Доступен ли безопасный групповой чат сегодня?

Я хотел бы знать, существует ли какое-либо решение для группового чата, которое можно использовать сегодня с разумной уверенностью в том, что содержание разговоров останется конфиденциальным. Пока что это решения, о которых я знаю:

  • IRC с SSL, плюс FiSH : я бы предпочел этого избежать не только потому, что это требует настройки IRC-сервера, но и потому, что он использует Blowfish, который больше не рекомендуется даже его создателем.

  • Частный сервер XMPP с SSL: относительно легко настроить сервер XMPP, который позволяет сохранять контроль над своими данными. Недостатком является то, что сами сообщения не зашифрованы: я видел несколько обсуждений и несколько статей о протоколе mpOTR, но не реализовал его. ( это то, что я сейчас использую )

  • Tox : Насколько я понимаю, будучи одноранговым протоколом, риск утечки информации должен быть минимальным, плюс он использует современные криптографические примитивы (curve25519, xsalsa20 и poly1305, из криптобиблиотеки NaCl). С другой стороны, он все еще находится в зачаточном состоянии, и мне интересно, проводились ли какие-либо аудиты или исследования реальной безопасности, которую он обеспечивает. Можно ли считать Tox достаточно безопасным или еще слишком рано об этом говорить?

Наконец, я пропустил какое-то другое интересное решение?

Обновление. В приведенных ниже ответах было предложено несколько других решений, и некоторые из них выглядят многообещающе. С другой стороны, два из них на самом деле выходят за рамки этого вопроса, и я хотел бы указать, почему, потому что на них чаще всего ссылаются, которые я нашел в Интернете, включая этот сайт.

  • Любой протокол (обычно XMPP) плюс OTR: для разговоров один на один OTR отлично подходит и является стандартом де-факто. С другой стороны, он не поддерживает групповые чаты, которым посвящен этот вопрос. Единственная многосторонняя реализация OTR, о которой я знаю, это Cryptocat, но... см. ниже. (это относится к Jitsi, ChatSecure и многим другим клиентам )

  • Cryptocat: это было отличное решение, но проект был неактивен (и недоступен) с февраля 2014 года. Его создатель упомянул о большой переработке и обновлении в работе, но неясно, когда это будет доступно и будет ли оно доступно. Смотрите уведомление на главной странице проекта .

Является ли совместимость с рабочим столом жестким требованием? Потому что Signal делает действительно хорошую работу...
«Частный сервер XMPP с» TLS . ​
@RickyDemer Это хороший момент, спасибо, что напомнили мне.
@SEJPM Да, совместимость с рабочим столом для меня очень желательна.
Для какой операционной системы?
Linux и Windows и желательно на основе открытого протокола.

Ответы (1)

Теперь, что касается безопасности, я не могу вам открыто советовать по этому поводу. Вот краткий список программ, которые вы можете использовать.

Я не буду вдаваться в подробности протоколов и т. д.; Я оставлю это все для вас, чтобы изучить / просмотреть.

Викр

Некоторая информация взята с их домашней страницы:

  1. Имя пользователя Wickr, идентификатор приложения и идентификатор устройства криптографически хэшируются с помощью нескольких раундов SHA256 с солью;
  2. Данные в состоянии покоя и при передаче шифруются с помощью AES256;
  3. В рамках Perfect Forward Secrecy каждое сообщение имеет новый ключ шифрования, который удаляется, как только сообщение расшифровывается;
  4. Ключи шифрования сообщений шифруются с помощью ключа, созданного с использованием ECDHE;
  5. Сообщения привязаны как к приложению получателя, так и к устройству;
  6. Никакие пароли или хэши паролей никогда не покидают пользовательское устройство;
  7. Весь пользовательский контент стирается с устройства после истечения срока его действия;
  8. Ваш UDID (уникальный идентификатор устройства) никогда не загружается на наши серверы, поэтому вы всегда анонимны для нас;
  9. Безопасный шредер Wickr стирает все удаленные данные на вашем устройстве, чтобы их нельзя было восстановить;
  10. Все пользовательские сообщения очищаются от любых метаданных.

Поддерживаемая платформа

  • Окна
  • Андроид
  • Пункт списка
  • ОС X
  • iOS
  • линукс

КриптоКот

  • пара ключей OTR
  • Имя пользователя и пароль XMPP (Extensible Messaging and Presence Protocol) (оба являются случайными буквенно-цифровыми символами длиной 256 байт). Они используются для регистрации нового пользователя на сервере XMPP с использованием XEP-0077.
  • Чаты — это экземпляры XMPP MUC (многопользовательская конференция) (XEP-0045).

Поддерживаемые платформы

  • Окна
  • iOS
  • Андроид

Джитси

Ниже перечислены особенности программы:

  • 100% открытый исходный код
  • Зашифровано по умолчанию
  • HD-аудио с Opus — аудио, видео, потоковая передача с рабочего стола, запись звонков, шифрование звонков (SDES/SRTP и ZRTP), шифрование OTR
  • Аккаунт не нужен
  • Презентации и общий доступ к рабочему столу
  • Встроенный чат - SIP, Google, XMPP (Jabber), Facebook (XMPP), .NET Messenger Service (MSN), Yahoo. АИМ и аська

Поддерживаемые платформы

  • Окна
  • iOS
  • линукс

РетроПоделиться

Ознакомьтесь с документацией здесь .

См. здесь вопросы по IP/DHCP. Тревожной частью документа является раздел безопасности « TODO » .

Поддерживаемые платформы

  • Окна
  • iOS
  • линукс

Телеграмма

Функции:

  • MTProto
  • Сквозное шифрование с идеальной прямой секретностью
  • Сквозной TL

Поддерживаемые платформы

  • Окна
  • Андроид
  • Пункт списка
  • ОС X
  • iOS
  • линукс

Надеюсь, это даст вам достойный список приложений, с которыми можно запускать и играть. Лично я использовал Wickr и обнаружил, что он просто кричит о недоверии (вы можете погуглить все отчеты), но они кажутся нормальными — просто не доверяйте приложениям с закрытым исходным кодом для такого рода вещей.

Anywhoo укажите любые проблемы в комментариях, пожалуйста.

Спасибо за ваш ответ. Я должен указать, что Jitsi выходит за рамки этого вопроса и что Cryptocat недоступен на неопределенный срок (см. Мое редактирование). Однако другие решения кажутся интересными. «Защищенные чаты» Telegram — это почти то, что я ищу, если бы не то, что для общения с кем-то вам нужно поделиться своим номером телефона. Точно так же Wickr почти идеален: меня беспокоит, что они используют закрытый протокол и программное обеспечение с закрытым исходным кодом, но проверки безопасности несколько обнадеживают.
Они также, кажется, хранят некоторые метаданные на неопределенный срок, но определить, что именно они собирают, немного сложно, потому что их политика конфиденциальности несколько противоречива в этом отношении. Наконец, у меня еще не было возможности удовлетворительно оценить RetroShare .
Я надеялся получить реальный совет по безопасности, поэтому этот вопрос изначально был опубликован на Security.SE. Я могу в конечном итоге принять этот ответ, но я подожду пару дней, если у кого-то есть совет по безопасности в этом вопросе.
@AP, в сообществе безопасности Telegram имеет довольно плохой имидж, потому что они представляют собой группу математиков, которые создали свою собственную криптографию (протокол) и не использовали установленный (и пользующийся доверием) стандарт (OTR). Также см . канонический вопрос Telegram на Sec.SE.
@SEJPM Да, и Wickr, и Telegram внедрили сомнительный протокол.
Доступен ли безопасный групповой чат сегодня?
СпросиСетьПолитика конфиденциальности1y, 0v