Важно Обзор безопасных мессенджеров

Тема в разделе "Анонимность в сети", создана пользователем Fogg, 24 сен 2017.

  1. Fogg

    Fogg

    Сообщения:
    250
    Баллы:
    16
    http://telegra.ph/file/fad6ae718f367bdc57635.png



    Для того, чтобы мессенджер, выбранный вами ради обеспечения анонимности, действительно отвечал заявленным критериям безопасности, важно озаботиться в этом смысле корректным ПО. Подбирая для себя лучший софт желательно отдавать предпочтение имеющим в своей основе открытый исходный код, те из них, которые подтверждены лицензией и поддерживаются сообществом, также использовать проверенные старые-добрые инструменты PGP или GPG и где возможно децентрализованные P2P-клиенты - чтобы в обмене данными не затрагивались сервера поставщика любых услуг.

    Также близким к идеальному вариант средства связи можно считать тот, чьи алгоритмы способны обезличить обмен данными, скрыть адреса отправителя, что достигается их проведением через Tor-сеть, или же использованием маскирующих звеньев на пути к адресату, т.к важна недоступность метаданных (кто общается, как долго и т.п.), чего не имеет, к примеру, раскрученный всеми любимый Telegram. В нем существует проприетарный сегмент - вероятно, необходимый для корректной по замыслу разработчиков работы мессенджера, однако вместе с этим, любое "несвободное" ПО может быть использовано для противоречащих приватности и анонимности целей.

    http://telegra.ph/file/56f249c9422a9e978a33a.png
    Самым очевидным и эффективным решением я считаю использование сочетания различных инструментов шифрования и обработки потока данных. Пример их разумной комбинации это OTR+XMPP+Tor, что подразумевает перенаправление траффика через Tor-сеть (для сотовых устройств - Orbot) с дальнейшим пропуском данных по протоколам из этой связки, что в итоге решает множество задач шифрования.

    http://telegra.ph/file/ff5f4066ca6ab3e20eb52.png
    Jabber (он же XMPP) разрабатывался как протокол, позднее были созданы условия и для обмена сообщениями в этой среде. Сейчас Jabber-мессенджером пользуются организации, обслуживающие спец.службы, хотя работники крупных корпораций заявляют, что для них предпочтительнее Signal.

    Упомянутый протокол - это придаток комплекса для связи, он предоставляет независимый сервер для передачи информации и может обеспечить шифрование SSL или TLS по пути следования информации. Но это не защищает информацию от владельцев сервера - для полной приватности общения двух клиентов используют OTR. Ну а пропускание трафика через сеть Tor'а обеспечивает анонимность нахождения собеседника и факт использования мессенджера.

    http://telegra.ph/file/c88d046405063c5b5f17a.png
    По этому принципу работает один из самых достойных внимания мессенджер ChatSecure - мобильное приложение для выхода в Tor-сеть (CPAProxy на iOS), способное обмениваться сообщениями с любым другим мессенджером, поддерживающим те же протоколы безопасности. В мае 2017-го разработчики сообщили о прекращении финансирования проекта, а значит и дальнейшего его развития, однако в июне ввели протоколы XEP-0352 и XEP-0363 - иными словами, выпустили следующее обновление, пообещав еще.

    http://telegra.ph/file/bb64ad9eb2596d73f1654.png
    По тому же принципу работает Tor Messenger, основанный на Instant Bird, т.е использующий Jabber (он же XMPP), а также IRC, Twitter, Facebook Chat, Yahoo!, Google talk, и др. используют инструмент OTR и пропускают трафик через Tor-сеть.



    Из-под Tails просто и удобно пользоваться Jabber через мессенджер-оболочку Pidgin с подключением OTR и пропусканием траффика через Tor-сеть. Jabber подходит многим ОС. Для использования комплекса OTR+Jabber+Tor из-под Android'a могу еще порекомендовать клиента Xabber (доступен через FDroid).

    http://telegra.ph/file/8d7e78fd64d64561d9257.png
    Также заслуживающим внимания является Ricochet - децентрализированный, кроссплатформенный мессенджер для ПК, анонимизирующий работу при помощи Tor и очистки метаданных.

    При отсутствии доступа к Интернет, на расстоянии нескольких десятков метров можно общаться с помощью mesh-мессенджеров, связывающихся через wi-fi или Bluetooth. Для смартфонов существует проприетарный FireChat, который несколько раз играл роль при народных протестах. Его аналог - BlueChat под лицензией MIT. Существует также open source'ный для Android'а - the ServalMesh.

    http://telegra.ph/file/b924d9b93165434d0a891.png
    Threema выполняет сквозное шифрование всех данных, которыми вы обмениваетесь (сообщений, групповых чатов, файлов мультимедиа и даже "статусов"), используя надежную криптографическую библиотеку NaCl с открытым исходным кодом; ключи шифрования генерируются и хранятся в защищенных папках на устройствах пользователей, что (в рамках мессенджера) исключает возможность тайного доступа к данным или их копирования.

    http://telegra.ph/file/eb702b495312599bb4a19.png
    Ярче всего эффективность совмещения криптографических инструментов, на мой взгляд, представлена в BitMessage под лицензией MIT, который, как говорится на их сайте, в то же время, еще не имеет независимого аудита. Однако чем из заявленного он однозначно хорош:

    • мессенджер децентрализован, т.е при этом сам пользователь является клиентом и сервером одновременно;
    • это полностью открытый код со всеми открывающимися благодаря этому возможностями;
    • Proof-of-Work избавляет от спама и, наряду с P2P, полезен даже в смысле "общения" - у любого из сообщений нет адресата, что делает прочтение возможным лишь у обладателя ключа (специалисты советуют совершать обмен ключами при личной встрече). Эти и другие инструменты, задействованные в нем, компенсируют недостатки друг друга именно за счет одновременного использования.
    При настройке связки Tor+OTR+XMPP важно проявить избирательность в выборе всего остального ПО и постараться проконтролировать варианты взаимодействия и возможности приложений - настолько глубоко и обширно, насколько это позволяет ваши дотошность и сам софт. Чтобы успешно пользоваться этими инструментами, лучше зарегистрироваться на сервере страны, чье законодательство запрещает перехват, копирование и дешифрование личных данных ради идентификации того или иного пользователя, что сразу отнимает очки предпочтений у страны, где вы находитесь, также США или стран ЕС. Ниже приведен список не так давно признанных приемлемыми для создания аккаунта серверов:

    securejabber.me / Германия / Могут заблокировать аккаунт по требованию немецких властей / Зеркало: giyvshdnojeivkom.onion

    jabber.calyxinstitute.org / Нидерланды / Зеркало: ijeeynrc6x2uy5ob.onion

    sj.ms / Швейцария

    swissjabber.ch / Швейцария

    xmpp.jp / Япония

    wallstreetjabber.biz / США / Бывший securetalks.biz / Зеркало: wsjabberhzuots2e.onion

    thesecure.biz / Сингапур

    exploit.im / Франция

    fuckav.in / Франция / Есть фильтр кириллических символов

    jabber.otr.im / Канада / Сервер от создателей OTR / Зеркало: 5rgdtlawqkcplz75.onion

    jabber.ccc.de / Австрия / Зеркало: okj7xc6j2szr2y75.onion

    xmpp.rows.io / США / Зеркало: yz6yiv2hxyagvwy6.onion

    jabber.cryptoparty.is / Румыния / Зеркало: cryjabkbdljzohnp.onion

    neko.im / Нидерланды / Ранее базировались в Норвегии

    riseup.net / США / Зеркало: 4cjw6cwpeaeppfqz.onion
  2. polymorph

    polymorph

    Сообщения:
    7
    Баллы:
    1
    Спасибо конечно за список приемлимых для регистрации аккаунта серваков, но вам не кажется, что было бы логичней и целесообразней привести список соответствующих критериям описаным в статье? Мне лично очень интересно и если кто-то обладает подобным списком - очень прошу в студию!

Поделиться этой страницей

Top