Επειδή το Session είναι ένα πιρούνι του Signal, κληρονόμησε την ισχυρή ασφάλεια του Signal. Από εκεί και πέρα, η ομάδα του Session δημιούργησε ένα ανώνυμο, αποκεντρωμένο σύστημα που παρέχει ανώτερη ιδιωτικότητα και ανωνυμία στους χρήστες του. Είστε έτοιμοι να μάθετε περισσότερα για αυτόν τον διεκδικητή του θρόνου της καλύτερης ασφαλούς και ιδιωτικής εφαρμογής messenger; Τότε ας βουτήξουμε σε αυτή την κριτική του Session.
Βασικά στοιχεία του αγγελιοφόρου Session.
Πίσω από τις σκηνές, το Session είναι θεμελιωδώς διαφορετικό από τις περισσότερες άλλες ασφαλείς υπηρεσίες ανταλλαγής μηνυμάτων. Για να γίνει πιο κατανοητή η υπόλοιπη ανασκόπηση του Session, πρέπει να δούμε τώρα μερικά βασικά στοιχεία.
Οι συνομιλίες στο Session εξασφαλίζονται με κρυπτογράφηση E2E από την πλευρά του πελάτη. Μόνο ο αποστολέας και ο παραλήπτης ενός μηνύματος μπορούν να το διαβάσουν. Το Session όμως υπερβαίνει την ασφάλεια των μηνυμάτων. Το Session προστατεύει επίσης τις ταυτότητες των χρηστών του. Κάνει τις επικοινωνίες σας ιδιωτικές και ανώνυμες, καθώς και ασφαλείς.
Το Session μπορεί να το κάνει αυτό επειδή συνδέει τους χρήστες μέσω ενός δικτύου που μοιάζει με το Tor και αποτελείται από χιλιάδες Service Nodes. Οι κόμβοι υπηρεσιών είναι διακομιστές που περνούν τα μηνύματα μπρος-πίσω μέσω του δικτύου, καθώς και παρέχουν πρόσθετες υπηρεσίες. Το σύστημα αιτήσεων onion που χρησιμοποιεί το Session για την προστασία των μηνυμάτων εξασφαλίζει ότι κανένας κόμβος υπηρεσίας στο δίκτυο δεν γνωρίζει ποτέ τόσο την προέλευση ενός μηνύματος (τη δική σας διεύθυνση IP) όσο και τον προορισμό του (τη διεύθυνση IP του παραλήπτη). Αυτό σας επιτρέπει να αποκρύπτετε την IP σας από προεπιλογή.
Η Συνεδρίαση λαμβάνει ορισμένα πρόσθετα μέτρα για την προστασία της ταυτότητάς σας:
Για την εγγραφή δεν απαιτείται αριθμός τηλεφώνου.
Δεν απαιτείται email για την εγγραφή
Δεν συλλέγονται δεδομένα γεωγραφικού εντοπισμού, δεδομένα συσκευής ή μεταδεδομένα
Οι κόμβοι υπηρεσιών ομαδοποιούνται σε σμήνη. Τα σμήνη παρέχουν πλεονασμό στο δίκτυο καθώς και προσωρινή αποθήκευση όταν τα μηνύματα δεν μπορούν να παραδοθούν στον προορισμό τους. Κάθε πελάτης συνεδρίας συνδέεται σε ένα σμήνος για να στέλνει και να λαμβάνει μηνύματα σε πραγματικό χρόνο, καθώς και για να ανακτά σχετικά μηνύματα που είναι αποθηκευμένα στο σμήνος και περιμένουν την παράδοση.
Θα παρατηρήσετε ότι δεν έχουμε μιλήσει για κανενός είδους κεντρικό διακομιστή εδώ. Το δίκτυο Session είναι αποκεντρωμένο, χωρίς ενιαίο σημείο αποτυχίας και χωρίς κεντρικό διακομιστή για να τον χακάρουν οι κακοί. Το Session μετακινεί τα μηνύματα χρησιμοποιώντας ένα σύστημα δρομολόγησης κρεμμυδιού.
Σε ένα σύστημα δρομολόγησης κρεμμυδιού, τα μηνύματα περιβάλλονται από πολλαπλά επίπεδα κρυπτογράφησης και περνούν από πολλούς κόμβους του συστήματος. Κάθε κόμβος αποκρυπτογραφεί ένα στρώμα κρυπτογράφησης προτού περάσει το μήνυμα. Λόγω του τρόπου κρυπτογράφησης των μηνυμάτων, κανένας κόμβος δεν μπορεί να γνωρίζει τόσο την προέλευση του μηνύματος όσο και τον προορισμό του. Επιπλέον, η διεύθυνση IP σας δεν είναι ποτέ ορατή στον προορισμό, πράγμα που σημαίνει ότι όποιος συνομιλεί μαζί σας δεν έχει τρόπο να σας αναγνωρίσει όταν χρησιμοποιείτε τη Συνεδρίαση. Η υπηρεσία Session θα πρέπει να αποδειχθεί πολύ ανθεκτική και να συνεχίσει να λειτουργεί ακόμη και όταν μεμονωμένοι κόμβοι υπηρεσιών προσχωρούν ή αποχωρούν από το δίκτυο.
Το σύστημα δρομολόγησης onion της Session τρέχει στο δίκτυο κόμβων εξυπηρέτησης Oxen. Αυτό το δίκτυο (παλαιότερα γνωστό ως Lokinet) χρησιμεύει επίσης ως μέρος της υποδομής για το κρυπτονόμισμα $OXEN. Μπορείτε να μάθετε περισσότερα για το OXEN στον ιστότοπο Oxen.io.
Ενώ το Session χειρίζεται πλέον πολύ καλά τις βασικές λειτουργίες ανταλλαγής μηνυμάτων, δεν διαθέτει ορισμένα από τα χαρακτηριστικά που διαθέτουν ανταγωνιστές όπως το Signal ή το Telegram. Μεταξύ άλλων, δεν κάνει ακόμη φωνητικές κλήσεις ή κλήσεις βίντεο. Αν χρειάζεστε αυτές τις συγκεκριμένες δυνατότητες, ίσως να θέλετε να εξετάσετε μια διαφορετική εφαρμογή messenger.
Ακολουθούν τα πλεονεκτήματα και τα μειονεκτήματα που εντοπίσαμε σε αυτή την ανασκόπηση της Συνόδου:
+ Πλεονεκτήματα
Η κρυπτογράφηση από άκρο σε άκρο (E2E) διασφαλίζει τα μηνύματα κειμένου και φωνής καθώς και τα συνημμένα αρχεία
Κρυπτογράφηση: Πρωτόκολλο συνόδου
Δεν απαιτεί αριθμό τηλεφώνου ή διεύθυνση ηλεκτρονικού ταχυδρομείου για την εγγραφή
Ανοιχτός κώδικας
Το σύστημα δρομολόγησης onion παρέχει αποκέντρωση και ανωνυμία
Δεν καταγράφει διευθύνσεις IP ή μεταδεδομένα
Κρυπτογραφημένες κλειστές ομάδες (τώρα έως 100 άτομα) και ανοικτές ομάδες (χωρίς όριο μεγέθους)
Ολοκληρώθηκε επιτυχώς ο έλεγχος κώδικα ασφαλείας των εφαρμογών Desktop, Android και iOS
- Μειονεκτήματα
Δεν υποστηρίζει 2FA (έλεγχος ταυτότητας δύο παραγόντων)
Επανασχεδιασμένος συγχρονισμός πολλαπλών συσκευών (πρώιμη beta)
Αφαίρεση του Perfect Forward Secrecy
Σημαντικό: Το γεγονός ότι το Session δεν συλλέγει μεταδεδομένα είναι ένα τεράστιο πλεονέκτημα. Θεωρούμε ότι το ζήτημα των μεταδεδομένων είναι η αχίλλειος πτέρνα πολλών ασφαλών υπηρεσιών ανταλλαγής μηνυμάτων και ασφαλών υπηρεσιών ηλεκτρονικού ταχυδρομείου. Ακόμη και οι πιο δημοφιλείς υπηρεσίες ασφαλούς ηλεκτρονικού ταχυδρομείου, όπως το ProtonMail, δεν έχουν μια καλή λύση στο πρόβλημα των μεταδεδομένων.
Τώρα θα εξετάσουμε τα βασικά χαρακτηριστικά του Session messenger.
Περίληψη των χαρακτηριστικών της συνεδρίας.
Ακολουθούν τα χαρακτηριστικά που θα θελήσετε να εξετάσετε κατά την αξιολόγηση του Session:
Χρησιμοποιεί το εμπνευσμένο από το Signal Πρωτόκολλο Συνεδρίας, πάνω σε ένα κατανεμημένο σύστημα δρομολόγησης κρεμμυδιού για ανώνυμη, αποκεντρωμένη επικοινωνία.
Κώδικας 100% ανοιχτού κώδικα (ο κώδικας είναι διαθέσιμος στο GitHub).
Πελάτες για Android, iOS, macOS, Windows, Linux.
Το σύστημα είναι πολύ πιο σταθερό μετά από αρκετούς μήνες επανασχεδιασμού και αναδόμησης.
Πληροφορίες για την εταιρεία συνεδρίασης.
Η Session είναι ένα έργο του Ιδρύματος Loki. Το Ίδρυμα Loki Foundation (εγγεγραμμένο ως LAG Foundation, LTD) είναι ένα εγγεγραμμένο φιλανθρωπικό ίδρυμα με έδρα τη Βικτώρια της Αυστραλίας. Το ίδρυμα δηλώνει ότι σκοπός του είναι να "...κατασκευάσει εργαλεία και εφαρμογές επικοινωνιών και εφαρμογών χωρίς μεταδεδομένα ανοικτού κώδικα που υπερασπίζονται την ιδιωτικότητα στον ψηφιακό κόσμο".
Σημείωση: Τα προϊόντα Loki αλλάζουν το όνομά τους σε Oxen. Πιθανόν να υπάρξει μια παρατεταμένη χρονική περίοδος κατά την οποία τα Loki και Oxen θα χρησιμοποιούνται εναλλακτικά.
Πού αποθηκεύονται τα δεδομένα της Συνεδρίας σας;
Τα μηνύματα που αποστέλλονται σε εσάς αποστέλλονται στην πραγματικότητα στο σμήνος σας. Τα μηνύματα αποθηκεύονται προσωρινά σε πολλαπλούς κόμβους υπηρεσιών εντός του σμήνους για να παρέχεται πλεονασμός. Μόλις η συσκευή σας παραλάβει τα μηνύματα από το σμήνος, διαγράφονται αυτόματα από τους κόμβους υπηρεσιών που τα αποθήκευαν προσωρινά.
Σημείωση: Αυτό δεν είναι το ίδιο με μια ομότιμη αρχιτεκτονική. Σύμφωνα με τις Συχνές Ερωτήσεις Συνεδρίας εδώ,
Οι πελάτες συνεδρίας δεν ενεργούν ως κόμβοι στο δίκτυο και δεν αναμεταδίδουν ή αποθηκεύουν μηνύματα για το δίκτυο. Η αρχιτεκτονική του δικτύου του Session είναι πιο κοντά σε ένα μοντέλο πελάτη-διακομιστή, όπου η εφαρμογή Session ενεργεί ως πελάτης και το σμήνος κόμβων εξυπηρέτησης ενεργεί ως διακομιστής. Η αρχιτεκτονική πελάτη-εξυπηρετητή της Συνεδρίας επιτρέπει ευκολότερη ασύγχρονη ανταλλαγή μηνυμάτων (ανταλλαγή μηνυμάτων όταν το ένα μέρος είναι εκτός σύνδεσης) και την απόκρυψη διευθύνσεων IP με βάση τη δρομολόγηση κρεμμυδιού, σε σχέση με τις ομότιμες αρχιτεκτονικές δικτύων.
Δοκιμές και έλεγχοι τρίτου μέρους της Session.
Το Session χρησιμοποιεί πλέον το δίκτυο δρομολόγησης κρεμμυδιού του. Πέρυσι ανέθεσαν στην Quarkslab έναν έλεγχο ασφαλείας των εφαρμογών Session Desktop, Android και iOS. Αυτός ο έλεγχος έχει πλέον ολοκληρωθεί και παρέχει καλά νέα για το Session και τους χρήστες του. Η έκθεση του ελέγχου καταλήγει εν μέρει στα εξής:
Το Oxen Session βελτιώνει πραγματικά το απόρρητο και την ανθεκτικότητα του σήματος με τη χρήση ενός δικτύου επικάλυψης στην υπάρχουσα λύση άμεσων μηνυμάτων με κρυπτογράφηση από άκρο σε άκρο. Οι μηχανισμοί δρομολόγησης με κρεμμύδι χρησιμοποιούν τα Snodes του Oxen για την αποθήκευση και την ανταλλαγή μηνυμάτων. Ωστόσο, υπάρχουν ορισμένες άλλες κεντρικές τυποποιημένες υπηρεσίες ιστού που εξακολουθούν να χρησιμοποιούνται μέσω του δικτύου επικάλυψης (για την υπηρεσία push και για την παράδοση συνημμένων αρχείων). Όλες οι σημαντικές ανησυχίες έχουν διορθωθεί γρήγορα.
Quarkslab Oxen Session Audit, Τεχνική έκθεση
Το Session είναι πλέον κατάλληλο για χρήση σε περιπτώσεις όπου η αποδεδειγμένη και ανεξάρτητα επαληθευμένη ασφάλεια αποτελεί προϋπόθεση.
Πόσο ασφαλές και ιδιωτικό είναι το Session;
Μόλις ολοκληρωθεί και αναπτυχθεί πλήρως η Συνεδρίαση, θα πρέπει να είναι εξαιρετικά ασφαλής, εξαιρετικά ιδιωτική, ανώνυμη και γενικά εξαιρετική. Ωστόσο, δεν είναι σαφές πόσο κοντά στην ολοκλήρωση βρίσκεται το προϊόν.
Το σύστημα δρομολόγησης κρεμμυδιού είναι πλέον λειτουργικό, γεγονός που αποτελεί μεγάλη ώθηση για την ασφάλεια και την ιδιωτικότητα. Και ο έλεγχος ασφαλείας της Quarkslab δείχνει ότι οι εφαρμογές Desktop, Android και iOS είναι όλες ασφαλείς.
Ανησυχίες σχετικά με την Αυστραλία και την ασφάλεια των δεδομένων.
Όσον αφορά τα θέματα της ιδιωτικότητας και της ασφάλειας των δεδομένων σας, πρέπει να συζητήσουμε για το πού βρίσκεται η έδρα της Session. Όπως προαναφέρθηκε, η Session έχει την έδρα της στην Αυστραλία. Δυστυχώς, η Αυστραλία δεν είναι μια τέλεια δικαιοδοσία για την προστασία της ιδιωτικής ζωής για μερικούς λόγους.
Όπως συζητήσαμε πρόσφατα στον οδηγό μας σχετικά με τα καλύτερα VPN για την Αυστραλία, η χώρα ψήφισε έναν νόμο που υπονομεύει την κρυπτογράφηση και την ασφάλεια των δεδομένων το 2018. Ακολουθεί μια σύντομη επισκόπηση αυτού του νόμου:
Το αυστραλιανό κοινοβούλιο ψήφισε την Πέμπτη ένα αμφιλεγόμενο νομοσχέδιο για την κρυπτογράφηση που απαιτεί από τις εταιρείες τεχνολογίας να παρέχουν στις υπηρεσίες επιβολής του νόμου και τις υπηρεσίες ασφαλείας πρόσβαση σε κρυπτογραφημένες επικοινωνίες. Οι υποστηρικτές της προστασίας της ιδιωτικής ζωής, οι εταιρείες τεχνολογίας και άλλες επιχειρήσεις είχαν αντιταχθεί σθεναρά στο νομοσχέδιο, αλλά η κυβέρνηση του πρωθυπουργού Scott Morrison δήλωσε ότι ήταν απαραίτητο για την αποτροπή εγκληματιών και τρομοκρατών που χρησιμοποιούν κρυπτογραφημένα προγράμματα ανταλλαγής μηνυμάτων για να επικοινωνούν.
Στους κύκλους που ασχολούνται με την προστασία της ιδιωτικής ζωής, το "νομοσχέδιο για τη συνδρομή και την πρόσβαση" αποκαλείται ενίοτε "νόμος κατά της κρυπτογράφησης" ή "νόμος κατά της κρυπτογράφησης", λόγω των όσων επιτρέπει. Αυτός ο νόμος θα επηρεάσει ριζικά τις επιχειρήσεις που παρέχουν υπηρεσίες κρυπτογραφημένης επικοινωνίας, συμπεριλαμβανομένων της Συνεδρίας, των υπηρεσιών VPN και άλλων επιχειρήσεων που εστιάζουν στην προστασία της ιδιωτικής ζωής. Το θέμα αυτό συνεχίζει να συγκεντρώνει επικρίσεις από υποστηρικτές της ιδιωτικής ζωής σε όλο τον κόσμο.
Παίρνοντας μια σελίδα από το εγχειρίδιο της Αυστραλίας, οι ρυθμιστικές αρχές των ΗΠΑ έχουν επίσης προτείνει να αναγκάσουν τις εταιρείες τεχνολογίας να σπάσουν την κρυπτογράφηση, διευκολύνοντας έτσι την παρακολούθηση.
Το Ίδρυμα Loki Foundation που βρίσκεται πίσω από το Session ασχολήθηκε με αυτό το ακανθώδες ζήτημα σε μια ανάρτηση στο ιστολόγιο:
Προφανώς, τρομοκρατηθήκαμε όταν είδαμε για πρώτη φορά αυτό το νομοσχέδιο. Το ενδεχόμενο να υπονομευτεί πλήρως το έργο από αυτή τη νομοθεσία δεν πέρασε απαρατήρητο. Είχαμε αρχίσει να σκεφτόμαστε πώς θα μπορούσαμε να δημιουργήσουμε failsafes για να επιτρέψουμε στους ανθρώπους να πιάσουν κακό κώδικα που εισάγεται στην κωδικοβάση μας, ή να πληρώσουμε κάποιον εξωτερικό για τη Loki ώστε να κάνει τακτικές επιθεωρήσεις των δυαδικών μας αρχείων που κυκλοφορούμε και να διασφαλίζει ότι δεν διαρρέουν επιπλέον πληροφορίες ή δεν ταιριάζουν με τον κώδικα με κάποιο τρόπο. Αν μας εξέδιδαν ένα TCN [Technical Capability Notice], δεν θα μπορούσαμε να το πούμε σε κανέναν. Εάν δημιουργήσουμε κάποιο είδος συστήματος καναρινιού, θα μπορούσαμε να φυλακιστούμε. Έτσι, όποια δικλείδα ασφαλείας και αν δημιουργήσουμε, θα πρέπει να είναι εξωτερική της Loki, και θα πρέπει να μας ελέγχει τακτικά για να βεβαιώνεται ότι δεν έχουμε εκτεθεί πριν εκδοθεί ένα TCN.
Τελικά, το Ίδρυμα Loki πιστεύει ότι μπορεί να συνεχίσει να λειτουργεί μια ασφαλή υπηρεσία αγγελιοφόρων σε αυτό το επικίνδυνο νομικό περιβάλλον. Η ανάρτηση στο ιστολόγιό τους για το θέμα αυτό πηγαίνει πραγματικά βαθιά σε τεχνικές και νομικές λεπτομέρειες, τις οποίες μπορείτε να διερευνήσετε αν έχετε το χρόνο και τη διάθεση. Επιπλέον, εξετάζουν το θέμα στο θέμα FAQ με τίτλο: "Η στάση της αυστραλιανής κυβέρνησης κατά της κρυπτογράφησης αποτελεί κίνδυνο για τη Σύνοδο;", καθώς και σε αυτή την ενημέρωση της αρχικής τους ανάρτησης στο ιστολόγιο.
Είναι, λοιπόν, τα δεδομένα σας ασφαλή και προστατευμένα με το Session messenger;
Έχω τις αμφιβολίες μου μετά από έρευνα στο νομοσχέδιο για τις τηλεπικοινωνίες και άλλες νομικές τροποποιήσεις (συνδρομή και πρόσβαση) του 2018, κοινώς γνωστό ως νομοσχέδιο AA ή TOLA, αλλά μπορείτε να βγάλετε τα δικά σας συμπεράσματα.
Άλλες ανησυχίες για την προστασία της ιδιωτικής ζωής με την Αυστραλία.
Αξίζει επίσης να σημειωθεί ότι η νομοθεσία κατά της κρυπτογράφησης δεν είναι το μόνο ζήτημα ιδιωτικότητας που ταλανίζει την Αυστραλία. Σκεφτείτε το εξής:
Υποχρεωτική διατήρηση δεδομένων: Το 2017, η Αυστραλία εφάρμοσε ένα πλαίσιο υποχρεωτικής διατήρησης δεδομένων. Αυτό υποχρεώνει όλους τους παρόχους διαδικτύου και τις τηλεφωνικές εταιρείες να αποθηκεύουν τα δεδομένα σύνδεσης για τις κυβερνητικές υπηρεσίες για δύο ολόκληρα χρόνια.
Five Eyes - Έχουμε επίσης σημειώσει στο παρελθόν ότι η Αυστραλία είναι μέλος της συμμαχίας παρακολούθησης Five Eyes. Η συμμαχία αυτή συνεργάζεται για τη συλλογή και την ανταλλαγή δεδομένων μαζικής παρακολούθησης.
Και αν νομίζετε ότι διάφορες υπηρεσίες δεν εκμεταλλεύονται αυτούς τους νόμους για να συλλέγουν δεδομένα για τους Αυστραλούς, ξανασκεφτείτε το. Ακολουθεί ένας πρόσφατος τίτλος από την εφημερίδα The Guardian:
Συχνές ερωτήσεις του Session Messenger.
Ακολουθούν μερικές ερωτήσεις που προέκυψαν συχνά κατά τη διάρκεια της έρευνας και της συγγραφής αυτής της ενημέρωσης.
Είναι ασφαλές το Session Messenger;
Ο πρόσφατα ολοκληρωμένος έλεγχος ασφαλείας από την Quarkslab επιβεβαίωσε αυτό που πιστεύαμε εδώ και καιρό: το Session είναι ασφαλές. Αλλά οι ενέργειες της αυστραλιανής κυβέρνησης να παρακάμψει τις προστασίες προστασίας της ιδιωτικής ζωής σχεδόν σε κάθε εφαρμογή ή υπηρεσία (όχι μόνο στο Session) μας κάνει να πιστεύουμε ότι η ιδιωτική σας ζωή δεν μπορεί να είναι εγγυημένη αν χρησιμοποιείτε το Session.
Τι είναι το πρωτόκολλο Session;
Το πρωτόκολλο Session είναι ένα νέο πρωτόκολλο ανταλλαγής μηνυμάτων που αναπτύχθηκε από τη Session. Η μετάβαση από το πρωτόκολλο Signal στο πρωτόκολλο Session διατηρεί την ασφάλεια του τελευταίου, ενώ παρέχει χαρακτηριστικά ιδιωτικότητας/ανωνυμίας και αποκέντρωσης. Το αποτέλεσμα είναι ένα πρωτόκολλο που λειτουργεί καλά με τη μοναδική αρχιτεκτονική του Session.
Συμπέρασμα αναθεώρησης Session.
Το Session είναι ένα πολλά υποσχόμενο προϊόν, αλλά συνοδεύεται από πλεονεκτήματα και μειονεκτήματα. Μόλις ολοκληρωθεί, θα πρέπει να είναι εξίσου ασφαλές με το Signal, ακόμη πιο ιδιωτικό από το Signal και επίσης ανώνυμο. Ωστόσο, εξακολουθούν να υπάρχουν παρατεταμένες ανησυχίες σχετικά με την Αυστραλία, το απόρρητο των δεδομένων και την ικανότητα του Loki Foundation να διατηρεί τα δεδομένα των χρηστών ασφαλή σε αυτό το περιβάλλον.
Last edited by a moderator:
