Обзор безопасных мессенджеров
Для того, чтобы мессенджер, выбранный вами ради обеспечения анонимности, действительно отвечал заявленным критериям безопасности, важно озаботиться в этом смысле корректным ПО. Подбирая для себя лучший софт желательно отдавать предпочтение имеющим в своей основе открытый исходный код, те из них, которые подтверждены лицензией и поддерживаются сообществом, также использовать проверенные старые-добрые инструменты PGP или GPG и где возможно децентрализованные P2P-клиенты - чтобы в обмене данными не затрагивались сервера поставщика любых услуг.
Также близким к идеальному вариант средства связи можно считать тот, чьи алгоритмы способны обезличить обмен данными, скрыть адреса отправителя, что достигается их проведением через Tor-сеть, или же использованием маскирующих звеньев на пути к адресату, т.к важна недоступность метаданных (кто общается, как долго и т.п.).
Самым очевидным и эффективным решением я считаю использование сочетания различных инструментов шифрования и обработки потока данных. Пример их разумной комбинации это OTR+XMPP+Tor, что подразумевает перенаправление траффика через Tor-сеть (для сотовых устройств - Orbot) с дальнейшим пропуском данных по протоколам из этой связки, что в итоге решает множество задач шифрования.
Jabber (он же XMPP) разрабатывался как протокол, позднее были созданы условия и для обмена сообщениями в этой среде. Сейчас Jabber-мессенджером пользуются организации, обслуживающие спец.службы, хотя работники крупных корпораций заявляют, что для них предпочтительнее Signal.
Упомянутый протокол - это придаток комплекса для связи, он предоставляет независимый сервер для передачи информации и может обеспечить шифрование SSL или TLS по пути следования информации. Но это не защищает информацию от владельцев сервера - для полной приватности общения двух клиентов используют OTR. Ну а пропускание трафика через сеть Tor'а обеспечивает анонимность нахождения собеседника и факт использования мессенджера.
По этому принципу работает один из самых достойных внимания мессенджер ChatSecure - мобильное приложение для выхода в Tor-сеть (CPAProxy на iOS), способное обмениваться сообщениями с любым другим мессенджером, поддерживающим те же протоколы безопасности. В мае 2017-го разработчики сообщили о прекращении финансирования проекта, а значит и дальнейшего его развития, однако в июне ввели протоколы XEP-0352 и XEP-0363 - иными словами, выпустили следующее обновление, пообещав еще.
По тому же принципу работает Tor Messenger, основанный на Instant Bird, т.е использующий Jabber (он же XMPP), а также IRC, Twitter, Facebook Chat, Yahoo!, Google talk, и др. используют инструмент OTR и пропускают трафик через Tor-сеть.
Из-под Tails просто и удобно пользоваться Jabber через мессенджер-оболочку Pidgin с подключением OTR и пропусканием траффика через Tor-сеть. Jabber подходит многим ОС. Для использования комплекса OTR+Jabber+Tor из-под Android'a могу еще порекомендовать клиента Xabber (доступен через FDroid).
Также заслуживающим внимания является Ricochet - децентрализированный, кроссплатформенный мессенджер для ПК, анонимизирующий работу при помощи Tor и очистки метаданных.
При отсутствии доступа к Интернет, на расстоянии нескольких десятков метров можно общаться с помощью mesh-мессенджеров, связывающихся через wi-fi или Bluetooth. Для смартфонов существует проприетарный FireChat, который несколько раз играл роль при народных протестах. Его аналог - BlueChat под лицензией MIT. Существует также open source'ный для Android'а - the ServalMesh.
Threema выполняет сквозное шифрование всех данных, которыми вы обмениваетесь (сообщений, групповых чатов, файлов мультимедиа и даже "статусов"), используя надежную криптографическую библиотеку NaCl с открытым исходным кодом; ключи шифрования генерируются и хранятся в защищенных папках на устройствах пользователей, что (в рамках мессенджера) исключает возможность тайного доступа к данным или их копирования.
Ярче всего эффективность совмещения криптографических инструментов, на мой взгляд, представлена в BitMessage под лицензией MIT, который, как говорится на их сайте, в то же время, еще не имеет независимого аудита. Однако чем из заявленного он однозначно хорош:
мессенджер децентрализован, т.е при этом сам пользователь является клиентом и сервером одновременно;
это полностью открытый код со всеми открывающимися благодаря этому возможностями;
Proof-of-Work избавляет от спама и, наряду с P2P, полезен даже в смысле "общения" - у любого из сообщений нет адресата, что делает прочтение возможным лишь у обладателя ключа (специалисты советуют совершать обмен ключами при личной встрече). Эти и другие инструменты, задействованные в нем, компенсируют недостатки друг друга именно за счет одновременного использования.
При настройке связки Tor+OTR+XMPP важно проявить избирательность в выборе всего остального ПО и постараться проконтролировать варианты взаимодействия и возможности приложений - настолько глубоко и обширно, насколько это позволяет ваши дотошность и сам софт. Чтобы успешно пользоваться этими инструментами, лучше зарегистрироваться на сервере страны, чье законодательство запрещает перехват, копирование и дешифрование личных данных ради идентификации того или иного пользователя, что сразу отнимает очки предпочтений у страны, где вы находитесь, также США или стран ЕС. Ниже приведен список не так давно признанных приемлемыми для создания аккаунта серверов:
securejabber.me / Германия / Могут заблокировать аккаунт по требованию немецких властей / Зеркало: giyvshdnojeivkom.onion
jabber.calyxinstitute.org / Нидерланды / Зеркало: ijeeynrc6x2uy5ob.onion
sj.ms / Швейцария
swissjabber.ch / Швейцария
xmpp.jp / Япония
wallstreetjabber.biz / США / Бывший securetalks.biz / Зеркало: wsjabberhzuots2e.onion
thesecure.biz / Сингапур
exploit.im / Франция
fuckav.in / Франция / Есть фильтр кириллических символов
jabber.otr.im / Канада / Сервер от создателей OTR / Зеркало: 5rgdtlawqkcplz75.onion
jabber.ccc.de / Австрия / Зеркало: okj7xc6j2szr2y75.onion
xmpp.rows.io / США / Зеркало: yz6yiv2hxyagvwy6.onion
jabber.cryptoparty.is / Румыния / Зеркало: cryjabkbdljzohnp.onion
neko.im / Нидерланды / Ранее базировались в Норвегии
riseup.net / США / Зеркало: 4cjw6cwpeaeppfqz.onion