Da Session er en forgrening af Signal, arvede den Signals stærke sikkerhed. Derfra har Session-teamet bygget et anonymiseret, decentraliseret system, der giver brugerne overlegen fortrolighed og anonymitet. Er du klar til at lære mere om denne udfordrer til tronen som den bedste sikre og private messenger-app? Så lad os dykke ned i denne Session-anmeldelse.
Grundlæggende om Session messenger.
Bag kulisserne er Session fundamentalt anderledes end de fleste andre sikre beskedtjenester. For at gøre resten af denne Session-anmeldelse lettere at forstå, er vi nødt til at gennemgå nogle grundlæggende ting nu.
Samtaler i Session er sikret ved hjælp af E2E-kryptering på klientsiden. Kun afsenderen og modtageren af en besked kan læse den. Men Session giver ikke kun sikkerhed til beskeder. Session beskytter også brugernes identitet. Den gør din kommunikation privat, anonym og sikker.
Session kan gøre dette, fordi den forbinder brugerne gennem et Tor-lignende netværk af tusindvis af Service Nodes. Servicenoder er servere, der sender beskeder frem og tilbage gennem netværket og leverer yderligere tjenester. Onion Request-systemet, som Session bruger til at beskytte beskeder, sikrer, at ingen Service Node i netværket nogensinde kender både en beskeds oprindelse (din IP-adresse) og destination (modtagerens IP-adresse). Det giver dig mulighed for at skjule din IP som standard.
Session tager en række yderligere skridt for at beskytte din identitet:
Der kræves ikke noget telefonnummer til registrering
Der kræves ingen e-mail til registrering
Der indsamles ingen geolokaliseringsdata, enhedsdata eller metadata
Servicenoderne er grupperet sammen i sværme. Sværme giver redundans til netværket samt midlertidig lagring, når meddelelser ikke kan leveres til deres destination. Hver sessionsklient opretter forbindelse til en sværm for at sende og modtage beskeder i realtid samt for at hente relevante beskeder, der er lagret i sværmen og afventer levering.
Du vil bemærke, at vi ikke har talt om nogen form for central server her. Session-netværket er decentraliseret, uden et enkelt fejlpunkt og uden en hovedserver, som skurkene kan hacke. Session flytter beskeder ved hjælp af et onion routing-system.
I et onion routing-system er beskeder omgivet af flere lag kryptering og passerer gennem flere noder i systemet. Hver node dekrypterer et krypteringslag, før beskeden sendes videre. På grund af den måde, beskederne er krypteret på, kan ingen node kende både beskedens oprindelse og dens destination. Derudover er din IP-adresse aldrig synlig på destinationen, hvilket betyder, at den, du taler med, ikke har nogen mulighed for at identificere dig, når du bruger Session. Session-tjenesten skulle vise sig at være meget modstandsdygtig og fortsætte med at fungere, selv når individuelle service-noder tilslutter sig eller forlader netværket.
Sessions onion-routing-system kører på Oxen Service Node-netværket. Dette netværk (tidligere kendt som Lokinet) fungerer også som en del af infrastrukturen for kryptovalutaen $OXEN. Du kan få mere at vide om OXEN på Oxen.io's hjemmeside.
Mens Session nu håndterer grundlæggende beskedfunktioner meget godt, har det ikke nogle af de funktioner, som konkurrenter som Signal eller Telegram har. Den kan blandt andet endnu ikke foretage tale- eller videoopkald. Hvis du har brug for disse specifikke funktioner, bør du måske kigge på en anden messenger-app.
Her er de fordele og ulemper, som vi har identificeret i denne Session-anmeldelse:
+ Fordele
Ende-til-ende-kryptering (E2E) sikrer tekst- og talebeskeder samt vedhæftede filer
Kryptering: Session-protokol
Kræver ikke telefonnummer eller e-mailadresse for at tilmelde sig
Åben kilde
Onion-routing-system giver decentralisering og anonymitet
Logger ikke IP-adresser eller metadata
Krypterede lukkede grupper (nu op til 100 personer) og åbne grupper (ingen størrelsesbegrænsning)
Gennemført sikkerhedskode-audit af desktop-, Android- og iOS-apps med succes
- Ulemper
Understøtter ikke 2FA (to-faktor-autentificering)
Redesignet synkronisering af flere enheder (tidlig beta)
Perfect Forward Secrecy er fjernet
Vigtigt: Det faktum, at Session ikke indsamler metadata, er et stort plus. Vi anser metadataproblemet for at være akilleshælen for mange sikre beskedtjenester og sikre e-mailtjenester. Selv de mest populære sikre e-mailtjenester, såsom ProtonMail, har ikke en god løsning på metadataproblemet.
Nu vil vi undersøge de vigtigste funktioner i Session messenger.
Oversigt over Session-funktioner.
Her er de funktioner, du bør overveje, når du evaluerer Session:
Den bruger den Signal-inspirerede Session-protokol oven på et distribueret onion-routing-system til anonym, decentral kommunikation.
100 % open source-kode (koden er tilgængelig på GitHub).
Klienter til Android, iOS, macOS, Windows, Linux.
Systemet er meget mere stabilt efter flere måneders redesign og refaktorering.
Information om Session-virksomheden.
Session er et projekt fra Loki Foundation. Loki Foundation (registreret som LAG Foundation, LTD) er en registreret velgørende fond med base i Victoria, Australien. Fonden siger, at deres formål er at "... bygge open source, metadatafri kommunikationsværktøjer og apps, der forsvarer privatlivets fred i den digitale verden."
Bemærk: Loki-produkter skifter navn til Oxen. Der vil sandsynligvis være en længere periode, hvor Loki og Oxen bruges i flæng.
Hvor gemmes dine sessionsdata?
Beskeder, der sendes til dig, sendes faktisk til din sværm. Beskederne gemmes midlertidigt på flere servicenoder i sværmen for at sikre redundans. Når din enhed henter beskederne fra sværmen, slettes de automatisk fra de servicenoder, der midlertidigt opbevarede dem.
Bemærk: Dette er ikke det samme som en peer-to-peer-arkitektur. Se Session FAQ her,
Session-klienter fungerer ikke som knudepunkter på netværket og videresender eller gemmer ikke beskeder for netværket. Sessions netværksarkitektur er tættere på en klient-server-model, hvor Session-applikationen fungerer som klient, og Service Node-sværmen fungerer som server. Sessions klient-server-arkitektur gør det lettere at sende asynkrone beskeder (beskeder, når den ene part er offline) og løg-routing-baseret tilsløring af IP-adresser i forhold til peer-to-peer-netværksarkitekturer.
Tredjeparts test og revision af Session.
Session bruger nu sit onion routing-netværk. Sidste år bestilte de en sikkerhedsrevision af Session Desktop-, Android- og iOS-apps hos Quarkslab. Denne revision er nu afsluttet og giver gode nyheder for Session og dens brugere. Revisionsrapporten konkluderer bl.a. følgende:
Oxen Session forbedrer virkelig Signal privacy og resiliens ved at bruge et overlay-netværk til den eksisterende end-to-end-krypteringsløsning til instant messaging. Løg-routing-mekanismerne gør brug af Oxens Snodes til at gemme og udveksle beskeder. Der er dog nogle andre centraliserede standardwebtjenester, som stadig bruges via overlay-netværket (til push-tjenesten og til at levere vedhæftede filer). Alle større problemer er hurtigt blevet løst.
Quarkslab Oxen Session Audit, teknisk rapport
Session er nu velegnet til brug i tilfælde, hvor dokumenteret og uafhængigt verificeret sikkerhed er en forudsætning.
Hvor sikker og privat er sessionen?
Når sessionen er færdig og fuldt udviklet, bør den være supersikker, ekstremt privat, anonym og generelt fremragende. Det er dog uklart, hvor tæt produktet egentlig er på at være færdigt.
Onion-routing-systemet er nu funktionelt, hvilket er et stort løft for sikkerhed og privatliv. Og Quarkslabs sikkerhedsrevision viser, at desktop-, Android- og iOS-apps alle er sikre.
Bekymringer om Australien og datasikkerhed.
Når vi taler om privatlivets fred og datasikkerhed, er vi nødt til at diskutere, hvor Session er baseret. Som nævnt ovenfor er Session baseret i Australien. Desværre er Australien ikke en perfekt jurisdiktion for privatlivets fred af flere grunde.
Som vi for nylig diskuterede i vores guide til de bedste VPN'er til Australien, vedtog landet en lov, der underminerede kryptering og datasikkerhed i 2018. Her er et hurtigt overblik over denne lov:
Det australske parlament vedtog torsdag en omstridt krypteringslov, som kræver, at teknologivirksomheder giver retshåndhævende myndigheder og sikkerhedsagenturer adgang til krypteret kommunikation. Fortalere for privatlivets fred, teknologivirksomheder og andre virksomheder var stærkt imod lovforslaget, men premierminister Scott Morrisons regering sagde, at det var nødvendigt for at modarbejde kriminelle og terrorister, der bruger krypterede meddelelsesprogrammer til at kommunikere.
I privacy-kredse kaldes "Assistance and Access Bill" nogle gange for "krypterings-busting-loven" eller "anti-krypteringsloven" på grund af det, den tillader. Denne lov vil fundamentalt påvirke virksomheder, der leverer krypterede kommunikationstjenester, herunder Session, VPN-tjenester og andre virksomheder med fokus på privatlivets fred. Dette emne får fortsat kritik fra privatlivsforkæmpere over hele verden.
Efter australsk forbillede har de amerikanske myndigheder også foreslået at tvinge teknologivirksomheder til at bryde krypteringen og dermed lette overvågningen.
Loki Foundation, som står bag Session, behandlede dette vanskelige spørgsmål i et blogindlæg:
Vi blev naturligvis skrækslagne, da vi så dette lovforslag første gang. Muligheden for, at projektet ville blive fuldstændig undermineret af denne lovgivning, gik ikke ubemærket hen. Vi var begyndt at overveje, hvordan vi kunne sætte failsafes op, så folk kunne fange dårlig kode, der blev sprøjtet ind i vores kodebase, eller betale nogen uden for Loki for at foretage regelmæssige inspektioner af vores binære filer, som vi frigiver, og sikre, at de ikke lækker ekstra information eller ikke passer til kodebasen på en eller anden måde. Hvis vi fik udstedt en TCN [Technical Capability Notice], ville vi ikke kunne fortælle nogen om det. Hvis vi oprettede et slags kanariefuglesystem, kunne vi blive fængslet. Så uanset hvilken fejlsikring, vi opretter, skal den være ekstern i forhold til Loki, og den skal regelmæssigt kontrollere os for at sikre, at vi ikke er blevet kompromitteret, før der udstedes en TCN.
I sidste ende mener Loki Foundation, at de stadig kan drive en sikker budbringertjeneste i dette farlige juridiske miljø. Deres blogindlæg om emnet går virkelig i dybden med tekniske og juridiske detaljer, som du kan undersøge, hvis du har tid og lyst. Derudover behandler de spørgsmålet i FAQ-emnet med titlen "Udgør den australske regerings anti-krypteringsholdning en risiko for Session?" samt i denne opdatering til deres oprindelige blogindlæg.
Så er dine data sikre med Session messenger?
Jeg har mine tvivl efter at have undersøgt Telecommunications and Other Legal Amendment (Assistance and Access) Bill 2018, almindeligvis kendt som AA-lovforslaget eller TOLA, men du kan komme til dine egne konklusioner.
Andre bekymringer om privatlivets fred i Australien.
Det er også værd at bemærke, at anti-krypteringslovgivningen ikke er det eneste privatlivsproblem, der plager Australien. Overvej dette:
Obligatorisk datalagring - I 2017 indførte Australien en obligatorisk ramme for datalagring. Det tvinger alle internetudbydere og telefonselskaber til at gemme forbindelsesdata for offentlige myndigheder i hele to år.
Five Eyes - Vi har også tidligere bemærket, at Australien er medlem af Five Eyes-overvågningsalliancen. Denne alliance arbejder sammen om at indsamle og dele masseovervågningsdata.
Og hvis du tror, at forskellige agenturer ikke udnytter disse love til at indsamle data om australiere, kan du godt tro om igen. Her er en nylig overskrift fra The Guardian:
Session Messenger FAQ.
Her er et par spørgsmål, som ofte dukkede op under research og skrivning af denne opdatering.
Er Session messenger sikker?
Den nyligt afsluttede sikkerhedsrevision fra Quarkslab har bekræftet, hvad vi længe har troet: Session er sikker. Men den australske regerings tiltag for at omgå beskyttelsen af privatlivets fred i stort set alle apps og tjenester (ikke kun Session) får os til at føle, at dit privatliv ikke kan garanteres, hvis du bruger Session.
Hvad er Session-protokollen?
Session-protokollen er en ny beskedprotokol, der er udviklet af Session. Når man skifter fra Signal-protokollen til Session-protokollen, bevarer man sidstnævntes sikkerhed, samtidig med at man får funktioner til beskyttelse af personlige oplysninger/anonymitet og decentralisering. Resultatet er en protokol, der fungerer godt sammen med Sessions unikke arkitektur.
Konklusion på Session-anmeldelsen.
Session er et lovende produkt, men det kommer med fordele og ulemper. Når det er færdigt, skulle det være lige så sikkert som Signal, endnu mere privat end Signal og også anonymt. Men der er stadig bekymringer om Australien, databeskyttelse og Loki Foundations evne til at holde brugerdata sikre i dette miljø.
Last edited by a moderator:
