Koska Session on Signalin haarautuma, se on perinyt Signalin vahvan tietoturvan. Siitä Session-tiimi rakensi anonymisoidun, hajautetun järjestelmän, joka tarjoaa käyttäjilleen erinomaisen yksityisyyden ja anonymiteetin. Oletko valmis oppimaan lisää tästä haastajasta parhaan turvallisen ja yksityisen messenger-sovelluksen valtaistuimelle? Sitten sukelletaan sisään tämän Session-arvostelun avulla.
Session messengerin perusteet.
Kulissien takana Session on pohjimmiltaan erilainen kuin useimmat muut suojatut viestipalvelut. Jotta tämän Session-arvostelun loppuosa olisi helpommin ymmärrettävissä, meidän on nyt käytävä läpi joitakin perusasioita.
Sessionissa käytävät keskustelut suojataan käyttämällä asiakaspuolen E2E-salausta. Vain viestin lähettäjä ja vastaanottaja voivat lukea sen. Session ei kuitenkaan tarjoa pelkästään viestien suojausta. Session suojaa myös käyttäjiensä identiteetit. Se tekee viestinnästä yksityistä ja anonyymiä sekä turvallista.
Session pystyy tähän, koska se yhdistää käyttäjät tuhansien palvelusolmujen muodostaman Torin kaltaisen verkon kautta. Palvelusolmut ovat palvelimia, jotka välittävät viestejä edestakaisin verkon kautta ja tarjoavat muita palveluja. Sipulipyyntöjärjestelmä, jota Session käyttää viestien suojaamiseen, varmistaa, että yksikään verkon palvelusolmu ei koskaan tiedä viestin alkuperää (sinun IP-osoitteesi) ja kohdetta (vastaanottajan IP-osoite). Näin voit oletusarvoisesti piilottaa IP-osoitteesi.
Session suojaa henkilöllisyytesi useilla lisätoimilla:
Rekisteröintiin ei tarvita puhelinnumeroa.
Rekisteröintiin ei tarvita sähköpostia
Paikannustietoja, laitetietoja tai metatietoja ei kerätä.
Palvelusolmut on ryhmitelty parviksi. Parvet tarjoavat verkkoon redundanssia sekä väliaikaista tallennustilaa, kun viestejä ei voida toimittaa perille. Kukin istuntoasiakas muodostaa yhteyden parveen lähettääkseen ja vastaanottaakseen viestejä reaaliajassa sekä hakeakseen asiaankuuluvia viestejä, jotka on tallennettu parveen odottamaan toimitusta.
Huomaat varmasti, ettemme ole puhuneet tässä yhteydessä mistään keskitetystä palvelimesta. Session-verkko on hajautettu, eikä siinä ole yksittäistä vikapistettä eikä pääpalvelinta, johon pahikset voisivat murtautua. Session siirtää viestejä sipulireititysjärjestelmän avulla.
Sipulireititysjärjestelmässä viestejä ympäröi useampi salauskerros, ja ne kulkevat järjestelmän useiden solmujen kautta. Kukin solmu purkaa salauskerroksen ennen viestin välittämistä eteenpäin. Koska viestit on salattu, yksikään solmu ei voi tietää viestin alkuperää eikä sen määränpäätä. Lisäksi IP-osoitteesi ei koskaan näy määränpäässä, joten keskustelukumppanisi ei pysty tunnistamaan sinua, kun käytät Sessionia. Istuntopalvelun pitäisi osoittautua erittäin joustavaksi ja jatkaa toimintaansa, vaikka yksittäiset palvelusolmut liittyisivät verkkoon tai poistuisivat siitä.
Sessionin sipulireititysjärjestelmä toimii Oxen Service Node -verkossa. Tämä verkko (joka tunnettiin aiemmin nimellä Lokinet) toimii myös osana $OXEN-kryptovaluutan infrastruktuuria. Voit tutustua OXENiin tarkemmin Oxen.io-sivustolla.
Vaikka Session hoitaa nyt perusviestintätoiminnot erittäin hyvin, siinä ei ole joitakin ominaisuuksia, joita kilpailijoilla, kuten Signalilla tai Telegramilla, on. Se ei vielä tee muun muassa ääni- tai videopuheluita. Jos tarvitset näitä erityisominaisuuksia, sinun kannattaa ehkä etsiä jokin toinen messenger-sovellus.
Tässä ovat tässä Session-arvostelussa havaitsemamme hyvät ja huonot puolet:
+ Plussat
End-to-end (E2E) -salaus suojaa teksti- ja ääniviestit sekä liitetiedostot.
Salaus: Istuntoprotokolla
Ei vaadi puhelinnumeroa tai sähköpostiosoitetta rekisteröitymistä varten.
Avoin lähdekoodi
Sipulireititysjärjestelmä tarjoaa hajautusta ja anonymiteettiä.
Ei kirjaa IP-osoitteita tai metatietoja.
Salatut suljetut ryhmät (nyt jopa 100 henkilöä) ja avoimet ryhmät (kokoa ei ole rajoitettu).
Työpöytä-, Android- ja iOS-sovellusten turvakooditarkastus on saatu onnistuneesti päätökseen.
- Miinukset
Ei tue 2FA:ta (kahden tekijän todennus).
Uudelleen suunniteltu usean laitteen synkronointi (varhainen beta-versio).
Perfect Forward Secrecy poistettu
Tärkeää: Se, että Session ei kerää metatietoja, on valtava plussa. Pidämme metatietokysymystä monien suojattujen viestipalvelujen ja suojattujen sähköpostipalvelujen akilleen kantapäänä. Jopa suosituimmilla suojatuilla sähköpostipalveluilla, kuten ProtonMaililla, ei ole hyvää ratkaisua metatieto-ongelmaan.
Tarkastelemme nyt Session messengerin keskeisiä ominaisuuksia.
Session ominaisuuksien yhteenveto.
Seuraavassa on ominaisuuksia, jotka sinun kannattaa ottaa huomioon Sessionia arvioidessasi:
Se käyttää Signalista inspiroitunutta Session-protokollaa hajautetun sipulireititysjärjestelmän päällä anonyymiin, hajautettuun viestintään.
100 % avointa lähdekoodia (koodi on saatavilla GitHubissa).
Asiakkaat Androidille, iOS:lle, macOS:lle, Windowsille ja Linuxille.
Järjestelmä on paljon vakaampi useiden kuukausien uudelleensuunnittelun ja refaktoroinnin jälkeen.
Session yrityksen tiedot.
Session on Loki Foundationin projekti. Loki Foundation (rekisteröity nimellä LAG Foundation, LTD) on rekisteröity hyväntekeväisyyssäätiö, jonka kotipaikka on Victoria, Australia. Säätiö ilmoittaa, että sen tarkoituksena on "...rakentaa avoimen lähdekoodin metatietovapaita viestintätyökaluja ja -sovelluksia, jotka puolustavat yksityisyyttä digitaalisessa maailmassa".
Huomautus: Loki-tuotteet vaihtavat nimensä Oxeniksi. Lokia ja Oxenia käytetään todennäköisesti pidemmän aikaa vaihtelevasti.
Mihin istuntotietosi tallennetaan?
Sinulle lähetetyt viestit lähetetään itse asiassa parveesi. Viestit tallennetaan väliaikaisesti useisiin palvelusolmuihin parven sisällä redundanssin tarjoamiseksi. Kun laitteesi noutaa viestit parvesta, ne poistetaan automaattisesti niitä väliaikaisesti tallentaneista palvelusolmuista.
Huomautus: Tämä ei ole sama kuin vertaisverkkoarkkitehtuuri. Session FAQ:n mukaan täällä,
Istuntoasiakkaat eivät toimi verkon solmuina eivätkä välitä tai tallenna viestejä verkkoon. Sessionin verkkoarkkitehtuuri on lähempänä asiakas-palvelin-mallia, jossa Session-sovellus toimii asiakkaana ja palvelinsolmuparvi toimii palvelimena. Sessionin asiakas-palvelinarkkitehtuuri mahdollistaa helpomman asynkronisen viestinvälityksen (viestinvälitys silloin, kun toinen osapuoli on offline-tilassa) ja sipulireititykseen perustuvan IP-osoitteiden häivyttämisen verrattuna vertaisverkkoarkkitehtuuriin.
Kolmannen osapuolen suorittamat testaukset ja Sessionin tarkastukset.
Session käyttää nyt sipulireititysverkkoaan. Viime vuonna Quarkslab teetti Session Desktop-, Android- ja iOS-sovellusten tietoturvatarkastuksen. Tarkastus on nyt saatu päätökseen, ja se tarjoaa hyviä uutisia Sessionin ja sen käyttäjien kannalta. Auditointiraportissa todetaan osittain seuraavaa:
Oxen Session todella parantaa signaalin yksityisyyttä ja häiriönsietokykyä käyttämällä päällekkäisverkkoa olemassa olevaan päästä päähän -salauksella varustettuun pikaviestiratkaisuun. Sipulireititysmekanismit hyödyntävät Oxenin Snodeja viestien tallentamiseen ja vaihtamiseen. On kuitenkin joitakin muita keskitettyjä vakiomuotoisia verkkopalveluja, joita käytetään edelleen päällekkäisverkon kautta (push-palveluun ja liitetiedostojen toimittamiseen). Kaikki tärkeimmät ongelmat on korjattu nopeasti.
Quarkslab Oxenin istuntojen tarkastus, tekninen raportti.
Session soveltuu nyt käytettäväksi tapauksissa, joissa todistettu ja riippumattomasti todennettu turvallisuus on edellytys.
Kuinka turvallinen ja yksityinen Session on?
Kun istunto on valmis ja täysin kehitetty, sen pitäisi olla erittäin turvallinen, erittäin yksityinen, anonyymi ja yleisesti ottaen erinomainen. On kuitenkin epäselvää, kuinka lähellä tuotteen valmistumista se todella on.
Sipulireititysjärjestelmä on nyt toiminnassa, mikä on suuri lisä turvallisuudelle ja yksityisyydelle. Quarkslabin tietoturva-auditointi osoittaa, että työpöytä-, Android- ja iOS-sovellukset ovat kaikki turvallisia.
Huoli Australiasta ja tietoturvasta.
Yksityisyyttä ja tietoturvaa koskevista aiheista on keskusteltava siitä, missä Session sijaitsee. Kuten edellä todettiin, Sessionin kotipaikka on Australiassa. Valitettavasti Australia ei ole täydellinen yksityisyyden suojaa koskeva lainkäyttöalue muutamasta syystä.
Kuten äskettäin käsittelimme oppaassamme parhaista VPN:istä Australiaan, maa hyväksyi vuonna 2018 lain, joka heikentää salausta ja tietoturvaa. Tässä lyhyt katsaus tähän lakiin:
Australian parlamentti hyväksyi torstaina kiistanalaisen salauslain, jonka mukaan teknologiayritysten on annettava lainvalvonta- ja turvallisuusviranomaisille pääsy salattuun viestintään. Yksityisyydensuojan puolustajat, teknologiayritykset ja muut yritykset olivat vastustaneet lakiesitystä voimakkaasti, mutta pääministeri Scott Morrisonin hallituksen mukaan sitä tarvittiin rikollisten ja terroristien torjumiseksi, jotka käyttävät salattuja viestiohjelmia viestintään.
Yksityisyyspiireissä "Assistance and Access Bill" -lakiesitystä kutsutaan joskus "salauksen tuhoavaksi laiksi" tai "salauksen vastaiseksi laiksi", koska se mahdollistaa sen. Tämä laki vaikuttaisi olennaisesti yrityksiin, jotka tarjoavat salattuja viestintäpalveluja, kuten Session, VPN-palvelut ja muut yksityisyyden suojaan keskittyvät yritykset. Aihe kerää edelleen kritiikkiä yksityisyyden suojan puolustajilta ympäri maailmaa.
Yhdysvaltojen sääntelyviranomaiset ovat ottaneet mallia Australiasta ja ehdottaneet, että teknologiayritykset pakotetaan rikkomaan salaus ja siten helpottamaan valvontaa.
Sessionin taustalla oleva Loki Foundation käsitteli tätä hankalaa kysymystä blogikirjoituksessaan:
Olimme luonnollisesti kauhuissamme, kun näimme tämän lakiesityksen ensimmäisen kerran. Se, että tämä lainsäädäntö voisi heikentää hankkeen täysin, ei jäänyt huomaamatta. Olimme alkaneet miettiä, miten voisimme ottaa käyttöön vikasietotoimenpiteitä, joiden avulla ihmiset voisivat havaita koodipohjaamme syötetyn huonon koodin, tai maksaa jollekin Lokin ulkopuoliselle henkilölle siitä, että hän tarkastaisi säännöllisesti julkaisemamme binäärit ja varmistaisi, etteivät ne vuoda ylimääräistä tietoa tai vastaa koodipohjaa jollakin tavalla. Jos meille annettaisiin TCN [Technical Capability Notice], emme voisi kertoa siitä kenellekään. Jos perustaisimme jonkinlaisen kanarialähetysjärjestelmän, meidät voitaisiin vangita. Minkä tahansa vikasietojärjestelmän, jonka perustaisimme, olisi oltava Lokin ulkopuolinen, ja sen olisi tarkastettava meidät säännöllisesti varmistaakseen, ettei meitä ole vaarannettu ennen TCN:n antamista.
Loki-säätiö uskoo, että se voi edelleen ylläpitää turvallista viestipalvelua tässä vaarallisessa oikeudellisessa ympäristössä. Heidän blogikirjoituksessaan aiheesta mennään todella syvälle teknisiin ja oikeudellisiin yksityiskohtiin, joita voit tutkia, jos sinulla on aikaa ja halua. Lisäksi he käsittelevät asiaa FAQ-aiheessa otsikolla "Does the Australian government's anti-encryption stance pose a risk to Session?" sekä tässä päivityksessä heidän alkuperäiseen blogikirjoitukseensa.
Ovatko tietosi siis turvassa Session messengerin avulla?
Minulla on epäilykseni tutkittuani Telecommunications and Other Legal Amendment (Assistance and Access) Bill 2018 -lakiehdotusta, joka tunnetaan yleisesti AA-lakiehdotuksena tai TOLA-lakiehdotuksena, mutta voit tehdä omat johtopäätöksesi.
Muita yksityisyyden suojaan liittyviä huolenaiheita Australiassa.
On myös syytä huomata, että salauksen vastainen lainsäädäntö ei ole ainoa Australiaa vaivaava yksityisyydensuojaongelma. Ajatelkaa tätä:
Pakollinen tietojen säilyttäminen - Vuonna 2017 Australia otti käyttöön pakollisen tietojen säilyttämistä koskevan kehyksen. Tämä pakottaa kaikki internet-palveluntarjoajat ja puhelinyhtiöt säilyttämään yhteystietoja valtion virastoja varten kokonaiset kaksi vuotta.
Five Eyes - Olemme myös aiemmin todenneet, että Australia on Five Eyes -valvontayhteenliittymän jäsen. Tämä liittouma tekee yhteistyötä kerätäkseen ja jakaakseen massavalvontatietoja.
Jos luulet, että eri virastot eivät käytä näitä lakeja hyväkseen kerätäkseen tietoja australialaisista, mieti uudestaan. Tässä on The Guardianin tuore otsikko:
Session Messenger FAQ.
Seuraavassa on muutamia kysymyksiä, jotka nousivat usein esiin tämän päivityksen tutkimisen ja kirjoittamisen aikana.
Onko Session Messenger turvallinen?
Quarkslabin hiljattain suorittama tietoturvatarkastus on vahvistanut sen, mitä olemme jo pitkään uskoneet: Session on turvallinen. Mutta Australian hallituksen toimet yksityisyyden suojan kiertämiseksi lähes kaikissa sovelluksissa ja palveluissa (ei vain Sessionissa) saavat meidät ajattelemaan, että yksityisyyttäsi ei voida taata, jos käytät Sessionia.
Mikä on Session-protokolla?
Session-protokolla on Sessionin kehittämä uusi viestiprotokolla. Siirtyminen Signal-protokollasta Session-protokollaan säilyttää jälkimmäisen protokollan tietoturvan ja tarjoaa samalla yksityisyyden/anonymiteetin ja hajautusominaisuudet. Tuloksena on protokolla, joka toimii hyvin Sessionin ainutlaatuisen arkkitehtuurin kanssa.
Sessionin tarkastelun johtopäätös.
Session on lupaava tuote, mutta siinä on hyvät ja huonot puolensa. Kun se on valmis, sen pitäisi olla yhtä turvallinen kuin Signal, jopa yksityisempi kuin Signal ja myös anonyymi. On kuitenkin vielä jäljellä huolenaiheita Australiasta, tietosuojasta ja Loki Foundationin kyvystä pitää käyttäjätiedot turvassa tässä ympäristössä.
Last edited by a moderator:
