Eftersom Session är en fork av Signal ärvde den Signals starka säkerhet. Därefter byggde Session-teamet ett anonymiserat, decentraliserat system som ger överlägsen integritet och anonymitet för sina användare. Är du redo att lära dig mer om den här utmanaren om tronen som den bästa säkra och privata messenger-appen? Låt oss då dyka in med denna Session-recension.
Grunderna för Session messenger.
Bakom kulisserna är Session fundamentalt annorlunda än de flesta andra säkra meddelandetjänster. För att göra resten av denna Session-recension lättare att förstå måste vi gå igenom några grunder nu.
Konversationer i Session skyddas med E2E-kryptering på klientsidan. Endast avsändaren och mottagaren av ett meddelande kan läsa det. Men Session erbjuder mer än bara meddelandesäkerhet. Session skyddar också användarnas identiteter. Det gör din kommunikation privat och anonym, och dessutom säker.
Session kan göra detta eftersom det kopplar samman användare genom ett Tor-liknande nätverk med tusentals servicenoder. Servicenoderna är servrar som skickar meddelanden fram och tillbaka genom nätverket och som tillhandahåller ytterligare tjänster. Det onion request-system som Session använder för att skydda meddelanden säkerställer att ingen servicenod i nätverket någonsin känner till både ett meddelandes ursprung (din IP-adress) och destination (mottagarens IP-adress). Detta gör att du kan dölja din IP-adress som standard.
Session vidtar ett antal ytterligare åtgärder för att skydda din identitet:
Inget telefonnummer krävs för registrering
Ingen e-post krävs för registrering
Ingen geolokaliseringsdata, enhetsdata eller metadata samlas in
Servicenoderna grupperas tillsammans i svärmar. Svärmar ger redundans till nätverket samt tillfällig lagring när meddelanden inte kan levereras till sin destination. Varje sessionsklient ansluter till en svärm för att skicka och ta emot meddelanden i realtid samt för att hämta relevanta meddelanden som lagras i svärmen i väntan på leverans.
Du kommer att märka att vi inte har talat om någon central server här. Session-nätverket är decentraliserat, utan en enda punkt för fel och utan någon huvudserver som skurkar kan hacka. Session flyttar meddelanden med hjälp av ett onion-routingsystem.
I ett onion routing-system omges meddelanden av flera krypteringslager och passerar genom flera noder i systemet. Varje nod dekrypterar ett krypteringslager innan meddelandet skickas vidare. På grund av det sätt som meddelandena krypteras kan ingen nod känna till både meddelandets ursprung och dess destination. Dessutom är din IP-adress aldrig synlig vid destinationen, vilket innebär att den du pratar med inte har något sätt att identifiera dig när du använder Session. Session-tjänsten bör visa sig vara mycket motståndskraftig och fortsätta att fungera även när enskilda servicenoder ansluter sig till eller lämnar nätverket.
Sessions onion-routingsystem körs på Oxen Service Node-nätverket. Detta nätverk (tidigare känt som Lokinet) fungerar också som en del av infrastrukturen för kryptovalutan $OXEN. Du kan lära dig mer om OXEN på Oxen.io-webbplatsen.
Medan Session nu hanterar grundläggande meddelandefunktioner mycket bra, har den inte några av de funktioner som konkurrenter som Signal eller Telegram gör. Det gör ännu inte röst- eller videosamtal, bland annat. Om du behöver dessa specifika funktioner kanske du vill titta på en annan messenger-app.
Här är de för- och nackdelar som vi identifierade i denna Sessionsgranskning:
+ Fördelar
End-to-end-kryptering (E2E) säkrar text- och röstmeddelanden samt bilagor
Kryptering: Sessionsprotokoll
Kräver inte telefonnummer eller e-postadress för att registrera sig
Öppen källkod
Onion-routingsystem ger decentralisering och anonymitet
Loggar inte IP-adresser eller metadata
Krypterade slutna grupper (nu upp till 100 personer) och öppna grupper (ingen storleksbegränsning)
Framgångsrikt genomförd säkerhetskodgranskning av appar för Desktop, Android och iOS
- Nackdelar
Stöder inte 2FA (tvåfaktorsautentisering)
Omdesignad synkronisering av flera enheter (tidig beta)
Perfect Forward Secrecy har tagits bort
Viktigt: Det faktum att Session inte samlar in metadata är ett stort plus. Vi anser att metadatafrågan är akilleshälen för många säkra meddelandetjänster och säkra e-posttjänster. Inte ens de mest populära säkra e-posttjänsterna, som ProtonMail, har någon bra lösning på metadataproblemet.
Nu ska vi undersöka de viktigaste funktionerna i Session messenger.
Sammanfattning av Session-funktioner.
Här är funktioner som du vill överväga när du utvärderar Session:
Det använder det Signal-inspirerade Session Protocol, ovanpå ett distribuerat lökroutingsystem för anonym, decentraliserad kommunikation.
100% öppen källkod (koden finns tillgänglig på GitHub).
Klienter för Android, iOS, macOS, Windows, Linux.
Systemet är mycket mer stabilt efter flera månaders omdesign och refaktorisering.
Information om företaget Session.
Session är ett projekt av Loki Foundation. Loki Foundation (registrerad som LAG Foundation, LTD) är en registrerad välgörenhetsstiftelse baserad i Victoria, Australien. Stiftelsen uppger att deras syfte är att "... bygga metadatafria kommunikationsverktyg och appar med öppen källkod som försvarar integriteten i den digitala världen."
Obs: Loki-produkter byter namn till Oxen. Det kommer sannolikt att finnas en längre tidsperiod då Loki och Oxen används omväxlande.
Var lagras dina sessionsdata?
Meddelanden som skickas till dig skickas faktiskt till din svärm. Meddelandena lagras tillfälligt på flera servicenoder inom svärmen för att ge redundans. När din enhet hämtar meddelandena från svärmen raderas de automatiskt från de servicenoder som tillfälligt lagrade dem.
Obs: Detta är inte samma sak som en peer-to-peer-arkitektur. Enligt Session FAQ här,
Session-klienter fungerar inte som noder i nätverket och vidarebefordrar eller lagrar inte meddelanden för nätverket. Sessions nätverksarkitektur är närmare en klient-servermodell, där Session-programmet fungerar som klient och Service Node-svärmen fungerar som server. Sessions klient-serverarkitektur möjliggör enklare asynkron meddelandehantering (meddelandehantering när en part är offline) och lökroutningsbaserad fördunkling av IP-adresser, jämfört med peer-to-peer-nätverksarkitekturer.
Tredjepartstestning och revisioner av Session.
Session använder nu sitt onion routing-nätverk. Förra året beställde de en säkerhetsrevision av Session Desktop-, Android- och iOS-apparna av Quarkslab. Den granskningen är nu klar och ger goda nyheter för Session och dess användare. Revisionsrapporten avslutas delvis med följande:
Oxen Session förbättrar verkligen signalintegriteten och motståndskraften genom att använda ett överlagringsnätverk till den befintliga end-to-end-krypteringslösningen för snabbmeddelanden. Mekanismerna för lök-routning använder Oxens Snodes för att lagra och utbyta meddelanden. Det finns dock några andra centraliserade standardwebbtjänster som fortfarande används via overlay-nätverket (för push-tjänsten och för att leverera bifogade filer). Alla större problem har snabbt åtgärdats.
Quarkslab Oxen Session Audit, teknisk rapport
Session är nu lämplig för användning i fall där beprövad och oberoende verifierad säkerhet är en förutsättning.
Hur säker och privat är sessionen?
När sessionen är färdig och fullt utvecklad bör den vara supersäker, extremt privat, anonym och allmänt utmärkt. Det är dock oklart hur långt ifrån färdigställd produkten egentligen är.
Onion-routingsystemet är nu funktionellt, vilket är ett stort lyft för säkerhet och integritet. Och Quarkslabs säkerhetsgranskning visar att apparna för Desktop, Android och iOS alla är säkra.
Oro för Australien och datasäkerhet.
När det gäller ämnena integritet och säkerhet för dina uppgifter måste vi diskutera var Session är baserat. Som nämnts ovan är Session baserat i Australien. Tyvärr är Australien inte en perfekt integritetsjurisdiktion av några skäl.
Som vi nyligen diskuterade i vår guide om de bästa VPN: erna för Australien antog landet en lag för att undergräva kryptering och datasäkerhet 2018. Här är en snabb översikt över denna lag:
Det australiensiska parlamentet antog en omtvistad krypteringslag på torsdag för att kräva att teknikföretag ger brottsbekämpande och säkerhetsorgan tillgång till krypterad kommunikation. Integritetsförespråkare, teknikföretag och andra företag hade starkt motsatt sig lagförslaget, men premiärminister Scott Morrisons regering sa att det behövdes för att hindra brottslingar och terrorister som använder krypterade meddelandeprogram för att kommunicera.
I integritetskretsar kallas "Assistance and Access Bill" ibland för "krypteringskränkningslagen" eller "antikrypteringslagen" på grund av vad den tillåter. Denna lag skulle i grunden påverka företag som tillhandahåller krypterade kommunikationstjänster, inklusive Session, VPN-tjänster och andra integritetsfokuserade företag. Detta ämne fortsätter att kritiseras av integritetsförespråkare runt om i världen.
I likhet med Australien har amerikanska tillsynsmyndigheter också föreslagit att teknikföretag ska tvingas bryta kryptering, vilket underlättar övervakning.
Loki Foundation, som ligger bakom Session, tog upp denna kniviga fråga i ett blogginlägg:
Självklart blev vi livrädda när vi först såg det här lagförslaget. Risken för att projektet helt skulle undermineras av den här lagstiftningen gick inte obemärkt förbi. Vi hade börjat fundera på hur vi skulle kunna sätta upp failsafes för att låta folk upptäcka dålig kod som injiceras i vår kodbas, eller för att betala någon utanför Loki för att göra regelbundna inspektioner av våra binärer som vi släpper och se till att de inte läcker extra information eller inte matchar kodbasen på något sätt. Om vi skulle få ett TCN [Technical Capability Notice] skulle vi inte kunna berätta om det för någon. Om vi satte upp något slags kanarissystem kunde vi bli fängslade. Så oavsett vilken säkerhetslösning vi sätter upp måste den vara extern till Loki och regelbundet granska oss för att säkerställa att vi inte har äventyrats innan ett TCN utfärdades.
I slutändan tror Loki Foundation att de fortfarande kan driva en säker budbärartjänst i denna riskfyllda juridiska miljö. Deras blogginlägg om ämnet går verkligen djupt in i tekniska och juridiska detaljer, som du kan undersöka om du har tid och lust. Dessutom tar de upp frågan i FAQ-ämnet med titeln "Utgör den australiska regeringens antikrypteringsståndpunkt en risk för Session?" samt i den här uppdateringen av deras ursprungliga blogginlägg.
Så, är dina data säkra och säkra med Session messenger?
Jag har mina tvivel efter att ha undersökt Telecommunications and Other Legal Amendment (Assistance and Access) Bill 2018, allmänt känd som AA-lagen eller TOLA, men du kan komma till dina egna slutsatser.
Andra integritetsfrågor med Australien.
Det är också värt att notera att anti-krypteringslagstiftningen inte är den enda integritetsfrågan som plågar Australien. Tänk på detta:
Obligatorisk datalagring - 2017 införde Australien ett ramverk för obligatorisk datalagring. Detta tvingar alla internetleverantörer och telefonbolag att lagra anslutningsdata för myndigheter i hela två år.
Five Eyes - Vi har också tidigare noterat att Australien är medlem i övervakningsalliansen Five Eyes. Denna allians arbetar tillsammans för att samla in och dela massövervakningsdata.
Och om du tror att olika byråer inte utnyttjar dessa lagar för att samla in uppgifter om australier, tänk igen. Här är en ny rubrik från The Guardian:
Vanliga frågor om Session Messenger.
Här är några frågor som ofta kom upp under forskningen och skrivandet av den här uppdateringen.
Är Session messenger säker?
Den nyligen genomförda säkerhetsgranskningen av Quarkslab har bekräftat vad vi länge trott: Session är säkert. Men den australiensiska regeringens åtgärder för att kringgå integritetsskyddet för i stort sett alla appar och tjänster (inte bara Session) gör att vi känner att din integritet inte kan garanteras om du använder Session.
Vad är Session-protokollet?
Session-protokollet är ett nytt meddelandeprotokoll som utvecklats av Session. Om du byter från Signal-protokollet till Session-protokollet behåller du säkerheten i det senare samtidigt som du får funktioner för sekretess/anonymitet och decentralisering. Resultatet är ett protokoll som fungerar bra med Sessions unika arkitektur.
Slutsats av Sessions granskning.
Session är en lovande produkt, men den kommer med för- och nackdelar. När det är klart bör det vara lika säkert som Signal, ännu mer privat än Signal och anonymt också. Men det finns fortfarande kvarstående farhågor om Australien, datasekretess och Loki Foundations förmåga att hålla användardata säkra i den här miljön.
Last edited by a moderator:
