TechClub Forum
https://forum.igclubs.org/

Обзор безопасных мессенджеров
https://forum.igclubs.org/viewtopic.php?f=10&t=3149
Страница 1 из 1

Автор:  Admin [ 25 сен 2017, 08:28 ]
Заголовок сообщения:  Обзор безопасных мессенджеров

Обзор безопасных мессенджеров

Изображение

Для того, чтобы мессенджер, выбранный вами ради обеспечения анонимности, действительно отвечал заявленным критериям безопасности, важно озаботиться в этом смысле корректным ПО. Подбирая для себя лучший софт желательно отдавать предпочтение имеющим в своей основе открытый исходный код, те из них, которые подтверждены лицензией и поддерживаются сообществом, также использовать проверенные старые-добрые инструменты PGP или GPG и где возможно децентрализованные P2P-клиенты - чтобы в обмене данными не затрагивались сервера поставщика любых услуг.

Также близким к идеальному вариант средства связи можно считать тот, чьи алгоритмы способны обезличить обмен данными, скрыть адреса отправителя, что достигается их проведением через Tor-сеть, или же использованием маскирующих звеньев на пути к адресату, т.к важна недоступность метаданных (кто общается, как долго и т.п.).


Самым очевидным и эффективным решением я считаю использование сочетания различных инструментов шифрования и обработки потока данных. Пример их разумной комбинации это OTR+XMPP+Tor, что подразумевает перенаправление траффика через Tor-сеть (для сотовых устройств - Orbot) с дальнейшим пропуском данных по протоколам из этой связки, что в итоге решает множество задач шифрования.


Jabber (он же XMPP) разрабатывался как протокол, позднее были созданы условия и для обмена сообщениями в этой среде. Сейчас Jabber-мессенджером пользуются организации, обслуживающие спец.службы, хотя работники крупных корпораций заявляют, что для них предпочтительнее Signal.

Упомянутый протокол - это придаток комплекса для связи, он предоставляет независимый сервер для передачи информации и может обеспечить шифрование SSL или TLS по пути следования информации. Но это не защищает информацию от владельцев сервера - для полной приватности общения двух клиентов используют OTR. Ну а пропускание трафика через сеть Tor'а обеспечивает анонимность нахождения собеседника и факт использования мессенджера.


По этому принципу работает один из самых достойных внимания мессенджер ChatSecure - мобильное приложение для выхода в Tor-сеть (CPAProxy на iOS), способное обмениваться сообщениями с любым другим мессенджером, поддерживающим те же протоколы безопасности. В мае 2017-го разработчики сообщили о прекращении финансирования проекта, а значит и дальнейшего его развития, однако в июне ввели протоколы XEP-0352 и XEP-0363 - иными словами, выпустили следующее обновление, пообещав еще.


По тому же принципу работает Tor Messenger, основанный на Instant Bird, т.е использующий Jabber (он же XMPP), а также IRC, Twitter, Facebook Chat, Yahoo!, Google talk, и др. используют инструмент OTR и пропускают трафик через Tor-сеть.



Из-под Tails просто и удобно пользоваться Jabber через мессенджер-оболочку Pidgin с подключением OTR и пропусканием траффика через Tor-сеть. Jabber подходит многим ОС. Для использования комплекса OTR+Jabber+Tor из-под Android'a могу еще порекомендовать клиента Xabber (доступен через FDroid).


Также заслуживающим внимания является Ricochet - децентрализированный, кроссплатформенный мессенджер для ПК, анонимизирующий работу при помощи Tor и очистки метаданных.

При отсутствии доступа к Интернет, на расстоянии нескольких десятков метров можно общаться с помощью mesh-мессенджеров, связывающихся через wi-fi или Bluetooth. Для смартфонов существует проприетарный FireChat, который несколько раз играл роль при народных протестах. Его аналог - BlueChat под лицензией MIT. Существует также open source'ный для Android'а - the ServalMesh.


Threema выполняет сквозное шифрование всех данных, которыми вы обмениваетесь (сообщений, групповых чатов, файлов мультимедиа и даже "статусов"), используя надежную криптографическую библиотеку NaCl с открытым исходным кодом; ключи шифрования генерируются и хранятся в защищенных папках на устройствах пользователей, что (в рамках мессенджера) исключает возможность тайного доступа к данным или их копирования.


Ярче всего эффективность совмещения криптографических инструментов, на мой взгляд, представлена в BitMessage под лицензией MIT, который, как говорится на их сайте, в то же время, еще не имеет независимого аудита. Однако чем из заявленного он однозначно хорош:

мессенджер децентрализован, т.е при этом сам пользователь является клиентом и сервером одновременно;
это полностью открытый код со всеми открывающимися благодаря этому возможностями;
Proof-of-Work избавляет от спама и, наряду с P2P, полезен даже в смысле "общения" - у любого из сообщений нет адресата, что делает прочтение возможным лишь у обладателя ключа (специалисты советуют совершать обмен ключами при личной встрече). Эти и другие инструменты, задействованные в нем, компенсируют недостатки друг друга именно за счет одновременного использования.
При настройке связки Tor+OTR+XMPP важно проявить избирательность в выборе всего остального ПО и постараться проконтролировать варианты взаимодействия и возможности приложений - настолько глубоко и обширно, насколько это позволяет ваши дотошность и сам софт. Чтобы успешно пользоваться этими инструментами, лучше зарегистрироваться на сервере страны, чье законодательство запрещает перехват, копирование и дешифрование личных данных ради идентификации того или иного пользователя, что сразу отнимает очки предпочтений у страны, где вы находитесь, также США или стран ЕС. Ниже приведен список не так давно признанных приемлемыми для создания аккаунта серверов:

securejabber.me / Германия / Могут заблокировать аккаунт по требованию немецких властей / Зеркало: giyvshdnojeivkom.onion

jabber.calyxinstitute.org / Нидерланды / Зеркало: ijeeynrc6x2uy5ob.onion

sj.ms / Швейцария

swissjabber.ch / Швейцария

xmpp.jp / Япония

wallstreetjabber.biz / США / Бывший securetalks.biz / Зеркало: wsjabberhzuots2e.onion

thesecure.biz / Сингапур

exploit.im / Франция

fuckav.in / Франция / Есть фильтр кириллических символов

jabber.otr.im / Канада / Сервер от создателей OTR / Зеркало: 5rgdtlawqkcplz75.onion

jabber.ccc.de / Австрия / Зеркало: okj7xc6j2szr2y75.onion

xmpp.rows.io / США / Зеркало: yz6yiv2hxyagvwy6.onion

jabber.cryptoparty.is / Румыния / Зеркало: cryjabkbdljzohnp.onion

neko.im / Нидерланды / Ранее базировались в Норвегии

riseup.net / США / Зеркало: 4cjw6cwpeaeppfqz.onion

Страница 1 из 1 Часовой пояс: UTC - 4 часа
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/