Тъй като Session е разклонение на Signal, той наследява силната сигурност на Signal. Оттам екипът на Session изгради анонимна, децентрализирана система, която осигурява превъзходна поверителност и анонимност за своите потребители. Готови ли сте да научите повече за този претендент за трона на най-доброто сигурно и частно приложение за съобщения? Тогава нека се потопим в това ревю на Session.
Основи на приложението за съобщения Session.
Зад кулисите Session се различава коренно от повечето други услуги за сигурни съобщения. За да направим останалата част от този преглед на Session по-лесна за разбиране, сега трябва да разгледаме някои основни положения.
Разговорите в Session са защитени с помощта на E2E криптиране от страна на клиента. Само изпращачът и получателят на съобщението могат да го прочетат. Но Session отива отвъд осигуряването на сигурност на съобщенията. Session също така защитава самоличността на своите потребители. Тя прави комуникациите ви лични и анонимни, както и сигурни.
Session може да направи това, защото свързва потребителите чрез подобна на Tor мрежа от хиляди обслужващи възли. Сервизните възли са сървъри, които предават съобщения напред-назад през мрежата, както и предоставят допълнителни услуги. Системата за заявка "лук", която Session използва за защита на съобщенията, гарантира, че нито един сервизен възел в мрежата не знае както произхода на съобщението (вашия IP адрес), така и местоназначението (IP адреса на получателя). Това ви позволява да скриете вашия IP по подразбиране.
Session предприема редица допълнителни стъпки за защита на вашата самоличност:
За регистрация не се изисква телефонен номер
За регистрация не се изисква имейл
Не се събират данни за геолокация, данни за устройство или метаданни
Сервизните възли са групирани в рояци. Рояците осигуряват резервираност на мрежата, както и временно съхранение, когато съобщенията не могат да бъдат доставени до местоназначението им. Всеки клиент на сесия се свързва с рояк, за да изпраща и получава съобщения в реално време, както и да извлича съответните съобщения, които се съхраняват в рояка в очакване на доставка.
Ще забележите, че тук не сме говорили за някакъв вид централен сървър. Мрежата на сесиите е децентрализирана, без единична точка на отказ и без главен сървър, който лошите момчета да хакнат. Session премества съобщенията, като използва система за маршрутизация onion.
В системата за маршрутизация onion съобщенията са заобиколени от множество слоеве на криптиране и преминават през множество възли в системата. Всеки възел декриптира един слой от криптирането, преди да предаде съобщението. Поради начина, по който се криптират съобщенията, никой възел не може да знае както произхода на съобщението, така и неговата дестинация. Освен това вашият IP адрес никога не се вижда в местоназначението, което означава, че този, с когото разговаряте, няма как да ви идентифицира, когато използвате сесията. Услугата Session трябва да се окаже много устойчива и да продължи да функционира дори когато отделни възли за услуги се присъединяват или напускат мрежата.
Системата за маршрутизация "лук" на Session работи в мрежата на възлите за услуги Oxen. Тази мрежа (по-рано известна като Lokinet) служи и като част от инфраструктурата на криптовалутата $OXEN. Можете да научите повече за OXEN на уебсайта Oxen.io.
Въпреки че Session сега се справя много добре с основните функции за изпращане на съобщения, тя не разполага с някои от функциите, които имат конкурентите като Signal или Telegram. Наред с други неща, тя все още не извършва гласови или видеоразговори. Ако се нуждаете от тези специфични възможности, може би ще искате да разгледате друго приложение за съобщения.
Ето плюсовете и минусите, които установихме в този преглед на Session:
+ Плюсове
Криптирането от край до край (E2E) защитава текстовите и гласовите съобщения, както и прикачените файлове
Шифроване: Включват се в списъка на съобщенията, които се изпращат в интернет, и в списъка на съобщенията, които се изпращат в интернет: Протокол на сесията
Не изисква телефонен номер или имейл адрес за регистрация
Отворен източник
Системата за маршрутизация Onion осигурява децентрализация и анонимност
Не регистрира IP адреси или метаданни
Криптирани затворени групи (сега до 100 души) и отворени групи (без ограничение в размера)
Успешно завършен одит на кода за сигурност на приложенията за настолни компютри, Android и iOS
- Недостатъци
Не поддържа 2FA (двуфакторно удостоверяване)
Преработен дизайн на синхронизацията с няколко устройства (ранна бета версия)
Премахната е функцията Perfect Forward Secrecy
Важно: Фактът, че Session не събира метаданни, е огромен плюс. Смятаме, че проблемът с метаданните е ахилесовата пета на много услуги за сигурни съобщения и сигурни имейл услуги. Дори най-популярните услуги за сигурна електронна поща, като ProtonMail, нямат добро решение на проблема с метаданните.
Сега ще разгледаме основните характеристики на Session messenger.
Резюме на функциите на Session.
Ето функциите, които ще искате да вземете предвид, когато оценявате Session:
Той използва вдъхновения от Signal протокол Session, върху разпределена система за маршрутизация onion за анонимна, децентрализирана комуникация.
100% код с отворен код (кодът е достъпен в GitHub).
Клиенти за Android, iOS, macOS, Windows, Linux.
Системата е много по-стабилна след няколко месеца на редизайн и рефакторинг.
Информация за компанията за сесии.
Session е проект на фондация Loki. Фондация Loki (регистрирана като LAG Foundation, LTD) е регистрирана благотворителна фондация със седалище в щата Виктория, Австралия. Фондацията заявява, че целта им е: "...да изграждат комуникационни инструменти и приложения с отворен код, без метаданни, които защитават неприкосновеността на личния живот в цифровия свят".
Забележка: Продуктите Loki променят името си на Oxen. Вероятно ще има продължителен период от време, в който Loki и Oxen ще се използват взаимозаменяемо.
Къде се съхраняват данните за вашите сесии?
Съобщенията, които се изпращат до вас, всъщност се изпращат до вашия рояк. Съобщенията се съхраняват временно на няколко обслужващи възела в рамките на рояка, за да се осигури резервираност. След като устройството ви вземе съобщенията от рояка, те автоматично се изтриват от възлите за услуги, които временно са ги съхранявали.
Забележка: Това не е същото като архитектурата peer-to-peer. Вижте често задаваните въпроси за сесиите тук,
Клиентите на сесията не действат като възли в мрежата и не предават или съхраняват съобщения за мрежата. Мрежовата архитектура на Session е по-близо до модела клиент-сървър, където приложението Session действа като клиент, а роякът от възли за услуги - като сървър. Архитектурата клиент-сървър на Session позволява по-лесно асинхронно предаване на съобщения (съобщения, когато едната страна е офлайн) и замаскиране на IP адреси на базата на маршрутизация onion, в сравнение с мрежовите архитектури peer-to-peer.
Тестване и одити на Session от трети страни.
Сега Session използва своята мрежа за маршрутизация onion. Миналата година те поръчаха на Quarkslab одит на сигурността на приложенията Session Desktop, Android и iOS. Този одит вече е завършен и предоставя добри новини за Session и нейните потребители. Докладът от одита завършва отчасти със следното:
Oxen Session наистина подобрява поверителността и устойчивостта на сигналите, като използва наслагваща се мрежа към съществуващото решение за незабавни съобщения с криптиране от край до край. Механизмите за маршрутизиране тип "лук" използват Snodes на Oxen за съхранение и обмен на съобщения. Съществуват обаче някои други централизирани стандартни уеб услуги, които все още се използват чрез наслагващата се мрежа (за услугата push и за доставяне на прикачени файлове). Всички основни проблеми са отстранени бързо.
Одит на сесиите на Quarkslab Oxen, технически доклад
Сесията вече е подходяща за използване в случаи, в които доказаната и независимо проверена сигурност е задължително условие.
Колко сигурна и поверителна е сесията?
След като сесията е завършена и напълно разработена, тя трябва да бъде супер сигурна, изключително частна, анонимна и като цяло отлична. Не е ясно обаче колко близо до завършването е продуктът в действителност.
Системата за маршрутизация onion вече функционира, което е голям стимул за сигурността и поверителността. А одитът на сигурността на Quarkslab показва, че приложенията за настолни компютри, Android и iOS са сигурни.
Загриженост относно Австралия и сигурността на данните.
По темите за неприкосновеността на личния живот и сигурността на вашите данни трябва да обсъдим къде е базирана Сесията. Както беше отбелязано по-горе, Session е базирана в Австралия. За съжаление Австралия не е перфектна юрисдикция за защита на личните данни по няколко причини.
Както наскоро обсъдихме в нашето ръководство за най-добрите VPN услуги за Австралия, през 2018 г. страната прие закон, който подкопава криптирането и сигурността на данните. Ето кратък преглед на този закон:
В четвъртък австралийският парламент прие спорен законопроект за криптиране, който изисква от технологичните компании да предоставят на правоприлагащите органи и агенциите за сигурност достъп до криптирани комуникации. Защитниците на неприкосновеността на личния живот, технологичните компании и други предприятия се противопоставиха категорично на законопроекта, но правителството на министър-председателя Скот Морисън заяви, че той е необходим, за да се попречи на престъпниците и терористите, които използват програми за криптирани съобщения, за да общуват.
В средите, свързани с неприкосновеността на личния живот, "законопроектът за съдействие и достъп" понякога се нарича "закон за разбиване на криптирането" или "закон против криптирането" поради това, което позволява. Този закон ще засегне основно предприятията, които предоставят услуги за криптирана комуникация, включително сесии, VPN услуги и други предприятия, ориентирани към защитата на личните данни. Тази тема продължава да предизвиква критики от страна на защитниците на неприкосновеността на личния живот по целия свят.
Вземайки пример от наръчника на Австралия, регулаторните органи на САЩ също предложиха да принудят технологичните компании да разбиват криптирането, като по този начин улеснят наблюдението.
Фондация "Локи", която стои зад "Сесия", разгледа този наболял въпрос в публикация в блога си:
Очевидно бяхме ужасени, когато за първи път видяхме този законопроект. Потенциалът проектът да бъде изцяло подкопан от това законодателство не остана незабелязан. Бяхме започнали да обмисляме как бихме могли да създадем защитни механизми, които да позволяват на хората да улавят лош код, инжектиран в нашата база данни, или да плащаме на външен за Loki човек, който да прави редовни проверки на нашите двоични файлове, които пускаме, и да гарантира, че те не пропускат допълнителна информация или не се разминават с базата данни по някакъв начин. Ако ни бъде издадено TCN [Technical Capability Notice], няма да можем да кажем на никого за това. Ако създадем някаква система за канарчета, може да бъдем вкарани в затвора. Така че каквато и защитна система да създадем, тя ще трябва да е външна за Loki и ще трябва редовно да ни одитира, за да се увери, че не сме били компрометирани преди издаването на TCN.
В крайна сметка фондация "Локи" вярва, че все още може да управлява сигурна услуга за изпращане на съобщения в тази опасна правна среда. Тяхната публикация в блога по темата наистина навлиза дълбоко в техническите и правните подробности, които можете да проучите, ако имате време и желание. Освен това те разглеждат въпроса в темата с често задавани въпроси, озаглавена:" Представлява ли антикриптиращата позиция на австралийското правителство риск за сесията?", както и в тази актуализация на първоначалната им публикация в блога.
И така, сигурни ли са вашите данни с месинджъра Session?
Имам своите съмнения след проучване на законопроекта за изменение на Закона за телекомуникациите и други законови разпоредби (помощ и достъп) от 2018 г., по-известен като законопроект за АА или TOLA, но вие можете да стигнете до собствени заключения.
Други опасения, свързани със защитата на личните данни с Австралия.
Струва си също така да се отбележи, че законодателството срещу криптирането не е единственият проблем с неприкосновеността на личния живот, който тормози Австралия. Помислете за това:
Задължително запазване на данни - През 2017 г. Австралия въведе рамка за задължително запазване на данни. Това принуждава всички доставчици на интернет и телефонни компании да съхраняват данни за връзката за правителствените агенции в продължение на цели две години.
Five Eyes (Пет очи) - И преди сме отбелязвали, че Австралия е член на алианса за наблюдение "Пет очи". Този алианс работи съвместно за събиране и обмен на данни за масово наблюдение.
И ако си мислите, че различни агенции не използват тези закони, за да събират данни за австралийците, помислете отново. Ето едно скорошно заглавие от The Guardian:
Често задавани въпроси за сесията Messenger.
Ето няколко въпроса, които възникваха често по време на проучването и писането на тази актуализация.
Безопасен ли е Session Messenger?
Наскоро завършеният одит на сигурността от Quarkslab потвърди това, което отдавна вярвахме: Session е сигурен. Но действията на австралийското правителство за заобикаляне на защитата на личните данни на почти всяко приложение или услуга (не само на Session) ни карат да чувстваме, че поверителността ви не може да бъде гарантирана, ако използвате Session.
Какво представлява протоколът Session?
Протоколът Session е нов протокол за обмен на съобщения, разработен от Session. Преминаването от протокола Signal към протокола Session запазва сигурността на последния, като същевременно предоставя функции за поверителност/анонимност и децентрализация. Резултатът е протокол, който работи добре с уникалната архитектура на Session.
Заключение на прегледа на Session.
Session е многообещаващ продукт, но се предлага с плюсове и минуси. След като бъде завършен, той трябва да бъде също толкова сигурен, колкото Signal, дори по-частен от Signal и също така анонимен. Но все още съществуват продължителни опасения относно Австралия, поверителността на данните и способността на фондация Loki да запази сигурността на потребителските данни в тази среда.
Last edited by a moderator:
