Session Messenger претендует на звание лучшего приложения для безопасного обмена сообщениями. При этом ему приходится конкурировать с такими приложениями, как Signal и другими ведущими приложениями, которые мы рассматриваем в нашем обзоре лучших приложений для безопасного и зашифрованного обмена сообщениями. В этом обновленном обзоре Session мы рассмотрим возможности Session — как активные сегодня, так и те, которые появятся в ближайшее время.
Signal заслуживает особого упоминания в обзоре этой сессии. Это потому, что Session является форком Signal, а это означает, что большая часть функций Session изначально была заимствована из Signal. Это прекрасно, поскольку Signal уже давно считается наиболее безопасным из сервисов безопасного обмена сообщениями. Благодаря превосходному сквозному (E2E) шифрованию, обеспечиваемому протоколом Signal, Signal настолько безопасен, насколько это возможно в приложении для обмена сообщениями.
Но Signal не так силен в вопросах конфиденциальности, как в вопросах безопасности. Он собирает некоторые метаданные и не имеет корпоративного спонсора, такого как Facebook, который поглощает и монетизирует эти метаданные. Что еще более важно, Signal требует от вас предоставить номер телефона для создания учетной записи. Signal также полагается на центральные серверы для управления потоком сообщений и хранения метаданных, которые он собирает.
Поскольку Session является ответвлением Signal, он унаследовал надежную безопасность Signal. После этого команда Session создала анонимизированную децентрализованную систему, которая обеспечивает превосходную конфиденциальность и анонимность для своих пользователей. Готовы ли вы узнать больше об этом претенденте на трон лучшего безопасного и приватного мессенджера? Тогда давайте углубимся в обзор Session.
Основы работы с мессенджером Session
За кулисами Session принципиально отличается от большинства других сервисов безопасного обмена сообщениями. Чтобы облегчить понимание остальной части этого обзора Session, мы должны рассказать о некоторых основах.
Разговоры в Session защищены с помощью шифрования E2E на стороне клиента. Только отправитель и получатель сообщения могут прочитать его. Но Session не ограничивается обеспечением безопасности сообщений. Session также защищает личность своих пользователей. Он делает ваши сообщения приватными и анонимными, а также безопасными.
Это возможно благодаря тому, что Session соединяет пользователей через Tor-подобную сеть, состоящую из тысяч узлов обслуживания. Сервисные узлы - это серверы, которые передают сообщения по сети туда и обратно, а также предоставляют дополнительные услуги. Система луковых запросов, которую использует Session для защиты сообщений, гарантирует, что ни один сервисный узел в сети никогда не узнает ни происхождения сообщения (ваш IP-адрес), ни назначения (IP-адрес получателя). Это позволяет скрыть ваш IP по умолчанию.
Session предпринимает ряд дополнительных шагов для защиты вашей личности:
- Для регистрации не требуется номер телефона (в отличие от того, что мы обнаружили в нашем обзоре Signal).
- Для регистрации не требуется электронная почта (в отличие от мессенджера Wire).
- Не собираются данные о геолокации, данные об устройстве или метаданные.
Узлы сервиса объединяются в рои. Рои обеспечивают избыточность сети, а также временное хранение, когда сообщения не могут быть доставлены по назначению. Каждый клиент сессии подключается к рою для отправки и получения сообщений в режиме реального времени, а также для получения соответствующих сообщений, которые хранятся в рое в ожидании доставки.
Вы заметили, что мы не говорили о каком-либо центральном сервере. Сеть Session децентрализована, в ней нет единой точки отказа и нет главного сервера, который могли бы взломать злоумышленники. Session перемещает сообщения с помощью системы луковой маршрутизации.
В системе луковой маршрутизации сообщения окружены несколькими слоями шифрования и проходят через несколько узлов системы. Каждый узел расшифровывает слой шифрования, прежде чем передать сообщение дальше. Благодаря тому, что сообщения шифруются, ни один узел не может знать ни происхождения сообщения, ни его назначения. Кроме того, ваш IP-адрес никогда не будет виден в пункте назначения, а значит, у собеседника не будет возможности идентифицировать вас, когда вы используете Session. Служба Session должна оказаться очень устойчивой и продолжать работать даже тогда, когда отдельные узлы обслуживания присоединяются или покидают сеть.
Система луковой маршрутизации Session работает в сети узлов обслуживания Oxen. Эта сеть (ранее известная как Lokinet) также служит частью инфраструктуры для криптовалюты $OXEN. Подробнее об OXEN можно узнать на сайте Oxen.io.
Хотя Session сейчас отлично справляется с основными функциями обмена сообщениями, у него нет некоторых функций, которые есть у конкурентов, таких как Signal или Telegram. В частности, в нем пока нет голосовых и видеозвонков. Если вам нужны именно такие возможности, возможно, вам стоит обратить внимание на другое приложение для обмена сообщениями.
Это то, что вам нужно знать, чтобы понять, как работает Session.
Вот плюсы и минусы, которые мы выделили в этом обзоре Session:
+ Плюсы
- Сквозное (E2E) шифрование защищает текстовые и голосовые сообщения, а также вложения.
- Шифрование: Протокол сеанса
- Для регистрации не требуется номер телефона или адрес электронной почты
- Открытый исходный код
- Система луковой маршрутизации обеспечивает децентрализацию и анонимность
- Не регистрирует IP-адреса и метаданные
- Зашифрованные закрытые группы (теперь до 100 человек) и открытые группы (без ограничений по размеру)
- Успешно завершен аудит кода безопасности приложений для настольных компьютеров, Android и iOS
- Минусы
- Не поддерживает 2FA (двухфакторную аутентификацию)
- Пересмотрена синхронизация с несколькими устройствами
- Убрана функция Perfect Forward Secrecy
Теперь мы рассмотрим ключевые особенности мессенджера Session.
Краткое описание возможностей Session
Здесь перечислены особенности, которые вы захотите рассмотреть при оценке Session:
- Использует протокол Session, вдохновленный Signal, поверх распределенной системы луковой маршрутизации для анонимного, децентрализованного общения.
- 100% открытый исходный код. (Код доступен на GitHub).
- Клиенты для Android, iOS, macOS, Windows, Linux.
- Система стала намного стабильнее после нескольких месяцев переделки и рефакторинга
Где хранятся данные вашей Session?
Сообщения, которые отправляются вам, на самом деле отправляются в ваш рой. Для обеспечения избыточности сообщения временно хранятся на нескольких узлах обслуживания в рое. Как только ваше устройство получает сообщения из роя, они автоматически удаляются с узлов обслуживания, на которых они временно хранились.
Примечание: Это не то же самое, что архитектура peer-to-peer. В по сессиям здесь,
Клиенты Session не выступают в роли узлов сети, не передают и не хранят сообщения для сети. Сетевая архитектура Session ближе к модели клиент-сервер, где приложение Session выступает в качестве клиента, а рой сервисных узлов - в качестве сервера. Клиент-серверная архитектура Session позволяет упростить асинхронный обмен сообщениями (обмен сообщениями, когда одна из сторон находится вне сети) и маскировку IP-адресов с помощью луковой маршрутизации по сравнению с одноранговыми сетевыми архитектурами.
Стороннее тестирование и аудит Session
Компания Session теперь использует свою сеть луковой маршрутизации. В прошлом году компания Quarkslab заказала аудит безопасности приложений Session Desktop, Android и iOS. Сейчас аудит завершен, и в нем содержатся хорошие новости для Session и ее пользователей. В отчете об аудите говорится, в частности, следующее:
Oxen Session действительно улучшает конфиденциальность и устойчивость сигналов благодаря использованию оверлейной сети в существующем решении для обмена мгновенными сообщениями со сквозным шифрованием. Механизмы луковой маршрутизации используют Snodes Oxen для хранения и обмена сообщениями, однако есть и другие централизованные стандартные веб-службы, которые по-прежнему используются через оверлейную сеть (для службы push и доставки вложенных файлов). Все основные проблемы были быстро устранены.
Аудит сессии Quarkslab Oxen,
Теперь Session пригодна для использования в случаях, когда необходимым условием является проверенная и независимо подтвержденная безопасность.
(Перевод Mazafaka)
