Ker je Session vilica programa Signal, je podedoval njegovo močno varnost. Od tod je ekipa Session zgradila anonimiziran, decentraliziran sistem, ki uporabnikom zagotavlja vrhunsko zasebnost in anonimnost. Ste pripravljeni izvedeti več o tem izzivalcu za prestol najboljše varne in zasebne aplikacije za sporočanje? Potem se poglobimo v ta pregled programa Session.
Osnove aplikacije Session messenger.
V ozadju se storitev Session bistveno razlikuje od večine drugih storitev za varno sporočanje. Da bi lažje razumeli preostanek tega pregleda storitve Session, moramo zdaj pregledati nekaj osnov.
Pogovori v programu Session so zaščiteni s šifriranjem E2E na strani odjemalca. Sporočilo lahko prebereta samo pošiljatelj in prejemnik sporočila. Vendar program Session presega zagotavljanje varnosti sporočil. Session varuje tudi identitete svojih uporabnikov. Tako so vaša sporočila zasebna in anonimna ter varna.
Session to lahko stori, ker uporabnike povezuje prek omrežja na tisoče storitvenih vozlišč, podobnega omrežju Tor. Storitvena vozlišča so strežniki, ki v omrežju posredujejo sporočila sem in tja ter zagotavljajo dodatne storitve. Sistem čebulnih zahtevkov, ki ga Session uporablja za zaščito sporočil, zagotavlja, da nobeno storitveno vozlišče v omrežju ne pozna izvora (vaš naslov IP) in cilja (naslov IP prejemnika) sporočila. Tako lahko privzeto skrijete svoj IP.
Program Session izvaja številne dodatne ukrepe za zaščito vaše identitete:
Za registracijo ni potrebna telefonska številka.
Za registracijo ni potrebna elektronska pošta
ne zbira podatkov o geografski lokaciji, podatkov o napravi ali metapodatkov
Storitvena vozlišča so združena v roje. Roji zagotavljajo redundanco omrežja in začasno shranjevanje, kadar sporočil ni mogoče dostaviti na cilj. Vsak odjemalec seje se poveže z rojem, da lahko pošilja in prejema sporočila v realnem času ter pridobi ustrezna sporočila, ki so shranjena v roju in čakajo na dostavo.
Opazili boste, da tu nismo govorili o nobenem osrednjem strežniku. Omrežje sej je decentralizirano, brez ene same točke odpovedi in brez glavnega strežnika, v katerega bi lahko vdrli zlobneži. Session prenaša sporočila z uporabo usmerjevalnega sistema onion.
V sistemu usmerjanja čebula so sporočila obdana z več plastmi šifriranja in gredo skozi več vozlišč v sistemu. Vsako vozlišče dešifrira plast šifriranja, preden sporočilo posreduje naprej. Zaradi načina šifriranja sporočil nobeno vozlišče ne more poznati izvora sporočila in njegovega cilja. Poleg tega vaš naslov IP ni nikoli viden na ciljnem mestu, kar pomeni, da vas tisti, s katerim se pogovarjate, ne more identificirati, ko uporabljate storitev Session. Storitev Session naj bi se izkazala za zelo odporno in naj bi še naprej delovala, tudi če se posamezna storitvena vozlišča pridružijo omrežju ali ga zapustijo.
Čebulni usmerjevalni sistem storitve Session deluje v omrežju storitvenih vozlišč Oxen. To omrežje (prej znano kot Lokinet) služi tudi kot del infrastrukture za kriptovaluto $OXEN. Več o omrežju OXEN lahko izveste na spletnem mestu Oxen.io.
Čeprav aplikacija Session zdaj zelo dobro opravlja osnovne funkcije sporočanja, nima nekaterih funkcij, ki jih imajo konkurenti, kot sta Signal ali Telegram. Med drugim še ne omogoča glasovnih ali video klicev. Če potrebujete te posebne zmožnosti, si morda raje oglejte drugo aplikacijo za sporočanje.
Tukaj so prednosti in slabosti, ki smo jih opredelili v tem pregledu programa Session:
+ Prednosti
Šifriranje od konca do konca (E2E) varuje besedilna in glasovna sporočila ter priponke
Šifriranje: Protokol seje
Za prijavo ne zahteva telefonske številke ali e-poštnega naslova
Odprta koda
Onion usmerjevalni sistem zagotavlja decentralizacijo in anonimnost
Ne beleži naslovov IP ali metapodatkov
Šifrirane zaprte skupine (zdaj do 100 oseb) in odprte skupine (velikost ni omejena)
Uspešno opravljena revizija varnostne kode aplikacij za namizje, Android in iOS
- Slabosti
Ne podpira 2FA (dvostopenjsko preverjanje pristnosti)
Prenovljena sinhronizacija z več napravami (zgodnja beta različica)
Odstranjena je funkcija Perfect Forward Secrecy
Pomembno: dejstvo, da aplikacija Session ne zbira metapodatkov, je velik plus. Menimo, da je vprašanje metapodatkov Ahilova peta številnih storitev varnega sporočanja in varne e-pošte. Tudi najbolj priljubljene storitve varne elektronske pošte, kot je ProtonMail, nimajo dobre rešitve za problem metapodatkov.
Zdaj bomo preučili ključne funkcije storitve Session messenger.
Povzetek funkcij programa Session.
V nadaljevanju so navedene funkcije, ki jih boste želeli upoštevati pri ocenjevanju programa Session:
Uporablja protokol Session, ki ga je navdihnil Signal, na vrhu porazdeljenega usmerjevalnega sistema onion za anonimno, decentralizirano komunikacijo.
100-odstotno odprtokodna koda (koda je na voljo na spletnem mestu GitHub).
Odjemalci za sisteme Android, iOS, macOS, Windows in Linux.
Sistem je po več mesecih preoblikovanja in refaktorizacije veliko bolj stabilen.
Informacije o podjetju Session.
Session je projekt fundacije Loki. Fundacija Loki (registrirana kot LAG Foundation, LTD) je registrirana dobrodelna fundacija s sedežem v Viktoriji v Avstraliji. Fundacija navaja, da je njihov namen: "... graditi odprtokodna komunikacijska orodja in aplikacije brez metapodatkov, ki ščitijo zasebnost v digitalnem svetu."
Opomba: izdelki Loki spreminjajo ime v Oxen. Loki in Oxen se bosta verjetno dalj časa uporabljala izmenično.
Kje so shranjeni vaši podatki o sejah?
Sporočila, ki so vam poslana, so dejansko poslana vašemu roju. Sporočila so začasno shranjena na več storitvenih vozliščih znotraj roja, da se zagotovi redundanca. Ko vaša naprava prevzame sporočila iz roja, se samodejno izbrišejo iz storitvenih vozlišč, ki so jih začasno hranila.
Opomba: To ni isto kot arhitektura peer-to-peer. V pogosto zastavljenih vprašanjih o sejah tukaj,
odjemalci seje ne delujejo kot vozlišča v omrežju in ne posredujejo ali shranjujejo sporočil za omrežje. Omrežna arhitektura programa Session je bolj podobna modelu odjemalec-strežnik, kjer aplikacija Session deluje kot odjemalec, roj storitvenih vozlišč pa kot strežnik. Arhitektura odjemalec-strežnik omogoča lažje asinhrono pošiljanje sporočil (pošiljanje sporočil, ko je ena stran brez povezave) in prikrivanje naslovov IP na podlagi usmerjanja onion v primerjavi z omrežnimi arhitekturami peer-to-peer.
Testiranje in revizije programa Session s strani tretjih oseb.
Program Session zdaj uporablja svoje omrežje za usmerjanje onion. Lani so pri podjetju Quarkslab naročili varnostno revizijo aplikacij Session Desktop ter Android in iOS. Revizija je zdaj končana in prinaša dobre novice za podjetje Session in njegove uporabnike. Poročilo o reviziji se delno zaključuje z naslednjim:
Oxen Session resnično izboljša zasebnost in odpornost signala z uporabo prekrivnega omrežja za obstoječo rešitev za takojšnje sporočanje s šifriranjem od konca do konca. Mehanizmi za usmerjanje v obliki čebule uporabljajo Oxenove snode za shranjevanje in izmenjavo sporočil. Vendar pa obstajajo še nekatere druge centralizirane standardne spletne storitve, ki se še vedno uporabljajo prek prekrivnega omrežja (za storitev potiskanja in za dostavo datotek s priponkami). Vsi glavni pomisleki so bili hitro odpravljeni.
Quarkslab Oxen Session Audit, tehnično poročilo
Session je zdaj primeren za uporabo v primerih, ko je dokazana in neodvisno preverjena varnost predpogoj.
Kako varna in zasebna je seja?
Ko je seja dokončana in v celoti razvita, mora biti izjemno varna, izjemno zasebna, anonimna in na splošno odlična. Vendar pa ni jasno, kako daleč je izdelek v resnici končan.
Sistem usmerjanja čebula zdaj deluje, kar je velik napredek za varnost in zasebnost. Varnostna revizija podjetja Quarkslab pa je pokazala, da so aplikacije za namizje, Android in iOS varne.
Zaskrbljenost glede Avstralije in varnosti podatkov.
Pri temah o zasebnosti in varnosti vaših podatkov je treba razpravljati o tem, kje je sedež podjetja Session. Kot je navedeno zgoraj, ima družba Session sedež v Avstraliji. Na žalost Avstralija ni popolna jurisdikcija za varstvo zasebnosti iz več razlogov.
Kot smo pred kratkim obravnavali v našem vodniku o najboljših omrežjih VPN za Avstralijo, je država leta 2018 sprejela zakon, ki spodkopava šifriranje in varnost podatkov. Tukaj je kratek pregled tega zakona:
Avstralski parlament je v četrtek sprejel sporni zakon o šifriranju, ki od tehnoloških podjetij zahteva, da organom pregona in varnostnim agencijam zagotovijo dostop do šifriranih komunikacij. Zagovorniki zasebnosti, tehnološka podjetja in druga podjetja so predlogu zakona odločno nasprotovali, vendar je vlada predsednika vlade Scotta Morrisona dejala, da je zakon potreben za preprečitev kriminalcev in teroristov, ki za komunikacijo uporabljajo programe za šifrirano sporočanje.
V krogih, ki se ukvarjajo z zasebnostjo, se "zakon o pomoči in dostopu" zaradi tega, kar dovoljuje, včasih imenuje "zakon, ki preprečuje šifriranje" ali "zakon proti šifriranju". Ta zakon bi bistveno vplival na podjetja, ki zagotavljajo storitve šifriranega komuniciranja, vključno s sejami, storitvami VPN in drugimi podjetji, ki se ukvarjajo z zasebnostjo. Ta tema je še naprej deležna kritik zagovornikov zasebnosti po vsem svetu.
Po vzoru Avstralije so tudi ameriški regulativni organi predlagali, da bi tehnološka podjetja prisilili k prekinitvi šifriranja in s tem olajšali nadzor.
Fundacija Loki, ki stoji za projektom Session, se je tega perečega vprašanja lotila v zapisu na svojem blogu:
Ko smo prvič videli ta predlog zakona, smo bili seveda zgroženi. Možnost, da bi ta zakonodaja popolnoma ogrozila projekt, ni ostala neopažena. Začeli smo razmišljati o tem, kako bi lahko vzpostavili varovalke, ki bi ljudem omogočile, da ujamejo slabo kodo, vneseno v našo zbirko programske opreme, ali da bi plačevali nekomu zunaj podjetja Loki, ki bi redno pregledoval naše binarne datoteke, ki jih objavljamo, in zagotavljal, da ne puščajo dodatnih informacij ali se na kakršen koli način ne ujemajo z zbirko programske opreme. Če bi nam izdali obvestilo o tehničnih zmogljivostih (TCN), o tem ne bi mogli nikomur povedati. Če bi vzpostavili nekakšen sistem kanarčkov, bi nas lahko zaprli. Zato bi morala biti kakršnakoli varovalka, ki bi jo vzpostavili, zunanja za Loki in bi nas morala redno revidirati, da bi se prepričala, da nismo bili kompromitirani, preden bi bil izdan TCN.
Navsezadnje fundacija Loki meni, da lahko v tem nevarnem pravnem okolju še vedno upravlja varno storitev sporočanja. Njihov prispevek na blogu na to temo se resnično poglobi v tehnične in pravne podrobnosti, ki jih lahko raziščete, če imate čas in voljo. Poleg tega vprašanje obravnavajo v temi pogostih vprašanj z naslovom" Ali stališče avstralske vlade proti šifriranju predstavlja tveganje za sejo?" ter v tej posodobitvi prvotnega prispevka na blogu.
Ali so vaši podatki s programom Session messenger varni in zaščiteni?
Po preučitvi zakona o spremembah zakona o telekomunikacijah in drugih pravnih predpisih (pomoč in dostop) 2018, splošno znanega kot zakon AA ali TOLA, imam svoje dvome, vendar lahko do zaključkov pridete sami.
Drugi pomisleki v zvezi z zasebnostjo v Avstraliji.
Omeniti velja tudi, da zakonodaja proti šifriranju ni edino vprašanje zasebnosti, ki pesti Avstralijo. Upoštevajte naslednje:
Obvezna hramba podatkov - Avstralija je leta 2017 uvedla okvir za obvezno hrambo podatkov. Ta vsem ponudnikom interneta in telefonskim podjetjem nalaga, da podatke o povezavah za vladne agencije hranijo polni dve leti.
Pet oči - že prej smo opozorili, da je Avstralija članica nadzorne zveze Pet oči. Ta zveza sodeluje pri zbiranju in izmenjavi podatkov o množičnem nadzoru.
Če mislite, da različne agencije teh zakonov ne izkoriščajo za zbiranje podatkov o Avstralcih, premislite še enkrat. Tukaj je nedavni naslov iz časopisa The Guardian:
Session Messenger FAQ.
Tukaj je nekaj vprašanj, ki so se pogosto pojavljala med raziskovanjem in pisanjem te posodobitve.
Ali je Session Messenger varen?
Nedavno končana varnostna revizija, ki jo je opravila družba Quarkslab, je potrdila, kar smo že dolgo verjeli: Session je varen. Toda zaradi dejanj avstralske vlade, s katerimi želi zaobiti zaščito zasebnosti pri skoraj vseh aplikacijah ali storitvah (ne le pri Sessionu), menimo, da vaša zasebnost ne more biti zagotovljena, če uporabljate Session.
Kaj je protokol Session?
Protokol Session je nov protokol za sporočanje, ki ga je razvilo podjetje Session. Prehod s protokola Signal na protokol Session ohranja varnost slednjega, hkrati pa zagotavlja funkcije zasebnosti/anonimnosti in decentralizacije. Rezultat je protokol, ki se dobro ujema z edinstveno arhitekturo programa Session.
Zaključek pregleda protokola Session.
Protokol Session je obetaven izdelek, vendar ima prednosti in slabosti. Ko bo dokončan, naj bi bil prav tako varen kot Signal, še bolj zaseben kot Signal in tudi anonimen. Vendar še vedno ostajajo pomisleki glede Avstralije, zasebnosti podatkov in sposobnosti fundacije Loki, da v tem okolju zagotovi varnost podatkov uporabnikov.
Last edited by a moderator:
