеседника и публичного ключа другого. Эфемерные ключи аутентифицируются долговременными открытыми ключами.

Продолжение доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все материалы на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Вариант 2. Купи один материал

Заинтересовала информация, но нет возможности оплатить подписку? Тогда этот вариант для тебя! Обрати внимание: этот способ покупки доступен только для материалов, опубликованных более двух месяцев назад.

Уже подписан?

Выбираем защищенный мессенджер для android-устройств: Eleet Private Messenger, PushMe Fun и Wickr Me

Оценка в Google Play
4.8
Разработчик
Eleet LP
Количество загрузок в Google Play
10 000-50 000
Совместимость приложения с другими версиями ОС Android
4.0.3 или более поздняя
Размер приложения после установки
35 Мбайт
Версия приложения
2.0.7
Покупки в приложении

Основные функции:

  • Бесплатный сервис;
  • Безопасность переписки и данных;
  • Обмен медиафайлами;
  • Добавление контактов по уникальным ID;
  • Возможность создания до трех приватных пользователей;
  • Отдельные списки контактов для каждого ID;
  • Переключение между разными ID;
  • Группы для общения;
  • Широкие настройки безопасности.

Разрешения:

Контакты:

  • Просмотр контактов;
  • Изменение контактов.

Местоположение:

  • Примерное местоположение (на основе сети);
  • Точное местоположение (на основе сети и сигналов GPS).

Телефон:

  • Получение данных о статусе телефона.

Фото/мультимедиа/файлы:

  • Просмотр данных на USB-накопителе;
  • Изменение/удаление данных на USB-накопителе.

Память:

  • Просмотр данных на USB-накопителе;
  • Изменение/удаление данных на USB-накопителе.

Камера:

  • Фото- и видеосъемка.

Микрофон:

  • Запись аудио.

Данные о Wi-Fi-подключении:

  • Просмотр подключений Wi-Fi.

Идентификатор устройства и данные о вызовах:

  • Получение данных о статусе телефона.

Другое:

  • Запись аудиосигнала;
  • Запись защищенного видеосигнала;
  • Запись видеосигнала;
  • Получение данных из Интернета;
  • Просмотр сетевых подключений;
  • Неограниченный доступ к Интернету;
  • Изменение настроек аудио;
  • Запуск при включении устройства;
  • Управление функцией вибросигнала;
  • Предотвращение переключения устройства в спящий режим;
  • Изменение настроек системы;
  • Просмотр конфигурации службы Google.

Первое впечатление и настройка

Eleet Private Messenger требует обязательной регистрации в сервисе, вход через соцсети не предусмотрен. Впрочем, само создание аккаунта не отнимет много времени – достаточно придумать пароль и ник. Есть и возможность синхронизировать контакты из телефонной книги. К слову, оставлять свой e-mail при регистрации не нужно.

После этой процедуры вы получите свой уникальный ID, благодаря которому вас найдут остальные пользователи.

Поскольку в приложении реализована защита от скриншотов и ее нельзя отключить, приведу для примера скриншоты из Google Play. Возможно, лучше было бы обойтись фотографиями, но качество камеры бюджетного планшета не выдерживает критики.

Интерфейс мессенджера – однооконный с сайдбаром слева. При первом запуске открывается окно с чатами, можно просмотреть свои контакты и учетную запись. Все это переключается в сайдбаре.

Там же находятся и настройки. В них можно выбрать фон чата – всего две темы, зато ставится любая фотография. Помимо этого, выбираем размер шрифта, отключаем автозагрузку видео, сохранение контента в библиотеку и настраиваем черный список.

Теперь об интересном. На саму программу можно назначить пароль, а также скрывать от других пользователей последнее время визита и отчеты о прочтении. Не инновация, конечно, но наличие этих опций радует.

Для того, чтобы синхронизироваться и войти в десктопную версию, достаточно отсканировать QR-код. Также есть возможность привязать к аккаунту номер телефона. Делать это необязательно, просто вас будет проще найти в контактах. При необходимости в настройках можно одним махом удалить все данные, включая переписку и учетную запись. Своеобразная «кнопка» на всякий случай.

Мессенджер

Общение в мессенджере происходит «лесенкой». Можно добавить любой мультимедийный файл, который также будет защищен, а вот самоуничтожения сообщений нет. Зато реализована закрытая группа, а также временный групповой чат, действующий до определенной даты и времени.

Естественно, сама переписка возможна только внутри сервиса. При этом вы не оставляете никаких контактов, разве что ник и аватар.

Сбоев в работе я не заметил, как не заметил и задержек в отправке сообщений. Единственное, один раз произошел сбой сервера, о чем вылезло соответствующее окно, но на работу программы это никак не повлияло.

Нагрузка на систему

Eleet Private Messenger потребляет в пределах 70 Мбайт ОЗУ, нагружая процессор до 0.2%. Аккумулятор проседает всего на 2-3% за день со средним энергопотреблением в 7 мВт. Отличные показатели для мессенджера, который всегда на связи.

Программа работает с Android 4.0.3 или выше, весит в системе 35 Мбайт, не содержит рекламы и распространяется бесплатно.

Вирусов нет (проверено Dr.Web), из разрешений печалит только определение местоположения, ведь отправки геометки здесь нет.

Выводы

Eleet Private Messenger предлагает простой и шифрованный способ общения без лишней мишуры. Кодируется все, что только можно, есть временные чаты, нагрузка на систему минимальна, нет рекламы и необходимости светить свои данные.

Таким образом, данное решение подойдет для деловой переписки, благодаря большему акценту именно на анонимных чатах. К тому же номер телефона регистрировать необязательно.

Оценка: 4.8 по пятибалльной шкале.

Интерфейс
Однооконный с сайдбаром слева
Возможность самостоятельной настройки
Необходимый минимум
Общая эффективность
Отлично
Удобство управления
Отлично
Максимальная нагрузка на систему (CPU/RAM)
0.2% / 70 Мбайт
Размер после установки
35 Мбайт
Максимальный расход аккумулятора
3%
Скорость энергопотребления
7 мВт
Использование GPS-модуля
Да
Трафик
Мессенджер
Необходимость в root
Нет
Реклама
Нет

Telegram-канал @overclockers_news — это удобный способ следить за новыми материалами на сайте. С картинками, расширенными описаниями и без рекламы.

Ubuntu66.ru — новости, уроки, помощь, поддержка.

Wickr — это онлайн-мессенджер, который на 100% анонимен в Интернете. Wickr — это приложение, которое буквально не оставляет никаких следов. Wickr уничтожает ваши сообщения не только на ваших смартфонах, телефонах и компьютерах, но также и на серверах, через которые происходит переписка. Кроме того в самой программе есть функция полного стирания всей истории, после выполнения которой сообщения нельзя восстановить никакими средствами.
С помощью Wickr можно передавать текстовые сообщения, картинки, аудио, видео и PDF-файлы с использованием различных стандартов шифрования (AES 256, ECDH 521, RSA 4096 TLD). Ваши сообщения не будут содержать никаких имен, геолокационных данных, ни получателя, ни отправителя. В настройках приложения вы сможете сами выбрать период времени, через который сообщения будут удаляться безвозвратно.

Принцип работы
Wickr — это закрытая экосистема и чтобы использовать ее, оба пользователя должны иметь профили в приложении. Профиль создается за несколько минут, а вот найти своего адресата вы сможете только по конкретному имени пользователя или электронной почте. С Wickr чувствуешь себя шпионом, т.к. вводить пароль здесь приходится на каждом шагу.
Wickr устанавливается на компьютерах: Windows, OS X, Linux (deb 32-bit и 64-bit) и мобильных устройствах: iOS, Android.
Установка Wickr в Ubuntu и производные
Перейдите по ссылке Wickr downloads, загрузите deb пакет согласно архитектуры вашей системы (32-bit или 64-bit) и установите в Центре приложений.
По окончании установки вы найдёте Wickr в программах Интернет или поиском в меню:

После открытия программы нажмите на кнопке Create New Account (Создать новую учетную запись):

Откроется дополнительное окно извещающее о том, что Wickr не имеет опции для сброса забытого пароля. Поэтому необходимо записать или запомнить ваш пароль. Для подтверждения нажмите ОК:

Введите имя пользователя (с маленькой буквы, как в электронной почте), пароль, выберите тип вашего аккаунта и нажмите кнопку Create Account (Регистрация):

Далее войтдите в свой аккаунт Wickr, путём ввода пароля и нажатия кноки Sing in (Вход):

Откроется основное окно Wickr. В нём вы можете добавлять контакты, создавать новые сообщения для друзей/знакомых и т.п.:

Нажмите на кнопке слева Friends (друзья), чтобы добавить друга из своих контактов:
Введите адрес электронной почты или номер телефона:
Примечание. Имейте ввиду, что ваш друг уже должен быть зарегистрирован в Wickr (иметь аккаунт) на мобильном устройстве или его электронный адрес. Только тогда вы можете найти его по номеру телефона или электронной почте.
Настройки Wickr
Настройки Wickr находятся в левом нижнем углу главного окна. Нажмите на кнопке Settings (Настройки), чтобы начать настройку своего ​​аккаунта.
Здесь вы можете: добавить свою фотографию, номер телефона, почтовый адрес и т.д., чтобы сделать более доступным для ваших друзей, чтобы найти вас. Кроме того, вы можете ввести в черный список пользователей, кого вы хотите заблокировать.
Заключение
Теперь вы можете общаться со своими друзьями анонимно и безопасно.
Удачи.
Домашняя страница https://www.wickr.com/

Самые защищенные и безопасные мессенджеры — обзор

25.03.19. Telegram добавил возможность удаления переписки

Telegram представил обновление мессенджера c новыми настройками управления личной перепиской и улучшенным поиском. Пользователи получили новые возможности контролировать личную переписку. Если раньше функция «Удаление сообщения» удаляла только собственные сообщения, отправленные в течение 48 часов, то теперь можно удалить любое полученное или отправленное сообщение без ограничений во времени. При этом сообщение исчезнет и у собеседника. Для большей конфиденциальности разрабочики добавили возможность ограничить данные о пользователе в пересланном сообщении. Если активировать эту функцию, имя автора в переадресованном сообщении будет некликабельным. Также появилась возможность отключать просмотр фотографии профиля.
2018. Десктопные версии Signal и Telegram хранят информацию в незашифрованном виде. Дуров объяснил почему
За последнюю неделю исследователи в сфере информационной безопасности обнаружили, что оба самых защищенных мессенджера Signal и Telegram сохраняют сообщения на компьютере пользователя в незашифрованном виде. Signal делает это при обновлении версий десктоп приложения (чтобы импортировать сообщения в новую версию), а Телеграм — просто хранит все чаты без шифрования в базе SQLite, в которой прочесть их сложно но можно. Павел Дуров сразу же отреагировал на это открытие в своем телеграм-канале и объяснил, что это не бага, а фича (точнее нормальное положение дел). Ведь, если злоумышленники получат доступ к вашему компьютеру, они все равно смогут прочитать ваши сообщения. Правда, Павел не упомянул, что так просто прочитать сообщения им помешало бы незнание пароля, который можно установить в десктоп-версии Телеграм.
2018. Сверхзащищенный мессенджер Signal «тайно» сохраняет историю и ключи шифрования открытым текстом
Исследователь в области информационной безопасности Мэтью Сюиш поделился открытием, что один из самых защищенных крипто-мессенджеров Signal «подложил» своим пользователям «свинью» впечатляющих размеров. Мессенджер в процессе миграции от расширения для Chrome до полноценного десктопного клиента экспортирует сообщения пользователя в незашифрованные текстовые файлы. Никаких предупреждений о том, что информация расшифровывается и сохраняется на диск, программа не выводит. Этот момент и является ключевым для угрозы утечки конфиденциальных данных. Самое плохое же в этой ситуации — незашифрованные сообщения остаются на диске даже после завершения апгрейда, и удалять их придется вручную, если, конечно, пользователь вообще догадается…
2018. Skype добавил шифрование чатов и звонков для всех пользователей
Skype запустил систему оконечного шифрования (end-to-end) для всех пользователей Skype на Windows Desktop, Android, iOS, Mac и Linux. Чтобы начать зашифрованную беседу, нужно выбрать пользователя из списка контактов и нажать «Начать личную беседу». Для этого у обоих собеседников должна стоять последняя версия Skype. Все сообщения и звонки в личной беседе зашифрованы до её завершения. Зашифрованный чат доступен пользователю только на том устройстве, на котором он его начал: если он перейдёт с компьютера на смартфон, ему придётся начать новую беседу, все переданные и полученные сообщения и файлы при этом останутся на компьютере.
2018. Сбербанк запустил собственный мессенджер
Сбербанк добавил в свое мобильное приложение «Сбербанк Онлайн» собственный мессенджер Диалоги. Зачем банку свой мессенджер? Дело в том, что кроме передачи сообщений в нем можно очень просто переводить деньги. Мессенджер расчитан только на клиентов Сбербанка: номер телефона привязан к карте «Сбербанка». Отмечается, что переписка защищена технологиями «Сбербанка». Интересно, что в декабре 2017 ходили слухи, что Сбербанк переговоры о покупке разработчика мессенджера для корпоративных коммуникаций Dialog. Но чем закончились переговоры — неизвестно.
2017. Защищенный мессенджер Threema получил десктопную версию
Threema объявила о выпуске десктопной версии своего защищенного мессенджера Threema, с помощью которого сервисом можно пользоваться и на настольном компьютере. Как и мобильная версия, веб-клиент Threema обеспечивает высокий уровень защиты информации и максимально ограничивает любые некритические сценарии взаимодействия с данными. В частности, вместо использования сервера для синхронизации сообщений, Threema устанавливает прямое зашифрованное соединение между браузером и мобильным устройством с помощью протокола SaltyRTC. Таким образом, сообщения могут быть синхронизированы без необходимости их обработки сервером. Если браузер и мобильное устройство подключены к одной и той же сети, то данные не покинут ее пределы.
2016. В Facebook Messenger появилось end-to-end-шифрование
В Facebook Messenger появились «секретные» чаты с end-to-end-шифрованием. Начать «секретный» чат можно из меню создания нового сообщения, нажав на кнопку «Secret». После этого мессенджер предложит выбрать, с кем из пользователей нужно начать шифрованную переписку. «Секретные» чаты доступны только на тех устройствах, на которых они были открыты в первый раз. Кроме того, есть возможность добавлять таймер к сообщениям — после истечения указанного отрезка времени они удаляются. При этом в таких чатах недоступна отправка GIF-файлов и видео, однако есть возможность отправлять изображения и стикеры. У каждого участника переписки приложение Messenger должно быть обновлено до последней версии.
2016. Дуров и Сноуден поспорили о защищённости Telegram и WhatsApp
Создатель мессенджера Telegram Павел Дуров и бывший сотрудник ЦРУ Эдвард Сноуден поспорили в Твиттере о защищенности мессенджеров. Началось все с того, что Сноуден не рекомендовал пользоваться новым мессенджером Google Allo (потому что он хранит переписку на сервере), а потом заявил что WhatsApp — надежнее Telegram, т.к. по-умолчанию обеспечивает end-to-end шифрование. Конечно, Павел не смог пройти мимо такого, и возразил, что в Telegram такое-же шифрование можно при желании включить, а вот WhatsApps вынуждает юзеров использовать внешние сервисы для хранения переписки. В итоге, оба согласились, что если пользователь — невнимательный или просто не заботится о конфиденциальности информации — он может в любом мессенджере ее потерять.
2016. Viber начал шифровать сообщения и запустил секретные чаты
Вслед за Telegram и WhatsApp, самый популярный мессенджер в нашей стране Viber вводит end-to-end шифрование. Теперь все голосовые звонки, личные и групповые чаты, а также пересылаемые файлы будут полностью защищены. При этом сервис не видит содержание сообщений и не хранит архивов переписки. Переписку, зашифрованную таким образом, не смогут запросить у компании даже спецслужбы. В течение нескольких недель технология заработает на всех устройствах, на которых версия Viber будет обновлена до 6.0 – это относится и к мобильному, и к десктопному приложениям. Новая версия Viber также получила «секретные чаты» с доступом лишь по четырёхзначному пин-коду или по отпечатку пальца (версия под iOS), так что чуть-чуть решает и проблему потери смартфона его владельцем.
2016. Мессенджер WhatsApp включил полное шифрование сообщений
Мессенджер WhatsApp (принадлежащий Facebook) включил функцию оконечного шифрования для всех пользователей своего мессенджера. Для реализации шифрования в WhatsApp используется библиотека мессенджера Signal, который считается одним из самых безопасных в мире. Использование этой библиотеки гарантирует, что на промежуточном сервере данные не только не могут быть расшифрованы, но там также не хранится какая-либо информация метаданных, по которой можно идентифицировать собеседников. Шифрование применяется ко всему пересылаемому содержимому, включая, чаты, групповые чаты, фотографии, вложения, голосовые заметки, а также голосовые вызовы. Для создания защищенного канала необходимо отсканировать QR-код с одного телефона другим. Подобная технология оконечного шифрования используется в мессенджере Telegram Павла Дурова, однако в нём она работает только в так называемых «секретных чатах», рассчитанных на двух собеседников.
2015. В России появился собственный защищенный бизнес-мессенджер
На днях на Хабре появился хороший сравнительный анализ безопасности современных мессенджеров. Наиболее защищенными признаны Telegram, Signal, Tox, Jabber. Но если для вас важным параметром безопасности мессенджера является его отечественное происхождение и размещение, то обратите внимание на новинку — бизнес-мессенджер Avirton. Он разработан в России и все его сервера расположены на территории РФ, так что даже государственные органы смогут пользоваться мессенджером, не опасаясь утечек. Для шифрования данных применяется технология AES (используемая в качестве стандарта правительством США). Что касается финансовой безопасности проекта, то Avirton уже привлек более $1 млн от частных инвесторов и рассчитывает на дополнительные инвестиции в $5 млн и получение оценки бизнеса в $30 млн до конца года.
2015. Facebook запустила корпоративный мессенджер
В начале этого года Facebook запустила бизнес-версию своей социальной сети — Facebook at Work. Смысл в том, что сотрудники одной компании могут получить рабочие аккаунты (отдельные от персональных) и организовать совместную работу на закрытой страничке компании, подобно как это делается, например, в живой ленте Битрикс24. Теперь же для компаний, использующих Facebook for Work стал доступен мобильный мессенджер Work Chat, который позволит безопасно общаться в режиме реального времени, не прибегая к использованию потребительских мессенджеров, аля WhatsApp или Viber. Помимо обмена текстовыми сообщениями Work Chat позволяет обмениваться фотографиями, файлами и видео. Можно создавать индивидуальные или групповые чаты. Вместо списка контактов в приложении используется каталог сотрудников. Пока доступна версия мессенджера только для Android, скоро ожидается версия для iPhone.
2015. Разработчики Tor выпустили защищенный мессенджер
Разработчики браузера Tor выпустили мессенджер Tor Messenger, в основе которого лежит та же технология анонимизации пользователей. Он работает на Windows, OS X, Linux и поддерживает большое количество сервисов, включая AOL, Twitter, Yahoo Messenger, Google Talk, Facebook, Jabber, ICQ и IRC. В сети Tor на пути от пользователя к серверу и обратно проходит через несколько узлов. Принцип анонимизации заключается в том, что информация об адресе предыдущего узла на каждом новом узле, куда пришли данные, отсутствует. Таким образом, теоретически, никто не может узнать, откуда пришел запрос на сервер, то есть откуда и с какого ПК человек выходил в сеть.
2015. ViPNet Connect от «Инфотекс» обеспечит конфиденциальность мобильных коммуникаций
Компания «Инфотекс», российский разработчик программных, программно-аппаратных VPN-решений и средств криптографической защиты информации, объявила о выпуске нового приложения для мобильных устройств ViPNet Connect. Новинка позволит корпоративным пользователям обмениваться важной бизнес-информацией по защищенным каналам с помощью чата, а также при голосовых вызовах. ViPNet Connect представляет собой альтернативу использованию в корпоративных целях мессенджеров публичных сервисов Skype, Facebook, «ВКонтакте», WhatsApp, Viber и др., которые несут множество рисков для безопасности организации. Приложение ViPNet Connect реализует информационный обмен между пользователями через защищенную ViPNet-сеть, исключая возможность перехвата конфиденциальной и навязывания ложной информации. Важным отличием программного комплекса ViPNet Connect от известных мессенджеров является возможность обеспечения защиты точка-точка, без задействования промежуточных серверов при передаче конфиденциальных данных, указали в компании.
2008. Cisco защитит унифицированные коммуникации
SIP-защита для унифицированных коммуникаций состоит в использовании протоколаSIP в межсетевом экране Cisco IOS Firewall для защиты голосовой связи.Это новшество позволит компаниям принять концепцию распределенногопредприятия, повысить производительность труда и минимизировать угрозы,связанные с передачей голоса. Это обновление превращает сетевые решения CISCO Self-Defending Network (самозащищающаясясеть) в более широкое системное решение, обеспечивающее общую защитусетей, а также самых разных оконечных устройств, приложений и контента.
2007. Компания Skype стремится повысить безопасность своего ПО
Популярный оператор пиринговой IP-телефонии Skype планирует заключить соглашение о сотрудничестве с компанией, специализирующейся на защите сетей мгновенных сообщений, FaceTime Communications. По данным информационного издания Silicon, Skype таким образом попытается дать больше инструментов контроля над сеансами IP-телефонии с тем, чтобы продвинуть свои услуги в бизнес-секторе. Ожидается, что за этим соглашением последуют ряд других, аналогичных сделок. Намерение Skype сделать свое ПО общедоступным инструментом делового общения, потребовало изменить отношение к проблемам IT-менеджеров предприятий, которые оказались не в состоянии контролировать трафик популярной телефонной системы. По официальным данным Skype приблизительно 30% из 171 млн. зарегистрированных пользователей принадлежат миру бизнеса.
2006. Безопасная система мгновенных сообщений NTT
Инженеры корпорации NTT Communications разработали систему передачи мгновенных сообщений, способную в соответствии с юридическими требованиями, включая Sarbanes-Oxley Act, регистрировать и архивировать передаваемую информацию, а также взаимодействовать с другими подобными системами. В ее основе — сервер, через который передаются все сообщения, где также сохраняются их копии. Для предотвращения несанкционированного перехвата информации и спуффинга связь между сервером и IM-клиентами осуществляется с использованием технологии Transport Layer Security. Решение NTT отличается от других систем, в которых серверы применяются только для организации связи между различными клиентами. Использование центрального сервера позволяет устанавливать политики, определяющие дисциплину связи пользователей и типы передаваемых файлов. Предусмотрена работа с клиентским ПО для ПК с ОС Windows и для сотовых телефонов с Java iAppli, а также с Web-интерфейсами.

Самые защищенные мессенджеры

Парадоксально, но факт: при всем разнообразии мессенджеров выбирать их обычно не приходится — люди просто пользуются тем же, чем их друзья и знакомые. Но что, если секретность действительно важна? В этой статье мы пройдемся по списку современных мессенджеров и посмотрим, какие гарантии защиты есть у каждого из них.

Не так давно я заглянула наткнулась на опрос «Какой мессенджер вы считаете самым надежным?». Самый популярный ответ (Telegram) меня насторожил. Тогда я поняла, что все это зашло слишком далеко и пользователи уже потеряли связь с реальностью после атаки маркетинг-хедкраба (на картинке).

Я решила составить список мессенджеров и посмотреть, как у каждого из них обстоят дела с безопасностью. В список пошли как популярные, так и перспективные в плане безопасности программы. Сразу предупреждаю, что углубляться в техническую сторону мы будем настолько, насколько это необходимо для среднего пользователя, не дальше.

Во многом я повторила путь авторов серии статей Electronic Frontier Foundation под названием , но выбрала другие критерии — на мой взгляд, более важные.

Критерии выбора защищенного мессенджера

Распространяется ли исходный код мессенджера на условиях одной из свободных лицензий? Если да, то ведется ли разработка открытым методом? Насколько тесно разработчики взаимодействуют с сообществом? Принимают ли pull request’ы? Все это важно учитывать при выборе.

Степень централизации

Здесь возможен один из трех вариантов:

  • централизованный — требует сервера, возможно заблокировать. Пример: VK, Telegram, Facebook;
  • федеративный — сеть из серверов, которые общаются друг с другом. Каноничные примеры: Email, Jabber (XMPP), Riot Matrix;
  • децентрализованный (имеется в виду P2P) — каждый клиент является одновременно и сервером.

Возможность анонимной регистрации и использования

Для некоторых сервисов телефон может понадобиться только для защиты от спама при регистрации, соответственно, очень просто использовать сервисы аренды номеров для SMS.

В остальных случаях мессенджер плотно привязан к телефону. Это плохо тем, что если не включена двухфакторная аутентификация, то при получении доступа к этому номеру можно зайти в аккаунт и слить все данные. Но даже если двухфакторка включена, все равно остается возможность удалить все данные с аккаунта. Ну и конечно, это, считай, регистрация по паспорту (используем реалии РФ, других не завезли).

Но не все так плохо. Есть мессенджеры, которые позволяют регистрироваться с использованием почтового ящика или учетной записи в социальной сети. Есть и такие, где учетную запись можно создать в самом мессенджере без привязки к чему-то.

Наличие End-to-End Encryption (E2EE)

Некоторые мессенджеры имеют такую функцию по умолчанию, в других ее можно включить, но есть и те, где сквозного шифрования просто нет.

Синхронизация E2EE-чатов

Опять же эта функция пока что встречается не так часто, как хотелось бы. Ее наличие сильно упрощает жизнь.

Уведомление о необходимости проверки отпечатков E2EE

При старте E2EE-чатов некоторые мессенджеры предлагают проверить отпечатки собеседников, другие не предлагают это открыто. Но не все мессенджеры имеют функцию проверки отпечатков.

Запрет делать скриншот секретного чата

Не самая полезная функция, потому что для обхода запрета достаточно, например, иметь под рукой второй телефон.

Групповые E2EE-чаты

Групповые E2EE-чаты обычно не такая уж необходимая функция, но весьма удобная. Правило «больше двух — говори вслух» стоит оставить для детей.

Уведомление о необходимости проверки отпечатков E2EE в групповых чатах

При добавлении нового собеседника, с которым не сверены отпечатки, в секретный групповой чат не все мессенджеры предлагают проверить его отпечатки. Из-за такого упущения теряется смысл секретных чатов.

Защита социального графа

Некоторые мессенджеры собирают информацию о контактах пользователя и другую метаинформацию, например кому звонил пользователь, как долго разговаривал. На эту тему есть .

Мы выбрали лишь часть критериев, которые могут сыграть роль при выборе мессенджера. Существуют и другие, но не всегда они связаны с безопасностью. Группа ученых из европейских университетов неплохо разложила все по полочкам в работе Obstacles to the Adoption of Secure Communication Tools (). Также всегда полезно знакомиться с результатами независимого аудита, если они есть. Например, в случае с Signal такой аудит проводился ().

Обзор защищённых (и не очень) мессенджеров

Telegram

Мессенджер, созданный командой Павла Дурова, построен на технологии шифрования переписки MTProto. На данный момент частично заблокирован на территории России, но эта блокировка — отдельная тема для разговора.

Мессенджер неоднозначный. Вокруг него много шума, но оправдан ли он? Доступа к исходникам нет, чаты по умолчанию не шифруются, нет защиты социального графа (все твои контакты хранятся на серверах Telegram), нет групповых E2EE-чатов, E2EE-чаты не поддерживаются в настольной версии программы, только в мобильной, мессенджер централизованный, сообщения хранятся на сервере (и они, как уже было отмечено, не зашифрованы), и при всем этом отсутствует возможность анонимной регистрации.

Если ты хочешь использовать Telegram, то для защиты переписки не забывай создавать секретные чаты. В мобильной версии для этого нужно выбрать команду New Secret Chat. Из настольных версий секретные чаты поддерживают только некоторые (например, один из двух клиентов для macOS).

В секретном чате сообщения шифруются и не хранятся на серверах мессенджера. Также нельзя сделать скриншот секретного чата, но ничто не мешает сфотографировать такой чат с экрана.

  • Лицензия: формально — GPLv3. Однако важная часть разработки закрыта. Если взглянуть на репозитории, то видно, что в последнее время какое-то движение наблюдалось только в вебовой версии. Увы, в таком виде это скорее иллюзия открытости
  • Степень централизации: централизованный
  • Возможность анонимной регистрации и работы: нет
  • Наличие E2EE: реализованы, но как дополнение. По умолчанию чаты не шифруются
  • Синхронизация E2EE-чатов: нет. Секретный чат можно использовать только с одного устройства, с другого доступа к нему уже не будет
  • Уведомление о проверке отпечатков E2EE: нет. Пользователи могут сами зайти в настройки, чтобы сравнить отпечатки
  • Запрет на скриншоты секретных чатов: есть, но работает не на всех устройствах
  • Групповые чаты E2EE: нет
  • Защита социального графа: нет

Signal

Мессенджер Signal разработан американским стартапом Open Whisper Systems, где, кроме двоих основателей, работает всего несколько человек. Для шифрования сообщений используется созданный специально для него криптографический протокол — Signal Protocol. Он применяется для сквозного (end-to-end) шифрования звонков (голосовых и видео), а также обычных сообщений. Протокол Signal с тех пор стали использовать и другие мессенджеры: WhatsApp, Facebook Messenger, Google Allo.

Казалось бы, в этом случае любой мессенджер может стать таким же безопасным, как и Signal. Но, как показывает практика, — нет. В отличие от Signal, где шифрование включено по умолчанию, в этих мессенджерах оно выключено. Для его включения в Facebook Messenger нужно активировать Secret Conversations, а в Google Allo — режим инкогнито (Incognito Mode).

Помимо этого, Signal децентрализованный, а его исходные коды открыты. Есть поддержка групповых E2EE-чатов, есть защита социального графа, поддерживаются .

Однако не стоит путать защиту с анонимностью. Signal не анонимен: при регистрации нужно указывать номер телефона, к которому мессенджер и привязывается. Что касается исчезающих сообщений, то эта фишка встречается и в других мессенджерах, например в Viber и Telegram (в меню секретного чата нужно выбрать команду Set self-destruct timer).

  • Лицензия: AGPLv3
  • Степень централизации: децентрализованный
  • Возможность анонимной регистрации и работы: нет. Кроме номера телефона, других вариантов нет. Использование временного приведет к тому же результату, что и в случае с Telegram
  • Наличие E2EE: есть. Используется — специально разработанный для этого мессенджера протокол шифрования сообщений
  • Синхронизация E2EE-чатов: есть
  • Уведомление о проверке отпечатков E2EE: нет. Пользователям предлагается сосканировать QR-коды друг у друга или сравнить отпечатки
  • Запрет на скриншоты секретных чатов: можно включить или выключить
  • Групповые чаты E2EE: есть
  • Уведомление о необходимости проверки отпечатков E2EE в групповых чатах: нет
  • Защита социального графа: есть

Viber

Viber — интересный мессенджер. С одной стороны, он проприетарный, централизованный, привязывается только к номеру телефона, не обеспечивает защиту социального графа. С другой стороны, сквозное шифрование основано на протоколе Signal и включено по умолчанию, даже в настольной версии. Для дополнительной безопасности существуют секретные чаты с возможностью общаться группой.

Секретные чаты позволяют настроить таймер самоуничтожения для каждого сообщения: оно будет удалено через установленное время после просмотра — как с твоего устройства, так и со всех устройств получателей. Сообщения секретного чата защищены от пересылки, а скриншоты или запрещены, или оставляют уведомление на экране чата.

Для перехода в секретный чат нужно открыть чат с пользователем и выбрать из его меню команду «Перейти в секретный чат». Такой чат будет отмечен замком.

Дополнительно Viber позволяет создавать скрытые секретные чаты — они не будут отображаться в общем списке. Чтобы получить доступ к скрытому чату, нужно ввести установленный ранее PIN-код. Это дополнительная защита на тот случай, если телефон попадет в чужие руки.

  • Лицензия: проприетарная
  • Степень централизации: централизованный
  • Возможность анонимной регистрации и работы: только по номеру телефона
  • Наличие E2EE: есть, по умолчанию. Также есть секретные и скрытые чаты, которые обеспечивают дополнительную безопасность
  • Синхронизация E2EE-чатов: нет. Созданный в мобильной версии секретный чат не отобразился в десктопной версии
  • Уведомление о проверке отпечатков E2EE: для проверки отпечатков предлагается совершить звонок собеседнику, сообщить свой идентификатор, после чего подтвердить его корректность, но уведомления, что это необходимо для обеспечения собственной безопасности, нет
  • Запрет на скриншоты секретных чатов: есть
  • Групповые чаты E2EE: есть
  • Уведомление о необходимости проверки отпечатков E2EE в групповых чатах: нет
  • Защита социального графа: нет

WhatsApp

WhatsApp использует Signal Protocol, но это само по себе не дает никаких гарантий. Конечно, этот мессенджер интересен тем, что не хранит твои сообщения на своих серверах. Вместо этого сообщения хранятся на телефоне (а также в облачных сервисах, с которыми он синхронизирован, например iCloud). Также E2EE используется по умолчанию с поддержкой групповых чатов.

Однако хоть WhatsApp и не получает самой переписки, его владельцы имеют доступ к метаданным, в том числе собирают телефонные номера из адресной книги, время отправки сообщений и звонков и так далее. Представь, что в 2:30 ты звонил в «секс по телефону» и твой разговор длился 24 минуты. Ну да, никто не узнает, как конкретно шла беседа, но это в данном случае не очень-то и нужно.

Кроме этого, WhatsApp собирает тонны информации о пользователе: модель его телефона, ОС, информацию, полученную от браузера, IP-адрес, мобильный номер и так далее.

Добавь к этому проприетарный код, и ты получишь далеко не самый лучший с точки зрения анонимности вариант. Может, никто и не перехватит твои сообщения, но сам мессенджер будет знать о тебе многое.

  • Лицензия: проприетарная
  • Степень централизации: централизованный
  • Возможность анонимной регистрации и работы: только по номеру телефона
  • Наличие E2EE: по умолчанию
  • Синхронизация E2EE-чатов: есть
  • Уведомление о проверке отпечатков E2EE: есть только в случае смены ключа собеседником. Чтобы уведомление пришло, необходимо зайти в настройки и включить эту функцию. При старте чата никаких уведомлений нет
  • Запрет на скриншоты секретных чатов: нет
  • Групповые чаты E2EE: есть
  • Уведомление о необходимости проверки отпечатков E2EE в групповых чатах: нет
  • Защита социального графа: нет

Наличие сквозного шифрования — еще не гарантия того, что переписка не будет перехвачена. Его можно обойти либо проэксплуатировать какую-то уязвимость, как это уже было в случае с WhatsApp.

Briar

Briar — не очень популярный мессенджер, и готов поспорить, что далеко не все наши читатели знают о его существовании. Однако он хорош: основан на технологии децентрализованных сетей (mesh), может работать по Bluetooth или Wi-Fi либо через интернет, но в таком случае он подключится через Tor.

Исходники Briar открыты, есть возможность анонимной регистрации и использования, а чаты шифруются по умолчанию, причем не хранятся на серверах Briar (то есть твои сообщения в зашифрованном виде хранятся только на твоем телефоне). Есть защита социального графа (никто никому не сливает твою адресную книгу), есть групповые E2EE-чаты, но нет синхронизации E2EE-чатов между устройствами, поскольку нет возможности использовать одну и ту же учетку на разных устройствах.

На фоне всех остальных мессенджеров Briar выглядит очень неплохо, если нужна анонимность общения. Но у него есть и недостатки: нет версии для iPhone, нет возможности голосовых звонков. Если с отсутствием звонков еще можно мириться, то без версии для одной из крупных платформ круг общения окажется еще более узким.

  • Лицензия: GPLv3
  • Степень централизации: децентрализованный
  • Возможность анонимной регистрации и работы: есть
  • Наличие E2EE: есть, по умолчанию
  • Синхронизация E2EE-чатов: нет
  • Уведомление о проверке отпечатков E2EE: при добавлении контакта необходимо сосканировать QR-код собеседника с экрана его телефона, другого варианта добавить его нет. Считаем, что уведомление есть
  • Запрет на скриншоты секретных чатов: есть
  • Групповые чаты E2EE: есть
  • Уведомление о необходимости проверки отпечатков E2EE в групповых чатах: в групповой чат можно добавить только собеседника из тех, чьи QR-коды уже проверены. Также считаем, что уведомление есть
  • Защита социального графа: есть

ТамТам

При создании «ТамТама» никто не делал упор на безопасность, и об этом нужно помнить. Внимание к нему может привлечь разве что возможность регистрации через почту Google или «Одноклассники». Однако шифрование сообщений не поддерживается (или разработчики об этом не сообщают), и нет защиты социального графа. То есть, как бы ты ни регистрировался, без дополнительных мер все равно будет понятно, кто ты. В общем, даже как замена для «Телеграма» этот мессенджер не годится, несмотря на все чаяния его разработчиков.

  • Лицензия: проприетарная
  • Степень централизации: централизованный
  • Возможность анонимной регистрации и работы: возможна регистрация с использованием почты Google или через «Одноклассники»
  • Наличие E2EE: нет
  • Защита социального графа: нет

Вконтакте

Снова проходим мимо: вряд ли кому-то в здравом уме придет в голову мысль использовать «Вконтакте» как средство для анонимного общения. Сообщения хранятся на серверах соцсети, не шифруются, регистрация только по номеру телефона — в общем, полный набор того, чего мы тут пытаемся избежать.

  • Лицензия: проприетарная
  • Степень централизации: централизованный
  • Возможность анонимной регистрации и работы: только по номеру телефона
  • Наличие E2EE: нет
  • Защита социального графа: нет

Facebook Messenger

Мессенджер, прилагающийся к Facebook, построен на основе открытого протокола MQTT. На всякий случай напомню, что это именно протокол обмена сообщениями — не путать с протоколом шифрования. После того как на мобильных телефонах Messenger выселили в отдельное приложение, у пользователей Facebook оставалось мало выбора, кроме как установить еще и его. Однако регистрироваться в «Мессенджере» можно и без аккаунта в FB.

Если сравнивать чаты «Вконтакте» и Facebook Messenger, то второй оказывается на голову выше. Во-первых, можно регистрироваться с анонимной почтой. Во-вторых, поддерживаются E2EE-чаты, но не по умолчанию. Для включения шифрования сообщений нужно активировать Secret Conversations.

Однако помни, что Facebook собирает очень много всевозможной информации о пользователе, поэтому вряд ли подойдет для анонимного общения. Также не поддерживается синхронизация E2EE-чатов и многого другого (см. выше). Если тебе интересно, какую информацию собирает Facebook, прочитай (если у тебя нет аккаунта, то можно ).

  • Лицензия: проприетарная
  • Степень централизации: централизованный
  • Возможность анонимной регистрации и работы: есть. Регистрация в «Фейсбуке» возможна с использованием электронной почты, а вход в Messenger — через учетную запись Facebook
  • Наличие E2EE: есть, но не по умолчанию
  • Синхронизация E2EE-чатов: нет
  • Уведомление о проверке отпечатков E2EE: нет. Но собеседники могут сравнить отпечатки друг друга
  • Запрет на скриншоты секретных чатов: нет
  • Групповые чаты E2EE: нет
  • Защита социального графа: нет

Wire

Wire — один из наиболее анонимных мессенджеров. В его основе — протокол Wire Swiss, основанный на Signal. Чем он хорош? Во-первых, есть возможность анонимной регистрации. Во-вторых, по умолчанию поддерживается сквозное шифрование с возможностью синхронизации зашифрованных чатов. В-третьих, есть защита социального графа, поддерживаются групповые зашифрованные чаты (до 128 человек) и безопасные конференц-звонки (до 10 человек). Что-то подобное мы видели в Briar, но у Wire еще и огромный выбор поддерживаемых платформ: Android, iOS, Windows, macOS, Linux.

Должна быть ложка дегтя? Она есть: мессенджер платный и стоит шесть евро в месяц (четыре при оплате за год). Разработчики утверждают, что это плюс: подобная бизнес-модель — это хоть какая-то гарантия того, что на твоих данных не попытаются заработать. С другой стороны, денежные транзакции плохо ладят с анонимностью. Зато есть пробный период на месяц!

  • Лицензия: GPLv3
  • Степень централизации: централизованный
  • Возможность анонимной регистрации и работы: есть. С помощью почты
  • Наличие E2EE: есть, по умолчанию
  • Синхронизация E2EE-чатов: есть
  • Уведомление о проверке отпечатков E2EE: нет, но возможность есть
  • Запрет на скриншоты секретных чатов: нет
  • Групповые чаты E2EE: есть
  • Уведомление о необходимости проверки отпечатков E2EE в групповых чатах: есть. Если один из пользователей отправляет в секретный групповой чат сообщение с устройства, которое не верифицировано у другого пользователя, то, когда второй попытается отправить сообщение, перед ним появится предупреждение о том, что у первого новое устройство
  • Защита социального графа: есть

Jabber (OMEMO)

Если старина Jabber и выбивается из компании современных мессенджеров с веселыми стикерами и голосовыми звонками, то в плане приватности он по-прежнему во многом незаменим. Он федеративный, поддерживает анонимную регистрацию, E2EE-шифрование (правда, нужно расширение OMEMO), в том числе групповое.

Да, возможности не поражают воображение, но Jabber проверен временем и к тому же имеет реализации на всех возможных платформах. ChatSecure для iOS, Conversations — для Android, Pidgin — для Linux и так далее, список огромен.

  • Лицензия: разные свободные лицензии
  • Степень централизации: федеративный
  • Возможность анонимной регистрации и работы: есть. Регистрация с использованием почтового ящика, учетной записи в Facebook или Twitter
  • Наличие E2EE: есть. Необходимо дополнение OMEMO
  • Синхронизация E2EE-чатов: есть
  • Уведомление о проверке отпечатков E2EE: уведомления нет, но возможность есть
  • Запрет на скриншоты секретных чатов: нет
  • Групповые чаты E2EE: есть
  • Уведомление о необходимости проверки отпечатков E2EE в групповых чатах: нет
  • Защита социального графа: нет

Riot (Matrix)

Чего создателям этого мессенджера не занимать, так это умения придумывать крутые названия. Собственно, Matrix — это протокол коммуникации, а Riot — это клиентское приложение (бывают и — в том числе для консоли). Использовать можно как вебовый вариант, так и программы для iOS и Android.

В целом это еще один малоизвестный федеративный мессенджер с поддержкой и синхронизацией чатов E2EE, в том числе групповых. Регистрация анонимная, без привязки к номеру мобильного телефона или почте. Поддерживается голосовая связь и видеозвонки.

Шифрование переписки в Riot можно включить или выключить — индикатором этого служит значок замочка рядом с полем отправки сообщения. Также если в секретном групповом чате появится пользователь, чьи устройства не верифицированы другими пользователями, собеседники увидят уведомление об этом при попытке отправить сообщение.

В целом Matrix выглядит как интересный вариант, смутить может только его новизна в сочетании с тем, что протокол свой.

  • Лицензия: Apache
  • Степень централизации: федеративный
  • Возможность анонимной регистрации и работы: есть
  • Наличие E2EE: есть, по выбору пользователя
  • Синхронизация E2EE-чатов: есть
  • Уведомление о проверке отпечатков E2EE: есть
  • Запрет на скриншоты секретных чатов: нет
  • Групповые чаты E2EE: есть
  • Уведомление о необходимости проверки отпечатков E2EE в групповых чатах: есть
  • Защита социального графа: есть

Status

Status — это нечто большее, чем просто мессенджер. Конечно, его можно использовать только для общения, но это все равно что ставить Windows ради «Блокнота». Да и общаться здесь не очень-то удобно, даже картинку не отправишь, не говоря уж про такую роскошь, как стикер. Зато прямо в чате есть возможность отправить ETH и создать запрос на его получение.

Приложение пока находится на стадии бета-теста. Да, без глюков пока никак. Установила на два телефона (Samsung и Android). На одном из телефонов приложение работало нормально, на втором постоянно слетала авторизация и приходилось вводить пароль при каждом обращении к мессенджеру (считай, после каждой блокировки экрана) — не очень-то удобно.

Иногда не знаешь, баг перед тобой или никак не объясненная фича. Когда я создала аккаунты на обоих телефонах (для этого ничего не нужно — просто вводи имя) и сосканировала QR-код на экране одного телефона другим, на втором отобразилось совершенно другое имя, которое я видела впервые, — Puny Moral Gonolek. Только после добавления пользователя в контакты имя стало нормальным. При этом имя первого собеседника всю дорогу отображается нормально.

Поскольку есть возможность анонимной регистрации и все чаты шифруются по умолчанию, можно считать, что каждый чат в Status — секретный. Есть и синхронизация секретных чатов, но синхронизироваться будут только входящие сообщения, а вот отправленные с одной учетной записи, но с разных устройств — нет.

Еще один возможный недостаток: сообщения хранятся и на телефоне, и на сервере мессенджера, но разработчики уверяют, что в зашифрованном виде. Зато твоя книга контактов не сливается на серверы мессенджера, что нынче дорогого стоит. В общем, безопасность здесь есть, а возможность перевода криптовалюты, вероятно, кого-то порадует. Но Status пока что скорее интересная диковинка, чем рабочий инструмент.

  • Лицензия: MPLv2
  • Степень централизации: децентрализованный
  • Возможность анонимной регистрации и работы: есть
  • Наличие E2EE: по умолчанию
  • Синхронизация E2EE-чатов: частичная (см. описание)
  • Уведомление о проверке отпечатков E2EE: есть (чтобы начать диалог с пользователем, необходимо ввести его идентификатор или сосканировать с экрана смартфона)
  • Запрет на скриншоты секретных чатов: нет
  • Групповые чаты E2EE: нет
  • Защита социального графа: есть

Threema

Threema — проприетарный централизованный мессенджер, серверы которого находятся в Швейцарии. Кроме текстового общения, пользователям доступны голосовые звонки, возможность отправлять свое местоположение, голосовые сообщения и файлы. Поддерживаются групповые чаты до 50 человек.

Сообщения здесь шифруются полностью и децентрализованным способом на устройствах пользователя, а не на сервере Threema. Сервер скорее играет роль коммутатора: сообщения пересылаются через него, но не хранятся постоянно. Подробно о том, какие данные хранятся и как долго, ты можешь прочитать в .

Для регистрации не нужно указывать данные, которые могут способствовать установлению личности, — ни номер телефона, ни email. При первом запуске программы случайным образом генерируется идентификатор пользователя, на его основе будет сгенерирован QR-код. Все это обеспечивает анонимность общения.

Чтобы начать диалог с собеседником, необходимо ввести его идентификатор. В Threema есть три уровня доверия личности пользователя. Наивысший будет при сканировании идентификатора с экрана смартфона, а самый низкий — при вводе его вручную. Где-то посередине находится синхронизация контактов. Уровень проверки каждого контакта отображается в виде точек рядом с именем.

В отличие от WhatsApp или, например, Facebook Messenger Threema не регистрирует, кто и с кем общается, и не хранит адресную книгу пользователя на своих серверах. Все сообщения на устройствах пользователя хранятся в зашифрованном виде. Способ шифрования зависит от устройства. В iOS используется функция iOS Data Protection, в Android и Windows Phone — AES-256. Шифруются сообщения, изображения и другие данные, передаваемые между пользователями. Дополнительная информация доступна в whitepaper ().

Хоть каждый чат шифруется и может считаться секретным, помимо этого, есть и приватные чаты. Они защищены PIN-кодом и помечены значком со шляпой и очками. Нечто подобное мы уже встретили в Viber.

В общем, Threema оставляет неплохое впечатление. Сообщения не могут быть расшифрованы — даже по решению суда, так как хранятся только на телефоне и Threema не имеет доступа к секретным ключам пользователей. Серверы Threema знают только, кто отправляет сообщение и кому, но они не логируют эту информацию и не могут расшифровать содержимое сообщения.

Переходим к минусам. Во-первых, это необходимость разово заплатить. 2,6 евро разово — не бог весть что, но сам факт оплаты может быть нежелательным. Также отсутствие синхронизации и хранения сообщений означает, что сохранить историю ты можешь только сам, сделав бэкап.

  • Лицензия: проприетарная для приложений, AGPLv3 для веб-клиента
  • Степень централизации: централизованный
  • Возможность анонимной регистрации и работы: есть. Можно создать учетную запись без привязки к номеру телефона или почте. Пользователю присваивается уникальный ID, который можно сменить
  • Наличие E2EE: есть, по умолчанию
  • Синхронизация E2EE-чатов: нет: для каждого устройства генерируется отдельный ID
  • Уведомление о проверке отпечатков E2EE: есть. Сообщения в групповых чатах отправляются каждому собеседнику индивидуально, а диалог можно начать только с тем, чей идентификатор подтвержден
  • Запрет на скриншоты секретных чатов: нет
  • Групповые чаты E2EE: есть
  • Уведомление о необходимости проверки отпечатков E2EE в групповых чатах: есть
  • Защита социального графа: есть. Адресная книга по умолчанию не загружается на сервер, но при желании пользователь может разрешить доступ к ней

Групповые чаты всегда обладают меньшей безопасностью из-за упрощенного механизма распределения ключей. Подробнее читай в предыдущей статье.

Какой мессенджер самый защищенный

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *