Mivel a Session a Signal elágazása, örökölte a Signal erős biztonságát. Ebből kiindulva a Session csapata egy anonimizált, decentralizált rendszert épített, amely kiváló adatvédelmet és anonimitást biztosít a felhasználók számára. Készen állsz arra, hogy többet megtudj erről a kihívóról a legjobb biztonságos és privát üzenetküldő alkalmazás trónjára? Akkor merüljünk el ebben a Session értékelésben.
Session messenger alapjai.
A színfalak mögött a Session alapvetően különbözik a legtöbb más biztonságos üzenetküldő szolgáltatástól. Ahhoz, hogy a Session áttekintés további része könnyebben érthető legyen, most át kell tekintenünk néhány alapismeretet.
A Sessionben folytatott beszélgetések kliensoldali E2E-titkosítással vannak biztosítva. Egy üzenetet csak a feladó és a címzett olvashat. A Session azonban túlmutat az üzenetek biztonságán. A Session a felhasználók személyazonosságát is védi. A kommunikációt priváttá és anonimmá, valamint biztonságossá teszi.
A Session azért képes erre, mert a felhasználókat egy Tor-szerű, több ezer szolgáltatási csomópontból álló hálózaton keresztül kapcsolja össze. A szolgáltatási csomópontok olyan kiszolgálók, amelyek üzeneteket továbbítanak a hálózaton keresztül, valamint további szolgáltatásokat nyújtanak. A Session által az üzenetek védelmére használt hagymakérési rendszer biztosítja, hogy a hálózat egyetlen szolgáltatási csomópontja sem ismeri az üzenet eredetét (az Ön IP-címét) és célját (a címzett IP-címét). Ez lehetővé teszi, hogy alapértelmezés szerint elrejtse az IP-címét.
A Session számos további lépést tesz az Ön személyazonosságának védelme érdekében:
A regisztrációhoz nincs szükség telefonszámra
A regisztrációhoz nincs szükség e-mail címre
Nem gyűjtünk geolokációs adatokat, eszközadatokat vagy metaadatokat.
A szolgáltatási csomópontok rajokba vannak csoportosítva. A rajok redundanciát biztosítanak a hálózat számára, valamint ideiglenes tárolást, ha az üzeneteket nem lehet célba juttatni. Minden munkamenet-ügyfél egy rajhoz csatlakozik, hogy valós időben küldjön és fogadjon üzeneteket, valamint hogy lekérje a rajban tárolt, kézbesítésre váró releváns üzeneteket.
Észreveheti, hogy itt nem beszéltünk semmiféle központi szerverről. A Session hálózat decentralizált, nincs egyetlen hibapont, és nincs fő szerver, amelyet a rosszfiúk feltörhetnének. A Session az üzeneteket egy hagymás útválasztó rendszer segítségével mozgatja.
Az onion routing rendszerben az üzeneteket több rétegű titkosítás veszi körül, és a rendszer több csomópontján haladnak keresztül. Minden csomópont visszafejti a titkosítás egy-egy rétegét, mielőtt továbbítja az üzenetet. Az üzenetek titkosításának módja miatt egyetlen csomópont sem ismerheti az üzenet eredetét és célját. Ezenkívül az Ön IP-címe soha nem látható a célállomáson, ami azt jelenti, hogy bárkivel is beszélget, a Session használata során nem tudja beazonosítani Önt. A munkamenet szolgáltatásnak nagyon rugalmasnak kell lennie, és akkor is működnie kell, ha egyes szolgáltatási csomópontok csatlakoznak a hálózathoz vagy elhagyják azt.
A Session hagymás útválasztó rendszere az Oxen Service Node hálózaton fut. Ez a hálózat (korábbi nevén Lokinet) a $OXEN kriptopénz infrastruktúrájának részeként is szolgál. Az Oxen.io weboldalon többet megtudhat az OXEN-ről.
Bár a Session most nagyon jól kezeli az alapvető üzenetküldési funkciókat, nem rendelkezik néhány olyan funkcióval, mint a versenytársak, például a Signal vagy a Telegram. Többek között hang- vagy videohívásokat még nem tud. Ha szükséged van ezekre a speciális képességekre, akkor érdemes egy másik üzenetküldő alkalmazást keresned.
Itt vannak az előnyök és hátrányok, amelyeket ebben a Session felülvizsgálatban azonosítottunk:
+ Előnyök
A végponttól végpontig (E2E) titkosítás védi a szöveges és hangüzeneteket, valamint a mellékleteket.
Titkosítás: Munkamenet protokoll
Nem igényel telefonszámot vagy e-mail címet a regisztrációhoz
Nyílt forráskódú
Az onion útválasztó rendszer decentralizációt és anonimitást biztosít.
Nem naplózza az IP-címeket vagy metaadatokat.
Titkosított zárt csoportok (jelenleg legfeljebb 100 főig) és nyílt csoportok (nincs méretkorlátozás)
Sikeresen befejezte az asztali, Android és iOS alkalmazások biztonsági kódjának auditálását.
- Hátrányok
Nem támogatja a 2FA-t (kétfaktoros hitelesítés)
Újratervezett több eszközzel történő szinkronizálás (korai béta verzió)
A Perfect Forward Secrecy eltávolítva
Fontos: Az, hogy a Session nem gyűjt metaadatokat, hatalmas előny. A metaadatok kérdését sok biztonságos üzenetküldő szolgáltatás és biztonságos e-mail szolgáltatás Achilles-sarkának tartjuk. Még a legnépszerűbb biztonságos e-mail szolgáltatások, például a ProtonMail sem rendelkeznek jó megoldással a metaadatok problémájára.
Most a Session messenger legfontosabb jellemzőit vizsgáljuk meg.
A Session funkció összefoglalása.
Íme, azok a funkciók, amelyeket érdemes figyelembe venni a Session értékelésénél:
A Signal által inspirált Session protokollt használja, egy elosztott hagyma útválasztó rendszer tetején az anonim, decentralizált kommunikációhoz.
100%-ban nyílt forráskódú (A kód elérhető a GitHubon).
Kliensek Android, iOS, macOS, Windows, Linux rendszerekre.
A rendszer sokkal stabilabb lett a több hónapos újratervezés és refaktorálás után.
A munkamenet céginformációk.
A Session a Loki Alapítvány projektje. A Loki Foundation (LAG Foundation, LTD néven bejegyzett) egy bejegyzett jótékonysági alapítvány, melynek székhelye az ausztráliai Victoria államban található. Az alapítvány szerint céljuk, hogy "...nyílt forráskódú, metaadatmentes kommunikációs eszközöket és alkalmazásokat hozzanak létre, amelyek megvédik a magánélet védelmét a digitális világban".
Megjegyzés: A Loki termékek nevet változtatnak Oxenre. Valószínűleg lesz egy hosszabb időszak, amikor a Loki és az Oxen felváltva használatos.
Hol tárolják az Ön munkamenet-adatait?
Az önnek küldött üzeneteket valójában a rajába küldik. Az üzeneteket a redundancia biztosítása érdekében a rajon belül több szolgáltatási csomóponton tároljuk ideiglenesen. Miután az Ön eszköze átveszi az üzeneteket a rajból, azok automatikusan törlődnek azokról a Szolgáltatási csomópontokról, amelyek ideiglenesen tárolták őket.
Megjegyzés: Ez nem azonos a peer-to-peer architektúrával. A munkamenet GYIK szerint itt,
A munkamenet-ügyfelek nem működnek csomópontokként a hálózaton, és nem továbbítják vagy tárolják az üzeneteket a hálózat számára. A Session hálózati architektúrája közelebb áll a kliens-kiszolgáló modellhez, ahol a Session alkalmazás ügyfélként, a szolgáltatási csomópontok raj pedig kiszolgálóként működik. A Session ügyfél-kiszolgáló architektúrája a peer-to-peer hálózati architektúrákhoz képest egyszerűbb aszinkron üzenetküldést (üzenetküldés, amikor az egyik fél offline) és hagymaútvonal-alapú IP-cím-eltitkosítást tesz lehetővé.
A Session harmadik fél általi tesztelése és ellenőrzése.
A Session most már az onion routing hálózatát használja. Tavaly megrendelték a Quarkslab biztonsági auditját a Session Desktop, Android és iOS alkalmazásokról. Ez az audit mostanra befejeződött, és jó hírekkel szolgál a Session és felhasználói számára. Az auditjelentés részben a következőkkel zárul:
Az Oxen Session valóban javítja a Signal adatvédelmét és ellenálló képességét azáltal, hogy a meglévő, végponttól végpontig titkosított azonnali üzenetküldő megoldáshoz egy átfedő hálózatot használ. Az onion-routing mechanizmusok az Oxen Snodes-t használják az üzenetek tárolására és cseréjére. Van azonban néhány egyéb központosított szabványos webes szolgáltatás, amelyeket továbbra is az overlay-hálózaton keresztül használnak (a push szolgáltatáshoz és a csatolt fájlok kézbesítéséhez). Az összes főbb aggályt gyorsan orvosolták.
Quarkslab Oxen munkamenet-ellenőrzés, technikai jelentés
A Session most már alkalmas olyan esetekben történő használatra, ahol a bizonyított és függetlenül ellenőrzött biztonság előfeltétel.
Mennyire biztonságos és privát a Session?
Miután a Munkamenet elkészült és teljesen ki lett fejlesztve, szuperbiztonságosnak, rendkívül privátnak, anonimnak és általában véve kiválónak kell lennie. Nem világos azonban, hogy a termék valójában mennyire áll közel a befejezéshez.
Az onion routing rendszer már működik, ami nagy előrelépés a biztonság és a magánélet szempontjából. A Quarkslab biztonsági auditja pedig azt mutatja, hogy az asztali, az Android és az iOS alkalmazások mind biztonságosak.
Aggályok Ausztrália és az adatbiztonsággal kapcsolatban.
A magánélet és az adatbiztonság témakörében meg kell beszélnünk, hogy hol van a Session székhelye. Amint fentebb említettük, a Session székhelye Ausztráliában található. Sajnos Ausztrália több okból sem tökéletes adatvédelmi joghatóság.
Amint azt nemrégiben a legjobb ausztrál VPN-ekről szóló útmutatónkban tárgyaltuk, az ország 2018-ban elfogadott egy törvényt a titkosítás és az adatbiztonság aláásására. Íme egy gyors áttekintés erről a törvényről:
Az ausztrál parlament csütörtökön elfogadott egy vitatott titkosítási törvényt, amely előírja a technológiai vállalatok számára, hogy a bűnüldöző és biztonsági ügynökségeknek hozzáférést biztosítsanak a titkosított kommunikációhoz. Az adatvédők, a technológiai cégek és más vállalkozások határozottan ellenezték a törvényjavaslatot, de Scott Morrison miniszterelnök kormánya szerint erre azért van szükség, hogy meghiúsítsák a titkosított üzenetküldő programokat kommunikációra használó bűnözők és terroristák tevékenységét.
Adatvédelmi körökben a "segítségnyújtási és hozzáférési törvényt" néha "titkosítás-romboló törvénynek" vagy "titkosítás-ellenes törvénynek" nevezik, mert mit enged meg. Ez a törvény alapvetően érintené a titkosított kommunikációs szolgáltatásokat nyújtó vállalkozásokat, köztük a Sessiont, a VPN-szolgáltatásokat és más, az adatvédelemmel foglalkozó vállalkozásokat. Ez a téma továbbra is kritikát vált ki az adatvédelem hívei részéről világszerte.
Az ausztrál példát követve az amerikai szabályozók is azt javasolták, hogy a technológiai vállalatokat kényszerítsék a titkosítás feltörésére, megkönnyítve ezzel a megfigyelést.
A Session mögött álló Loki Foundation blogbejegyzésben foglalkozott ezzel a kényes kérdéssel:
Nyilvánvalóan megrémültünk, amikor először megláttuk ezt a törvényjavaslatot. Nem maradt észrevétlen, hogy ez a jogszabály teljesen alááshatja a projektet. Elkezdtünk azon gondolkodni, hogy hogyan állíthatnánk be hibabiztosításokat, hogy az emberek elkaphassák a kódbázisunkba bejuttatott rossz kódot, vagy hogy fizethetnénk valakinek, aki nem a Loki tagja, hogy rendszeresen ellenőrizze az általunk kiadott binárisokat, és biztosítsa, hogy azok nem szivárogtatnak ki extra információkat, vagy nem illeszkednek valamilyen módon a kódbázishoz. Ha kapnánk egy TCN-t [Technical Capability Notice], nem tudnánk erről senkinek sem beszélni. Ha valamiféle kanári rendszert hoznánk létre, akkor börtönbe kerülhetnénk. Tehát bármilyen biztonsági rendszert is állítunk fel, annak a Lokin kívülinek kell lennie, és rendszeresen auditálnia kell minket, hogy megbizonyosodjon arról, hogy nem kompromittálódtunk-e a TCN kiadása előtt.
Végső soron a Loki Alapítvány úgy véli, hogy ebben a veszélyes jogi környezetben is képesek biztonságos hírvivő szolgáltatást működtetni. A témával kapcsolatos blogbejegyzésük valóban mélyen belemegy a technikai és jogi részletekbe, amelyeknek utána lehet járni, ha van rá időd és kedved. Ezen kívül a kérdéssel foglalkoznak a GYIK témakörben is, melynek címe: "Az ausztrál kormány titkosításellenes álláspontja veszélyezteti a Sessiont?", valamint az eredeti blogbejegyzésükhöz fűzött frissítésben.
Tehát, biztonságban vannak az adatai a Session messengerrel?
Kétségeim vannak a Telecommunications and Other Legal Amendment (Assistance and Access) Bill 2018, közismert nevén AA bill vagy TOLA törvényjavaslat kutatását követően, de ön is levonhatja a saját következtetéseit.
Egyéb adatvédelmi aggályok Ausztráliával kapcsolatban.
Azt is érdemes megjegyezni, hogy a titkosításellenes jogszabályok nem az egyetlen adatvédelmi probléma, amely Ausztráliát sújtja. Gondoljunk csak erre:
Kötelező adatmegőrzés - 2017-ben Ausztrália kötelező adatmegőrzési keretrendszert vezetett be. Ez minden internetszolgáltatót és telefontársaságot arra kényszerít, hogy a kormányzati szervek számára teljes két évig tárolja a kapcsolati adatokat.
Five Eyes - Korábban is megjegyeztük, hogy Ausztrália tagja a Five Eyes megfigyelési szövetségnek. Ez a szövetség a tömeges megfigyelési adatok gyűjtése és megosztása érdekében működik együtt.
És ha azt hiszi, hogy a különböző ügynökségek nem használják ki ezeket a törvényeket arra, hogy adatokat gyűjtsenek az ausztrálokról, gondolja át újra. Íme egy friss szalagcím a The Guardianből:
Session Messenger GYIK.
Íme néhány kérdés, amely gyakran felmerült a kutatás és a frissítés megírása során.
Biztonságos a Session messenger?
A Quarkslab által nemrég elvégzett biztonsági audit megerősítette azt, amit már régóta hittünk: a Session biztonságos. De az ausztrál kormány intézkedései, amelyekkel megkerüli az adatvédelmi védelmet nagyjából minden alkalmazás vagy szolgáltatás (nem csak a Session) esetében, arra engednek minket következtetni, hogy az Ön adatvédelme nem garantálható, ha a Sessiont használja.
Mi a Session protokoll?
A Session protokoll a Session által kifejlesztett új üzenetküldési protokoll. A Signal protokollról a Session protokollra való váltás megtartja az utóbbi biztonságát, miközben adatvédelmi/anonimitási és decentralizációs funkciókat biztosít. Az eredmény egy olyan protokoll, amely jól működik a Session egyedi architektúrájával.
A Session felülvizsgálat következtetése.
A Session egy ígéretes termék, de vannak előnyei és hátrányai. Ha egyszer elkészül, ugyanolyan biztonságosnak kell lennie, mint a Signal, még privátabbnak, mint a Signal, és anonimnak is. De még mindig vannak fennmaradó aggályok Ausztráliával, az adatvédelemmel és a Loki Foundation képességével kapcsolatban, hogy a felhasználói adatokat biztonságban tudja-e tartani ebben a környezetben.
Last edited by a moderator:
