Pretože je Session forkom aplikácie Signal, zdedil po nej silné zabezpečenie Signal. Na základe toho tím Session vytvoril anonymizovaný, decentralizovaný systém, ktorý svojim používateľom poskytuje vynikajúce súkromie a anonymitu. Ste pripravení dozvedieť sa viac o tomto vyzývateľovi na trón najlepšej bezpečnej a súkromnej aplikácie na posielanie správ? Potom sa ponorte do tejto recenzie aplikácie Session.
Základy aplikácie Session messenger.
V zákulisí sa služba Session zásadne líši od väčšiny ostatných služieb bezpečného posielania správ. Aby sme zvyšok tejto recenzie služby Session ľahšie pochopili, musíme si teraz prejsť niektoré základy.
Konverzácie v službe Session sú zabezpečené pomocou šifrovania E2E na strane klienta. Správu si môže prečítať iba odosielateľ a príjemca správy. Funkcia Session však presahuje rámec poskytovania zabezpečenia správ. Session chráni aj identity svojich používateľov. Vďaka nej je vaša komunikácia súkromná a anonymná, ako aj bezpečná.
Služba Session to dokáže, pretože spája používateľov prostredníctvom siete podobnej sieti Tor pozostávajúcej z tisícov servisných uzlov. Servisné uzly sú servery, ktoré prenášajú správy tam a späť prostredníctvom siete a poskytujú aj ďalšie služby. Systém cibuľových požiadaviek, ktorý Session používa na ochranu správ, zabezpečuje, že žiadny servisný uzol v sieti nikdy nepozná pôvod (vašu IP adresu) ani cieľ (IP adresu príjemcu) správy. Vďaka tomu môžete v predvolenom nastavení skryť svoju IP adresu.
Služba Session vykonáva niekoľko ďalších krokov na ochranu vašej identity:
Na registráciu sa nevyžaduje telefónne číslo
Na registráciu sa nevyžaduje žiadny e-mail
Nezhromažďujú sa žiadne geolokačné údaje, údaje o zariadení ani metadáta
Uzly služby sú zoskupené do rojov. Roje poskytujú redundanciu siete, ako aj dočasné úložisko v prípade, že správy nie je možné doručiť na miesto určenia. Každý klient relácie sa pripája k roju na odosielanie a prijímanie správ v reálnom čase, ako aj na načítanie príslušných správ, ktoré sú uložené v roji a čakajú na doručenie.
Všimnite si, že sme tu nehovorili o žiadnom centrálnom serveri. Sieť relácií je decentralizovaná, bez jediného bodu zlyhania a bez hlavného servera, ktorý by mohli hacknúť zloduchovia. Session presúva správy pomocou systému smerovania cibule.
V cibuľovom smerovacom systéme sú správy obklopené viacerými vrstvami šifrovania a prechádzajú cez viaceré uzly systému. Každý uzol dešifruje jednu vrstvu šifrovania predtým, ako správu odovzdá ďalej. Vzhľadom na spôsob šifrovania správ nemôže žiadny uzol poznať pôvod správy ani jej cieľ. Okrem toho vaša IP adresa nie je v cieli nikdy viditeľná, čo znamená, že ten, s kým konverzujete, nemá možnosť vás identifikovať, keď používate reláciu. Služba Session by sa mala ukázať ako veľmi odolná a mala by fungovať aj vtedy, keď sa jednotlivé uzly služby pripájajú k sieti alebo ju opúšťajú.
Cibuľový smerovací systém služby Session beží v sieti servisných uzlov Oxen. Táto sieť (predtým známa ako Lokinet) slúži aj ako súčasť infraštruktúry pre kryptomenu $OXEN. Viac informácií o sieti OXEN nájdete na webovej lokalite Oxen.io.
Hoci Session teraz veľmi dobre zvláda základné funkcie zasielania správ, nemá niektoré funkcie, ktoré majú konkurenti ako Signal alebo Telegram. Okrem iného zatiaľ neumožňuje hlasové ani videohovory. Ak potrebujete tieto špecifické funkcie, možno sa budete chcieť pozrieť na inú aplikáciu na posielanie správ.
Tu sú výhody a nevýhody, ktoré sme identifikovali v tejto recenzii aplikácie Session:
+ Klady
Koncové šifrovanie (E2E) zabezpečuje textové a hlasové správy, ako aj prílohy
Šifrovanie: Protokol relácie
Nevyžaduje telefónne číslo alebo e-mailovú adresu na registráciu
Otvorený zdrojový kód
Cibuľový smerovací systém poskytuje decentralizáciu a anonymitu
Nezaznamenáva IP adresy ani metadáta
Šifrované uzavreté skupiny (teraz až 100 ľudí) a otvorené skupiny (bez obmedzenia veľkosti)
Úspešne dokončený bezpečnostný audit kódu aplikácií pre počítače, Android a iOS
- Nevýhody
Nepodporuje 2FA (dvojfaktorové overovanie)
Prepracovaná synchronizácia s viacerými zariadeniami (skorá beta verzia)
Odstránené Perfect Forward Secrecy
Dôležité: Skutočnosť, že aplikácia Session nezhromažďuje metadáta, je veľkým plusom. Problém metadát považujeme za Achillovu pätu mnohých služieb bezpečného zasielania správ a bezpečných e-mailových služieb. Dokonca ani najpopulárnejšie služby zabezpečenej elektronickej pošty, ako napríklad ProtonMail, nemajú dobré riešenie problému metadát.
Teraz preskúmame kľúčové funkcie služby Session messenger.
Súhrn funkcií aplikácie Session.
Tu sú uvedené funkcie, ktoré budete chcieť zvážiť pri hodnotení služby Session:
Používa protokol Session inšpirovaný protokolom Signal, nad distribuovaným systémom smerovania cibule na anonymnú, decentralizovanú komunikáciu.
100 % kód s otvoreným zdrojovým kódom (kód je k dispozícii na GitHub).
Klienti pre Android, iOS, macOS, Windows, Linux.
Systém je po niekoľkých mesiacoch redizajnu a refaktorovania oveľa stabilnejší.
Informácie o spoločnosti Session.
Session je projektom nadácie Loki Foundation. Nadácia Loki Foundation (registrovaná ako LAG Foundation, LTD) je registrovaná charitatívna nadácia so sídlom v austrálskom štáte Victoria. Nadácia uvádza, že jej cieľom je: "...vytvárať komunikačné nástroje a aplikácie s otvoreným zdrojovým kódom bez metadát, ktoré chránia súkromie v digitálnom svete."
Poznámka: Produkty Loki menia svoj názov na Oxen. Pravdepodobne bude dlhšie obdobie, keď sa budú názvy Loki a Oxen používať zameniteľne.
Kde sú uložené vaše údaje relácií?
Správy, ktoré sa vám posielajú, sa v skutočnosti posielajú do vášho roja. Správy sú dočasne uložené na viacerých uzloch služieb v rámci roja, aby sa zabezpečila redundancia. Keď vaše zariadenie vyzdvihne správy z roja, automaticky sa vymažú z uzlov služieb, ktoré ich dočasne uchovávali.
Poznámka: Toto nie je to isté ako architektúra peer-to-peer. Podľa často kladených otázok o reláciách tu,
Klienti relácie nevystupujú ako uzly v sieti a nepreposielajú ani neukladajú správy pre sieť. Sieťová architektúra relácie Session má bližšie k modelu klient-server, kde aplikácia Session vystupuje ako klient a roj servisných uzlov ako server. Architektúra Session klient-server umožňuje jednoduchšie asynchrónne posielanie správ (posielanie správ, keď je jedna strana offline) a obfuskáciu IP adries na základe cibuľového smerovania v porovnaní so sieťovými architektúrami peer-to-peer.
Testovanie a audity aplikácie Session treťou stranou.
Session teraz využíva svoju cibuľovú smerovaciu sieť. Minulý rok si objednali bezpečnostný audit aplikácií Session Desktop, Android a iOS od spoločnosti Quarkslab. Tento audit je teraz dokončený a poskytuje dobré správy pre spoločnosť Session a jej používateľov. Správa o audite sa čiastočne uzatvára takto:
Oxen Session skutočne zlepšuje súkromie a odolnosť signálu tým, že používa prekrývaciu sieť k existujúcemu riešeniu okamžitých správ s end-to-end šifrovaním. Mechanizmy onion-routing využívajú na ukladanie a výmenu správ systém Oxen Snodes. Existujú však niektoré ďalšie centralizované štandardné webové služby, ktoré sa stále používajú prostredníctvom prekrývacej siete (pre službu push a na doručovanie súborov príloh). Všetky hlavné problémy boli rýchlo odstránené.
Quarkslab Oxen Session Audit, technická správa
Session je teraz vhodná na použitie v prípadoch, keď je predpokladom preukázaná a nezávisle overená bezpečnosť.
Ako bezpečná a súkromná je relácia Session?
Keď je relácia Session dokončená a plne rozvinutá, mala by byť superbezpečná, extrémne súkromná, anonymná a všeobecne vynikajúca. Nie je však jasné, ako ďaleko je produkt skutočne blízko k dokončeniu.
Systém smerovania cibule je teraz funkčný, čo je veľkým prínosom pre bezpečnosť a súkromie. A bezpečnostný audit Quarkslab ukazuje, že aplikácie pre počítače, Android a iOS sú bezpečné.
Obavy týkajúce sa Austrálie a bezpečnosti údajov.
V súvislosti s témami súkromia a bezpečnosti údajov musíme diskutovať o tom, kde má spoločnosť Session sídlo. Ako bolo uvedené vyššie, spoločnosť Session má sídlo v Austrálii. Žiaľ, Austrália nie je dokonalou jurisdikciou na ochranu osobných údajov z niekoľkých dôvodov.
Ako sme nedávno uviedli v našej príručke o najlepších sieťach VPN pre Austráliu, krajina v roku 2018 prijala zákon, ktorý oslabuje šifrovanie a bezpečnosť údajov. Tu je stručný prehľad tohto zákona:
Austrálsky parlament vo štvrtok schválil sporný zákon o šifrovaní, ktorý od technologických spoločností vyžaduje, aby poskytovali orgánom činným v trestnom konaní a bezpečnostným agentúram prístup k zašifrovanej komunikácii. Obhajcovia ochrany súkromia, technologické spoločnosti a ďalšie podniky sa ostro postavili proti návrhu zákona, ale vláda premiéra Scotta Morrisona uviedla, že je potrebný na prekazenie zločincov a teroristov, ktorí na komunikáciu používajú programy na šifrovanie správ.
V kruhoch ochrany súkromia sa "zákon o pomoci a prístupe" niekedy nazýva "zákonom proti šifrovaniu" alebo "zákonom proti šifrovaniu" kvôli tomu, čo umožňuje. Tento zákon by zásadným spôsobom ovplyvnil podniky, ktoré poskytujú služby šifrovanej komunikácie vrátane relácií, služieb VPN a iných podnikov zameraných na ochranu súkromia. Táto téma naďalej vyvoláva kritiku zo strany ochrancov súkromia na celom svete.
Po vzore Austrálie aj americké regulačné orgány navrhli prinútiť technologické spoločnosti, aby prelomili šifrovanie, čím by uľahčili sledovanie.
Nadácia Loki Foundation, ktorá stojí za iniciatívou Session, sa tejto pálčivej otázke venovala vo svojom blogovom príspevku:
Keď sme prvýkrát uvideli tento návrh zákona, boli sme samozrejme zdesení. Potenciál, že tento právny predpis by mohol projekt úplne ohroziť, neostal bez povšimnutia. Začali sme uvažovať o tom, ako by sme mohli nastaviť zabezpečenie proti chybám, ktoré by ľuďom umožnilo zachytiť zlý kód, ktorý sa vkladá do našej databázy, alebo zaplatiť niekomu mimo spoločnosti Loki, aby pravidelne kontroloval naše binárne súbory, ktoré vydávame, a uistil sa, že z nich neunikajú dodatočné informácie alebo sa nejakým spôsobom nezhodujú s databázou. Ak by nám bolo vydané TCN [Technical Capability Notice], nemohli by sme o tom nikomu povedať. Ak by sme vytvorili nejaký kanárikový systém, mohli by sme byť uväznení. Takže akýkoľvek bezpečnostný systém, ktorý by sme nastavili, by musel byť externý pre Loki a musel by nás pravidelne kontrolovať, aby sme sa uistili, že sme neboli kompromitovaní pred vydaním TCN.
Nadácia Loki nakoniec verí, že aj v tomto nebezpečnom právnom prostredí dokáže prevádzkovať bezpečnú službu posielania správ. Ich blogový príspevok na túto tému zachádza naozaj hlboko do technických a právnych detailov, ktoré môžete preskúmať, ak máte čas a chuť. Okrem toho sa tejto otázke venujú v téme často kladených otázok s názvom" Predstavuje protišifrovací postoj austrálskej vlády riziko pre reláciu?", ako aj v tejto aktualizácii ich pôvodného príspevku na blogu.
Sú teda vaše údaje s aplikáciou Session messenger v bezpečí?
Po preskúmaní návrhu zákona o telekomunikáciách a iných právnych zmenách (pomoc a prístup) z roku 2018, všeobecne známeho ako zákon AA alebo TOLA, mám pochybnosti, ale k vlastným záverom môžete dospieť sami.
Ďalšie obavy týkajúce sa ochrany osobných údajov v Austrálii.
Stojí tiež za zmienku, že legislatíva proti šifrovaniu nie je jediným problémom ochrany súkromia, ktorý trápi Austráliu. Zoberte si toto:
Povinné uchovávanie údajov - V roku 2017 Austrália zaviedla rámec povinného uchovávania údajov. Ten núti všetkých poskytovateľov internetu a telefónne spoločnosti uchovávať údaje o pripojení pre vládne agentúry celé dva roky.
Päť očí - Už skôr sme tiež uviedli, že Austrália je členom aliancie Five Eyes pre sledovanie. Táto aliancia spolupracuje na zhromažďovaní a zdieľaní údajov z masového dohľadu.
A ak si myslíte, že rôzne agentúry nevyužívajú tieto zákony na zhromažďovanie údajov o Austrálčanoch, zamyslite sa znova. Tu je nedávny titulok z denníka The Guardian:
Session Messenger FAQ.
Tu je niekoľko otázok, ktoré sa často objavovali počas výskumu a písania tejto aktualizácie.
Je služba Session Messenger bezpečná?
Nedávno ukončený bezpečnostný audit spoločnosti Quarkslab potvrdil to, čomu sme dlho verili: Session je bezpečný. Ale kroky austrálskej vlády, ktoré sa snažia obísť ochranu súkromia v podstate v každej aplikácii alebo službe (nielen v službe Session), v nás vyvolávajú pocit, že vaše súkromie nemožno zaručiť, ak používate službu Session.
Čo je protokol Session?
Protokol Session je nový protokol na zasielanie správ vyvinutý spoločnosťou Session. Pri prechode z protokolu Signal na protokol Session sa zachováva jeho bezpečnosť a zároveň poskytuje funkcie ochrany súkromia/anonymity a decentralizácie. Výsledkom je protokol, ktorý dobre funguje s jedinečnou architektúrou Session.
Záver recenzie protokolu Session.
Session je sľubný produkt, ktorý však má svoje klady a zápory. Po dokončení by mal byť rovnako bezpečný ako Signal, dokonca súkromnejší ako Signal a tiež anonymný. Stále však pretrvávajú obavy týkajúce sa Austrálie, ochrany osobných údajov a schopnosti nadácie Loki Foundation zabezpečiť bezpečnosť údajov používateľov v tomto prostredí.
Last edited by a moderator:
