Kuna Session on Signal'i haru, on see pärinud Signal'i tugeva turvalisuse. Sellest lähtuvalt ehitas Sessioni meeskond anonüümse, detsentraliseeritud süsteemi, mis pakub kasutajatele paremat privaatsust ja anonüümsust. Kas olete valmis rohkem teada saama selle väljakutseja kohta parima turvalise ja privaatse messengeri rakenduse troonile? Siis sukeldume selle Sessioni ülevaatega.
Sessioni messengeri põhitõed.
Kulisside taga on Session põhimõtteliselt teistsugune kui enamik teisi turvalisi sõnumiteenuseid. Et selle Sessioni ülevaate ülejäänud osa oleks lihtsamini mõistetav, peame nüüd läbi käima mõned põhitõed.
Sessioonis toimuvad vestlused on kaitstud kliendipoolse E2E-krüpteerimise abil. Ainult sõnumi saatja ja saaja saavad seda lugeda. Kuid Session läheb sõnumite turvalisuse tagamisest kaugemale. Session kaitseb ka oma kasutajate identiteete. See muudab teie suhtluse privaatseks ja anonüümseks ning turvaliseks.
Session suudab seda teha, sest see ühendab kasutajad tuhandetest teenustesõlmedest koosneva Tor-taolise võrgu kaudu. Teenustesõlmed on serverid, mis edastavad sõnumeid edasi-tagasi võrgu kaudu ning pakuvad lisateenuseid. Sibula päringusüsteem, mida Session kasutab sõnumite kaitsmiseks, tagab, et ükski võrgus olev teenustesõlm ei tea kunagi nii sõnumi päritolu (teie IP-aadress) kui ka sihtkohta (vastuvõtja IP-aadress). See võimaldab teil oma IP-d vaikimisi varjata.
Session võtab teie identiteedi kaitsmiseks mitmeid täiendavaid meetmeid:
Registreerimiseks ei nõuta telefoninumbrit.
Registreerimiseks ei nõuta e-posti aadressi
Geolokatsiooniandmeid, seadmeandmeid ega metaandmeid ei koguta.
Teenuse sõlmed on rühmitatud parvedeks. Parved pakuvad võrgu redundantsust ja ajutist salvestust, kui sõnumeid ei saa sihtkohta toimetada. Iga seansiklient ühendub parvega, et saata ja vastu võtta sõnumeid reaalajas ning et saada asjakohaseid sõnumeid, mis on parves säilitatud ja ootavad kohaletoimetamist.
Märkate, et me ei ole siinkohal rääkinud mingist keskserverist. Sessioonivõrk on detsentraliseeritud, ilma ühegi veapunktita ja ilma peaserverita, mida pahalased saaksid häkkida. Session liigutab sõnumeid, kasutades sibula marsruutimise süsteemi.
Sibula marsruutimise süsteemis on sõnumid ümbritsetud mitme krüpteerimiskihiga ja läbivad süsteemi mitu sõlme. Iga sõlmpunkt dekrüpteerib enne sõnumi edastamist ühe krüpteerimiskihi. Sõnumite krüpteerimise viisi tõttu ei saa ükski sõlmpunkt teada nii sõnumi päritolu kui ka sihtkohta. Lisaks ei ole teie IP-aadress sihtkohas kunagi nähtav, mis tähendab, et teie vestluspartneril ei ole Sessioni kasutamisel võimalik teid tuvastada. Sessiooniteenus peaks osutuma väga vastupidavaks ja jätkama toimimist isegi siis, kui üksikud teenustesõlmed liituvad või lahkuvad võrgust.
Sessioni sibula marsruutimise süsteem töötab Oxen Service Node'i võrgus. See võrk (varem tuntud kui Lokinet) on ka osa krüptoraha $OXEN infrastruktuurist. OXENi kohta saate rohkem teada Oxen.io veebisaidil.
Kuigi Session tegeleb nüüd väga hästi põhiliste sõnumifunktsioonidega, ei ole tal mõningaid funktsioone, mida konkurendid nagu Signal või Telegram omavad. Muu hulgas ei tee see veel hääl- ega videokõnesid. Kui vajate neid spetsiifilisi võimalusi, siis võiksite vaadata mõnda teist messengeri rakendust.
Siin on plussid ja miinused, mida me selles Sessioni ülevaates välja selgitame:
+ Plussid
Lõpp-otsast lõpuni (E2E) krüpteerimine kaitseb teksti- ja kõnesõnumeid ning manuseid.
Krüpteerimine: Seansside protokoll
Ei nõua registreerimiseks telefoninumbrit ega e-posti aadressi
Avatud lähtekood
Sibulatee marsruutimise süsteem tagab detsentraliseerituse ja anonüümsuse.
Ei logi IP-aadresse ega metaandmeid.
Krüpteeritud suletud rühmad (nüüd kuni 100 inimest) ja avatud rühmad (suurus ei ole piiratud)
Edukalt lõpule viidud turvakoodi audit töölaua-, Android- ja iOS-rakenduste puhul
- Miinused
Ei toeta 2FA-d (kaheteguriline autentimine)
Uuendatud mitme seadme sünkroonimine (varajane beetaversioon)
Perfect Forward Secrecy eemaldatud
Oluline: Asjaolu, et Session ei kogu metaandmeid, on suur pluss. Meie arvates on metaandmete küsimus paljude turvaliste sõnumiteenuste ja turvaliste e-posti teenuste Achilleuse kand. Isegi kõige populaarsematel turvalistel e-posti teenustel, näiteks ProtonMailil, ei ole metaandmete probleemile head lahendust.
Nüüd uurime Session messengeri põhifunktsioone.
Sessioni funktsioonide kokkuvõte.
Siin on funktsioonid, mida soovite Sessioni hindamisel arvesse võtta:
See kasutab Signalist inspireeritud Session-protokolli, mille peal on jaotatud sibula marsruutimise süsteem anonüümseks, detsentraliseeritud suhtluseks.
100% avatud lähtekoodiga kood (kood on saadaval GitHubis).
Kliendid Androidile, iOSile, macOSile, Windowsile, Linuxile.
Süsteem on pärast mitu kuud kestnud ümberkujundamist ja refaktooringut palju stabiilsem.
Sessiooni ettevõtte teave.
Session on Loki Foundationi projekt. Loki Foundation (registreeritud kui LAG Foundation, LTD) on registreeritud heategevuslik sihtasutus, mis asub Austraalias Victoria osariigis. Sihtasutus väidab, et nende eesmärk on "...luua avatud lähtekoodiga metaandmetaandmeteta kommunikatsioonivahendeid ja rakendusi, mis kaitsevad privaatsust digitaalses maailmas".
Märkus: Loki tooted muudavad oma nime Oxeniks. Tõenäoliselt tuleb pikem periood, mil Loki ja Oxen on kasutusel vaheldumisi.
Kus hoitakse teie seansiandmeid?
Teile saadetud sõnumid saadetakse tegelikult teie parve. Sõnumid salvestatakse ajutiselt mitmesse teenusekolmikusse parve sees, et tagada redundantsus. Kui teie seade võtab sõnumid parvest üles, kustutatakse need automaatselt neid ajutiselt salvestanud Teenuse sõlmedest.
Märkus: See ei ole sama, mis peer-to-peer-arhitektuur. Seansi KKK kohaselt siin,
Seansikliendid ei tegutse võrgusõlmedena ega edasta ega salvesta sõnumeid võrgu jaoks. Sessiooni võrguarhitektuur on lähemal kliendi-serveri mudelile, kus Sessioni rakendus tegutseb kliendina ja teenusesõlmede parv serverina. Sessioni klient-server-arhitektuur võimaldab lihtsamat asünkroonset sõnumite edastamist (sõnumite edastamine, kui üks osapool on võrguühenduseta) ja sibula marsruutimisel põhinevat IP-aadresside varjamist, võrreldes peer-to-peer võrguarhitektuuriga.
Kolmanda osapoole testimine ja Sessioni auditid.
Session kasutab nüüd oma sibula marsruutimisvõrku. Eelmisel aastal tellisid nad Quarkslabilt Sessioni töölaua, Androidi ja iOSi rakenduste turvaauditi. See audit on nüüdseks lõpule viidud ja pakub Sessioni ja selle kasutajate jaoks häid uudiseid. Auditiaruanne järeldab osaliselt järgmist:
Oxen Session parandab tõesti signaali privaatsust ja vastupidavust, kasutades olemasoleva otsekohalduse krüpteeritud kiirsõnumilahenduse ülekandevõrku. Sibula marsruutimise mehhanismid kasutavad Oxen Snodes sõnumi salvestamiseks ja vahetamiseks. Siiski on mõned muud tsentraliseeritud standardsed veebiteenused, mida kasutatakse endiselt ülekandevõrgu kaudu (push-teenuse jaoks ja manuste failide edastamiseks). Kõik peamised probleemid on kiiresti lahendatud.
Quarkslab Oxen Session Audit, tehniline aruanne
Session sobib nüüd kasutamiseks juhtudel, kus tõestatud ja sõltumatult kontrollitud turvalisus on eelduseks.
Kui turvaline ja privaatne on Session?
Kui Session on valmis ja täielikult välja töötatud, peaks see olema ülimalt turvaline, äärmiselt privaatne, anonüümne ja üldiselt suurepärane. Siiski on ebaselge, kui kaugel on toode tegelikult valmis.
Sibula marsruutimise süsteem on nüüd toimiv, mis on turvalisuse ja privaatsuse jaoks suur tõuge. Ja Quarkslabi turvaaudit näitab, et nii töölaua-, Androidi kui ka iOSi rakendused on kõik turvalised.
Mure Austraalia ja andmete turvalisuse pärast.
Privaatsuse ja andmete turvalisuse teemadel peame arutama, kus asub Session. Nagu eespool märgitud, asub Session Austraalias. Kahjuks ei ole Austraalia mitmel põhjusel täiuslik eraelu puutumatuse jurisdiktsioon.
Nagu me hiljuti arutasime oma juhendis Austraalia parimate VPNide kohta, võttis riik 2018. aastal vastu seaduse, mis õõnestab krüpteerimist ja andmete turvalisust. Siin on kiire ülevaade sellest seadusest:
Austraalia parlament võttis neljapäeval vastu vaieldava krüpteerimise seaduseelnõu, millega nõutakse tehnoloogiaettevõtetelt, et nad annaksid õiguskaitse- ja julgeolekuasutustele juurdepääsu krüpteeritud suhtlusele. Privaatsuse kaitsjad, tehnoloogiaettevõtted ja teised ettevõtted olid seaduseelnõu vastu, kuid peaminister Scott Morrisoni valitsus ütles, et see on vajalik selleks, et takistada kurjategijaid ja terroriste, kes kasutavad krüpteeritud sõnumiprogramme suhtlemiseks.
Privaatsusringkondades nimetatakse "abi ja juurdepääsu seadust" mõnikord "krüpteerimist hävitavaks seaduseks" või "krüpteerimisvastaseks seaduseks" selle tõttu, mida see võimaldab. See seadus mõjutaks põhimõtteliselt ettevõtteid, mis pakuvad krüpteeritud sideteenuseid, sealhulgas Sessioni, VPN-teenuseid ja muid eraelu puutumatust tagavaid ettevõtteid. See teema kogub jätkuvalt kriitikat eraelu puutumatuse kaitsjate poolt kogu maailmas.
Austraalia eeskujul on ka USA seadusandjad teinud ettepaneku sundida tehnoloogiaettevõtteid krüpteerimist murdma, hõlbustades seeläbi jälgimist.
Sessioni taga olev Loki Foundation käsitles seda keerulist teemat oma blogipostituses:
Ilmselgelt olime me hirmunud, kui me seda seaduseelnõu esimest korda nägime. Võimalus, et see õigusakt õõnestab projekti täielikult, ei jäänud märkamata. Olime hakanud kaaluma, kuidas me võiksime luua tõrkeabinõud, mis võimaldaksid inimestel püüda meie koodibaasi sisestatud halba koodi või maksta kellelegi Loki välisele isikule, kes kontrolliks regulaarselt meie avaldatavaid binaarkoode ja tagaks, et need ei lekiks lisateavet või ei sobiks mingil viisil koodibaasi. Kui meile väljastatakse TCN [Technical Capability Notice], ei saa me sellest kellelegi rääkida. Kui me kehtestaksime mingisuguse kanaari süsteemi, võiks meid vangistada. Seega, mis iganes turvameeskond, mille me kehtestasime, peaks olema Loki väline ja meid tuleks regulaarselt auditeerida, et veenduda, et meid ei ole enne TCNi väljastamist ohustatud.
Lõppkokkuvõttes usub Loki Foundation, et nad suudavad selles ohtlikus õiguslikus keskkonnas ikkagi turvalist sõnumiteenust pakkuda. Nende blogipostitus sel teemal läheb tõesti sügavale tehnilistesse ja juriidilistesse üksikasjadesse, mida saate uurida, kui teil on aega ja soovi. Lisaks käsitlevad nad seda küsimust KKK teemas pealkirjaga "Kas Austraalia valitsuse krüpteerimisvastane hoiak kujutab endast ohtu Sessionile?" ning ka selles värskenduses nende algsele blogipostitusele.
Kas teie andmed on Session messengeriga turvalised ja kaitstud?
Mul on pärast telekommunikatsiooni ja muude õiguslike muudatuste (abi ja juurdepääs) 2018. aasta seaduseelnõu (Telecommunications and Other Legal Amendment (Assistance and Access) Bill), mida üldiselt tuntakse AA seaduseelnõu või TOLA nime all, uurides kahtlusi, kuid te võite teha oma järeldused ise.
Muud Austraalia privaatsusega seotud probleemid.
Samuti tasub märkida, et krüpteerimisvastased õigusaktid ei ole ainus Austraaliat vaevav eraelu puutumatuse probleem. Mõelge sellele:
Kohustuslik andmete säilitamine - 2017. aastal rakendas Austraalia kohustusliku andmete säilitamise raamistiku. See sunnib kõiki internetiteenuse pakkujaid ja telefoniettevõtteid säilitama valitsusasutuste jaoks ühendusandmeid tervelt kaks aastat.
Five Eyes - Oleme ka varem märkinud, et Austraalia on Five Eyes jälgimisliidu liige. See liit teeb koostööd, et koguda ja jagada massilise jälgimise andmeid.
Ja kui te arvate, et erinevad ametid ei kasuta neid seadusi ära, et koguda andmeid austraallaste kohta, siis mõelge uuesti. Siin on hiljutine pealkiri The Guardianist:
Session Messenger KKK.
Siin on mõned küsimused, mis tulid selle värskenduse uurimise ja kirjutamise ajal sageli esile.
Kas Session Messenger on turvaline?
Hiljuti lõppenud Quarkslabi turvaaudit kinnitas seda, mida me juba ammu uskusime: Session on turvaline. Kuid Austraalia valitsuse tegevus privaatsuskaitsest kõrvalehoidmiseks peaaegu igas rakenduses või teenuses (mitte ainult Sessionis) annab meile tunda, et teie privaatsust ei saa Sessioni kasutamisel tagada.
Mis on Sessioni protokoll?
Sessioni protokoll on Sessioni poolt välja töötatud uus sõnumite edastamise protokoll. Üleminek Signal-protokollilt Session-protokollile säilitab viimase turvalisuse, pakkudes samal ajal privaatsuse/anonüümsuse ja detsentraliseerimise funktsioone. Tulemuseks on protokoll, mis töötab hästi Sessioni ainulaadse arhitektuuriga.
Sessioni läbivaatamise järeldus.
Session on paljutõotav toode, kuid sellel on plussid ja miinused. Pärast valmimist peaks see olema sama turvaline kui Signal, isegi privaatsem kui Signal ja ka anonüümne. Kuid endiselt on säilinud mure Austraalia, andmete privaatsuse ja Loki Foundationi suutlikkuse pärast hoida kasutajaandmeid selles keskkonnas turvaliselt.
Last edited by a moderator:
