Tā kā Session ir Signal atvasinājums, tas ir mantojis Signal spēcīgo drošību. Pamatojoties uz to, Session komanda izveidoja anonīmu, decentralizētu sistēmu, kas lietotājiem nodrošina izcilu privātumu un anonimitāti. Vai esat gatavi uzzināt vairāk par šo pretendentu uz labākās drošākās un privātākās ziņapmaiņas lietotnes troni? Tad ienirsim šajā Session pārskatā.
Session ziņapmaiņas pamatprincipi.
Aizkulisēs Session būtībā atšķiras no vairuma citu drošu ziņapmaiņas pakalpojumu. Lai padarītu pārējo Session pārskata daļu vieglāk saprotamu, mums tagad ir jāpārskata daži pamati.
Session saruna tiek nodrošināta, izmantojot klienta puses E2E šifrēšanu. Tikai ziņojuma sūtītājs un saņēmējs var to izlasīt. Taču Session nodrošina ne tikai ziņojumu drošību. Session aizsargā arī savu lietotāju identitāti. Tā padara jūsu saziņu privātu un anonīmu, kā arī drošu.
Session to spēj, jo savieno lietotājus, izmantojot Tor līdzīgu tīklu ar tūkstošiem pakalpojumu mezglu. Pakalpojumu mezgli ir serveri, kas tīklā pārsūta ziņojumus turp un atpakaļ, kā arī nodrošina papildu pakalpojumus. Sīpolu pieprasījuma sistēma, ko Session izmanto ziņojumu aizsardzībai, nodrošina, ka neviens tīkla pakalpojumu mezgls nekad nezina gan ziņojuma izcelsmi (jūsu IP adresi), gan galamērķi (saņēmēja IP adresi). Tas ļauj slēpt jūsu IP pēc noklusējuma.
Session veic vairākus papildu pasākumus, lai aizsargātu jūsu identitāti:
Reģistrējoties nav nepieciešams tālruņa numurs.
Reģistrēšanai nav nepieciešams e-pasts
netiek vākti ģeogrāfiskās atrašanās vietas dati, ierīces dati vai metadati.
Pakalpojumu mezgli ir sagrupēti saimēs. Roji nodrošina tīkla dublēšanu, kā arī pagaidu glabāšanu, ja ziņojumus nav iespējams nogādāt līdz galamērķim. Katrs sesijas klients savienojas ar saimi, lai sūtītu un saņemtu ziņojumus reāllaikā, kā arī lai iegūtu attiecīgos ziņojumus, kas glabājas saimē un gaida piegādi.
Jūs pamanīsiet, ka šeit nav runāts par nekāda veida centrālo serveri. Sesiju tīkls ir decentralizēts, tajā nav viena atteices punkta un galvenā servera, uz kuru varētu uzlauzt ļaundari. Session pārraida ziņojumus, izmantojot sīpolu maršrutēšanas sistēmu.
Sīpolu maršrutēšanas sistēmā ziņojumus ieskauj vairāki šifrēšanas slāņi, un tie iet caur vairākiem sistēmas mezgliem. Katrs mezgls atšifrē vienu šifrēšanas slāni pirms ziņojuma nodošanas tālāk. Tā kā ziņojumi tiek šifrēti, neviens mezgls nevar zināt gan ziņojuma izcelsmi, gan galamērķi. Turklāt jūsu IP adrese galamērķī nekad nav redzama, kas nozīmē, ka, izmantojot sesiju, nav iespējams identificēt to, ar ko sarunājaties. Session pakalpojumam vajadzētu izrādīties ļoti izturīgam un turpināt darboties pat tad, kad atsevišķi pakalpojumu mezgli pievienojas tīklam vai to pamet.
Session sīpolu maršrutēšanas sistēma darbojas Oxen pakalpojumu mezglu tīklā. Šis tīkls (agrāk pazīstams kā Lokinet) kalpo arī kā daļa no kriptovalūtas $OXEN infrastruktūras. Vairāk par OXEN varat uzzināt vietnē Oxen.io.
Lai gan Session šobrīd ļoti labi veic pamata ziņojumapmaiņas funkcijas, tam nav dažu funkciju, ko piedāvā tādi konkurenti kā Signal vai Telegram. Tajā cita starpā vēl nav balss vai video zvanu. Ja jums ir nepieciešamas šīs specifiskās iespējas, iespējams, jums būtu jāizpēta cita ziņapmaiņas lietotne.
Šeit ir minēti šajā sesijas pārskatā identificētie plusi un mīnusi:
+ Plusi
Ar end-to-end (E2E) šifrēšanu ir aizsargāti teksta un balss ziņojumi, kā arī pielikumi.
Šifrēšana: Sesijas protokols
Lai reģistrētos, nav nepieciešams tālruņa numurs vai e-pasta adrese
Atvērtā pirmkoda programmatūra
Sīpolu maršrutēšanas sistēma nodrošina decentralizāciju un anonimitāti.
Nereģistrē IP adreses vai metadatus.
Šifrētas slēgtas grupas (tagad līdz 100 cilvēkiem) un atvērtas grupas (bez ierobežojuma lielumam).
Veiksmīgi pabeigts datora, Android un iOS lietotņu drošības koda audits.
- Mīnusi
Neatbalsta 2FA (divu faktoru autentifikāciju).
Pārstrādāta sinhronizācija ar vairākām ierīcēm (agrīnā beta versija).
Noņemts Perfect Forward Secrecy
Svarīgi: tas, ka Session neuzkrāj metadatus, ir liels pluss. Mēs uzskatām, ka metadatu problēma ir daudzu drošu ziņapmaiņas pakalpojumu un drošu e-pasta pakalpojumu Ahileja papēdis. Pat vispopulārākajiem drošās e-pasta vēstuļu pārraides pakalpojumiem, piemēram, ProtonMail, nav laba risinājuma metadatu problēmai.
Tagad mēs aplūkosim Session messenger galvenās funkcijas.
Session funkciju kopsavilkums.
Šeit ir funkcijas, kuras jums būs jāņem vērā, novērtējot Session:
Tas izmanto Signal iedvesmoto Session protokolu, kas balstīts uz sadalītas sīpolu maršrutēšanas sistēmas, lai nodrošinātu anonīmu, decentralizētu saziņu.
100% atklātā koda kods (kods ir pieejams GitHub).
Klienti Android, iOS, macOS, Windows, Linux.
Pēc vairāku mēnešu pārprojektēšanas un refaktorizācijas sistēma ir daudz stabilāka.
Informācija par sesijas uzņēmumu.
Session ir Loki fonda projekts. Loki fonds (reģistrēts kā LAG Foundation, LTD) ir reģistrēts labdarības fonds, kas atrodas Viktorijā, Austrālijā. Fonds norāda, ka to mērķis ir "...izveidot atvērtā koda, bez metadatiem lietojamus saziņas rīkus un lietotnes, kas aizsargā privātumu digitālajā pasaulē".
Piezīme: Loki produkti maina nosaukumu uz Oxen. Iespējams, ka ilgāku laiku Loki un Oxen tiks lietoti savstarpēji aizvietojami.
Kur tiek glabāti jūsu sesiju dati?
Ziņojumi, kas tiek nosūtīti jums, patiesībā tiek nosūtīti uz jūsu roju. Lai nodrošinātu dublēšanu, ziņojumi uz laiku tiek glabāti vairākos pakalpojumu mezglos saimē. Kad jūsu ierīce saņem ziņojumus no saimes, tie tiek automātiski dzēsti no pakalpojumu mezgliem, kas tos uz laiku glabāja.
Piezīme: Šī nav tāda pati kā vienādranga arhitektūra. Saskaņā ar sesijas bieži uzdotajiem jautājumiem šeit,
Sesijas klienti nedarbojas kā tīkla mezgli un nepārraida vai neuzglabā ziņojumus tīklā. Session tīkla arhitektūra ir tuvāka klienta-servera modelim, kur Session lietojumprogramma darbojas kā klients, bet pakalpojumu mezglu rājs darbojas kā serveris. Session klienta-servera arhitektūra ļauj vieglāk veikt asinhrono ziņojumapmaiņu (ziņojumapmaiņu, kad viena puse ir bezsaistē) un uz sīpolu maršrutēšanu balstītu IP adrešu aizsegšanu, salīdzinot ar vienādranga tīkla arhitektūru.
Session testēšana un revīzija, ko veic trešās puses.
Session tagad izmanto savu sīpolu maršrutēšanas tīklu. Pagājušajā gadā Quarkslab pasūtīja Session darbvirsmas, Android un iOS lietotņu drošības auditu. Šis audits ir pabeigts, un tas sniedz labas ziņas Session un tās lietotājiem. Audita ziņojuma secinājumi daļēji ir šādi:
Oxen Session patiešām uzlabo signālu konfidencialitāti un elastību, izmantojot pārklājuma tīklu esošajam tūlītējo ziņapmaiņas risinājumu end-to-end šifrēšanas risinājumam. Sīpolu maršrutēšanas mehānismi izmanto Oxen Snodes, lai uzglabātu un apmainītos ar ziņojumiem. Tomēr ir daži citi centralizēti standarta tīmekļa pakalpojumi, kas joprojām tiek izmantoti, izmantojot pārklājuma tīklu (push pakalpojumam un pielikumu failu piegādei). Visas galvenās problēmas ir ātri novērstas.
Quarkslab Oxen sesiju audits, tehniskais ziņojums
Tagad sesija ir piemērota izmantošanai gadījumos, kad pierādīta un neatkarīgi pārbaudīta drošība ir priekšnoteikums.
Cik droša un privāta ir Session?
Kad sesija ir pabeigta un pilnībā izstrādāta, tai jābūt īpaši drošai, ārkārtīgi privātai, anonīmai un kopumā izcilai. Tomēr nav skaidrs, cik tālu no pabeigtības produkts ir patiesībā.
Tagad darbojas sīpolu maršrutēšanas sistēma, kas ir liels drošības un privātuma uzlabojums. Un Quarkslab drošības audits liecina, ka datora, Android un iOS lietotnes ir drošas.
Bažas par Austrālijas un datu drošību.
Runājot par privātuma un jūsu datu drošības jautājumiem, mums ir jāapspriež, kur atrodas Session. Kā minēts iepriekš, Session atrodas Austrālijā. Diemžēl Austrālija nav ideāla privātuma jurisdikcija vairāku iemeslu dēļ.
Kā mēs nesen apspriedām savā ceļvedī par labākajiem VPN Austrālijā, šajā valstī 2018. gadā tika pieņemts likums, kas mazina šifrēšanas un datu drošību. Šeit ir īss pārskats par šo likumu:
Austrālijas parlaments ceturtdien pieņēma strīdīgu šifrēšanas likumprojektu, kas paredz, ka tehnoloģiju uzņēmumiem jānodrošina tiesībaizsardzības un drošības iestādēm piekļuve šifrētai saziņai. Privātuma aizstāvji, tehnoloģiju uzņēmumi un citi uzņēmumi bija stingri iebilduši pret šo likumprojektu, taču premjerministra Skota Morisona (Scott Morrison) valdība apgalvoja, ka tas ir nepieciešams, lai novērstu noziedzniekus un teroristus, kuri saziņai izmanto šifrētu ziņojumu sūtīšanas programmas.
Privātuma aizsardzības aprindās "Palīdzības un piekļuves likumprojektu" dažkārt dēvē par "šifrēšanu ierobežojošu likumu" vai "pret šifrēšanu vērstu likumu", jo tas pieļauj to, ko tas atļauj. Šis likums būtiski ietekmētu uzņēmumus, kas sniedz šifrētas saziņas pakalpojumus, tostarp sesijas, VPN pakalpojumus un citus uz privātumu orientētus uzņēmumus. Šis temats turpina izpelnīties kritiku no privātuma aizstāvju puses visā pasaulē.
Pārņemot lappusi no Austrālijas rokasgrāmatas, arī ASV regulatori ir ierosinājuši piespiest tehnoloģiju uzņēmumus lauzt šifrēšanu, tādējādi atvieglojot uzraudzību.
Loki fonds (Loki Foundation), kas ir Session dibinātājs, savā emuāra ierakstā pievērsās šim jocīgajam jautājumam:
Acīmredzot mēs bijām pārsteigti, kad pirmo reizi ieraudzījām šo likumprojektu. Iespēja, ka šis tiesību akts var pilnībā apdraudēt projektu, nepalika nepamanīta. Mēs bijām sākuši apsvērt, kā mēs varētu izveidot drošības pasākumus, lai ļautu cilvēkiem notvert sliktu kodu, kas tiek injicēts mūsu datubāzē, vai maksāt kādam no Loki neatkarīgam cilvēkam, lai tas regulāri pārbaudītu mūsu izdotās binārijas un pārliecinātos, ka tās neizplata papildu informāciju vai kādā veidā neatbilst datubāzei. Ja mums tiktu izsniegts TCN [paziņojums par tehniskajām iespējām], mēs nevarētu nevienam par to pastāstīt. Ja mēs izveidotu kaut kādu kanārijputniņu sistēmu, mūs varētu ieslodzīt cietumā. Tātad, lai kādu drošības sistēmu mēs izveidotu, tai būtu jābūt ārpus Loki, un tai būtu regulāri jāveic mūsu audits, lai pārliecinātos, ka mēs neesam kompromitēti pirms TCN izsniegšanas.
Galu galā Loki fonds uzskata, ka šajā bīstamajā tiesiskajā vidē joprojām var nodrošināt drošu ziņojumapmaiņas pakalpojumu. Viņu bloga ieraksts par šo tēmu patiešām iedziļinās tehniskajās un juridiskajās detaļās, kuras varat izpētīt, ja jums ir laiks un vēlme. Turklāt viņi aplūko šo jautājumu arī bieži uzdoto jautājumu tēmā ar nosaukumu" Vai Austrālijas valdības nostāja pret šifrēšanu rada risku sesijai?", kā arī šajā atjauninājumā viņu sākotnējam bloga ierakstam.
Tātad, vai jūsu dati ar Session Messenger ir drošībā?
Man ir šaubas pēc tam, kad esmu izpētījis 2018. gada Telekomunikāciju un citu juridisko grozījumu (palīdzība un piekļuve) likumprojektu, ko parasti dēvē par AA likumprojektu jeb TOLA, bet jūs varat paši izdarīt secinājumus.
Citas bažas par privātumu Austrālijā.
Ir vērts arī atzīmēt, ka pret šifrēšanu vērstais tiesību akts nav vienīgā privātuma problēma, kas moka Austrāliju. Apsveriet šo:
Obligātā datu saglabāšana - 2017. gadā Austrālija ieviesa obligātu datu saglabāšanas sistēmu. Tas liek visiem interneta pakalpojumu sniedzējiem un telefona sakaru uzņēmumiem glabāt pieslēgumu datus valdības aģentūrām veselus divus gadus.
"Piecas acis" (Five Eyes) - mēs jau iepriekš esam norādījuši, ka Austrālija ir uzraudzības alianses "Piecas acis" (Five Eyes) dalībniece. Šī alianse sadarbojas, lai vāktu un kopīgi izmantotu masveida novērošanas datus.
Un, ja jūs domājat, ka dažādas aģentūras neizmanto šos likumus, lai vāktu datus par Austrālijas iedzīvotājiem, padomājiet vēlreiz. Lūk, nesens virsraksts no The Guardian:
Session Messenger FAQ.
Lūk, daži jautājumi, kas bieži radās šī atjauninājuma izpētes un rakstīšanas laikā.
Vai Session Messenger ir drošs?
Nesen pabeigtais Quarkslab drošības audits apstiprināja to, ko mēs jau sen uzskatījām: Session ir drošs. Taču Austrālijas valdības rīcība, lai apietu privātuma aizsardzību praktiski jebkurā lietotnē vai pakalpojumā (ne tikai Session), liek mums uzskatīt, ka jūsu privātumu nevar garantēt, ja izmantojat Session.
Kas ir Session protokols?
Session protokols ir jauns ziņapmaiņas protokols, ko izstrādājusi Session. Pārejot no Signal protokola uz Session protokolu, tiek saglabāta pēdējā minētā protokola drošība, vienlaikus nodrošinot privātuma/anonimitātes un decentralizācijas funkcijas. Rezultātā ir izveidots protokols, kas labi darbojas ar Session unikālo arhitektūru.
Session pārskata secinājums.
Session ir daudzsološs produkts, taču tam ir gan plusi, gan mīnusi. Kad tas būs pabeigts, tam vajadzētu būt tikpat drošam kā Signal, vēl privātākam nekā Signal un arī anonīmam. Tomēr joprojām pastāv bažas par Austrāliju, datu konfidencialitāti un Loki fonda spēju nodrošināt lietotāju datu drošību šajā vidē.
Last edited by a moderator:
