Session — открытый анонимный децентрализованный мессенджер на базе экосистемы Oxen, поддерживающий сквозное шифрование и минимизирующий использование метаданных для скрытия личностей пользователей по умолчанию[4].

Session
Логотип программы Session
Скриншот программы Session
Скриншот из версии 1.17.4 (Декабрь 2023)
Тип Мгновенный обмен сообщениями
Разработчик The Oxen Project
Написана на Java, Kotlin, C++, Swift, TypeScript
Интерфейс EGL
Операционные системы Android 6 или выше, iOS 12 или выше, Windows, MacOS, Linux[1]
Языки интерфейса английский
Первый выпуск 4 февраля 2020[2]
Аппаратная платформа Android
Последняя версия 1.17.4 (12 января 2024)
Репозиторий github.com/oxen-io/sessi…
Лицензия GPL-3.0[3]
Сайт getsession.org
Логотип Викисклада Медиафайлы на Викискладе

Отличительной особенность Session является отсутствие необходимости предоставлять любые персональные данные для регистрации. Вместо этого при создании аккаунта генерируется случайный уникальный ID[4][5]. Другой важной особенностью является то, что Session скрывает IP-адреса пользователей, тем самым защищая их от деанонимизации[5][6][7][8].

История создания

править

Session создан The Oxen Projects при поддержке Loki Foundation, НПО из Австралии, сфокусированном на технологиях, обеспечивающих приватность[9]. Изначально мессенджер был форком Signal, который долгое время считался одним из самых безопасных мессенджеров из-за использования сквозного шифрования и протокола Signal. Однако протокол Signal был разработан для систем с централизованным сервером, а мессенджер Signal собирал больше метаданных, чем необходимо. В итоге разработчикам Session пришлось разработать свой протокол, обеспечивающий большую скорость, децентрализованность и безопасность ценой некоторых функций Signal[4].

Принцип работы

править

Session построен на основе блокчейна Oxen, который работает на серверах, поддерживаемых сообществом энтузиастов[9]. Диалоги шифруются с помощью сквозного шифрования: только отправитель и получатель могут расшифровать сообщение. Также, защищена идентичность пользователей за счёт использования луковой маршрутизации — пользователи соединяются друг с другом через напоминающую Tor сеть нод с некоторыми ключевыми отличиями, улучающими приватность[5][6][7][8]. Ни одна нода не может одновременно знать IP-адрес отправителя и получателя сообщения, все сообщения в сети зашифрованы.

Кроме того, ноды сгенерированы в рои. Рои обеспечивают устойчивость сети и используются для временного хранения сообщений, которые временно не могут быть доставлены в точку назначения[10].

Дополнительные возможности

править

Мульти-устройства

править

Session поддерживает мульти-устройства (multi-device). Таким образом можно использовать его и на компьютере, ноутбуке, телефоне, а также на других устройствах одновременно[11]. Для этого необходимо, чтобы была проведена синхронизация ключей между двумя устройствами. С точки зрения пользователя нужно, чтобы оба устройства имели одинаковую ключевую пару публичного и приватного ключа.

 
Мульти-устройства в Session messenger

На схеме изображена пересылка информации с использованием нескольких устройств. Алиса посылает сообщение с её первичного устройства для Боба, у которого включено несколько устройств одновременно. Алиса отправляет сообщение для первичного и вторичного устройства Боба. Она также отправляет сообщение себе, для своего вторичного устройства для оставления своего сообщения на другом устройстве. (Для упрощения рисунка здесь не показаны луковые запросы, а также репликация сообщений через рой).

Передача вложений

править

Отправка файлов поддерживается до 10 МБ. Перед отправкой файл шифруется случайным AES ключом. После этого отправитель отправляет файл через луковые запросы (onion requests). В ответ файловый сервер передаёт ссылку на контент, возвращаемую тоже через луковые запросы. После этого отправитель отправляет сообщение получателю через существующую сессию. Это сообщение содержит ссылку на контент, его хэш и ключ расшифровки. Получатель использует луковые запросы для получения зашифрованного сообщения с файл-сервера, а затем расшифровывает его с помощью полученного ключа дешифровки от отправителя. Получатель также проверяет хэш вложения для проверки того, что файл не был модифицирован при передаче[12].

Другие возможности

править

В мессенджере есть возможность создавать исчезающие сообщения с периодом от 5 секунд до 1 недели. Для защиты от спама максимальное время хранения сообщений в рое перед их доставкой составляет 96 часов[13]. Это время можно выбрать в настройках приложения в пределах 12 часов — 96 часов (Message TTL).

Session поддерживает бэкап на некоторые популярные облачные сервисы. Бэкап шифруется с помощью симметричного ключа (полученного из долгоживущего приватного ключа (long-term private key), который в свою очередь шифруется с помощью парольной фразы, состоящей из 12 произносимых случайных слов[14].

Достоинства Session messenger

править
  1. Использует сквозное шифрование
  2. Скрывает IP-адреса и метаданные пользователей по умолчанию (на момент только в переписке, в будущем также во время звонков)
  3. Не требует номер телефона, электронной почты или любых других данных для регистрации
  4. Имеет открытый исходный код[15]
  5. Использует (децентрализованную) onion-маршрутизацию с некоторыми ключевыми отличиями[6], улучающими приватность пользователя
  6. Не имеет возможности логгировать данные пользователя, в следствие чего ежемесячно отказывает десяткам судебных требований выдать данные пользователя (в силу отсутствии возможности сделать это)[16]
  7. Поддерживает групповые чаты
  8. Устойчив атакам MITM и Сивиллы
  9. Использует надежную и широко одобренную систему шифрования Libsodium, также имеющую открытый исходный код
  10. Клиенты Session для ПК, Android и iOS прошли аудит информационной безопасности от Quarkslab[17][10]
  11. Доступен на все операционные системы (Windows, Mac, Linux, iPhone, iPad, Android)
  12. Стоит также отметить, что команда разработчиков Session (OPTF) является некоммерческой организацией[18] и полностью прозрачна в финансировании[18]

Недостатки Session messenger

править
  1. Не поддерживает двухфакторную аутентификацию
  2. Синхронизация устройств отличается от таковой в мессенджере Signal[10]
  3. Некоторые считают, что отказ от PFS является недостатком[19], но на самом деле это едва ли компрометирует безопасность юзеров в условиях Session[6]

См. также

править

Ссылки

править

Примечания

править
  1. Официальная страница загрузки Session messenger. Дата обращения: 5 мая 2020. Архивировано 12 мая 2020 года.
  2. Session messenger в Google Play. Дата обращения: 5 мая 2020. Архивировано 22 мая 2020 года.
  3. Loki-project на GitHub. Дата обращения: 5 мая 2020. Архивировано 18 июня 2020 года.
  4. 1 2 3 Session Messenger Review (амер. англ.). SecurityTech. Дата обращения: 1 августа 2023. Архивировано 1 августа 2023 года.
  5. 1 2 3 Li₿εʁLiøη Keep Your Privacy With Session Messenger (англ.). Coinmonks (19 марта 2023). Дата обращения: 21 ноября 2023. Архивировано 21 ноября 2023 года.
  6. 1 2 3 4 Frequently Asked Questions - Session Private Messenger (англ.). Session. Дата обращения: 21 ноября 2023. Архивировано 27 ноября 2023 года.
  7. 1 2 Das, Ankush 8 Reasons to Try Session as a Private Messaging App (англ.). MUO (10 февраля 2022). Дата обращения: 21 ноября 2023. Архивировано 31 октября 2022 года.
  8. 1 2 Session Messenger Review - Best Secure Messaging App? (амер. англ.). RestorePrivacy. Дата обращения: 21 ноября 2023. Архивировано 10 октября 2021 года.
  9. 1 2 Session App Review: Everything You Need to Know (амер. англ.). www.privacyaffairs.com (12 июля 2022). Дата обращения: 1 августа 2023. Архивировано 1 августа 2023 года.
  10. 1 2 3 Session Messenger Review - Best Secure Messaging App? (амер. англ.). RestorePrivacy. Дата обращения: 1 августа 2023. Архивировано 10 октября 2021 года.
  11. Whitepaper, стр.16
  12. Whitepaper, стр.18, 23
  13. Whitepaper, стр.23
  14. Whitepaper, стр.20
  15. Oxen (англ.). GitHub. Дата обращения: 21 ноября 2023. Архивировано 19 ноября 2023 года.
  16. OPTF | Transparency Report | Privacy is a fundamental right. (англ.). OPTF. Дата обращения: 21 ноября 2023. Архивировано 21 ноября 2023 года.
  17. Oxen Session Audit (англ.). Quarkslab. Дата обращения: 14 марта 2023. Архивировано 23 октября 2021 года.
  18. 1 2 OPTF | Annual reports (англ.). OPTF. Дата обращения: 21 ноября 2023. Архивировано 21 ноября 2023 года.
  19. AnonymousPlanet The Hitchhiker’s Guide to Online Anonymity (амер. англ.). The Hitchhiker’s Guide to Online Anonymity. Дата обращения: 21 ноября 2023. Архивировано 21 ноября 2023 года.