Знайсці
28.08.2022 / 09:4217РусŁacБел

Месенджары: якія з іх сапраўды бяспечныя і чым Viber лепшы за Telegram

Усе месенджары пазіцыянуюцца як «бяспечныя і прыватныя», але ці праўда гэта? Разабраліся, якая сітуацыя насамрэч.

Фота: Mozilla.org

Прыватнасць — гэта калі, груба кажучы, доступ да вашай перапіскі і даных атрымліваеце толькі вы і адрасат, а ніхто іншы атрымаць яго ці не можа зусім, ці гэта вельмі складана. Насамрэч, для распрацоўшчыкаў месенджараў (нават найгоршых) — гэта частка маркетынгавай кампаніі.

Калі б яны казалі «мы зрабілі зручны, але дрэнны месенджар, які да таго ж супрацоўнічае са спецслужбамі і ігнаруе праблемы бяспекі, пра якія ведае», ніхто б ім не карыстаўся. Хаця для большасці папулярных месенджараў гэтае сцверджанне — праўда.

Мы прачыталі шмат розных публікацый ад экспертаў па бяспецы і некаторую тэхнічную інфармацыю месенджараў, каб адказаць на пытанні — ці добра яны абароненыя і ці існуюць альтэрнатывы больш папулярным месенджарам. Але выявілі, што ідэальнага дакладна няма.

Telegram

На сёння гэта адзін з самых папулярных месенджараў сярод беларусаў. Ад самага пачатку ён пазіцыянаваўся як вельмі бяспечны, але ці так гэта?

Не зусім. Найперш, нідзе, акрамя «сакрэтных чатаў», не ўжываецца end-to-end шыфраванне (калі ключы шыфравання паведамленняў генеруюцца на вашай прыладзе і захоўваюцца толькі там). У астатніх выпадках усе паведамленні захоўваюцца на серверах Telegram і, больш за тое, тэарэтычна кіраўніцтва сацсеткі мае да іх доступ. Сакрэтныя чаты пры гэтым увогуле недаступныя ў камп'ютарных версіях, апроч як на MacOS.

Telegram не шыфруе паведамленні на прыладзе — то-бок, увесь кантэнт, які вы праглядаеце, захоўваецца ў ім у адкрытым доступе на вашай прыладзе. Гэта дазваляе сілавікам ці зламыснікам атрымаць поўны доступ да ўсёй вашай перапіскі ў выпадку, калі атрымалася расшыфраваць прыладу — часткова нават выдаленай інфармацыі, калі вы не чысцілі кэш базаў даных.

Не шыфруе ён і метаданыя пры перасылцы. А да ўсіх паведамленняў карыстальнікаў, акрамя сакрэтных чатаў, можа ў любы момант атрымаць доступ адміністрацыя Telegram, якая захоўвае іх бясконца доўга.

У месенджары выкарыстоўваецца вельмі дзіўная схема шыфравання MTProto, якая працуе, але створаная, выключна каб зменшыць нагрузку на сеткі. Гэта таксама дрэнна і насцярожвае экспертаў па бяспецы, бо стваральнікі не раскрываюць некаторых тэхнічных дэталяў рэалізацыі свайго пратаколу (удакладненне — «дзіўныя» не выкарыстаныя алгарытмы шыфравання, а іх рэалізацыя).

Ёсць праблемы і з шыфраваннем — Telegram не рэалізуе поўную прамую сакрэтнасць. Поўная прамая сакрэтнасць — гэта калі пры кожным новым сеансе пры ўваходзе ў месенджар генеруецца новы ключ шыфравання. Гэта гарантуе, што нават калі зламыснікі ці сілавікі перахопяць нейкім чынам інфармацыю і ключы, гэта ім нічога не дасць, бо яны не будуць ведаць, як расшыфраваць даныя.

Telegram захоўвае і аналізуе вашы даныя. Больш за тое, ён пакідае за сабой права перадаваць іх сілавікам — прынамсі, нумар тэлефона, гісторыю IP-адрасоў усіх уваходаў і гісторыю змянення імёнаў акаўнту. Вядома, што яны так супрацоўнічалі з паліцыяй Германіі яшчэ нядаўна, а такая магчымасць была ўведзеная ў карыстальніцкае пагадненне Telegram у 2018 годзе.

Адміністрацыя месенджара часта ігнаруе паведамленні экспертаў па бяспецы пра знойдзеныя імі ўразлівасці, бо яны разбураюць ягоную рэпутацыю. Да прыкладу, яны вельмі доўга рэагавалі на ўразлівасць, якая дазваляла праглядаць увесь кантэнт, выдалены для абодвух бакоў, або ўразлівасць, якая дазваляла бачыць увесь кантэнт, выдалены падчас аўтавыдалення, або ўразлівасць з ботамі, якая дазволіла раскрыць і дадаць цяжкія тэрміны некаторым актывістам у Беларусі.

Больш за тое, кампанія прапанавала тым, хто знайшоў уразлівасць, дамову, якая прадугледжвала пажыццёвае маўчанне пра яе — а гэта лічыцца дрэнным тонам у сферы.

Вялікая праблема таксама з ID карыстальнікаў, якія лёгка атрымаць, і тым, што ўсе публічныя дзеянні карыстальнікаў можна адсочваць па іх. Пра гэта мы пісалі падрабязней тут.

Троху лепшая сітуацыя ў П-Тэлеграма, распрацаванага «Кіберпартызанамі». Але дзіўна, што праграму мусяць «дарабляць» праграмісты з Беларусі, калі яна і так «вельмі бяспечная».

Telegram таксама мае шмат пераваг і найбольшая з іх — зручнасць карыстання і хуткасць працы. Таксама не вядомыя выпадкі, калі месенджар перадаваў сілавікам змест паведамленняў, а не толькі даныя карыстальнікаў. У ім ёсць даволі надзейная двухфактарная аўтэнтыфікацыя і магчымасць аўтаматычна выдаліць акаўнт.

Вердыкт: лепш разглядаць Telegram як сацыяльную сетку кшталту Facebook ці Twitter. Абяцанні звышбяспекі ў ім — хутчэй, маркетынгавы ход. Мы пісалі пра правілы, якія дапамогуць вам карыстацца Telegram даволі бяспечна, але трэба адмыслова імі кіравацца. П-Тэлеграм троху выпраўляе сітуацыю, і лепш карыстацца ім, каб павысіць бяспеку свайго акаўнта.

Viber

Гэты месенджар таксама вельмі папулярны, і шмат хто думае, што раз кампанія заснаваная ў Беларусі, то яна мусіць «зліваць» даныя беларускім сілавікам. Хутчэй за ўсё, гэта няпраўда, бо гэта быў бы канец рэпутацыі. Але месенджар мае шэраг праблемаў і недасканаласцяў.

Найбольшая з іх — поўная адсутнасць двухфактарнай аўтэнтыфікацыі. Гэта значыць, што любы вайбер на беларускі нумар могуць лёгка ўзламаць сілавікі. Такія выпадкі ўжо былі.

Другая вялікая праблема — праграма збірае і аналізуе даволі шмат вашых даных, але невядома, якім чынам яны выкарыстоўваюцца (па заявах кампаніі, толькі для ўнутраных мэтаў). Яна не ведае сэнсу вашых паведамленняў, але гэта ўсё роўна небяспечна.

Viber ніколі не праходзіў аўдытаў бяспекі, а код праграмы закрыты. Гэта значыць, незалежныя эксперты не могуць прааналізаваць, ці сапраўды яна бяспечная.

Не вядомыя выпадкі, калі Viber перадаваў бы інфармацыю спецслужбам, але ён захоўвае такую магчымасць. Ён можа перадаць IP-адрасы, тэлефоны, e-mail і дату нараджэння, карацей, тыя даныя, якія вы самі пакінулі пры рэгістрацыі ці пасля.

У месенджара ёсць і перавагі. Напрыклад, ён рэалізуе поўную прамую сакрэтнасць, а кампанія не мае доступу да вашых паведамленняў. Таксама вы можаце вольна дадаваць людзей у кантакты, бо без вашага ведама яны нікуды не перадаюцца і захоўваюцца толькі ў тэлефоне, калі вы адключылі сінхранізацыю. А нават калі вас узламаюць, то зламыснікі не атрымаюць доступу да кантактаў ці паведамленняў, калі вы самі не дадзіце дазволу на сінхранізацыю.

Вердыкт: Viber — прымальны, але не найлепшы, месенджар для бытавых стасункаў. Ён няшмат абяцае ў плане бяспекі (прынамсі, публічна), няшмат і дае.

Whatsapp і Facebook messenger

Абодва месенджары належаць кампаніі Meta, якая заслужыла сумніўную рэпутацыю ў галіне бяспекі. Ёй жа належыць Instagram. На Захадзе іх не рэкамендуюць — хаця б таму, што яны «партнёрацца» з Агенцтвам нацыянальнай бяспекі ЗША.

Таксама абодва месенджары робяць грошы з вашых даных — то-бок, даюць іх рэкламным агрэгатарам, а для гэтага збіраюць і аналізуюць усе вашы даныя, якія могуць атрымаць. Але дзе гарантыя, што гэтыя даныя ў бяспецы?

Пры гэтым кампанія заўжды мае доступ да вашых паведамленняў — у выпадку з Whatsapp толькі ў выпадках, калі яны пазначаныя сістэмай як «сумніўныя». Пры гэтым Facebook дае магчымасць кампаніі чытаць нават выдаленыя паведамленні. Абодва прыкладанні, да ўсяго іншага, не шыфруюць метаданыя паведамленняў.

Таксама з Facebook рэгулярна адбываюцца скандалы. Да прыкладу, у адкрытым доступе ёсць тэлефоны карыстальнікаў платформы (што выклікана небяспечным механізмам узнаўлення паролю ад акаўнта).

Таксама год таму былая супрацоўніца кампаніі выдала журналістам закрытыя дакументы, згодна з якімі кампанія свядома ігнаравала праблемы, пра якія ведала (да прыкладу, гандаль людзьмі на платформе), лабіравала інтарэсы некаторых груп і закрывала вочы на тое, што Instagram выклікае праблемы з самаацэнкай у дзяўчынак-падлеткаў, хоць і ведала пра гэта. Пасля «зліву» кампанія спрабавала праігнараваць праблему, а таксама падкупіць ці падмануць амерыканскіх палітыкаў, якія спрабавалі абмежаваць правы па збору інфармацыі для платформы і зрабіць яе больш празрыстай.

Таксама абедзьве платформы маюць цалкам закрыты код.

Сярод перавагаў — зручнасць і папулярнасць. Whatsapp працуе даволі хутка, і абедзьве платформы маюць двухфактарную аўтэнтыфікацыю, што не дазваляе ўвайсці ў іх нават калі маеш пароль (праўда, «двухфактарка» на беларускай сім-картке ад гэтага не ратуе). Беларускія сілавікі і махляры не атрымаюць доступ да паведамленняў, прынамсі, да ўзлому платформы. Таксама Whatsapp шыфруе паведамленні пры сінхранізацыі.

Вердыкт: прадказальна, што для бяспечных камунікацый яны не надта пасуюць. Канешне, яны не раскрываюць ўсе даныя запар абы-каму, так што для бытавых стасункаў гэта цалкам прымальныя месенджары, асабліва Whatsapp. З фэйсбукам трэба быць асцярожней, бо ён можа чытаць вашы паведамленні.

iMessages

Ён належыць Apple, кампаніі, якая робіць даволі бяспечныя дэвайсы. Але што з іхнім месенджарам?

З ім ёсць праблемы. Кампанія таксама супрацоўнічае з Агенцтвам нацыянальнай бяспекі ЗША.

У самой праграмы закрыты код і праверыць яе немагчыма. Колькі яна збірае даных, таксама не да канца ясна, бо яна інтэграваная ў закрытую экасістэму Apple. Таксама Apple выкарыстоўвае адносна слабое шыфраванне і не зразумела, ці не зроблена гэта наўмысна.

Праблема яшчэ ў тым, што кампанія не прапануе аўтаматычнае выдаленне паведамленняў, якое ўключанае амаль ва ўсе папулярныя месенджары. Таксама не шыфруюцца метаданыя, а месенджар не прапануе поўную прамую сакрэтнасць.

Яшчэ адзін цікавы момант з ключамі шыфравання. Па змоўчанні яны перадаюцца ў iCloud, што робіць скразное шыфраванне фактычна бессэнсоўным, бо кампанія можа іх перадаць каму заўгодна. Эксперты раяць адключаць захаванне паведамленняў iMessages у iCloud Backup ці ўвогуле адключыць яго, каб прадухіліць такую магчымасць.

Калі Messages захоўваецца ў iCloud Backup, то кампанія можа атрымаць доступ да вашых паведамленняў. Фота: forbes.com

З добрых момантаў: кампанія як такая чытаць паведамленні карыстальнікаў не можа, а ключы шыфравання захоўваюцца на саміх прыладах (з выключаным iCloud Backup). І, канешне, зручнасць выкарыстання — усе праграмы ад Apple добра працуюць паміж сабой.

Вердыкт: пытанняў да Apple з пункту гледжання бяспекі застаецца шмат, але праграма спраектаваная больш-менш добра. Для «звычайных» перапісак яна падыходзіць.

Google Messages

Месенджар ад Google не надта папулярны ў нашых шыротах, але шырока выкарыстоўваецца на Захадзе.

У яго сітуацыя, як і ў іншых камерцыйных месенджараў: доступ да процьмы вашых даных, закрыты код і супрацоўніцтва са спецслужбамі. Таксама Google робіць грошы з вашых даных і нават перадае іх больш, чым іншыя месенджары.

Больш за тое, даныя і паведамленні ў праграме не шыфруюцца на вашай прыладзе — такая праблема з усіх пералічаных вышэй месенджараў назіраецца хіба толькі ў Telegram. Не шыфруюцца і метаданыя паведамленняў.

Праблема яшчэ ў тым, што ён прапануе шыфраванне толькі для адзіночных чатаў — для групавых яго ў ім проста не існуе. Увогуле ж ён заснаваны на тэхналогіі RPC, нешта накшталт SMS 2.0.

Таксама, як і ў месенджары ад Apple, у ім няма аўтавыдалення паведамленняў.

Перавага месенджара ў яго добрай інтэграванасці ў Android. І гэта ўсё яшчэ лепш за СМС, а таксама даступна для любога карыстальніка Android.

Вердыкт: так сабе ў сэнсе бяспекі і адзін з найгоршых варыянтаў з папулярных праграм (горш хіба толькі Facebook). Можа замяніць СМС і не патрабуе ўсталёўкі дадатковых праграм.

Signal

Адсюль пачынаюцца сапраўды бяспечныя месенджары, а Signal — самы папулярны з іх. Ім карыстаюцца журналісты, блогеры і актывісты па ўсім свеце.

Галоўны недахоп — гэта патрабаванне для рэгістрацыі атрымаць смс праз тэлефон. Праўда, ён патрабуецца адзін раз і пасля можна забараніць уваходы з тым жа нумарам і стварыць двухфактарную аўтэнтыфікацыю.

У месенджары таксама ёсць абмежаванні. Да прыкладу, групавыя званкі падтрымліваюць толькі да 40 удзельнікаў, а групы — да тысячы.

Але ў параўнанні з месенджарамі, прадстаўленымі вышэй, Signal дае высокі ўзровень бяспекі — кампанія амаль не збірае вашы даныя, мае добрае пагадненне ў галіне прыватнасці і правераную часам абарону. Але важна стварыць сабе надзейны код-пароль для ўваходу ў праграму, бо менавіта ім шыфруюцца вашы паведамленні.

Гучныя паведамленні пра ўзлом праграмы паступалі двойчы. У першы раз кампанія Cellbrite, праграмамі і прыладамі якой карыстаюцца ў тым ліку і беларускія сілавікі для аналізу смартфонаў, заявіла, што навучылася вымаць даныя карыстальнікаў Signal з цалкам разблакаваных прыладаў. У адплату за гэта стваральнікі Signal прыдбалі абсталяванне Cellbrite, узламалі яго і зашылі ў месенджар дадатковы код, які шкодзіў абсталяванню пры спробе аналізу. Cellbrite давялося адмовіцца ад аналізу месенджара.

Другое было звязана з тым, што зламыснікі здолелі ўзламаць сэрвіс прыёму смс Twilio, які з'яўляецца аператарам смс для Signal, і захапіць каля 1900 акаўнтаў. Праўда, гэта не закранула тых, хто паставіў туды двухфактарную аўтэнтыфікацыю, і зламыснікі не здолелі атрымаць доступ да перапіскі, але гэта паказвае, што смс-актывацыя з'яўляецца слабым месцам.

Добры паказчык і ў тым, што як толькі Signal даведалася пра ўзлом, яна паведаміла пра яго карыстальнікам.

Вердыкт: гэта даволі надзейны месенджар, які падыходзіць для большасці відаў канфідэнцыйнай перапіскі. Ягонае слабае месца — гэта рэгістрацыя праз смс, але гэта часткова вырашаецца наладай двухфактарнай аўтэнтыфікацыі.

Threema і Wire

Гэта два менш вядомыя, але добра абароненыя месенджары. Створаныя яны тэарэтычна не менш надзейнымі, чым Signal, але маюць над ім адну вялікую перавагу — для рэгістрацыі ў іх не патрэбны нумар тэлефона. Wire прапануе рэгістравацца праз e-mail, а Threema не патрабуе нічога.

Абодва яны абмяжоўваюць збор даных карыстальнікаў і робяць ухіл менавіта на прыватнасць. Threema нават выпусціла версію ThreemaLibre, цалкам адвязаную ад трэкераў усіх кампаній, уключаючы Google.

Абедзьве кампаніі арыентуюцца хутчэй на бізнэс-кліентаў і прапануюць сябе як надзейныя рашэнні для бізнэсу.

Кожны з іх мае і свае мінусы. Па меркаванні экспертаў, Wire збірае зашмат метаданых, а Threema не рэалізуе поўную прамую сакрэтнасць і не прадстаўляе код сервернай часткі для аналізу. Таксама Threema платны — поўная ліцэнзія на Threema каштуе 5 еўра.

Вердыкт: абодва месенджары дастаткова надзейныя і не залежаць ад нумару тэлефона, што вельмі важна (Wire ў гэтым сэнсе горш, бо патрабуе e-mail). Кожны мае свае асаблівасці і мінусы, але агулам яны добра падыходзяць для большасці відаў канфідэнцыйнай перапіскі.

Session

Гэта адносна новы месенджар, які таксама сфакусаваны на бяспецы і мае цікавыя асаблівасці. Ягоная перавага ў моцным і добра арганізаваным шыфраванні і поўнай адвязцы ад любых іншых аўтэнтыфікатараў — стварыць і выдаліць акаўнт можна за лічаныя секунды.

Ён не збірае даныя геалакацыі, метаданыя паведамленняў ці нейкія даныя пра вашу прыладу. Session злучае карыстальнікаў праз сетку з тысяч вузлоў абслугоўвання, падобную на TOR. Сістэма запытаў, якую выкарыстоўвае Session для абароны паведамленняў, гарантуе, што ніводны сэрвісны вузел у сетцы ніколі не даведаецца ані адрасу паходжання паведамлення (ваш IP-адрас), ані адрасу прызначэння (IP-адрас атрымальніка). Гэта дазваляе схаваць IP абодвух бакоў па змоўчанні.

Акрамя таго, ваш IP-адрас ніколі не бачны ў месцы прызначэння, а гэта значыць, што ў таго, з кім вы маеце зносіны, няма магчымасці ідэнтыфікаваць вас.

Сэрвісныя вузлы аб'ядноўваюцца ў роі. Паведамленні дасылаюцца ў рой і часова захоўваюцца на некалькіх вузлах абслугоўвання ў роі. Як толькі ваша прылада атрымлівае паведамленні з роя, яны аўтаматычна выдаляюцца з вузлоў абслугоўвання, на якіх часова захоўваліся.

Сетка Session дэцэнтралізаваная, у ёй няма галоўнага сервера, які маглі б узламаць зламыснікі. Таксама месенджар мае цалкам адкрыты код.

Сістэма маршрутызацыі Session працуе ў сетцы вузлоў абслугоўвання Oxen. Гэтая сетка (раней вядомая як Lokinet) таксама служыць часткай інфраструктуры для крыптавалюты $OXEN, якую прапагандуюць і на якой зарабляюць стваральнікі месенджара.

Галоўны мінус — Session пакуль не падтрымлівае галасавыя і відэазванкі (удакладненнепадтрымлівае, але ў бэта-версіі). Таксама ён непапулярны і адносна новы, што магчыма не дазволіла яшчэ адкрыць у ім нейкіх падводных камянёў. Session не рэалізуе ідэальную прамую сакрэтнасць, што троху аслабляе шыфраванне, але не крытычна. Каб звязацца вам трэба неяк перадаць ваш аўтэнтыфікатар праз нейкі іншы канал, а месенджар не падтрымлівае двухфактарную аўтэнтыфікацыю.

Вердыкт: гэта даволі добры месенджар з ухілам у канфідэнцыйнасць і магчымасць захаваць ананімнасць, які выглядае перспектыўным, але пакуль недапрацаваным. Таксама ён з'яўляецца часткай больш шырокай сеткі, распрацаванай кампаніяй, што блага, бо невядома, як яны вырашаць ім кіраваць у далейшым.

XMPP/Jabber

Прынцыповае адрозненне XMPP/Jabber ад звыклых месенджараў у тым, што гэта тэхналогія, створаная энтузіястамі адмыслова для бяспечных зносінаў, а не нейкі гатовы прадукт, створаны для атрымання прыбытку. Стваральнікі XMPP не зацікаўленыя ў зборы і аналізе даных карыстальнікаў, а магчымасць такога збору моцна абмежаваная самой тэхналогіяй. Гэта канцэптуальна моцна адрознівае яго ад вышэй згаданых месенджараў.

Больш за тое, ён цалкам дэцэнтралізаваны. Гэта значыць, што ўзлом нейкага сервера не стварае аніякай праблемы, асабліва калі вы шыфруеце вашу перапіску (пра гэта далей). То-бок, ён дазваляе выйсці на новы ўзровень прыватнасці ў перапісцы.

Агенцтва нацыянальнай бяспекі ЗША выкарыстоўвала для камунікацыяў менавіта Jabber.

Каб стварыць сабе Jabber, вам трэба зарэгістравацца. Спіс сэрвісаў ёсць, да прыкладу, тут. Або вы можаце скарыстацца серверам ад вядомай актывісцкай групы Systemli. Калі вы хочаце захаваць прыватнасць ці ананімнасць, то важна стварыць сабе выпадковае імя карыстальніка і перадаць яго таму, з кім вы хочаце звязацца.

Падчас перапіскі ў Jabber, у якой удзельнічаюць два чалавекі, абавязкова ўключайце пратакол OTR — гэта амаль тэарэтычна ідэальны пратакол бяспекі. Для бяспечнай групавой перапіскі на аснове OTR распрацаваны пратакол OMEMO, які падтрымліваюць вось гэтыя кліенты, і яго таксама трэба ўключаць, калі вы хочаце стварыць групавы чат. Іначай гэта робіць вас уразлівым і «забівае» ўсю бяспеку гэтай тэхналогіі.

Найлепшымі кліентамі для Jabber здаюцца Conversations для Android, Psi+ або Pidgin для Windows і Linux, BeagleIM для Mac і SiskinIM для IoS.

Акрамя таго, магчыма праганяць ўвесь трафік падчас перапіскі праз VPN/TOR, дадаткова шыфраваць яго PGP-ключамі і ўключыць у вашым кліенце функцыю, якая дазволіць не захоўваць ніякую перапіску ні з кім наогул. Усе налады для кожнага кліента вы можаце знайсці ў інтэрнэце, скарыстаўшыся пошукавымі сістэмамі.

Галоўная праблема — ён маральна састарэў. Ва ўсіх кліентаў інтэрфейс з нулявых, а карыстальнікаў не так і шмат. Яго даволі складана наладзіць, а серверы ад розных кампаній перыядычна адключаюцца, бо не прыносяць прыбытку. Вы, канешне, можаце стварыць свой, але гэта патрабуе высілкаў.

Удакладненне: для XMPP існуе таксама рэалізацыя відэа— і аўдыязванкоў. Найбольш вядомая праграма для званкоў праз XMPP — гэта Jitsi Meet. Яна нават часткова падтрымлівае скразное шыфраванне. Функцыі званкоў ёсць і ў некаторых іншых кліентаў. Але, канешне, самая моцная перавага XMPP — гэта пратакол OTR/OMEMO менавіта для тэксту, іншыя каналы сувязі ў ім абароненыя горш.

Вердыкт: ён надзейны і добра правераны, а OTR-шыфраванне адно з самых надзейных з існуючых у свеце, але інтэрфейс у стылі «прывітанне з нулявых» у большасці кліентаў і частыя складанасці ў наладжванні робяць яго хутчэй выбарам для шыфрапанкаў.

Matrix/Element

Стваральнікі Matrix хацелі працягнуць ідэю папярэдніх пратаколаў, у тым ліку XMPP/Jabber — то-бок, цалкам дэцэнтралізаваная сетка, якая падтрымлівае новыя тэхналогіі.

Нядаўна стваральнікі рэалізавалі падтрымку галасавых званкоў і цяпер хочуць дапрацаваць падтрымку відэа. Сетка карыстальнікаў у апошнія гады вельмі моцна вырасла — на 2021 год лік карыстальнікаў дасягнуў 60 мільёнаў чалавек, а на Matrix перайшлі больш за 150 тысячаў установаў аховы здароўя Германіі.

Matrix мае добрае і надзейнае шыфраванне і адкрыты код. Таксама добра, што любы чалавек можа стварыць свой сервер Matrix, а таксама ўласны кліент, як і ў выпадку з Jabber. Тут ёсць спіс кліентаў для розных платформаў — іх ужо сотні.

Галоўны мінус у тым, што пратакол і праграмы, якія рэалізуюць пратакол Matrix, пакуль не прайшлі аўдыту бяспекі. Некалькі разоў на сетку адбываліся паспяховыя атакі з перахопам метаданых карыстальнікаў (бо праз скразное шыфраванне да зместу паведамленняў атрымаць доступ немагчыма).

Таксама пытанне ў тым, ці давяраеце вы таму, хто трымае сервер Matrix, бо на серверах Matrix захоўваецца шмат метаданых і гэта можа быць небяспечна — праўда, кампанія клапоціцца пра сваю рэпутацыю і абяцае, што яны надзейна захоўваюць даныя на ўласных серверах (якія забяспечваюць працу афіцыйных праграмаў, што рэалізуюць пратакол).

Некаторых каментатараў таксама насцярожвае тое, што заснавальнікі Matrix звязаныя з ізраільскай разведавальнай кампаніяй AMDOCS, якая рабіла розную кібер-зброю для арміі Ізраіля.

Удакладненне: Elements мае рэалізацыю для званкоў, але яна працуе толькі праз браўзэр і не інтэграваная ў асноўныя мабільныя праграмы.

Вердыкт: гэта канцэптуальна вельмі добры пратакол, як і ідэя стварэння дэцэнтралізаванага месенджара. Праблема ў рэалізацыі і тым, што стваральнікі чамусьці не ўкладаюцца ў аўдыты бяспекі. Таксама Matrix не можа цалкам замяніць іншыя месенджары — хаця б праз тое, што там няма відэазванкоў.

«Наша Нiва» — бастыён беларушчыны

ПАДТРЫМАЦЬ

Чытайце яшчэ:

Многія VPN збіраюць даныя і могуць перадаць іх сілавікам. Расказваем, як ад гэтага абараніцца

Расказваем, як даведацца, дзе і каму вы ставілі лайкі ў сацсетках, і перастрахавацца

Тлумачым, якім чынам сілавікі знаходзяць карыстальнікаў Telegram і як гэтага пазбегнуць

Nashaniva.com

Хочаш падзяліцца важнай інфармацыяй
ананімна і канфідэнцыйна?

Клас
Панылы сорам
Ха-ха
Ого
Сумна
Абуральна
0
Уладзімір/адказаць/
30.08.2022
Чел, калі код адкрыты, лёгка спраўдзіць спосаб перадачы ключа. І далёка ня кожны здатны напісаць больш абаронены мэсэнджар за тыя, што ўжо наяўныя. Бо вельмі лёгка недаглядзець нешта. А (адносна) надзейныя алгарытмы даўно існуюць. І як правіла, найчасцей узломваюць менавіта праз чалавечую памылку.
30.08.2022
Да ничем этот кусок говна не лучше!!! Конструктивно объяснять не буду. Это займет пол страницы
0
Янка/адказаць/
22.07.2023
Галоўныя перавагі Telegram - гэта працаздольнасць амаль ў любых умовах (няхай і с абвалам хуткасці) і магчымасць простага стварэння каналаў, што дазваляе стварыць міні-СМІ. Ня вельмі даўно з'явілася магчымасць ананімна глядзець няцяжкі кантэнт публічных каналаў па спасылках кшталту https://t.me/s Недахопы: 1.Нямагчымасць схаваць свой тэлефонавы нумар ад сваіх кантактаў па тэлефоннай кнізе ў выпадку захопу тэлефона кантакта. Па сутнасці, зараз гэта галоўны метад дэананімізацыі карыстальнікаў, бо карнікі шырока ўжываюць катаванні пад час выбівання пароляў у затрыманых. 2.Аўтэнтыфікацыя праз телефонавыя нумары. Атрыманне іншаземнага або віртуальнага тэлефоннага нумару для аўтэнтыфікацыі - вельмі складаны для масавага карыстальніка квэст, асабліва ва ўмовах таталітарызму. Дарэчы, аўтэнтыфікацыя праз іншаземны нумар ва ўмовах роўмінгу ўсё роўна бачная карнікамі. 3.Немагчымасць паўнавартаснага ананімнага read-only карыстання. 4.Сам факт наяўнасці ў прыладзе стала інсталяванага месенджэра, які пераважна выкарыстоўваецца для пратэстнай актыўнасці - ўжо падстава зачапіцца, а катаванні робяць ўсё астатняе. Таму добры месенджэр павінны працаваць або праз браўзер, або загружацца ў прыладу пры кожнай аўтэнтыфікацыі (магчыма па частках aka overlay) і надзейна знікаць з прылады пры заканчэнні/спыненні працы.
Паказаць усе каментары
Каб пакінуць каментар, калі ласка, актывуйце JavaScript у наладах свайго браўзера
Каб скарыстацца календаром, калі ласка, актывуйце JavaScript у наладах свайго браўзера