Kadangi "Session" yra "Signal" šakutė, ji paveldėjo tvirtą "Signal" saugumą. Iš čia "Session" komanda sukūrė anoniminę, decentralizuotą sistemą, kuri užtikrina puikų privatumą ir anonimiškumą savo naudotojams. Ar esate pasirengę sužinoti daugiau apie šią pretendentę į geriausios saugios ir privačios susirašinėjimo programėlės sostą? Tuomet pasinerkime į šią "Session" apžvalgą.
"Session messenger" pagrindai.
Užkulisiuose "Session" iš esmės skiriasi nuo daugumos kitų saugių žinučių siuntimo paslaugų. Kad likusią šios "Session" apžvalgos dalį būtų lengviau suprasti, dabar turime aptarti kai kuriuos pagrindus.
Pokalbiai "Session" yra apsaugoti naudojant kliento pusės E2E šifravimą. Žinutę gali perskaityti tik jos siuntėjas ir gavėjas. Tačiau "Session" neapsiriboja tik pranešimų saugumo užtikrinimu. Session taip pat saugo savo naudotojų tapatybes. Dėl to jūsų komunikacija yra ne tik saugi, bet ir privati bei anonimiška.
"Session" tai gali padaryti, nes sujungia naudotojus per "Tor" tipo tinklą, kurį sudaro tūkstančiai paslaugų mazgų. Paslaugų mazgai yra serveriai, kurie perduoda pranešimus pirmyn ir atgal tinkle ir teikia papildomas paslaugas. "Session" naudojama "onion" užklausų sistema, skirta pranešimams apsaugoti, užtikrina, kad nė vienas tinklo paslaugų mazgas niekada nežinos pranešimo kilmės (jūsų IP adreso) ir paskirties vietos (gavėjo IP adreso). Tai leidžia pagal nutylėjimą paslėpti savo IP.
"Session" imasi keleto papildomų veiksmų jūsų tapatybei apsaugoti:
Registruojantis nereikia telefono numerio.
Registruojantis nereikia siųsti el. pašto
nerenkami jokie geografinės vietos nustatymo duomenys, įrenginio duomenys ar metaduomenys
Paslaugų mazgai grupuojami į būrius. Rjai užtikrina tinklo dubliavimą ir laikiną saugojimą, kai pranešimų negalima pristatyti į paskirties vietą. Kiekvienas sesijos klientas jungiasi prie rojaus, kad galėtų siųsti ir gauti pranešimus realiuoju laiku, taip pat gauti atitinkamus pranešimus, kurie saugomi rojuje ir laukia pristatymo.
Pastebėsite, kad čia nekalbėjome apie jokį centrinį serverį. Seansų tinklas yra decentralizuotas, jame nėra vieno gedimo taško ir pagrindinio serverio, į kurį galėtų įsilaužti piktavaliai. "Session" perduoda pranešimus naudodamas svogūnų maršrutizavimo sistemą.
Svogūnų maršrutizavimo sistemoje pranešimai yra apsupti keliais šifravimo sluoksniais ir perduodami per kelis sistemos mazgus. Kiekvienas mazgas, prieš perduodamas pranešimą toliau, iššifruoja vieną šifravimo sluoksnį. Dėl to, kaip šifruojami pranešimai, nė vienas mazgas negali žinoti nei pranešimo kilmės, nei paskirties vietos. Be to, paskirties vietoje niekada nematomas jūsų IP adresas, t. y. tas, su kuriuo bendraujate, neturi galimybės nustatyti jūsų tapatybės, kai naudojate "Session". Paslauga "Session" turėtų būti labai atspari ir toliau veikti net ir tada, kai atskiri paslaugų mazgai prisijungia prie tinklo arba iš jo pasitraukia.
"Session" svogūnų maršrutizavimo sistema veikia "Oxen Service Node" tinkle. Šis tinklas (anksčiau žinomas kaip Lokinet) taip pat yra kriptovaliutos $OXEN infrastruktūros dalis. Daugiau apie OXEN galite sužinoti Oxen.io svetainėje.
Nors "Session" dabar labai gerai atlieka pagrindines žinučių siuntimo funkcijas, ji neturi kai kurių funkcijų, kurias turi tokie konkurentai kaip "Signal" ar "Telegram". Be kita ko, ji dar neatlieka balso ar vaizdo skambučių. Jei jums reikia šių specifinių galimybių, galbūt norėsite ieškoti kitos žinučių siuntimo programėlės.
Štai privalumai ir trūkumai, kuriuos nustatėme šioje sesijos apžvalgoje:
Pliusai: + Pranašumai
Nuo galo iki galo (E2E) šifravimas apsaugo tekstinius ir balso pranešimus bei priedus
Šifravimas: Sesijos protokolas
Nereikalauja telefono numerio ar el. pašto adreso norint užsiregistruoti
Atviras šaltinis
Onion maršrutizavimo sistema užtikrina decentralizaciją ir anonimiškumą
Neregistruoja IP adresų ar metaduomenų
Užšifruotos uždaros grupės (dabar iki 100 žmonių) ir atviros grupės (jų dydis neribojamas)
Sėkmingai atliktas darbalaukio, "Android" ir "iOS" programėlių saugumo kodo auditas
- Trūkumai
Nepalaiko 2FA (dviejų veiksnių autentifikavimo)
Perdarytas kelių įrenginių sinchronizavimas (ankstyvoji beta versija)
Panaikintas "Perfect Forward Secrecy
Svarbu: Tai, kad "Session" nerenka metaduomenų, yra didžiulis privalumas. Manome, kad metaduomenų problema yra daugelio saugių žinučių siuntimo ir saugaus el. pašto paslaugų Achilo kulnas. Net populiariausios saugaus el. pašto paslaugos, pavyzdžiui, "ProtonMail", neturi gero metaduomenų problemos sprendimo.
Dabar panagrinėsime pagrindines "Session messenger" funkcijas.
Sesijos funkcijų santrauka.
Čia pateikiamos funkcijos, į kurias norėsite atsižvelgti vertindami "Session":
Joje naudojamas Signal įkvėptas Session protokolas, ant paskirstytos onion maršrutizavimo sistemos, skirtos anoniminiam, decentralizuotam bendravimui.
100 % atvirojo kodo kodas (kodą galima rasti "GitHub").
Klientai skirti "Android", "iOS", "MacOS", "Windows", "Linux".
Po kelis mėnesius trukusio perprojektavimo ir refaktorizavimo sistema tapo daug stabilesnė.
Sesijos informacija apie įmonę.
Session yra Loki fondo projektas. Fondas "Loki Foundation" (registruotas kaip "LAG Foundation, LTD") yra registruotas labdaros fondas, įsikūręs Viktorijoje, Australijoje. Fondas nurodo, kad jų tikslas yra "...kurti atvirojo kodo, metaduomenų neturinčias ryšių priemones ir programas, kurios gina privatumą skaitmeniniame pasaulyje".
Pastaba: "Loki" produktai keičia pavadinimą į "Oxen". Tikėtina, kad kurį laiką "Loki" ir "Oxen" bus vartojami pakaitomis.
Kur saugomi jūsų seansų duomenys?
Jums siunčiami pranešimai iš tikrųjų siunčiami į jūsų rojų. Pranešimai laikinai saugomi keliuose rojaus paslaugų mazguose, kad būtų užtikrintas dubliavimas. Kai jūsų įrenginys pasiima pranešimus iš "Swarm", jie automatiškai ištrinami iš laikinai juos saugojusių paslaugų mazgų.
Pastaba: tai nėra tas pats, kas lygiavertė architektūra. Pagal sesijos DUK čia,
"Session" klientai neveikia kaip tinklo mazgai ir neperduoda ar nesaugo pranešimų tinklui. "Session" tinklo architektūra artimesnė kliento ir serverio modeliui, kai "Session" programa veikia kaip klientas, o "Service Node Swarm" - kaip serveris. "Session" kliento ir serverio architektūra leidžia lengviau vykdyti asinchroninį pranešimų siuntimą (pranešimų siuntimą, kai viena šalis yra neprisijungusi) ir "onion" maršrutizacija pagrįstą IP adresų paslėpimą, palyginti su "peer-to-peer" tinklo architektūromis.
Trečiųjų šalių atliekami "Session" bandymai ir auditai.
Dabar "Session" naudoja savo svogūnų maršrutizavimo tinklą. Praėjusiais metais "Quarkslab" užsakė "Session Desktop", "Android" ir "iOS" programų saugumo auditą. Šis auditas jau baigtas ir pateikia gerų naujienų "Session" ir jos naudotojams. Audito ataskaitoje iš dalies pateikiamos tokios išvados:
"Oxen Session" iš tiesų pagerina signalo privatumą ir atsparumą, naudodama perdangos tinklą prie esamo momentinių pranešimų siuntimo sprendimo, kuris yra šifruojamas nuo galo iki galo. Svogūno maršruto mechanizmai naudoja "Oxen" Snode pranešimams saugoti ir jais keistis. Tačiau yra keletas kitų centralizuotų standartinių žiniatinklio paslaugų, kurios vis dar naudojamos per perdangos tinklą (stūmimo paslaugai ir priedų failams pristatyti). Visos pagrindinės problemos buvo greitai išspręstos.
Quarkslab Oxen sesijų auditas, techninė ataskaita
Sesija dabar tinkama naudoti tais atvejais, kai įrodytas ir nepriklausomai patikrintas saugumas yra būtina sąlyga.
Kiek saugi ir privati yra "Session"?
Kai sesija yra užbaigta ir visiškai išvystyta, ji turėtų būti itin saugi, itin privati, anoniminė ir apskritai puiki. Tačiau neaišku, kiek produktas iš tikrųjų yra arti baigtas.
Dabar veikia "onion" maršrutizavimo sistema, o tai labai padidina saugumą ir privatumą. O "Quarkslab" saugumo auditas rodo, kad darbalaukio, "Android" ir "iOS" programėlės yra saugios.
Susirūpinimą kelia Australija ir duomenų saugumas.
Kalbant apie privatumo ir jūsų duomenų saugumo temas, turime aptarti, kur įsikūrusi "Session". Kaip minėta pirmiau, "Session" yra įsikūrusi Australijoje. Deja, Australija nėra tobula privatumo jurisdikcija dėl kelių priežasčių.
Kaip neseniai aptarėme savo vadove apie geriausius Australijos VPN, 2018 m. šalis priėmė įstatymą, kuriuo siekiama pakenkti šifravimui ir duomenų saugumui. Štai trumpa šio įstatymo apžvalga:
Ketvirtadienį Australijos parlamentas priėmė prieštaringai vertinamą šifravimo įstatymą, kuriuo reikalaujama, kad technologijų bendrovės suteiktų teisėsaugos ir saugumo agentūroms prieigą prie užšifruoto ryšio. Privatumo gynėjai, technologijų bendrovės ir kitos įmonės griežtai prieštaravo šiam įstatymo projektui, tačiau ministro pirmininko Skoto Morisono (Scott Morrison) vyriausybė teigė, kad jis reikalingas siekiant užkirsti kelią nusikaltėliams ir teroristams, kurie bendravimui naudoja šifruotų pranešimų programas.
Privatumo sluoksniuose "Pagalbos ir prieigos įstatymas" dėl to, ką jis leidžia, kartais vadinamas "šifravimą žlugdančiu įstatymu" arba "įstatymu prieš šifravimą". Šis įstatymas iš esmės paveiktų įmones, teikiančias šifruoto ryšio paslaugas, įskaitant "Session", VPN paslaugas ir kitas į privatumą orientuotas įmones. Ši tema ir toliau sulaukia kritikos iš privatumo gynėjų visame pasaulyje.
Imdamos pavyzdį iš Australijos vadovėlio, JAV reguliavimo institucijos taip pat pasiūlė priversti technologijų įmones pažeisti šifravimą ir taip palengvinti sekimą.
Šį opų klausimą tinklaraščio įraše aptarė "Loki" fondas, kuris yra už "Session":
Akivaizdu, kad pirmą kartą pamatę šį įstatymo projektą išsigandome. Galimybė, kad šis teisės aktas gali visiškai sužlugdyti projektą, neliko nepastebėta. Buvome pradėję svarstyti, kaip galėtume sukurti saugos priemones, kurios leistų žmonėms užfiksuoti blogą kodą, įterptą į mūsų kodų bazę, arba kaip sumokėti "Loki" nepriklausančiam asmeniui, kuris reguliariai tikrintų mūsų išleidžiamas dvejetaines rinkmenas ir užtikrintų, kad jos nepraleidžia papildomos informacijos arba kokiu nors būdu neatitinka kodų bazės. Jei mums būtų išduotas TCN [Technical Capability Notice], negalėtume niekam apie tai papasakoti. Jei sukurtume kokią nors kanarėlių sistemą, galėtume būti įkalinti. Taigi, kad ir kokį saugiklį būtume sukūrę, jis turėtų būti nepriklausomas nuo "Loki" ir turėtų reguliariai atlikti mūsų auditą, kad įsitikintume, jog prieš išduodant TCN nebuvome sukompromituoti.
Galiausiai "Loki" fondas tiki, kad šioje pavojingoje teisinėje aplinkoje vis dar gali teikti saugią pasiuntinių paslaugą. Jų tinklaraščio įraše šia tema tikrai gilinamasi į technines ir teisines detales, kurias galite išnagrinėti, jei turite laiko ir noro. Be to, šį klausimą jie nagrinėja DUK temoje, pavadintoje" Ar Australijos vyriausybės pozicija prieš šifravimą kelia pavojų sesijai?", taip pat šiame atnaujintame pirminiame tinklaraščio įraše.
Taigi, ar jūsų duomenys su "Session messenger" yra saugūs ir patikimi?
Išnagrinėjęs 2018 m. Telekomunikacijų ir kitų teisės aktų pakeitimo (pagalba ir prieiga) įstatymo projektą, paprastai vadinamą AA įstatymo projektu arba TOLA, turiu abejonių, tačiau išvadas galite padaryti patys.
Kitos su privatumu susijusios problemos, susijusios su Australija.
Taip pat verta paminėti, kad prieš šifravimą nukreipti teisės aktai nėra vienintelė Australiją kamuojanti privatumo problema. Pagalvokite apie tai:
Privalomas duomenų saugojimas. 2017 m. Australija įgyvendino privalomo duomenų saugojimo sistemą. Tai verčia visus interneto tiekėjus ir telefono ryšio bendroves visus dvejus metus saugoti vyriausybinėms agentūroms skirtus ryšio duomenis.
"Penkios akys" - anksčiau taip pat pažymėjome, kad Australija yra stebėjimo aljanso "Penkios akys" narė. Šis aljansas bendradarbiauja rinkdamas ir dalydamasis masinio stebėjimo duomenimis.
Jei manote, kad įvairios agentūros nesinaudoja šiais įstatymais rinkdamos duomenis apie australus, pagalvokite dar kartą. Štai naujausia antraštė iš "The Guardian":
DUK "Session Messenger".
Štai keletas klausimų, kurie dažnai kilo tiriant ir rašant šį atnaujinimą.
Ar "Session Messenger" yra saugi?
Neseniai "Quarkslab" atliktas saugumo auditas patvirtino tai, kuo seniai tikėjome: "Session" yra saugi. Tačiau Australijos vyriausybės veiksmai, kuriais siekiama apeiti privatumo apsaugą beveik bet kurioje programoje ar paslaugoje (ne tik "Session"), verčia mus manyti, kad jūsų privatumas negali būti garantuotas, jei naudojate "Session".
Kas yra "Session" protokolas?
"Session" protokolas yra naujas "Session" sukurtas pranešimų perdavimo protokolas. Pereinant nuo "Signal" protokolo prie "Session" protokolo išlaikomas pastarojo saugumas, kartu suteikiant privatumo / anonimiškumo ir decentralizavimo funkcijų. Rezultatas - protokolas, kuris puikiai dera su unikalia "Session" architektūra.
Session peržiūros išvada.
Session yra daug žadantis produktas, tačiau jis turi pliusų ir minusų. Kai jis bus baigtas, turėtų būti toks pat saugus kaip "Signal", dar labiau privatus nei "Signal" ir taip pat anonimiškas. Tačiau vis dar kyla susirūpinimas dėl Australijos, duomenų privatumo ir Loki fondo gebėjimo užtikrinti naudotojų duomenų saugumą šioje aplinkoje.
Last edited by a moderator:
