Protože je Session forkem aplikace Signal, zdědil po ní její silné zabezpečení. Z něj tým Session vytvořil anonymizovaný, decentralizovaný systém, který uživatelům poskytuje vynikající soukromí a anonymitu. Jste připraveni dozvědět se více o tomto uchazeči o trůn nejlepší bezpečné a soukromé aplikace pro zasílání zpráv? Pak se pojďme ponořit do této recenze aplikace Session.
Základy aplikace Session messenger.
V zákulisí se Session zásadně liší od většiny ostatních zabezpečených služeb pro zasílání zpráv. Aby byl zbytek této recenze služby Session srozumitelnější, musíme si nyní projít některé základy.
Konverzace v aplikaci Session jsou zabezpečeny pomocí šifrování E2E na straně klienta. Zprávu si může přečíst pouze odesílatel a příjemce. Funkce Session však jde nad rámec zajištění zabezpečení zpráv. Session také chrání identitu svých uživatelů. Díky němu je vaše komunikace soukromá a anonymní a zároveň bezpečná.
Session to dokáže, protože propojuje uživatele prostřednictvím sítě podobné Toru, kterou tvoří tisíce servisních uzlů. Servisní uzly jsou servery, které v síti předávají zprávy tam a zpět a poskytují další služby. Systém cibulových požadavků, který Session používá k ochraně zpráv, zajišťuje, že žádný servisní uzel v síti nikdy nezná původ zprávy (vaši IP adresu) ani její cíl (IP adresu příjemce). Díky tomu můžete ve výchozím nastavení skrýt svou IP adresu.
Služba Session podniká řadu dalších kroků k ochraně vaší identity:
Pro registraci není vyžadováno telefonní číslo
Pro registraci není vyžadován žádný e-mail
Nejsou shromažďovány žádné geolokační údaje, údaje o zařízení ani metadata.
Uzly služeb jsou seskupeny do rojů. Roje zajišťují redundanci sítě a také dočasné úložiště v případě, že zprávy nelze doručit na místo určení. Každý klient relace se připojuje k roji, aby mohl odesílat a přijímat zprávy v reálném čase a také načítat příslušné zprávy, které jsou uloženy v roji a čekají na doručení.
Všimněte si, že jsme zde nehovořili o žádném druhu centrálního serveru. Síť relací je decentralizovaná, bez jediného bodu selhání a bez hlavního serveru, do kterého by se mohli nabourat padouši. Session přesouvá zprávy pomocí směrovacího systému onion.
V cibulovém směrovacím systému jsou zprávy obklopeny několika vrstvami šifrování a procházejí několika uzly systému. Každý uzel dešifruje jednu vrstvu šifrování, než zprávu předá dál. Vzhledem ke způsobu šifrování zpráv nemůže žádný uzel znát původ zprávy ani její cíl. Navíc vaše IP adresa není v cílovém místě nikdy viditelná, což znamená, že ten, s kým komunikujete, nemá možnost vás identifikovat, když používáte relaci. Služba Session by se měla ukázat jako velmi odolná a měla by fungovat i v případě, že se jednotlivé uzly služby připojí k síti nebo ji opustí.
Směrovací systém Session onion běží v síti servisních uzlů Oxen. Tato síť (dříve známá jako Lokinet) slouží také jako součást infrastruktury pro kryptoměnu $OXEN. Více informací o síti OXEN se dozvíte na webových stránkách Oxen.io.
Ačkoli Session nyní velmi dobře zvládá základní funkce zasílání zpráv, nemá některé funkce, které mají konkurenti jako Signal nebo Telegram. Mimo jiné zatím neumí hlasové ani videohovory. Pokud tyto specifické funkce potřebujete, možná se budete chtít poohlédnout po jiné aplikaci pro zasílání zpráv.
Zde jsou výhody a nevýhody, které jsme identifikovali v této recenzi aplikace Session:
V této části jsme se zaměřili na následující výhody: + Klady
Koncové šifrování (E2E) zabezpečuje textové a hlasové zprávy i přílohy.
Šifrování: V případě, že se jedná o zprávu, která je odesílána prostřednictvím e-mailu, je možné použít tzv: Protokol relace
Nevyžaduje k registraci telefonní číslo ani e-mailovou adresu
Otevřený zdrojový kód
Onion routing systém zajišťuje decentralizaci a anonymitu
Nezaznamenává IP adresy ani metadata
Šifrované uzavřené skupiny (nyní až 100 osob) a otevřené skupiny (bez omezení velikosti)
Úspěšně dokončený audit bezpečnostního kódu aplikací pro počítače, Android a iOS
- Nevýhody
Nepodporuje 2FA (dvoufaktorové ověřování)
Přepracovaná synchronizace s více zařízeními (raná beta verze)
Odstranění funkce Perfect Forward Secrecy
Důležité: Skutečnost, že aplikace Session neshromažďuje metadata, je velkým plusem. Problém metadat považujeme za Achillovu patu mnoha služeb pro bezpečné zasílání zpráv a zabezpečených e-mailových služeb. Dokonce ani nejpopulárnější služby zabezpečené elektronické pošty, jako je například ProtonMail, nemají dobré řešení problému metadat.
Nyní se budeme zabývat klíčovými funkcemi služby Session messenger.
Shrnutí funkcí aplikace Session.
Zde jsou uvedeny funkce, které budete chtít při hodnocení služby Session zvážit:
Používá protokol Session inspirovaný protokolem Signal nad distribuovaným směrovacím systémem onion pro anonymní, decentralizovanou komunikaci.
Stoprocentně otevřený zdrojový kód (kód je k dispozici na GitHubu).
Klienti pro Android, iOS, macOS, Windows, Linux.
Systém je po několika měsících redesignu a refaktoringu mnohem stabilnější.
Informace o společnosti Session.
Session je projektem nadace Loki Foundation. Nadace Loki Foundation (registrovaná jako LAG Foundation, LTD) je registrovaná charitativní nadace se sídlem v australském státě Victoria. Nadace uvádí, že jejím cílem je: "...vytvářet open-source komunikační nástroje a aplikace bez metadat, které brání soukromí v digitálním světě.".
Poznámka: Produkty Loki mění svůj název na Oxen. Je pravděpodobné, že po delší dobu se budou názvy Loki a Oxen používat zaměnitelně.
Kde jsou uloženy údaje o relacích?
Zprávy, které jsou vám odesílány, jsou ve skutečnosti odesílány do vašeho roje. Zprávy jsou dočasně uloženy na více uzlech služeb v rámci roje, aby byla zajištěna redundance. Jakmile vaše zařízení vyzvedne zprávy z roje, jsou automaticky odstraněny z uzlů služeb, které je dočasně uchovávaly.
Poznámka: Toto není totéž jako architektura peer-to-peer. Podle často kladených otázek k relacím zde,
Klienti relací nefungují jako uzly sítě a nepředávají ani neukládají zprávy pro síť. Síťová architektura Session má blíže k modelu klient-server, kde aplikace Session funguje jako klient a roj servisních uzlů jako server. Architektura klient-server v relaci umožňuje snadnější asynchronní zasílání zpráv (zasílání zpráv, když je jedna strana offline) a obfuskaci IP adres na základě cibulového směrování oproti síťovým architekturám peer-to-peer.
Testování a audity aplikace Session třetí stranou.
Session nyní používá svou síť onion routing. V loňském roce zadala společnosti Quarkslab bezpečnostní audit aplikací Session Desktop, Android a iOS. Tento audit je nyní dokončen a přináší dobré zprávy pro společnost Session a její uživatele. Zpráva o auditu obsahuje částečně následující závěry:
Oxen Session skutečně zlepšuje soukromí a odolnost signálu pomocí překryvné sítě k existujícímu řešení pro instant messaging s end-to-end šifrováním. Mechanismy cibulového směrování využívají k ukládání a výměně zpráv systém Snodes společnosti Oxen. Existují však některé další centralizované standardní webové služby, které se stále používají prostřednictvím překryvné sítě (pro službu push a pro doručování souborů příloh). Všechny hlavní problémy byly rychle odstraněny.
Quarkslab Oxen Session Audit, technická zpráva
Session je nyní vhodný pro použití v případech, kdy je předpokladem prokazatelné a nezávisle ověřené zabezpečení.
Jak bezpečná a soukromá je relace Session?
Jakmile je Session dokončena a plně vyvinuta, měla by být superbezpečná, extrémně soukromá, anonymní a obecně vynikající. Není však jasné, jak dalece se produkt skutečně blíží dokončení.
Systém směrování cibule je nyní funkční, což je pro bezpečnost a soukromí velkým přínosem. A bezpečnostní audit Quarkslab ukazuje, že aplikace pro počítače, Android a iOS jsou bezpečné.
Obavy o Austrálii a bezpečnost dat.
V souvislosti s tématy soukromí a bezpečnosti dat je třeba probrat, kde má společnost Session sídlo. Jak bylo uvedeno výše, společnost Session sídlí v Austrálii. Austrálie bohužel není dokonalou jurisdikcí pro ochranu soukromí, a to z několika důvodů.
Jak jsme nedávno probírali v našem průvodci nejlepšími VPN pro Austrálii, země v roce 2018 přijala zákon, který podkopává šifrování a bezpečnost dat. Zde je stručný přehled tohoto zákona:
Australský parlament ve čtvrtek schválil sporný zákon o šifrování, který má technologickým společnostem uložit povinnost poskytovat donucovacím a bezpečnostním orgánům přístup k šifrované komunikaci. Obhájci soukromí, technologické společnosti a další podniky se proti návrhu zákona ostře postavili, ale vláda premiéra Scotta Morrisona uvedla, že je nutný ke zmaření zločinců a teroristů, kteří ke komunikaci používají programy pro šifrované zprávy.
V kruzích zabývajících se ochranou soukromí je "zákon o pomoci a přístupu" někdy nazýván "zákonem proti šifrování" nebo "zákonem proti šifrování" kvůli tomu, co umožňuje. Tento zákon by zásadně ovlivnil podniky, které poskytují služby šifrované komunikace, včetně relací, služeb VPN a dalších podniků zaměřených na ochranu soukromí. Toto téma stále vyvolává kritiku ze strany obhájců ochrany soukromí po celém světě.
Po vzoru Austrálie navrhly americké regulační orgány také přinutit technologické společnosti, aby prolomily šifrování, a tím usnadnily sledování.
Nadace Loki Foundation, která stojí za projektem Session, se touto ožehavou otázkou zabývala ve svém blogovém příspěvku:
Když jsme tento návrh zákona viděli poprvé, samozřejmě jsme se vyděsili. Potenciál, že tento zákon může projekt zcela zničit, nezůstal bez povšimnutí. Začali jsme uvažovat o tom, jak bychom mohli nastavit zabezpečení proti selhání, které by lidem umožnilo zachytit špatný kód vkládaný do naší kódové základny, nebo zaplatit někomu mimo Loki, aby prováděl pravidelné kontroly našich binárních souborů, které vydáváme, a ujistil se, že z nich neunikají další informace nebo že nějakým způsobem neodpovídají kódové základně. Pokud by nám bylo vydáno TCN [Technical Capability Notice], nemohli bychom o tom nikomu říct. Pokud bychom nastavili nějaký kanárkový systém, mohli bychom být uvězněni. Takže jakákoli pojistka, kterou bychom nastavili, by musela být externí vůči Loki a musela by nás pravidelně kontrolovat, abychom se ujistili, že jsme nebyli kompromitováni před vydáním TCN.
Nadace Loki nakonec věří, že i v tomto nebezpečném právním prostředí dokáže provozovat bezpečnou kurýrní službu. Jejich blogový příspěvek na toto téma jde opravdu do hloubky technických a právních detailů, které můžete prozkoumat, pokud máte čas a chuť. Kromě toho se touto otázkou zabývají v tématu často kladených otázek s názvem" Představuje postoj australské vlády proti šifrování riziko pro relaci?" a také v této aktualizaci jejich původního blogového příspěvku.
Jsou tedy vaše data v Messengeru Session v bezpečí?
Po prozkoumání zákona o telekomunikacích a dalších právních změnách (asistence a přístup) z roku 2018, obecně známého jako zákon AA nebo TOLA, mám své pochybnosti, ale k závěru můžete dojít sami.
Další obavy o ochranu osobních údajů v Austrálii.
Stojí také za zmínku, že protišifrovací legislativa není jediným problémem ochrany soukromí, který Austrálii trápí. Vezměte si následující:
Povinné uchovávání údajů - V roce 2017 zavedla Austrálie povinný rámec pro uchovávání údajů. Ten nutí všechny poskytovatele internetu a telefonní společnosti uchovávat údaje o připojení pro vládní agentury po celé dva roky.
Five Eyes - Již dříve jsme také upozornili, že Austrálie je členem sledovací aliance Five Eyes. Tato aliance spolupracuje na shromažďování a sdílení údajů z hromadného sledování.
A pokud si myslíte, že různé agentury tyto zákony nevyužívají ke shromažďování údajů o Australanech, zamyslete se znovu. Zde je nedávný titulek z deníku The Guardian:
Nejčastější dotazy k aplikaci Session Messenger.
Zde je několik otázek, které se během výzkumu a psaní této aktualizace často objevovaly.
Je Session Messenger bezpečný?
Nedávno dokončený bezpečnostní audit společnosti Quarkslab potvrdil to, čemu jsme dlouho věřili: Session je bezpečný. Ale kroky australské vlády, které se snaží obejít ochranu soukromí v podstatě u všech aplikací nebo služeb (nejen u Session), nás vedou k pocitu, že vaše soukromí nelze zaručit, pokud používáte Session.
Co je to protokol Session?
Protokol Session je nový protokol pro zasílání zpráv vyvinutý společností Session. Přechod z protokolu Signal na protokol Session zachovává jeho zabezpečení a zároveň poskytuje funkce ochrany soukromí/anonymity a decentralizace. Výsledkem je protokol, který dobře spolupracuje s jedinečnou architekturou Session.
Závěr recenze Session.
Protokol Session je slibný produkt, ale má své klady i zápory. Po dokončení by měl být stejně bezpečný jako Signal, ještě soukromější než Signal a také anonymní. Stále však přetrvávají obavy ohledně Austrálie, ochrany osobních údajů a schopnosti nadace Loki Foundation zajistit bezpečnost uživatelských dat v tomto prostředí.
Last edited by a moderator:
