Rasta_toha

Совсем захирел раздел и Алегрича че-то не видно. Ну да ладно. Внесу свою лепту.

В наш век тотальной деанонимизации мессенджеров желание сурно и анонимно поболтать только усиливается.
Для затравки и чтоб не дублировать - http://www.spy-soft.net/security-of-instant-messengers/

Что мы имеем?!
WhatsApp – бле! да он же фейсбуку принадлежит
Sygnal – очень хорош, но! Имеет проблему с конференциями (а они то нам и нужны)
Выводы внешнего аудита:
Наш систематический анализ выявил, что целостность коммуникаций (представленная целостностью всех сообщений) и групповая принадлежность (определяемая возможностью членов группы управлять ими) не имеют end-to-end-защиты. Кроме того, мы показали, что обратная секретность (ключевое свойство безопасности) не сохраняется при использовании протокола Signal для групповых чатов.
Telegram – просто оставлю это тут - https://www.securitylab.ru/blog/company/CABIS/345785.php

Общем все плохо! Ядерную боеголовку вождю Ыну хрен продашь

С наркоманского форума в даркнете:
Ну не знаю. Нарки с которыми я сидел юзают signal.
Сам доверяю только жабе с шифрованием PGP. Поэтому восстановил свой собственный сервер. Подтянул показатели безопасности шифрования до категории А и сижу довольный как слон.
Телеге в принципе не доверяю. Весь пиар вокруг противодействия ФСБ считаю просто пиаром. И почти уверен, что все там сливается как пить дать.

И тут из тьмы веков всплывает XMPP/Jabber


Хорошая штука! – прям как аська. Должна была стать e-mail 2.0, но не стала.
Есть конференции, нет привязки к мобильному!!! есть адово шифрование PGP и OTR. Но! PGP и OTR – это для общения двух человеков, а мы привыкли к групповым чатегам!


И тут…. Тудудудуду на сцену выходит OMEMO - Multi-End Message and Object Encryption.
Подробно тут - https://conversations.im/omemo/


Как быть, что делать, где брать?!

Шаг 1. Выбираем XMPP сервер. Серверов таких чуть больше чем дохренища + можно воткнуть свой (все и везде утверждают, что это как 2 пальца). Гуглим или смотрим тут - https://compliance.conversations.im/
Нам нужно несколько ХЕРов: XEP-0045: Multi-User Chat , XEP-0384: OMEMO Encryption , XEP-0160: Best Practices for Handling Offline Messages.



Шаг 2. Рега. Зашли на сайт XMPP-сервера и зарегались бесплатно и без смс.



Шаг 3. Клиенты. Редкий случай когда с клиентам повезло андройдоводам и не повезло яблочникам.
Android: conversations - https://f-droid.org/packages/eu.siacs.conversations/ (она немного платная - поэтому ф-дройд или 4пда)
iPhone/iPad: ChatSecure - https://chatsecure.org/
windows/Linux и т.д.: Gajim - https://gajim.org/ (ставил на винду - для работы с omemo нужно из меню поставить плагин)



Шаг 4. Общаемсо. Для секурного общения нада в настройках поставить галку "Шифрование omemo - всегда". При подключении нового контакта жмакнуть по нему и подтвердить отпечаток omemo (открытый ключ). Для секурного общения в конференции отпечаток omemo должен быть подтвержден всеми и всех и друг у друга!

Вас еще не параноит? Тогда мы идем к вам!

Rasta_toha

ЗЫ всё вышесказанное - результат моего изучения вопроса. Буду рад каментам и дополнениям.

ЗЗЫ подправьте плз последнюю сцылку про паранойю :)

allsets1

шифрование, конечно хорошо
но для безопасного общения, требуется еще собеседник с "таким же" клиентом
не говоря уже о процедуре установки/настройки
много вы таких людей знаете?))

Rasta_toha

Похоже, что переборщил я с писаниной Тут делов-то на 2 мин: скачть клиент (1 мин), зайти на сайт (например) xmpp.ru, завести акк toha@xmpp.ru (1мин), жмакнуть в клиенте галку "шифровать все и вся омемой" (0,038 мин), сказать корешам, что бы писали на toha@xmpp.ru и жмакнуть подтвердить отпечаток (хз мин).


Сейчас в процессе перетаскивания друзей из богомерзкого ваззапега в жабу. В основном брыкаются яблочники - им не нравится функциональность секуречата, а вот андройдоводы довольны - клиент супер крутой


ЗЫ сразу отвечаю на вопрос про то, что мобильный телефон сам по себе дырка в безопасности и нахрен так морочиться. Следующий шаг - поставить клиент в безопасную среду (типа My Knox или Android for Work App), но тут я пока сам разбираюсь - может кто подскажет

allsets1

но это уже, очень много!)))

а вообще, смена мессенджера - не является забота о безопасности - как таковой, а скорее что-то другое, дизайн, функционал и тд, многие просто не вкурсе всяких там, шифрований и тд
вас прослушивает ФСБ/FBI ? - они заботятся о вашей, и не только, безопасности)
если уж и говорить о реальной безопасности - то при личной встрече, передача непаблик софта)

ultras

Какой клиент под Android пользуешь? Всегда пользовал Conversation = стабильность + удобство. Пробовал xabber, chatsecure - непонравились.
Еще надо тел накрыть LUKS'ом. Тогда гуд.

champCOTTO

Сравнение Мессенджеров (телега в ударе!)
hookzof.github.io/messenger-comparison/

ultras

Вставлю свои 5 копеек.
https://www.eff.org/node/82654
Сравнение мессенджеров.
Если и пользовать то signal, но никак не telegram.

champCOTTO

Я соглашусь с тобой, исходя из сравнительной статьи - однозначно SIGNAL!

Но есть одна маленькая проблема: людей с тележными контактами у меня полно (около 130 человек), а вот в сигнале (установил и посмотрел "по наличию/отсутствию значка замочка рядом со значком телефона рядом с именем" - ну такое: 4 человека....
Не буду же я им всем подробно объяснять мол так и так и рассылать "Давайте общаться через Signal"..))

nimda

Почему нет? Секретный чат, скрин из того же исследования EFF:

Те же зеленые галочки, как и у Сигнала:


Плюс к тому, не могу не согласиться с уважаемым champCOTTO:

champCOTTO

nimda:
Вот точно!!
Совсем забыл про него и в статье невнимательно смотрел...
Я таким чатом в телеге даже пользовался пару раз по совету разбирающегося в таких нюансах приятеля)

barabashka

Если сравнивать телегу и сигнал, то есть один нюанс, который не дает мне покоя - телега, в отличии от сигнала, заблокирована в РФ. Тут есть 2 варианта:
1. Так ФСБ привлекает всех недопропорядочных в одно место, мол пользуйтесь телегой, мы не можем встркыть, а по факту все проверяем.
2. Действительно не могут вскрыть, как не могут и заблокировать...

Что касается сигнал, то да, исходники открыты, вроде бы, но вот я нашел только ссылки на коды библиотек, которые якобы используются, конечно, может быть я плохо искал, но где исходники клиентов и сервера? Как это все можно собрать самостоятельно? Где те самые гарантии того, что на серверной стороне и на клиентах те самые "коды", что опубликованы на гите?

И да, сигнал не заблокирован, а значит ФСБ он не мешает...

Rasta_toha

Спорить о секурности мессенджеров, у которых акк привязан к номеру телефона - такое себе. имхо разумееЦЦо

ultras

У сигнала один жирный плюс:
- шифрует ПО УМОЛЧАНИЮ. Не надо выбирать secure chat.
А большинство юзеров этого как раз и не будет делать.
Кроме того можно поставить PIN на повторную регистрацию с симки. Т.е. заимев доступ к номеру - без пинкода перерегистрировать этот акк - нельзя. В телеге такого нет и регулярно слетают номера.

Не надо путать СЕКУРНОСТЬ и АНОНИМНОСТЬ.
Это 2 большие, частенько взаимоисключающие, разницы! С учетом всех этих мессенджеров привязанных к телефону номера (АХТУНГ!).

Давайте не будем про контору из 3х букв. Так же можно говорить и про TOR и про VPN. Это же тоже до сих пор незаблокировано? Но это не значит, что находится под крышей.

Надо отметить , что хороший уровень секурности, даже невключая анонимность, требует приличный уровень GEEK'a . :) AKA jabber на смарте с OTR (минимум) , а лучше GPG , ну и все это через TOR , а лучше oVPN.

Телега - в отличие от таких продуктов юзабельна и удобна, скорее всего и необходимые данные по запросу компетентных органов прекрасно выдаются, ведь большинство переписок - без секуречатов. А общие чаты (группы) - так вообще.

Тема напомнила:

и

PS: Не призываю никого использовать только одно или только другое.
Да, предлагаю еще рассмотреть TOX. :) Дезентрализованный мессенджер.
анализ безопасности протокола Signal