Системный архитектор, криптоманьяк
5,1
рейтинг
23 ноября 2015 в 12:17

Разработка → Матрица возможностей современных мессенджеров с упором на безопасность

Привет, %Username%!

Решил составить таблицу фич современных мессенджеров с оглядкой на безопасность и порог входа. Возможно, кому-то это поможет сделать выбор подходящего инструмента для общения.
О том, что у меня получилось — под катом.
Фичи/Мессенджер End-to-end шифрование Шифрованные групчаты Desktop клиент с шифрованием Шифрованные голосовые звонки Нужен сервер Id
Telegram Да, нужно отдельно создавать защищенный чат До сервера (Дуров может читать) Cutegram Нет Да Тел. номер, Nickname
Signal Да(mobile only) Да(mobile only) Пока нет Да Да Тел. номер
Tox Да Да(desktop only yet) Да Да + group Нет Публичный ключ, нужно разный на каждом инстансе
WhatsApp Вроде как да(Android only) Нет HTTPS ? Да Тел. номер
Skype Нет, у ФСБ есть доступ Нет До сервера Нет Да Логин
Viber Нет, у ФСБ есть доступ Нет До сервера ? Да Тел. номер
Jabber+otr (Pidgin, ChatSecure) Да Нет Да Нет Да Логин
Замечания
  • У Telegram по умолчанию шифрование лишь до сервера, а там лишь доверие Дурову. Secret chat нужно врубать отдельно.
  • WhatsApp вроде прикрутил такое же шифрование как в Signal, но подробностей нет и вроде только на андроидах это работает
  • Signal — самый защищенный из удобных неанонимных мессенджеров, но нет десктоп клиента. Активно пилят web расширение для хрома. Советую приглядеться. Низкий порог входа.
  • Tox — за ним будущее, но пока он очень сырой. И нужно генерить столько Id, сколько у вас одновременно устройств в сети, иначе будет глючить. Но у него единственного есть анонимные групповые шифрованные голосовые конференции (если клиент не вылетит)
  • Jabber + OTR. отличная безопасность, но высокий порог входа с кучей настроек
  • Viber, Skype — только если вы не против, что органы читают ваши беседы почти в реальном времени.
UPD
Вот еще неплохая табличка с сравнениями
@Scratch
карма
107,7
рейтинг 5,1
Системный архитектор, криптоманьяк
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Разработка

Комментарии (41)

  • 0
    Откуда информация о «ФСБ есть доступ»?
    • +4
      Да хоть бы вот и вот
  • 0
    Skype, VIber — Desktop клиент есть.
    • 0
      Имел в виду шифрованные, поправлю
      • 0
        То есть у скайпа на телефонах есть шифрование, а на десктопе нет? Действительно? Ну и как нешифрованные десктопы с телеграмом общаются с шифрованными телефонами например?

        И что за фигня что нет шифрования у скайпа? То что у ФСБ есть доступ к записям и ключам не отменяет того момента что фактически запись шифруется, что в таблице является неправдой.
        • 0
          Между десктопом телеграма и телефоном невозможно создать шифрованный чат, только обычный. Общаются они, передавая сообщение серверу, он расшифровывает и зашифровывает для получателя
          • 0
            Почему это невозможно? Под OS X без проблем создаётся, довольно часто общаюсь в секретных (шифрованных) чатах. При этом совершенно неважно, использует человек мобильное приложение или тоже сидит с десктопа.
            Картинка

            • 0
              Ниже мне уже ответили, я обновил таблицу.
        • 0
          Ну и как не шифрованные десктопы с телеграмом общаются с шифрованными телефонами например?

          Никак не общаются.
          End-To-End шифрование только между мобильными клиентами. + можно задать время жизни сообщения, + нельзя скопировать из чата и переслать, о скриншоте секретного чата уйдет уведомление.
  • 0
    Где hangouts, irc, slack, steam, facebook, vk, прочие чатики соц.сетей? Опять же десктопные клиенты у skype и viber есть.
    • 0
      Можете мне написать, я добавлю. Тем что в таблице я реально пользовался
  • 0
    Tox, это весьма хорошо, из групп не вылетал раньше, группа жива пока есть хоть 1 участник в сети.
    • 0
      но нет автореджоина после дисконнекта, надо всегда просить приджойнить, это плохо
      • 0
        Реализация новых групповых чатов для ядра tox идёт в форке: https://github.com/JFreegman/toxcore. Документация по новой реализации тут: https://github.com/JFreegman/toxcore/blob/new_groupchats/docs/Group-Chats.md.
        • 0
          Да, я в курсе, очень ждем
  • +1
    У Telegram по умолчанию шифрование лишь до сервера, а там лишь доверие Дурову. Secret chat нужно врубать отдельно.
    Допустим, Дурову не доверяем(и вы ставите это под сомнение), тогда откуда уверенность, что Secret Chat такой защищенный и надежный? Нелогично. Либо доверяем(на основе знаний), либо не доверяем, либо про это вовсе не пишем :)))
    • +3
      Api открыто, алгоритмы известны, то что Secret chat использует end to end известно, отпечатки ключей проверить можно. Это очень хороший набор свойств, чтобы исключить из него доверие к Дурову )
      • 0
        Спасибо. Вашего комментария очень нехватает в плюсы к Telegram
      • 0
        Т.е. я могу убедится, что на другом конце именно тот человек, который мне нужен (мистер X), а не майор ФСБ?

        Предположим, Дуров куплен (чисто гипотетически, а то хоть кому-то хочется верить), тогда когда я попытаюсь добавить в контакты мистера X и открыть секретный чат, то между нами будет прокси, которая будет сливать все налево.
        • 0
          Чтобы узнать, что между вами кто-то что-то слушает в секретном чате, вам надо встретиться лично и сверить отпечатки ключей (там специальный экран), в случае совпадения — 100% защита. Хотя какой в этом толк если ваша ОС может кейлогать ваши движения :)
          PS: посылать скриншот ключа в чат из-за лени встретиться бессмыслеленно.
          • 0
            Тут скорее другой вопрос — а не слил ли Телеграм этот ключ ещё кому-нить.
            • 0
              Эм… публичный? читать-то переписку не смогут все равно. Разве что от имени собеседника что-то писать, но опять же, не читать.
  • +3
    Как насчёт threema.ch/en? Швейцарцы знают толк в создании замков, запоров, часов и безопасного софта
    • 0
      Первый раз про неё слышу, пишут вроде хорошо, но подробностей нет
      • 0
        В западной европе популярный в некоторых кругах мессенжер. Вайтпейпер можно найти здесь: threema.ch/press-files/2_documentation/cryptography_whitepaper.pdf
        • 0
          неплохая штука, судя по алгоритмам. Если все так, как в той доке, то зачет
  • 0
    Cutegram и официальный Telegram под Mac OS X умеют end-to-end.
  • 0
    Для Telegram вроде бы есть десктопные клиенты с шифрованием, по крайней мере этот. На сайте, правда, английский немного странный, но сам проект даже выложен на гитхабе.
    • 0
      Надо попробовать, непонятно как оно будет работать если уже будет один защищенный чат с мобильного
    • 0
      В общем, с каждого устройства secure chat будет отдельным чатом, это как-то коряво выглядит, но вроде работает
  • 0
    Хотелось бы услышать подробности по поводу end-to-end шифрования у Tox, по поводу которого у вас написано: «Да(desktop only yet)». Откуда информация, что мобильные клиенты не поддерживают шифрование? Насколько мне известно, шифрование в tox реализуется на уровне toxcore, а не клиентов и клиенты не могут не использовать end-to-end шифрование для любого взаимодействия между собой (вот c-header реализации шифрования в toxcore: https://github.com/irungentoo/toxcore/blob/master/toxcore/crypto_core.h).
    • 0
      Я имел в виду, что в природе нет юзабельных клиентов под мобильные платформы
  • 0
    Рекомендую обратить внимание на Kontalk: kontalk.org. Он пока малофункциональный, но многообещающий.
  • 0
    Токс — да. За ним будущее. Но вот отсутствие этой базовой вещи, как один аккаунт на разных девайсах — убивает.
    Что касается остальных, имхо, когда обсуждаешь месенджер именно с т.з. безопасности, в сторону не опенсорс смотреть не надо вообще. (:
    • 0
      Я думаю, «одноайдишность» реализуют в итоге костылем, когда за одной айдишкой скрывается несколько, типа алиасов. Это самый простой путь
      • 0
        Такая «одноайдишность» несколько снижает секретность. Можно примерно вычислить человека в небольшой группе по смене ID-шников. На работе — один, дома — другой. Вычисляем график, сопоставляем с другой активностью (соцсети, форумы), повышаем вероятность идентификации.
  • 0
    Забыли про http://www.bleep.pm/ от Bittorent
    • +1
      не опенсорс, никаких описаний протокола нет, что там внутри непонятно
  • 0
    А кто-нибудь пользовался VIPole? По крайней мере на сайте красиво расписано, какой это чоткий мессенджер :)

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.