Interested Article - Session messenger

elizabeth
  • 2020-12-05
  • 1

Session messenger — открытый анонимный децентрализованный мессенджер на базе экосистемы Oxen, который поддерживает сквозное шифрование, минимизирует использование метаданных и скрывает личности пользователей по умолчанию .

Отличительная особенность Session messenger заключается в том, что для регистрации не требуется телефонный номер или адрес электронной почты. Вместо этого при создании аккаунта генерируется случайный уникальный ID . Другой важной особенностью является то, что Session скрывает IP-адреса пользователей, тем самым защищая их от деанонимизации .

История создания

Session - это проект Oxen, созданный при поддержке Loki Foundation - НПО из Австралии, сфокусированной на технологиях, обеспечивающих приватность . Session messenger изначально был форком мессенджера Signal , который долгое время считался одним из самых безопасных мессенджеров из-за использования сквозного шифрования и протокола Signal. Однако протокол Signal был разработан для систем с централизованным сервером, а мессенджер Signal собирал больше метаданных, чем необходимо. В итоге разработчикам Session пришлось разработать свой протокол, который обеспечил большую скорость и безопасность ценой некоторых функций Signal .

Принцип работы

Session построен на основе блокчейна Oxen, который работает на серверах, поддерживаемых сообществом энтузиастов . Диалоги в Session шифруются с помощью сквозного шифрования - только отправитель и получатель могут расшифровать сообщение. Session также защищает идентичность пользователей за счёт использования луковой маршрутизации - пользователи соединяются друг с другом через напоминающую Тор сеть нод с некоторыми ключевыми отличиями, улучающими приватность . Ни одна нода не может знать IP-адрес отправителя и получателя сообщения одновременно, все сообщения в сети зашифрованы.

Кроме того, ноды сгенерированы в рои. Рои обеспечивают устойчивость сети и используются для временного хранения сообщений, которые временно не могут быть доставлены в точку назначения .

Дополнительные возможности

Мульти-устройства

Session поддерживает мульти-устройства (multi-device). Таким образом можно использовать его и на компьютере, ноутбуке, телефоне, а также на других устройствах одновременно . Для этого необходимо, чтобы была проведена синхронизация ключей между двумя устройствами. С точки зрения пользователя нужно, чтобы оба устройства имели одинаковую ключевую пару публичного и приватного ключа.

Мульти-устройства в Session messenger

На схеме изображена пересылка информации с использованием нескольких устройств. Алиса посылает сообщение с её первичного устройства для Боба, у которого включено несколько устройств одновременно. Алиса отправляет сообщение для первичного и вторичного устройства Боба. Она также отправляет сообщение себе, для своего вторичного устройства для оставления своего сообщения на другом устройстве. (Для упрощения рисунка здесь не показаны луковые запросы, а также репликация сообщений через рой).

Передача вложений

Отправка файлов поддерживается до 10 МБ. Перед отправкой файл шифруется случайным AES ключом. После этого отправитель отправляет файл через луковые запросы (onion requests). В ответ файловый сервер передаёт ссылку на контент, возвращаемую тоже через луковые запросы. После этого отправитель отправляет сообщение получателю через существующую сессию. Это сообщение содержит ссылку на контент, его хэш и ключ расшифровки. Получатель использует луковые запросы для получения зашифрованного сообщения с файл-сервера, а затем расшифровывает его с помощью полученного ключа дешифровки от отправителя. Получатель также проверяет хэш вложения для проверки того, что файл не был модифицирован при передаче .

Другие возможности

В мессенджере есть возможность создавать исчезающие сообщения с периодом от 5 секунд до 1 недели. Для защиты от спама максимальное время хранения сообщений в рое перед их доставкой составляет 96 часов . Это время можно выбрать в настройках приложения в пределах 12 часов — 96 часов (Message TTL) .

Session поддерживает бэкап на некоторые популярные облачные бэкап-сервисы. Бэкап шифруется с помощью симметричного ключа (полученного из долгоживущего приватного ключа (long-term private key), который в свою очередь шифруется с помощью парольной фразы, состоящей из 12 произносимых случайных слов .

Достоинства Session messenger

  1. Использует сквозное шифрование
  2. Скрывает IP-адреса и метаданные пользователей по умолчанию (на момент только в переписке, в будущем также во время звонков)
  3. Не требует номер телефона, электронной почты или любых других данных для регистрации
  4. Имеет открытый исходный код
  5. Использует (децентрализованную) onion-маршрутизацию с некоторыми ключевыми отличиями , улучающими приватность пользователя
  6. Не имеет возможности логгировать данные пользователя, в следствие чего ежемесячно отказывает десяткам судебных требований выдать данные пользователя (в силу отсутствии возможности сделать это)
  7. Поддерживает групповые чаты
  8. Устойчив атакам MITM и Сивиллы
  9. Использует надежную и широко одобренную систему шифрования Libsodium , также имеющую открытый исходный код
  10. Клиенты Session для ПК, Android и iOS прошли аудит информационной безопасности от Quarkslab
  11. Доступен на все операционные системы (Windows, Mac, Linux, iPhone, iPad, Android)
  12. Стоит также отметить, что команда разработчиков Session ( ) является некоммерческой организацией и полностью прозрачна в финансировании

Недостатки Session messenger

  1. Не поддерживает двухфакторную аутентификацию
  2. Синхронизация устройств отличается от таковой в мессенджере Signal
  3. Некоторые считают, что отказ от PFS является недостатком , но на самом деле это едва ли компрометирует безопасность юзеров в условиях Session

См. также

Ссылки

Примечания

  1. . Дата обращения: 5 мая 2020. 12 мая 2020 года.
  2. . Дата обращения: 5 мая 2020. 22 мая 2020 года.
  3. . Дата обращения: 5 мая 2020. 18 июня 2020 года.
  4. (амер. англ.) . SecurityTech . Дата обращения: 1 августа 2023.
  5. Li₿εʁLiøη (англ.) . Coinmonks (19 марта 2023). Дата обращения: 21 ноября 2023.
  6. (англ.) . Session . Дата обращения: 21 ноября 2023.
  7. Das, Ankush (англ.) . MUO (10 февраля 2022). Дата обращения: 21 ноября 2023.
  8. (амер. англ.) . RestorePrivacy . Дата обращения: 21 ноября 2023.
  9. (амер. англ.) . www.privacyaffairs.com (12 июля 2022). Дата обращения: 1 августа 2023.
  10. (амер. англ.) . RestorePrivacy . Дата обращения: 1 августа 2023.
  11. , стр.16
  12. , стр.18, 23
  13. , стр.23
  14. , стр.20
  15. (англ.) . GitHub . Дата обращения: 21 ноября 2023.
  16. (англ.) . OPTF . Дата обращения: 21 ноября 2023.
  17. (англ.) . Quarkslab .
  18. (англ.) . OPTF . Дата обращения: 21 ноября 2023.
  19. AnonymousPlanet (амер. англ.) . The Hitchhiker’s Guide to Online Anonymity . Дата обращения: 21 ноября 2023.
Источник —

elizabeth
  • 2020-12-05
  • 1
  • Tags:

Same as Session messenger

The title for the last searches