Обзор мессенджера сессии (более закрытый форк Signal)

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,651
Solutions
2
Reaction score
1,769
Points
113
Deals
666
2021 08 19 04 56


Поскольку Session - это форк Signal, он унаследовал сильную защиту Signal. На ее основе команда Session создала децентрализованную анонимную систему, которая обеспечивает превосходную конфиденциальность и анонимность для своих пользователей. Вы готовы узнать больше об этом претенденте на трон лучшего безопасного и приватного приложения для обмена сообщениями? Тогда давайте погрузимся в этот обзор Session.


Основы мессенджера Session.

За кулисами Session принципиально отличается от большинства других сервисов безопасного обмена сообщениями. Чтобы облегчить понимание остальной части этого обзора Session, мы должны рассмотреть некоторые основы.

Разговоры в Session защищены с помощью шифрования E2E на стороне клиента. Только отправитель и получатель сообщения могут его прочитать. Но Session не ограничивается обеспечением безопасности сообщений. Session также защищает личность своих пользователей. Он делает ваши сообщения приватными и анонимными, а также безопасными.

Это возможно благодаря тому, что Session соединяет пользователей через Tor-подобную сеть, состоящую из тысяч узлов обслуживания. Сервисные узлы - это серверы, которые передают сообщения по сети туда и обратно, а также предоставляют дополнительные услуги. Система луковых запросов, которую использует Session для защиты сообщений, гарантирует, что ни один сервисный узел в сети никогда не узнает ни происхождения сообщения (ваш IP-адрес), ни назначения (IP-адрес получателя). Это позволяет скрыть ваш IP по умолчанию.

Session предпринимает ряд дополнительных шагов для защиты вашей личности:

Для регистрации не требуется номер телефона
Для регистрации не требуется электронная почта
Не собираются данные о геолокации, данные об устройстве или метаданные.

Узлы обслуживания объединяются в рои. Рои обеспечивают избыточность сети, а также временное хранение, когда сообщения не могут быть доставлены по назначению. Каждый клиент сессии подключается к рою для отправки и получения сообщений в режиме реального времени, а также для получения соответствующих сообщений, которые хранятся в рое в ожидании доставки.

Заметьте, что мы не говорили ни о каком центральном сервере. Сеть Session децентрализована, в ней нет единой точки отказа и нет главного сервера, который могли бы взломать злоумышленники. Session перемещает сообщения с помощью системы луковой маршрутизации.

В системе луковой маршрутизации сообщения окружены несколькими слоями шифрования и проходят через несколько узлов системы. Каждый узел расшифровывает слой шифрования, прежде чем передать сообщение дальше. Благодаря тому, что сообщения шифруются, ни один узел не может знать ни происхождения сообщения, ни его назначения. Кроме того, ваш IP-адрес никогда не будет виден в пункте назначения, а значит, у собеседника не будет возможности идентифицировать вас, когда вы используете Session. Служба Session должна оказаться очень устойчивой и продолжать работать даже тогда, когда отдельные узлы обслуживания присоединяются или покидают сеть.

Система луковой маршрутизации Session работает в сети узлов обслуживания Oxen. Эта сеть (ранее известная как Lokinet) также служит частью инфраструктуры для криптовалюты $OXEN. Подробнее об OXEN можно узнать на сайте Oxen.io.

Хотя Session сейчас отлично справляется с основными функциями обмена сообщениями, у него нет некоторых функций, которые есть у конкурентов, таких как Signal или Telegram. В частности, в нем пока нет голосовых и видеозвонков. Если вам нужны именно эти возможности, возможно, вам стоит обратить внимание на другое приложение для обмена сообщениями.


Вот плюсы и минусы, которые мы выделили в этом обзоре Session:


+ Плюсы

Сквозное (E2E) шифрование защищает текстовые и голосовые сообщения, а также вложения.
Шифрование: Протокол сеанса
Для регистрации не требуется номер телефона или адрес электронной почты
Открытый исходный код
Система луковой маршрутизации обеспечивает децентрализацию и анонимность
Не регистрирует IP-адреса и метаданные
Зашифрованные закрытые группы (теперь до 100 человек) и открытые группы (без ограничений по размеру)
Успешно завершен аудит кода безопасности приложений для настольных компьютеров, Android и iOS

- Минусы

Не поддерживает 2FA (двухфакторную аутентификацию)
Переработанная синхронизация с несколькими устройствами (ранняя бета-версия)
Убрана функция Perfect Forward Secrecy

Важно: Тот факт, что Session не собирает метаданные, является огромным плюсом. Мы считаем, что проблема метаданных - это "ахиллесова пята" многих сервисов безопасного обмена сообщениями и безопасной электронной почты. Даже самые популярные сервисы защищенной электронной почты, такие как ProtonMail, не имеют хорошего решения проблемы метаданных.

Теперь мы рассмотрим ключевые особенности мессенджера Session.

Краткое описание возможностей Session.

Здесь перечислены особенности, которые вы захотите учесть при оценке Session:

Использует протокол Session, вдохновленный Signal, поверх распределенной системы луковой маршрутизации для анонимного, децентрализованного общения.
100% открытый исходный код (код доступен на GitHub).
Клиенты для Android, iOS, macOS, Windows, Linux.
Система стала намного стабильнее после нескольких месяцев редизайна и рефакторинга.

Информация о компании Session.

Session - это проект фонда Loki Foundation. Loki Foundation (зарегистрированный как LAG Foundation, LTD) - это зарегистрированный благотворительный фонд, расположенный в штате Виктория, Австралия. Фонд заявляет, что его целью является "...создание инструментов и приложений для коммуникации без метаданных с открытым исходным кодом, которые защищают конфиденциальность в цифровом мире".

Примечание: продукты Loki меняют свое название на Oxen. Вероятно, в течение некоторого времени Loki и Oxen будут использоваться как взаимозаменяемые понятия.

Где хранятся данные вашей сессии?

Сообщения, которые отправляются вам, на самом деле отправляются вашему рою. Сообщения временно хранятся на нескольких узлах обслуживания в рое для обеспечения избыточности. Как только ваше устройство получает сообщения из роя, они автоматически удаляются с узлов обслуживания, на которых они временно хранились.

Примечание: Это не то же самое, что архитектура peer-to-peer. В FAQ по сессиям здесь,

Клиенты Session не выступают в роли узлов сети, не передают и не хранят сообщения для сети. Сетевая архитектура Session ближе к модели клиент-сервер, где приложение Session выступает в качестве клиента, а рой сервисных узлов - в качестве сервера. Клиент-серверная архитектура Session позволяет упростить асинхронный обмен сообщениями (обмен сообщениями, когда одна из сторон находится вне сети) и маскировку IP-адресов с помощью луковой маршрутизации по сравнению с одноранговыми сетевыми архитектурами.

Тестирование и аудит Session сторонними организациями.

В настоящее время компания Session использует свою сеть луковой маршрутизации. В прошлом году компания Quarkslab заказала аудит безопасности приложений Session Desktop, Android и iOS. Сейчас аудит завершен, и в нем содержатся хорошие новости для Session и ее пользователей. В отчете об аудите говорится, в частности, следующее:

Oxen Session действительно улучшает конфиденциальность и устойчивость сигналов благодаря использованию оверлейной сети в существующем решении для обмена мгновенными сообщениями со сквозным шифрованием. Механизмы луковой маршрутизации используют Snodes Oxen для хранения и обмена сообщениями. Однако есть и некоторые другие централизованные стандартные веб-сервисы, которые по-прежнему используются через оверлейную сеть (для службы push и доставки вложенных файлов). Все основные проблемы были быстро устранены.
Аудит сессии Quarkslab Oxen, технический отчет

Теперь сессия подходит для использования в случаях, когда необходимым условием является проверенная и независимо подтвержденная безопасность.

Насколько безопасен и приватен сеанс?

Когда сессия завершена и полностью разработана, она должна быть супербезопасной, чрезвычайно приватной, анонимной и в целом превосходной. Однако пока неясно, насколько продукт близок к завершению.

Система луковой маршрутизации уже функционирует, что является большим плюсом для безопасности и конфиденциальности. А аудит безопасности Quarkslab показал, что приложения для настольных компьютеров, Android и iOS безопасны.

Опасения по поводу Австралии и безопасности данных.

Говоря о конфиденциальности и безопасности ваших данных, мы должны обсудить, где находится компания Session. Как отмечалось выше, компания Session базируется в Австралии. К сожалению, Австралия не является идеальной юрисдикцией для обеспечения конфиденциальности по нескольким причинам.

Как мы недавно рассказывали в нашем руководстве по лучшим VPN для Австралии, в 2018 году в стране был принят закон, подрывающий шифрование и безопасность данных. Вот краткий обзор этого закона:

В четверг парламент Австралии принял спорный законопроект о шифровании, обязывающий технологические компании предоставлять правоохранительным органам и службам безопасности доступ к зашифрованным сообщениям. Защитники неприкосновенности частной жизни, технологические компании и другие предприятия решительно выступили против законопроекта, но правительство премьер-министра Скотта Моррисона заявило, что он необходим для противодействия преступникам и террористам, которые используют для общения зашифрованные программы обмена сообщениями.

В кругах, занимающихся вопросами конфиденциальности, законопроект "О помощи и доступе" иногда называют "законом, разрушающим шифрование" или "антишифровальным законом" из-за того, что он разрешает. Этот закон в корне затронет компании, предоставляющие услуги зашифрованной связи, в том числе Session, VPN-сервисы и другие компании, ориентированные на конфиденциальность. Эта тема продолжает вызывать критику со стороны защитников конфиденциальности по всему миру.

Взяв пример с Австралии, американские регуляторы также предложили заставить технологические компании взламывать шифрование, тем самым облегчая слежку.

Фонд Loki, стоящий за проектом Session, обратился к этой острой проблеме в своем блоге:

Очевидно, что мы были в ужасе, когда впервые увидели этот законопроект. Возможность того, что проект будет полностью подорван этим законом, не осталась незамеченной. Мы уже начали думать о том, как нам организовать защиту от сбоев, чтобы люди могли отлавливать плохой код, внедряемый в нашу кодовую базу, или заплатить кому-то из сторонних разработчиков Loki за регулярную проверку выпускаемых нами двоичных файлов на предмет утечки лишней информации или какого-либо несоответствия кодовой базе. Если бы нам выдали TCN [Technical Capability Notice], мы бы не смогли никому об этом рассказать. Если бы мы установили какую-то систему "канарейки", нас могли бы посадить в тюрьму. Поэтому, какую бы систему защиты мы ни создали, она должна быть внешней по отношению к Loki и регулярно проверять нас, чтобы убедиться, что мы не были скомпрометированы до выдачи TCN.

В конечном счете, Loki Foundation считает, что в этой опасной правовой ситуации они все же смогут обеспечить работу безопасного мессенджера. Их статья в блоге на эту тему действительно углубляется в технические и юридические детали, которые вы можете изучить, если у вас есть время и желание. Кроме того, они затрагивают этот вопрос в теме FAQ, озаглавленной "Представляет ли позиция австралийского правительства против шифрования риск для Session?", а также в этом обновлении к их первоначальной записи в блоге.

Итак, надежно ли защищены ваши данные с помощью мессенджера Session?

У меня есть сомнения после изучения законопроекта Telecommunications and Other Legal Amendment (Assistance and Access) Bill 2018, широко известного как законопроект AA или TOLA, но вы можете сделать свои собственные выводы.

Другие проблемы конфиденциальности в Австралии.

Стоит также отметить, что антишифровальное законодательство - не единственная проблема, связанная с неприкосновенностью частной жизни в Австралии. Рассмотрим следующее:

Обязательное хранение данных - в 2017 году в Австралии была введена система обязательного хранения данных. Это заставляет всех интернет-провайдеров и телефонные компании хранить данные о соединениях для государственных учреждений в течение целых двух лет.
Five Eyes - Мы уже отмечали, что Австралия является членом альянса Five Eyes, занимающегося наблюдением. Этот альянс работает вместе для сбора и обмена данными о массовом наблюдении.

И если вы думаете, что различные агентства не используют эти законы для сбора данных об австралийцах, подумайте еще раз. Вот недавний заголовок из газеты The Guardian:
2021 08 19 04 51




FAQ по мессенджеру Session Messenger.
Вот несколько вопросов, которые часто возникали во время исследования и написания этого обновления.

Безопасен ли мессенджер Session?
Недавно завершенный аудит безопасности, проведенный Quarkslab, подтвердил то, что мы давно считали: Session безопасен. Но действия австралийского правительства, направленные на то, чтобы обойти защиту конфиденциальности практически в любом приложении или сервисе (не только в Session), заставляют нас думать, что ваша конфиденциальность не может быть гарантирована, если вы используете Session.

Что такое протокол Session?
Протокол Session - это новый протокол обмена сообщениями, разработанный компанией Session. При переходе с протокола Signal на протокол Session сохраняется безопасность последнего, но при этом обеспечиваются функции конфиденциальности/анонимности и децентрализации. В результате получился протокол, который хорошо сочетается с уникальной архитектурой Session.


Заключение по обзору Session.

Session - многообещающий продукт, но у него есть свои плюсы и минусы. После завершения разработки он должен стать таким же безопасным, как Signal, даже более приватным, чем Signal, и анонимным. Но все еще остаются сомнения по поводу Австралии, конфиденциальности данных и способности Loki Foundation обеспечить безопасность пользовательских данных в этой среде.
 
Last edited by a moderator:

8888

Don't buy from me
Member
Joined
Apr 20, 2022
Messages
4
Reaction score
4
Points
3
Я пробовал это делать, но мне очень понравилось, что трудно заставить людей использовать что-то новое.
 

nonono

Don't buy from me
New Member
Joined
Aug 28, 2022
Messages
1
Reaction score
0
Points
1
При восстановлении учетной записи сеанса с помощью резервных кодов восстанавливаются некоторые предыдущие сообщения, которые были удалены...
Проблема находится на странице github, но на данный момент никаких изменений нет.
 

Oppenheimer

Don't buy from me
New Member
Joined
Aug 31, 2022
Messages
11
Reaction score
6
Points
3
Я бы никогда не использовал форк популярного приложения. Форки, как правило, проходят меньше боевых испытаний. Меньше людей тестируют их, больше вероятность обнаружить новые уязвимости в менее используемых приложениях. Я предпочитаю использовать сигналы.
 
  • Like
Reactions: vis

KokosDreams

Don't buy from me
Resident
Joined
Aug 16, 2022
Messages
912
Solutions
2
Reaction score
599
Points
93

Интересная мысль!
 

Alpino [ B.H.M.]

See my products
Seller
Language
🇺🇸
Joined
Oct 17, 2023
Messages
87
Reaction score
96
Points
18
Deals
20
Проверьте приложение SimpleX, если у вас есть время прочитать о нем, оно очень безопасно. :)
 

miner21

Don't buy from me
Resident
Language
🇺🇸
Joined
Sep 15, 2023
Messages
542
Reaction score
254
Points
63
Jabber тоже очень хорош
 

Osmosis Vanderwaal

Moderator in US section
Resident
Joined
Jan 15, 2023
Messages
1,560
Solutions
4
Reaction score
1,077
Points
113
Deals
1
Некоторое время мне не удавалось зайти на сайт. Даже после очистки кэша DNS, кэша браузера и сброса настроек на заводские. Я задаюсь вопросом, не отмечает ли он приложения, которые у меня есть (там наверху говорилось о проверке). Интересно, есть ли где-то список. 🤔
 

miner21

Don't buy from me
Resident
Language
🇺🇸
Joined
Sep 15, 2023
Messages
542
Reaction score
254
Points
63
Каким клиентом вы пользуетесь?
 

madmoney69

Don't buy from me
Resident
Language
🇬🇧
Joined
Jan 29, 2022
Messages
165
Reaction score
159
Points
43
Интересно, если в приложениях типа signal или session добавлен пароль (signal и session позволяют блокировать приложение тем же паролем, что и пароль на экране, а не так, как telegram, позволяющий иметь уникальный пароль), и полиция исследует ваш телефон и разблокирует его, попадут ли они в session или signal тоже, поскольку они используют тот же пароль телефона?
 

miner21

Don't buy from me
Resident
Language
🇺🇸
Joined
Sep 15, 2023
Messages
542
Reaction score
254
Points
63
Все те приложения, которые я могу открыть с помощью отпечатка пальца или отдельных пин-кодов
 
Top