Session (Session)
| Session | |
|---|---|
 | |
 Скриншот из версии 1.17.4 (Декабрь 2023) | |
| Тип | Мгновенный обмен сообщениями |
| Разработчик | The Oxen Project |
| Написана на | Java, Kotlin, C++, Swift, TypeScript |
| Интерфейс | EGL |
| Операционные системы | Android 6 или выше, iOS 12 или выше, Windows, MacOS, Linux[1] |
| Языки интерфейса | английский |
| Первый выпуск | 4 февраля 2020[2] |
| Аппаратная платформа | Android |
| Последняя версия | 1.17.4 (12 января 2024) |
| Репозиторий | github.com/oxen-io/sessi… |
| Лицензия | GPL-3.0[3] |
| Сайт | getsession.org |
 Медиафайлы на Викискладе | |
Session — открытый анонимный децентрализованный мессенджер на базе экосистемы Oxen, поддерживающий сквозное шифрование и минимизирующий использование метаданных для скрытия личностей пользователей по умолчанию[4].
Отличительной особенность Session является отсутствие необходимости предоставлять любые персональные данные для регистрации. Вместо этого при создании аккаунта генерируется случайный уникальный ID[4][5]. Другой важной особенностью является то, что Session скрывает IP-адреса пользователей, тем самым защищая их от деанонимизации[5][6][7][8].
История создания
[править | править код]Session создан The Oxen Projects при поддержке Loki Foundation, НПО из Австралии, сфокусированном на технологиях, обеспечивающих приватность[9]. Изначально мессенджер был форком Signal, который долгое время считался одним из самых безопасных мессенджеров из-за использования сквозного шифрования и протокола Signal. Однако протокол Signal был разработан для систем с централизованным сервером, а мессенджер Signal собирал больше метаданных, чем необходимо. В итоге разработчикам Session пришлось разработать свой протокол, обеспечивающий большую скорость, децентрализованность и безопасность ценой некоторых функций Signal[4].
Принцип работы
[править | править код]Session построен на основе блокчейна Oxen, который работает на серверах, поддерживаемых сообществом энтузиастов[9]. Диалоги шифруются с помощью сквозного шифрования: только отправитель и получатель могут расшифровать сообщение. Также, защищена идентичность пользователей за счёт использования луковой маршрутизации — пользователи соединяются друг с другом через напоминающую Tor сеть нод с некоторыми ключевыми отличиями, улучающими приватность[5][6][7][8]. Ни одна нода не может одновременно знать IP-адрес отправителя и получателя сообщения, все сообщения в сети зашифрованы.
Кроме того, ноды сгенерированы в рои. Рои обеспечивают устойчивость сети и используются для временного хранения сообщений, которые временно не могут быть доставлены в точку назначения[10].
Дополнительные возможности
[править | править код] | Этот раздел опирается на источники, аффилированные с предметом статьи или иной заинтересованной стороной. |
Мульти-устройства
[править | править код]Session поддерживает мульти-устройства (multi-device). Таким образом можно использовать его и на компьютере, ноутбуке, телефоне, а также на других устройствах одновременно[11]. Для этого необходимо, чтобы была проведена синхронизация ключей между двумя устройствами. С точки зрения пользователя нужно, чтобы оба устройства имели одинаковую ключевую пару публичного и приватного ключа.
На схеме изображена пересылка информации с использованием нескольких устройств. Алиса посылает сообщение с её первичного устройства для Боба, у которого включено несколько устройств одновременно. Алиса отправляет сообщение для первичного и вторичного устройства Боба. Она также отправляет сообщение себе, для своего вторичного устройства для оставления своего сообщения на другом устройстве. (Для упрощения рисунка здесь не показаны луковые запросы, а также репликация сообщений через рой).
Передача вложений
[править | править код]Отправка файлов поддерживается до 10 МБ. Перед отправкой файл шифруется случайным AES ключом. После этого отправитель отправляет файл через луковые запросы (onion requests). В ответ файловый сервер передаёт ссылку на контент, возвращаемую тоже через луковые запросы. После этого отправитель отправляет сообщение получателю через существующую сессию. Это сообщение содержит ссылку на контент, его хэш и ключ расшифровки. Получатель использует луковые запросы для получения зашифрованного сообщения с файл-сервера, а затем расшифровывает его с помощью полученного ключа дешифровки от отправителя. Получатель также проверяет хэш вложения для проверки того, что файл не был модифицирован при передаче[12].
Другие возможности
[править | править код]В мессенджере есть возможность создавать исчезающие сообщения с периодом от 5 секунд до 1 недели. Для защиты от спама максимальное время хранения сообщений в рое перед их доставкой составляет 96 часов[13]. Это время можно выбрать в настройках приложения в пределах 12 часов — 96 часов (Message TTL).
Session поддерживает бэкап на некоторые популярные облачные сервисы. Бэкап шифруется с помощью симметричного ключа (полученного из долгоживущего приватного ключа (long-term private key), который в свою очередь шифруется с помощью парольной фразы, состоящей из 12 произносимых случайных слов[14].
Достоинства Session messenger
[править | править код]- Использует сквозное шифрование
- Скрывает IP-адреса и метаданные пользователей по умолчанию (на момент только в переписке, в будущем также во время звонков)
- Не требует номер телефона, электронной почты или любых других данных для регистрации
- Имеет открытый исходный код[15]
- Использует (децентрализованную) onion-маршрутизацию с некоторыми ключевыми отличиями[6], улучающими приватность пользователя
- Не имеет возможности логгировать данные пользователя, в следствие чего ежемесячно отказывает десяткам судебных требований выдать данные пользователя (в силу отсутствии возможности сделать это)[16]
- Поддерживает групповые чаты
- Устойчив атакам MITM и Сивиллы
- Использует надежную и широко одобренную систему шифрования Libsodium, также имеющую открытый исходный код
- Клиенты Session для ПК, Android и iOS прошли аудит информационной безопасности от Quarkslab[17][10]
- Доступен на все операционные системы (Windows, Mac, Linux, iPhone, iPad, Android)
- Стоит также отметить, что команда разработчиков Session (OPTF) является некоммерческой организацией[18] и полностью прозрачна в финансировании[18]
Недостатки Session messenger
[править | править код]- Не поддерживает двухфакторную аутентификацию
- Синхронизация устройств отличается от таковой в мессенджере Signal[10]
- Некоторые считают, что отказ от PFS является недостатком[19], но на самом деле это едва ли компрометирует безопасность юзеров в условиях Session[6]
См. также
[править | править код]- Аналогичный децентрализованный протокол — Tox
- Сквозное шифрование
- Протокол Signal
- Алгоритм двойного храповика
- Протокол Matrix
Ссылки
[править | править код]- Официальный сайт мессенджера
- Страница проекта на GitHub
- Официальный сайт Oxen Privacy Tech Foundation
- Официальный сайт Oxen Network
- Официальный сайт Lokinet
- Обсуждение мессенджера через протокол Matrix #session: matrix.org
Примечания
[править | править код]- ↑ Официальная страница загрузки Session messenger. Дата обращения: 5 мая 2020. Архивировано 12 мая 2020 года.
- ↑ Session messenger в Google Play. Дата обращения: 5 мая 2020. Архивировано 22 мая 2020 года.
- ↑ Loki-project на GitHub. Дата обращения: 5 мая 2020. Архивировано 18 июня 2020 года.
- ↑ 1 2 3 Session Messenger Review (амер. англ.). SecurityTech. Дата обращения: 1 августа 2023. Архивировано 1 августа 2023 года.
- ↑ 1 2 3 Li₿εʁLiøη Keep Your Privacy With Session Messenger (англ.). Coinmonks (19 марта 2023). Дата обращения: 21 ноября 2023. Архивировано 21 ноября 2023 года.
- ↑ 1 2 3 4 Frequently Asked Questions - Session Private Messenger (англ.). Session. Дата обращения: 21 ноября 2023. Архивировано 27 ноября 2023 года.
- ↑ 1 2 Das, Ankush 8 Reasons to Try Session as a Private Messaging App (англ.). MUO (10 февраля 2022). Дата обращения: 21 ноября 2023. Архивировано 31 октября 2022 года.
- ↑ 1 2 Session Messenger Review - Best Secure Messaging App? (амер. англ.). RestorePrivacy. Дата обращения: 21 ноября 2023. Архивировано 10 октября 2021 года.
- ↑ 1 2 Session App Review: Everything You Need to Know (амер. англ.). www.privacyaffairs.com (12 июля 2022). Дата обращения: 1 августа 2023. Архивировано 1 августа 2023 года.
- ↑ 1 2 3 Session Messenger Review - Best Secure Messaging App? (амер. англ.). RestorePrivacy. Дата обращения: 1 августа 2023. Архивировано 10 октября 2021 года.
- ↑ Whitepaper, стр.16
- ↑ Whitepaper, стр.18, 23
- ↑ Whitepaper, стр.23
- ↑ Whitepaper, стр.20
- ↑ Oxen (англ.). GitHub. Дата обращения: 21 ноября 2023. Архивировано 19 ноября 2023 года.
- ↑ OPTF | Transparency Report | Privacy is a fundamental right. (англ.). OPTF. Дата обращения: 21 ноября 2023. Архивировано 21 ноября 2023 года.
- ↑ Oxen Session Audit (англ.). Quarkslab. Дата обращения: 14 марта 2023. Архивировано 23 октября 2021 года.
- ↑ 1 2 OPTF | Annual reports (англ.). OPTF. Дата обращения: 21 ноября 2023. Архивировано 21 ноября 2023 года.
- ↑ AnonymousPlanet The Hitchhiker’s Guide to Online Anonymity (амер. англ.). The Hitchhiker’s Guide to Online Anonymity. Дата обращения: 21 ноября 2023. Архивировано 21 ноября 2023 года.
| |||||||
