Как выглядит "безопасный мессенджер"?

Здесь можно поговорить о чём угодно и сколько угодно.

Модератор: Модераторы разделов

Ответить
azsx
Сообщения: 3684
ОС: calculate linux, debian, ubuntu

Как выглядит "безопасный мессенджер"?

Сообщение azsx »

Вопрос.
Как в ваших глазах выглядит безопасный мессенджер? Какие критерии, что важнее, анонимность или шифрование, каким считаете идеальным и почему?
Мои размышления.
Обсуждаем только анонимность и шифрование.
0. Везде, где требуется регистрация на какие то значимые данные -- это не анонимность.
1. Шифрованию в софте я предлагаю не доверять априори. Хотя бы потому, что в рф есть закон обязывающих все мессенджеры давать чистую переписку в фсб (условно пишу). То есть нужен мессенджер, который позволяет прикреплять и отправлять без изменений шифрованные файлы. Я на локальном компе зашифровал, отправил, получатель без изменений получил.
2. Клиентам я доверяю только огромным. То есть браузеру хром, возможно, клиенту телеграм с офиц сайта. Всякие мелкие мессенджеры, даже с открытым исходным кодом, где гарантия, что от них административно не потребовали встроить бэк дор?
3. Всем мессенджерам, которые имеют сервер с значимыми для нас данными я не доверяю. В любую серверную могут придти местные полиц и потребовать (дальше, что угодно).
4. Надо не забывать множество внешних факторов. Они вроде с мессенджером не связаны, но... Например, перемещение сим карты хотят вывести из тайны связи. То есть сегодня нужно решение суда, чтобы узнать где была симка, а скоро может стать не нужно. Но пока этот закон блокируется. Также, интернет получается на фио. Можно купить симку в переходе, но симка то регистрируется где то. Никакой анонимности. Разумеется, ваш смартфон или комп могут забрать, как бандиты, так и полиц. Вроде тоже не связано, но учитывать нужно.
Есть общее решение. Они поднимают мессенджеры на своих серверах, там держат постоянную связь, когда сервер захватывает полиц, например, есть сигнал, что доверия ему нет, все данные слили.
Есть пара решений от меня. Первое это обычная почта и отправка шифровок. Не знаю зачем и кому это надо, но это максимально безопасно в плане шифрования и легко можно достигнуть анонимности. Второй способ, юзать матрикс, через веб интерфейс в браузере тор. Даже не понимаю кто и как сможет такое "поймать".
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: Как выглядит "безопасный мессенджер"?

Сообщение Bizdelnick »

azsx писал(а):
13.05.2021 20:26
нужен мессенджер, который позволяет прикреплять и отправлять без изменений шифрованные файлы.
А какой-то это запрещает?
azsx писал(а):
13.05.2021 20:26
Клиентам я доверяю только огромным. То есть браузеру хром, возможно, клиенту телеграм с офиц сайта. Всякие мелкие мессенджеры, даже с открытым исходным кодом, где гарантия, что от них административно не потребовали встроить бэк дор?
Где тут логика? Доверять можно только коду, прошедшему независимый аудит.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
Zer0
Сообщения: 479
ОС: Void, Slackware

Re: Как выглядит "безопасный мессенджер"?

Сообщение Zer0 »

azsx писал(а):
13.05.2021 20:26
Всем мессенджерам, которые имеют сервер с значимыми для нас данными я не доверяю.
Разработчики могут говорить что угодно на этот счёт, пользователю остается только доверять, или нет.
Ну и бесплатный мессенджер, по моему никак не может претендовать безопасное средство связи для широких масс.
Шифрование было до недавнего времени в основном прерогативой военных, куча народа разрабатывало алгоритмы стойкие к расшифровке в перспективе исчисляемой десятилетиями и тут - на тебе, юзай кто хочет.
В моем представлении безопасный "гражданский" мессенджер должен просто не допускать попадания переписки, номера телефона, ника/Ф.И.О в широкий доступ, например в поисковую выдачу.
P. S. Есть неплохая книга "Исскуство быть невидимым" Кевина Митника, там полно интересных мыслей по теме.
Memento mori ... сделай бэкап.
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: Как выглядит "безопасный мессенджер"?

Сообщение Bizdelnick »

Zer0 писал(а):
13.05.2021 22:05
Разработчики могут говорить что угодно на этот счёт, пользователю остается только доверять, или нет.
Так пишете, будто не существует открытых серверов и бессерверных мессенджеров.
Добавлено (22:15):
Чем вообще отличается эта тема от Связь для айтишников??
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
Zer0
Сообщения: 479
ОС: Void, Slackware

Re: Как выглядит "безопасный мессенджер"?

Сообщение Zer0 »

Bizdelnick писал:
13.05.2021 22:12
Так пишете, будто не существует открытых серверов и бессерверных мессенджеров.
Я не имел этого ввиду. Briar например вполне себе мессенджер.
Memento mori ... сделай бэкап.
Спасибо сказали:
Аватара пользователя
UnixNoob
Сообщения: 1367
ОС: Slackware

Re: Как выглядит "безопасный мессенджер"?

Сообщение UnixNoob »

Zer0 писал(а):
13.05.2021 22:05
P. S. Есть неплохая книга "Исскуство быть невидимым" Кевина Митника, там полно интересных мыслей по теме.
Ну касательно мессенджеров, там предлагается использовать мессенджеры с протоколом шифрования OTR(Off the Record) и с PFS (Perfect Forward Secrecy, генерированием произвольного сессионного ключа.
В качестве примера таких мессенджеров приводятся:Signal, ChatSecure, CryptoCat, Tor Messenger и коммерческая SilentPhone c оговорками, что оно закрытое.
А в конце автор говорит о следующем:
чтобы быть невидимым в Интернете, вам необходимо создать отдельную личность, совершенно не связанную с вами. В этом и заключается смысл анонимности. В остальное время вам также необходимо всеми силами отделять свою реальную жизнь от этой анонимной личности. Я имею ввиду, что вам нужно приобрести несколько отдельных устройств, которые вы будете использовать только тогда, когда вам необходимо обеспечить анонимность. И это может дорого стоить.
Книгу правда я полистал, не вчитывался, не люблю такое нагнетание в историях. Часть советов известны, часть слишком сложны в реализации.
Можно конечно ввести в привычку все это соблюдать, но я боюсь что в итоге можно и с ума сойти. Нужна какая-то золотая середина.
Про Telegram есть пару слов:
Еще одно приложение для обмена сообщениями — это Telegram, в нем используется шифрование, и его считают отличной альтернативой WhatsApp. Он работает на устройствах с Android, iOS и Windows. Однако специалисты выяснили, что серверы Telegram можно скомпрометировать и получить доступ к критическим данным. Кроме того, им удалось без труда извлечь зашифрованные приложением Telegram сообщения даже после их удаления с устройства.74
И две ссылки с описанием этих уязвимостей. Раз и два Правда новости датированы 2015 и 16 годом.
"Однажды один очень мудрый человек… ничего не сказал. Времена были опасные, да и собеседники ненадёжные"
Спасибо сказали:
azsx
Сообщения: 3684
ОС: calculate linux, debian, ubuntu

Re: Как выглядит "безопасный мессенджер"?

Сообщение azsx »

Zer0 писал(а):
13.05.2021 22:05
В моем представлении безопасный "гражданский" мессенджер должен просто не допускать попадания переписки, номера телефона, ника/Ф.И.О в широкий доступ, например в поисковую выдачу.
Кстати вот тут с вами целиком согласен.
Zer0 писал(а):
13.05.2021 22:22
Briar например вполне себе мессенджер.
Проблема доверия к коду приложения. Что он хорошо шифрует, что это нереально будет прочесть из кеша. Одно дело доверять хрому, что там нет закладок по хранению переписок 3 года и стандартных методов её расшифровки. Или наоборот знать, что такие методики есть. Другой вопрос доверять мало известному мессегджеру.
Добавлено (02:28):
оффтопик
Bizdelnick писал:
13.05.2021 21:13
А какой-то это запрещает?
К сожалению на форуме, там где это не нужно приходится заранее думать, где до тебя докопаются на пустом месте. Поэтому я не могу написать предложение нормально, я вынужден думать, что один из участников обязательно учитывая, что месседжеров много попрекнёт, мол вот есть месседжер, он не даёт передавать вложения или вот телеграм стирает exif инфу. Абсолютно излишне уточнение, достаточно просто написать "мессенджер должен передавать вложения", но я уже знаю, где меня гнобить будет один участник. Мессенджеров очень много, обязательно будет такой, который не передаёт вложения. Особенно, если учесть, что сегодня пропагандируется в бизнесе использовать софтом, где мессенджеры как сопутсвующий продукт (особенности российского законодательства).
Bizdelnick писал:
13.05.2021 21:13
Доверять можно только коду, прошедшему независимый аудит.
Вот как раз крупный софт, например, хром, thunderbird, клиент телеграма может похвастаться независимым аудитом. Ну просто благодаря крупности есть вполне разумные предположения, что множество людей качают его код, смотрят его и найденные дыры или бы использовали, или выложили в паблик. Но если подразумевается, что зажав в ладони несколько миллионов рублей, заказать иностранной компании аудит нужного мессенджера. Ну такое себе...
Bizdelnick писал:
13.05.2021 22:12
Чем вообще отличается эта тема от Связь для айтишников??
Вопросы разные. Там я спрашивал как реализовать свои хотелки. Здесь я спрашиваю, что юзеры с форума субъективно назовут безопасным мессенджером. Вопрос понят правильно, человек который ответил свои критерии назвал.
Кстати, мало ответов, потому что тема особо не интересна никому. Ну да, не хочется, чтобы тебя за полит анекдот посадили. Хотя в среде осинтеров мнение, что как раз излишняя скрытость скорее вызовет подозрение, чем вываливание всё в паблик. Ну да, не хочется, чтобы звонящие тебе мошеники знали всё. Хотя все знают, банки им напрямую отдают инфу, особенности современного бизнеса, проблема не решаема.
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: Как выглядит "безопасный мессенджер"?

Сообщение Bizdelnick »

azsx писал(а):
14.05.2021 02:09
Вот как раз крупный софт, например, хром, thunderbird, клиент телеграма может похвастаться независимым аудитом.
Не слышал о таком. Тем более странно это в случае закрытого хрома. Где можно почитать отчёты?
azsx писал(а):
14.05.2021 02:09
Но если подразумевается, что зажав в ладони несколько миллионов рублей, заказать иностранной компании аудит нужного мессенджера. Ну такое себе...
Аудит небольшой программы обошёлся бы куда дешевле.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
azsx
Сообщения: 3684
ОС: calculate linux, debian, ubuntu

Re: Как выглядит "безопасный мессенджер"?

Сообщение azsx »

оффтопик, вопрос всё таки другой.
Bizdelnick писал:
14.05.2021 02:59
Где можно почитать отчёты?
azsx писал(а):
14.05.2021 02:09
Ну просто благодаря крупности есть вполне разумные предположения, что множество людей качают его код, смотрят его и найденные дыры или бы
Ключевое множество людей. У вас видимо "независимый аудит" это другое.
Bizdelnick писал:
14.05.2021 02:59
Аудит небольшой программы обошёлся бы куда дешевле.
Для меня крайне странна ваша оценка аудита, но это полный оффтопик же. Если бы тема была о стоимости аудита, то я назвал бы причины, почему аудиту безопасности мессенджера менее, чем за 3 млн рублей, я даже доверять бы не стал. Так, автоматические проверки...
Спасибо сказали:
Аватара пользователя
Zer0
Сообщения: 479
ОС: Void, Slackware

Re: Как выглядит "безопасный мессенджер"?

Сообщение Zer0 »

Вот например, аудит протокола Signal:
https://eprint.iacr.org/2016/1013.pdf
Только, что даст чтение результатов аудита пользователю? Останется тот же вопрос доверять ли этим результатам?
Я считаю, что все мегаудобные и простые в использовании мессенджеры, однозначно предоставят нужную инфу своим спонсорам или постараются сделать это возможным. При этом они вполне хорошо защитят ту же информацию от доморощенных "хакеров".
Memento mori ... сделай бэкап.
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: Как выглядит "безопасный мессенджер"?

Сообщение Bizdelnick »

azsx писал(а):
14.05.2021 03:34
Ключевое множество людей. У вас видимо "независимый аудит" это другое.
У меня это то же, что у всех. Множество некомпетентных людей, не ставящих задачу и не имеющих ресурсов для полного анализа кода, не может провести аудит.
azsx писал(а):
14.05.2021 03:34
это полный оффтопик же
Вы спросили, как выглядит безопасный мессенджер. Ответ: он, в числе прочего, должен пройти аудит безопасности в независимой организации.
azsx писал(а):
14.05.2021 03:34
Если бы тема была о стоимости аудита, то я назвал бы причины, почему аудиту безопасности мессенджера менее, чем за 3 млн рублей, я даже доверять бы не стал.
Если речь о проекте масштаба FF или Chromium, то что-то сильно дёшево.
Zer0 писал(а):
14.05.2021 08:29
Только, что даст чтение результатов аудита пользователю? Останется тот же вопрос доверять ли этим результатам?
Если аудиторы не аффилированы с разработчиком, почему нет?
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
azsx
Сообщения: 3684
ОС: calculate linux, debian, ubuntu

Re: Как выглядит "безопасный мессенджер"?

Сообщение azsx »

Bizdelnick писал:
14.05.2021 11:51
Ответ: он, в числе прочего, должен пройти аудит безопасности в независимой организации.
Вот ваш первый ответ в теме. По вашему мнению нужен аудит.
Добавлено (16:44):
Zer0 писал(а):
14.05.2021 08:29
Останется тот же вопрос доверять ли этим результатам?
Абсолютно согласен. Именно поэтому я доверяю только крайне крупным программам, в которые кидаю шифрованный текст. Вот это у меня вызывает доверие (если я адвокатом или журналистом стану, например). Но пока интерес скорее в теории.
Спасибо сказали:
Аватара пользователя
Zer0
Сообщения: 479
ОС: Void, Slackware

Re: Как выглядит "безопасный мессенджер"?

Сообщение Zer0 »

Сравнительная таблица популярных мессенджеров, правда несколько неполная:
https://www.messenger-matrix.de/messenger-matrix-en.html
Memento mori ... сделай бэкап.
Спасибо сказали:
Аватара пользователя
UnixNoob
Сообщения: 1367
ОС: Slackware

Re: Как выглядит "безопасный мессенджер"?

Сообщение UnixNoob »

Zer0 писал(а):
18.05.2021 16:38
Сравнительная таблица популярных мессенджеров, правда несколько неполная
А потом открываешь в сторе информацию о приложении, а там 50 - 60 разрешений и сразу грустно становится.
"Однажды один очень мудрый человек… ничего не сказал. Времена были опасные, да и собеседники ненадёжные"
Спасибо сказали:
azsx
Сообщения: 3684
ОС: calculate linux, debian, ubuntu

Re: Как выглядит "безопасный мессенджер"?

Сообщение azsx »

UnixNoob писал:
18.05.2021 17:57
а там 50 - 60 разрешений
Зато сразу понятно, что если у приложения права к тому, что ей собственно не нужно, то это "жжж" не спроста.
Zer0 писал(а):
18.05.2021 16:38
Сравнительная таблица
Подобных табличек достаточно много, другой вопрос, что к "безопасности" они отношение имеют слабое. Это здорово, что они всё пишут в табличке, но безопасность это другое. Но спасибо :)
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: Как выглядит "безопасный мессенджер"?

Сообщение Bizdelnick »

UnixNoob писал:
18.05.2021 17:57
открываешь в сторе информацию о приложении, а там 50 - 60 разрешений
Действительно, зачем бы приложению для общения с людьми через сеть текстом, голосом и видео, а также пересылки файлов, доступ к адресной книге, сети, микрофону, камере и файлам?
azsx писал(а):
20.05.2021 06:36
Это здорово, что они всё пишут в табличке, но безопасность это другое.
Там, вообще-то, целый раздел Security & Privacy со вполне разумным наполнением.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
UnixNoob
Сообщения: 1367
ОС: Slackware

Re: Как выглядит "безопасный мессенджер"?

Сообщение UnixNoob »

Bizdelnick писал:
20.05.2021 11:11
Действительно, зачем бы приложению для общения с людьми через сеть текстом, голосом и видео, а также пересылки файлов, доступ к адресной книге, сети, микрофону, камере и файлам?
Ну да, только у мессенджера от Blackberry 31 разрешение, а у Telegram 55, при этом у Telegram X их 46, но к сожалению магазин не расписывает все разрешения, возможно специфичные разрешения нужны для ботов/чатов, а ещё и оплату добавили. И я бы предпочитал что бы контакты в мессенджер добавлялись отдельно от номера и контактов. Меня вполне устраивал вариант icq,старой, до покупки мылом. Где у тебя номер, который не несет в себе никакой связи с моими паспортными данными.
Слишком много контроля становится, кругом камеры, умные домофоны с камерами, а жить от этого лучше не становится, т.к это все работает только тогда, когда законодательство и ответственные работают.
"Однажды один очень мудрый человек… ничего не сказал. Времена были опасные, да и собеседники ненадёжные"
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: Как выглядит "безопасный мессенджер"?

Сообщение Bizdelnick »

UnixNoob писал:
20.05.2021 14:06
у мессенджера от Blackberry 31 разрешение, а у Telegram 55
А столько вообще бывает?
Screenshot_20210520-153012_Package installer.jpg
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
UnixNoob
Сообщения: 1367
ОС: Slackware

Re: Как выглядит "безопасный мессенджер"?

Сообщение UnixNoob »

Bizdelnick,в приложении стора указывается что "Разрешения - 55", при открытии списка оно выглядит так:
Screenshot_20210520-155715630.jpg
А настройки для приложений да, примерно такие же как у вас
Screenshot_20210520-160346253.jpg
"Однажды один очень мудрый человек… ничего не сказал. Времена были опасные, да и собеседники ненадёжные"
Спасибо сказали:
azsx
Сообщения: 3684
ОС: calculate linux, debian, ubuntu

Re: Как выглядит "безопасный мессенджер"?

Сообщение azsx »

Bizdelnick писал:
20.05.2021 11:11
целый раздел Security & Privacy со вполне разумным наполнением.
Для меня с натяжкой с этого раздела можно назвать тип регистрации типа "Use without phone number possible".
Спасибо сказали:
Аватара пользователя
Zer0
Сообщения: 479
ОС: Void, Slackware

Re: Как выглядит "безопасный мессенджер"?

Сообщение Zer0 »

Наткнулся на очередной безопасный мессенджер ;) :
https://xakep.ru/2021/06/09/anom/
Так что по телефону/мессенджерам/почте, лучше о футболе и т. п. темах.
Memento mori ... сделай бэкап.
Спасибо сказали:
Аватара пользователя
algri14
Сообщения: 1369
ОС: Mageia 5.1 & 8 x86_64, KDE

Re: Как выглядит "безопасный мессенджер"?

Сообщение algri14 »

Zer0 писал(а):
12.06.2021 11:10
Так что по телефону/мессенджерам/почте, лучше о футболе и т. п. темах.
Ну да, если вздумаете делать революцию, то придётся задуматься о конспирации.
А если дело в измене жене(мужу) или поделиться впечатлениями про симпатишных котиков, то это вам предоставит любой мессенджер.
Хотя нет, не любой, телега предоставляет это только зажиточным клиентам, со смартфонами, с простыми звонилками она посылает лесом, код активации по смс прислать дурова жаба задушила, теперь только по QR-коду.
На что я ему отвечу тем же, пошёл он лесом со своей телегой.
Спасибо сказали:
azsx
Сообщения: 3684
ОС: calculate linux, debian, ubuntu

Re: Как выглядит "безопасный мессенджер"?

Сообщение azsx »

оффтопик.
В телеграме исчез код активации?
Спасибо сказали:
skywarp
Сообщения: 1
ОС: Debian, Parabola, Slackware

Re: Как выглядит "безопасный мессенджер"?

Сообщение skywarp »

XMPP + OTR / OMEMO. Из клиентов - Pidgin, Dino, Gajim, Conversations, mcabber. Можно даже самому аудит кода провести, если есть знания. Берёшь самый несложный из клиентов и серверов (тот же mcabber клиент и Prosody сервер).
Свой XMPP сервер ставишь. Даже если провайдер услуг у тебя пошарит сервер и посниффает, у тебя зашифрованные end-to-end сообщения.
И не стоит забывать про OpenPGP и мыло, и I2P сеть.

А Telegram, как и правильно отметили, вообще небезопасный: централизированные серверы, и под пашкинским надсмотром ещё, не говоря уже о тех, кто у него данные может запрашивать.
Спасибо сказали:
Ответить