Deoarece Session este un fork al Signal, a moștenit securitatea puternică a Signal. De aici, echipa Session a construit un sistem anonimizat și descentralizat care oferă utilizatorilor săi confidențialitate și anonimat superioare. Sunteți gata să aflați mai multe despre acest challenger pentru tronul celei mai bune aplicații de mesagerie securizată și privată? Atunci să ne scufundăm cu această recenzie Session.
Bazele mesagerului Session.
În spatele scenei, Session este fundamental diferit de majoritatea celorlalte servicii de mesagerie securizată. Pentru a face restul acestei recenzii Session mai ușor de înțeles, trebuie să trecem acum în revistă câteva elemente de bază.
Conversațiile în Session sunt securizate utilizând criptarea E2E pe partea clientului. Numai expeditorul și destinatarul unui mesaj îl pot citi. Însă Session nu se limitează la asigurarea securității mesajelor. Session protejează, de asemenea, identitatea utilizatorilor săi. Session vă face comunicațiile private și anonime, precum și sigure.
Session poate face acest lucru deoarece conectează utilizatorii prin intermediul unei rețele de tip Tor, formată din mii de noduri de servicii. Nodurile de servicii sunt servere care transmit mesaje înainte și înapoi prin rețea și oferă servicii suplimentare. Sistemul de solicitare onion pe care Session îl utilizează pentru a proteja mesajele garantează că niciun nod de serviciu din rețea nu cunoaște originea (adresa dvs. IP) și destinația (adresa IP a destinatarului) unui mesaj. Acest lucru vă permite să vă ascundeți IP-ul în mod implicit.
Session ia o serie de măsuri suplimentare pentru a vă proteja identitatea:
Nu este necesar un număr de telefon pentru înregistrare
Nu este necesar niciun e-mail pentru înregistrare
Nu sunt colectate date de geolocalizare, date despre dispozitiv sau metadate
Nodurile de servicii sunt grupate în roiuri. Roiurile oferă redundanță rețelei, precum și stocare temporară atunci când mesajele nu pot fi livrate la destinație. Fiecare client Session se conectează la un roi pentru a trimite și a primi mesaje în timp real, precum și pentru a prelua mesaje relevante care sunt stocate în roi în așteptarea livrării.
Veți observa că nu am vorbit aici despre niciun fel de server central. Rețeaua Session este descentralizată, fără un singur punct de defecțiune și fără un server principal pe care răufăcătorii să îl pirateze. Session mută mesajele folosind un sistem de rutare onion.
Într-un sistem de rutare tip ceapă, mesajele sunt înconjurate de mai multe straturi de criptare și trec prin mai multe noduri ale sistemului. Fiecare nod decriptează un strat de criptare înainte de a transmite mesajul mai departe. Din cauza modului în care mesajele sunt criptate, niciun nod nu poate cunoaște atât originea mesajului, cât și destinația acestuia. În plus, adresa dvs. IP nu este niciodată vizibilă la destinație, ceea ce înseamnă că persoana cu care conversați nu are cum să vă identifice atunci când utilizați Session. Serviciul Session ar trebui să se dovedească a fi foarte rezistent și să continue să funcționeze chiar și atunci când noduri de servicii individuale se alătură sau părăsesc rețeaua.
Sistemul de rutare onion al Session funcționează pe rețeaua de noduri de servicii Oxen. Această rețea (cunoscută anterior sub numele de Lokinet) servește și ca parte a infrastructurii pentru criptomoneda $OXEN. Puteți afla mai multe despre OXEN pe site-ul web Oxen.io.
Deși Session gestionează acum foarte bine funcțiile de mesagerie de bază, nu are unele dintre caracteristicile pe care le au concurenții precum Signal sau Telegram. Nu face încă apeluri vocale sau video, printre altele. Dacă aveți nevoie de aceste capabilități specifice, este posibil să doriți să vă uitați la o altă aplicație de mesagerie.
Iată avantajele și dezavantajele pe care le-am identificat în această recenzie Session:
+ Pro
Criptarea end-to-end (E2E) securizează mesajele text și vocale, precum și atașamentele
Criptare: Protocol de sesiune
Nu necesită număr de telefon sau adresă de e-mail pentru înscriere
Sursă deschisă
Sistemul de rutare Onion asigură descentralizarea și anonimatul
Nu înregistrează adresele IP sau metadatele
Grupuri închise criptate (acum până la 100 de persoane) și grupuri deschise (fără limită de mărime)
A finalizat cu succes auditul codului de securitate al aplicațiilor Desktop, Android și iOS
- Contra
Nu acceptă 2FA (autentificare cu doi factori)
Sincronizare multi-device reproiectată (versiune beta timpurie)
Perfect Forward Secrecy eliminat
Important: Faptul că Session nu colectează metadate este un mare plus. Considerăm că problema metadatelor este călcâiul lui Ahile al multor servicii de mesagerie securizată și servicii de e-mail securizate. Chiar și cele mai populare servicii de e-mail securizat, cum ar fi ProtonMail, nu au o soluție bună la problema metadatelor.
Acum vom examina principalele caracteristici ale mesageriei Session.
Rezumatul caracteristicilor Session.
Iată caracteristicile pe care veți dori să le luați în considerare atunci când evaluați Session:
Utilizează protocolul Session inspirat de Signal, deasupra unui sistem distribuit de rutare onion pentru comunicare anonimă, descentralizată.
Cod 100% open-source (codul este disponibil pe GitHub).
Clienți pentru Android, iOS, macOS, Windows, Linux.
Sistemul este mult mai stabil după câteva luni de reproiectare și refactorizare.
Informații despre compania Session.
Session este un proiect al Fundației Loki. Fundația Loki (înregistrată ca LAG Foundation, LTD) este o fundație caritabilă înregistrată cu sediul în Victoria, Australia. Fundația afirmă că scopul lor este de a "...construi instrumente de comunicare și aplicații open-source, fără metadate, care apără confidențialitatea în lumea digitală".
Notă: Produsele Loki își schimbă numele în Oxen. Probabil că va exista o perioadă extinsă de timp în care Loki și Oxen vor fi utilizate în mod interschimbabil.
Unde sunt stocate datele dvs. de sesiune?
Mesajele care vă sunt trimise sunt de fapt trimise către roi. Mesajele sunt stocate temporar pe mai multe noduri de servicii din cadrul roiului pentru a asigura redundanța. Odată ce dispozitivul dvs. preia mesajele din roi, acestea sunt șterse automat din nodurile de servicii care le stocau temporar.
Notă: Aceasta nu este aceeași cu o arhitectură peer-to-peer. Conform FAQ-ului Session de aici,
Clienții Session nu acționează ca noduri în rețea și nu retransmit sau stochează mesaje pentru rețea. Arhitectura rețelei Session este mai apropiată de un model client-server, în care aplicația Session acționează ca un client, iar roiurile de noduri de servicii acționează ca un server. Arhitectura client-server a Session permite o mesagerie asincronă mai ușoară (mesagerie atunci când una dintre părți este offline) și ofuscarea adreselor IP pe bază de rutare onion, în raport cu arhitecturile de rețea peer-to-peer.
Teste și audituri ale Session efectuate de terți.
Session utilizează în prezent rețeaua sa de rutare onion. Anul trecut, Quarkslab a comandat un audit de securitate al aplicațiilor Session Desktop, Android și iOS. Acest audit este acum finalizat și oferă vești bune pentru Session și utilizatorii săi. Raportul de audit se încheie în parte cu următoarele:
Oxen Session îmbunătățește într-adevăr confidențialitatea și reziliența semnalului prin utilizarea unei rețele suprapuse la soluția existentă de mesagerie instantanee cu criptare end-to-end. Mecanismele de rutare tip ceapă utilizează Snodes Oxen pentru stocarea și schimbul de mesaje. Cu toate acestea, există alte câteva servicii web standard centralizate care sunt încă utilizate prin intermediul rețelei suprapuse (pentru serviciul push și pentru livrarea fișierelor atașate). Toate preocupările majore au fost rezolvate rapid.
Quarkslab Oxen Session Audit, raport tehnic
Session este acum potrivit pentru utilizare în cazurile în care securitatea dovedită și verificată independent este o condiție prealabilă.
Cât de sigură și privată este sesiunea?
Odată ce sesiunea este finalizată și complet dezvoltată, aceasta ar trebui să fie super securizată, extrem de privată, anonimă și, în general, excelentă. Cu toate acestea, nu este clar cât de aproape de finalizare este cu adevărat produsul.
Sistemul de rutare onion este acum funcțional, ceea ce reprezintă un mare impuls pentru securitate și confidențialitate. Iar auditul de securitate Quarkslab arată că aplicațiile Desktop, Android și iOS sunt toate sigure.
Îngrijorări cu privire la Australia și securitatea datelor.
În ceea ce privește confidențialitatea și securitatea datelor dumneavoastră, trebuie să discutăm despre locul în care se află sediul Session. După cum am menționat mai sus, Session are sediul în Australia. Din păcate, Australia nu este o jurisdicție perfectă în materie de confidențialitate din câteva motive.
După cum am discutat recent în ghidul nostru despre cele mai bune VPN-uri pentru Australia, țara a adoptat o lege care să submineze criptarea și securitatea datelor în 2018. Iată o scurtă prezentare generală a acestei legi:
Parlamentul australian a adoptat joi o lege controversată privind criptarea, pentru a solicita companiilor de tehnologie să ofere agențiilor de aplicare a legii și de securitate acces la comunicațiile criptate. Apărătorii vieții private, companiile de tehnologie și alte întreprinderi s-au opus vehement proiectului de lege, dar guvernul premierului Scott Morrison a declarat că acesta este necesar pentru a contracara criminalii și teroriștii care utilizează programe de mesagerie criptată pentru a comunica.
În cercurile de protecție a vieții private, "Proiectul de lege privind asistența și accesul" este uneori numit "legea care distruge criptarea" sau "legea anti-criptare" din cauza a ceea ce permite. Această lege ar afecta în mod fundamental întreprinderile care oferă servicii de comunicare criptate, inclusiv Session, serviciile VPN și alte întreprinderi axate pe confidențialitate. Acest subiect continuă să stârnească critici din partea apărătorilor vieții private din întreaga lume.
Preluând o pagină din manualul australian, autoritățile de reglementare din SUA au propus, de asemenea, să oblige companiile de tehnologie să spargă criptarea, facilitând astfel supravegherea.
Fundația Loki, care se află în spatele Session, a abordat această problemă spinoasă într-o postare pe blog:
Evident, am fost îngroziți când am văzut prima dată acest proiect de lege. Potențialul proiectului de a fi complet subminat de această legislație nu a trecut neobservat. Am început să luăm în considerare modul în care am putea stabili failsafes pentru a permite oamenilor să prindă codul rău fiind injectat în baza noastră de cod, sau pentru a plăti pe cineva extern la Loki pentru a face inspecții regulate ale binarelor noastre pe care le eliberăm și să se asigure că nu sunt scurgeri de informații suplimentare sau nepotrivite baza de cod într-un fel. Dacă am primi un TCN [Technical Capability Notice], nu am putea spune nimănui despre asta. Dacă am înființa un fel de sistem canar, am putea fi închiși. Așadar, orice sistem de siguranță pe care l-am implementat ar trebui să fie extern față de Loki și ar trebui să ne auditeze periodic pentru a se asigura că nu am fost compromiși înainte de emiterea unui TCN.
În cele din urmă, Fundația Loki crede că poate opera în continuare un serviciu de mesagerie securizat în acest mediu juridic periculos. Postul lor de blog pe această temă intră cu adevărat în detalii tehnice și juridice, pe care le puteți investiga dacă aveți timp și înclinație. În plus, ei abordează problema în subiectul FAQ intitulat: "Poziția anti-criptare a guvernului australian reprezintă un risc pentru sesiune?", precum și în această actualizare a postării lor de blog originale.
Așadar, datele dvs. sunt sigure și securizate cu Session Messenger?
Am îndoielile mele după ce am cercetat proiectul de lege privind telecomunicațiile și alte modificări juridice (asistență și acces) 2018, cunoscut în mod obișnuit ca proiectul de lege AA sau TOLA, dar puteți ajunge la propriile concluzii.
Alte preocupări legate de confidențialitate cu Australia.
De asemenea, este demn de remarcat faptul că legislația anti-criptare nu este singura problemă de confidențialitate care afectează Australia. Luați în considerare următoarele:
Păstrarea obligatorie a datelor - În 2017, Australia a implementat un cadru de păstrare obligatorie a datelor. Acesta obligă toți furnizorii de internet și companiile de telefonie să stocheze datele de conectare pentru agențiile guvernamentale timp de doi ani.
Five Eyes - De asemenea, am menționat anterior că Australia este membră a alianței de supraveghere Five Eyes. Această alianță colaborează pentru a colecta și partaja date de supraveghere în masă.
Și dacă credeți că diverse agenții nu exploatează aceste legi pentru a colecta date despre australieni, mai gândiți-vă. Iată un titlu recent din The Guardian:
Session Messenger FAQ.
Iată câteva întrebări care au apărut frecvent în timpul cercetării și redactării acestei actualizări.
Este Session messenger sigur?
Auditul de securitate finalizat recent de Quarkslab a confirmat ceea ce credeam de mult: Session este sigur. Dar acțiunile guvernului australian de a ocoli protecția confidențialității pe aproape orice aplicație sau serviciu (nu doar Session) ne face să credem că confidențialitatea dvs. nu poate fi garantată dacă utilizați Session.
Ce este protocolul Session?
Protocolul Session este un nou protocol de mesagerie dezvoltat de Session. Trecerea de la protocolul Signal la protocolul Session păstrează securitatea acestuia din urmă, oferind în același timp caracteristici de confidențialitate/anonimat și descentralizare. Rezultatul este un protocol care funcționează bine cu arhitectura unică a Session.
Concluzia revizuirii Session.
Session este un produs promițător, dar vine cu argumente pro și contra. Odată finalizat, ar trebui să fie la fel de sigur ca Signal, chiar mai privat decât Signal și, de asemenea, anonim. Dar există încă preocupări persistente cu privire la Australia, confidențialitatea datelor și capacitatea Fundației Loki de a păstra datele utilizatorilor în siguranță în acest mediu.
Last edited by a moderator:
