Gruppidele parima sõnumside rakenduse otsimisel

Telegramm see ei krüpteeri teie kirju vaikimisi ja sellel pole krüpteeritud rühmi; Signaali nõuab telefoni, kuhu on installitud Google / Big vend / Skynet; ja whatsappEhkki see on hiljuti lubanud krüpteerimise ja sellel on vaikimisi turvalised rühmad, on sellel gifide tugi halb, kleebiseid pole ja muud praeguste vestluste põhilised nüansid.

Mida peate tegema, et teil oleks turvalisi, praktilisi ja lõbusaid grupivestlusi, mis on ka avatud lähtekoodiga ja sõbralikud GNU / Linuxi jaoks?

Praegune panoraam

Lubage mul natuke konteksti tuua: enne 2013. aastat uskusid selle tähtsust vaid vähesed "paranoikud" krüptida kogu meie side; pärast seda aastat Edward Snowden näitas meile üsna paljusid kaalukaid põhjusi, miks peaksime oma sidet kogu aeg krüptima, mistõttu hakkasid mõned rakendused turvalisust senisest tõsisemalt võtma, ehkki mitte nii, nagu küprokid o krüptopunkid oleksime soovinud.

Telegramm, avatud lähtekoodiga tsentraliseeritud serveritega.

Suhteliselt hiljuti tundus parim lahendus olevat Telegramm, avatud lähtekoodiga rakendus, mille puuduseks on see, et serverid on tsentraliseeritud ja võimul vennad Durovid Berliinis (Vene omanikud Saksamaa pinnal, Ameerika õudusunenägu!). Siiski on vaja usaldada, et need inimesed ei hakka vestlusi luurama ja et nad ei müü ligipääsu nendele andmetele ühele korporatsioonile ega valitsusele ning hoolimata sellest, kui palju nad meile ühtegi püha raamatut vannuvad, pole mingeid kindlaid täiesti usaldusväärne, mis annab meile täieliku meelerahu.

Kuna grupikrüptimine on tehniliselt väga keeruline ja sellega kaasnevad praktilised puudused, peame Telegrami kasutamisel need vestlused krüptimata jätma.

WhatsApp, suletud koodiga krüpteeritud vestlused.

whatsapp See on alanud vastupidi: see alustas tegevust enne Snowdeni paljastusi, nii et see ei hoolinud turvalisusest üldse. Enne 2012. aastat ei saatnud see isegi andmeid turvaliste ühenduste kaudu, seega mis tahes põhirünnaku tüüpi mees keset seda tehti vestlustega.

Praegu on ta töötanud Whisper süsteemid, rakendada protokoll see krüpteerib vaikimisi kõik vestlused, isegi gruppide vestlused, ehkki see võtab praktilisuse, kuna töölauakliendid sõltuvad jõuga telefoniga ühendamisest, mis muudab WhatsAppi kasutamise arvutis aeglaseks, tüütuks ja ebapraktiliseks.

Teine probleem on see, et nii palju kui whatsapp öelge, et vestlused on otsast lõpuni krüptitud, tarkvara on suletud lähtekoodiga ja selle koodi omanik on Facebook, nii et te ei pea olema liiga paranoiline, et teada saada, et midagi pole seal päris korras. Ma võin usaldada Moxie Marlinspike, kuid mitte Facebookis.

Signaal, üks turvalisemaid, kuid vaatlejana võib-olla kasutada ka Google'i.

Moxie'st rääkides on ta Whysper Systems'i juht ja just tema, kes pakkus välja idee rakendusest, mis krüptib lisaks SMS-ide ja kõnede mobiiltelefonioperaatorite kaudu ka isiklikud ja grupisõnumid (juhul kui te ei teadnud, operaatorid saavad oma mobiilsidevõrgu kaudu näha ja kuulata mis tahes teavet); seda rakendust nimetatakse Signaali.

Üks suurtest Signaali eelised on see, et see ei sünkrooni midagi oma serveritega, nii et isegi meie päevakava pole ohus (muidu kui see, mis juhtub WhatsAppiga). See tähendab, et juhul kui Whysperi süsteem on rikutud või kui USA valitsus nõuab kaitstud andmeid (mis juhtus juba korra), pole tegelikult midagi pakkuda, sest nad ei pea millegi üle arvestust.

Selle suurepärase rakenduse (kiitis isegi Snowden) on see, mida ta kasutab Firebase'i pilvesõnumid (endine Google'i pilvesõnum), mis, nagu te arvate, sõltub Google'ist. Kuigi nad ütlevad, et sel juhul edastab ja võtab Google andmeid ainult vastu ning ei saa neid lugeda (mis ei vabasta neid arvestuse pidamisest, kes kellega räägib), on minu vestluste edastamine tähestiku serverite kaudu minu vaatevinklist midagi tarbetut ja riskantset. Rääkimata sellest, isegi kui arvame, et andmed on ohutud, tähendab see seda, et Google'iga telefon on sisikonna külge kinni jäänud, mis toob kaasa terve muu implikatsioonide maailma (sama, kui meil on iPhone, mis väldib FCM-i kasutamist).

Keegi tuli välja suurepärase ideega teha a kahvel Signaal ilma FCM-i kasutamata (Vaba signaal), kuid pärast Moxie väljapanekut hüljati nende põhjused FCM-i kasutamise taga, mis jätab meid tagasi sinna, kust alustasime: millist rakendust kasutada, et teil oleks suuri, turvalisi, praktilisi ja lõbusaid gruppe?

Miks on vaikimisi krüptitud gruppide olemasolu nii keeruline?

Üks põhjus on see, et selleks, et rühm oleks praktiline, peab see ka olema asünkroonne (Kui ei, siis pole kuidagi võimalik näha eelmisi sõnumeid ega seda, kuidas gruppi "siseneda ja sealt lahkuda", kaotamata juurdepääsu andmetele), kuid see muudab krüptimisprotsessi palju keerulisemaks.

Samamoodi peab krüptimine olema punkt-punkti, nii et kui alustame näiteks turvalist vestlust oma mobiiltelefoniga, ei saa me hiljem arvutis olevaid sõnumeid näha, mis rööviks väga aktiivsete liikmetega grupilt praktilisuse.

Parimal juhul WhatsApp ja Signal (mis kasutavad sama protokolliga) kasutavad arvutirakendusi peeglitena, mitte iseseisvate klientidena, mis väldib seda probleemi, kuid muudab arvuti kasutamise täielikult sõltuvaks mobiiltelefonist (mõnevõrra vähem praktiline).

Töökoha perspektiiviga taotlused

Teisest vaatenurgast on olemas ka sellised töörühmadele mõeldud rakendused nagu Lõtv, kuigi see on mõeldud äriliseks kasutamiseks, suletud kliendi jaoks ja kõik see, mida see tähendab.

On tasuta ja detsentraliseeritud alternatiive nagu Rocket, Mattermost o mäsu, kuid need sõltuvad sellest, kas keegi grupist majutab rakendust privaatserveris (mis tähendab, et kogu rühm peab seda usaldama) või maksab rakenduse arendajate serverite kasutamise eest (mis tähendab ka nende usaldamist) ; Lisaks puudub nendes rakendustes, kuna need on keskendunud töökeskkonnale, lihtsalt lõbu pärast (näiteks gifid või kleebised) utiliite.

Grupisõnumirakenduste ülevaade

Tänapäeval jätkavad rakendused arenemist ja praktika muutmist sisutihedama ja terviklikuma turvalisuse poole püüdlemisel, kuid nende protsesside loomulik keerukus (koos mõnes rakenduses ärihuvidega) ei tee võistlust ülimalt turvalise rakenduse nimel.

La Electronic Frontier Foundationi nimekiri Seoses sellega, millised rakendused on kõige turvalisemad, on see aegunud ja ootab uut versiooni ning peaaegu iga päev ilmuvad uued rakendused ja näitavad end arvukate valikute seas parimatena.

Uus esiletõstmist vääriv rakendus on Google'i Allo ja ma ütlen, et see on tähelepanuväärne, sest algselt oli ta öelnud, et krüpteerib vaikimisi kogu suhtluse, kuid esitluse päeval ütles ta, et mitte alati, et see annab võimaluse alustada turvalist vestlust kuid mitte automaatselt (mis isegi teenis talle a mainitakse Snowdenit). See on mõistetav, kuna tähestiku äri on meie andmed, seega on rakendus, mis neile rikkust ei tekita, raisatud rakendus (sama juhtum WhatsAppi ja Facebookiga).

Tundub, et usaldusväärse ja praktilise rakenduse osas peame ootama veelgi kauem, kuna praegu on kõigil rakendustel praktilisuse või turvalisuse osas vigu. Tundub, et kuni tänaseni ei ole me suutnud lahku lüüa matemaatilisest valemist, mis dikteerib, et "ohutus on kaudselt proportsionaalne praktilisusega", ja isegi kui meil õnnestub sellest barjäärist üle saada, peame ikkagi tegelema spetsialiseerumata üldsuse kõikjal esineva vastupanuga uute tehnoloogiate kasutuselevõtuks protokollid, isegi kui on näidatud absoluutne üldine paranemine ( Tox y ring, mainides kahte hiljutist ja huvitavat näidet).

Heas ja halvas osas on see, mida tavaline kasutaja kasutab, alati kõige otstarbekam (peaaegu alati tingib ärilised huvid), mitte tehnilises mõttes parim. Sellele suundumusele on kõige vastupidavamad vastupidavad protokollid XMPP pistikprogrammi saatel OTR mis ootuspäraselt ootab endiselt tugeva krüptimisega gruppe.