Ασφάλεια Δεδομένων: Aegees vs Άλλοι Αγγελιοφόροι

Για να είμαστε σίγουροι ότι ο αγγελιοφόρος μας είναι πραγματικά η καλύτερη προσφορά στην αγορά, αναθέσαμε μια ολοκληρωμένη και λεπτομερή μελέτη όλων των δημοφιλών εφαρμογών ανταλλαγής μηνυμάτων. Στόχος μας ήταν να συγκρίνουμε τα χαρακτηριστικά και τις λειτουργίες που εφαρμόζουμε στους Αιγαίους. Μόλις μια μέρα ή δύο πριν, η έκθεση τελικά έφτασε, μια στοίβα χαρτιού ψηλότερη από τον αρχηγό της ομάδας δοκιμών μας, και πάρτε το λόγο για αυτό, είναι ένας πολύ ψηλός τύπος! Φυσικά, πολλά από αυτά είναι πολύ τεχνικά, πράγμα που σημαίνει ότι το βρίσκουμε συναρπαστικό, αλλά είναι αρκετά θαμπό για οποιονδήποτε άλλον. Υπάρχουν επίσης κάποιες εμπορικά ευαίσθητες πληροφορίες που προτιμούμε να διατηρούμε εσωτερικά, διότι αντιπροσωπεύουν την τεχνογνωσία που οι ανταγωνιστές θα ήθελαν απλώς να πάρουν τα χέρια τους. Εκτός από όλα αυτά, υπάρχουν ακόμα πολλά συναρπαστικά πράγματα που μπορούμε και θέλουμε να μοιραστούμε μαζί σας και ελπίζουμε ότι θα τα βρείτε ενδιαφέροντα. Γι 'αυτό έχουμε γράψει αυτή την περίληψη!

Τόσο εδώ. Προεπιλέξαμε 19 αγγελιοφόρους που θεωρούνται ηγέτες στην αγορά όσον αφορά την ασφάλεια των χρηστών. Αυτοί είναι; Bitwala, Briar, Confet, Dust, e-Chat, Eleet, Gem, Kik, Obsidian, Paymon, δακτύλιος, SafeUM, αποστολέας, σήμα, status, Token, Threema, Wickr και CrypViser. Περιττό να πούμε ότι ο στόχος ήταν να είμαστε εντελώς ουδέτεροι και αντικειμενικοί, συγκρίνοντάς τους όλες με τους Αιγαίους, διότι, προφανώς, θα είμαστε οι πρώτοι που θα χάσουν αν βασίσαμε ολόκληρη την ανάλυση μας σε ανακριβείς πληροφορίες.

Εμείς εσκεμμένα επιλέξαμε να μην συμπεριλάβουμε το WhatsApp και το Telegram στη μελέτη, διότι, κατά την επαγγελματική μας άποψη, αυτές οι εφαρμογές μηνυμάτων δεν θεωρούνται πραγματικά ασφαλείς. Το WhatsApp αποθηκεύει όλες τις επαφές των χρηστών στους διακομιστές του, βασίζει την ταυτότητα του χρήστη στους αριθμούς τηλεφώνου και πρόσφατα διέκοψε την κρυπτογράφηση από άκρο σε άκρο, με άλλα λόγια, δεν είναι ασφαλής και ΔΕΝ εξασφαλίζει ανωνυμία. Το τηλεγράφημα αποθηκεύει τα κλειδιά και τις λεγόμενες "μυστικές συνομιλίες" στη συσκευή, κάτι που είναι καλύτερο, αλλά δεν τις κρυπτογραφεί!

Ασφαλής αποθήκευση δεδομένων
Έχουμε διαπιστώσει ότι η αποθήκευση δεδομένων είναι ένα από τα κρίσιμα σημεία ευπάθειας στους περισσότερους σύγχρονους αγγελιαφόρους, γι 'αυτό αποφασίσαμε να αναπτύξουμε και να εφαρμόσουμε στην Aegees μια επαναστατική προσέγγιση στην ασφάλεια των δεδομένων. Αυτή η ευπάθεια διακρίνεται σε αυτά τα βασικά στοιχεία: εφαρμογή μιας κεντρικής προσέγγισης για την αποθήκευση δεδομένων. αποθήκευση δεδομένων σε διακομιστές. και την μη κρυπτογραφημένη αποθήκευση δεδομένων.

Εξετάσαμε τα δύο τελευταία στοιχεία αυτής της τριάδας προκλήσεων δημιουργώντας ένα κρυπτο-δοχείο. Λειτουργεί σαν ένα ασφαλές που είναι εγκατεστημένο στη συσκευή του χρήστη και διατηρεί όλα τα δεδομένα της εφαρμογής, συμπεριλαμβανομένων μηνυμάτων, κλήσεων και επαφών, και ούτω καθεξής, πλήρως κρυπτογραφημένα. Είναι πραγματικά μια πρωτοποριακή λύση, διότι, εξ όσων γνωρίζουμε, καμία άλλη εφαρμογή ανταλλαγής μηνυμάτων δεν χρησιμοποιεί κάτι παρόμοιο.

Για να ολοκληρώσουμε το σχέδιο προστασίας δεδομένων, με την πάροδο του χρόνου θα υλοποιήσουμε μια αποκεντρωμένη υποδομή διακομιστών. Ενώ εργαζόμαστε σε αυτή τη λύση, δεν έχουμε άλλη επιλογή παρά να εμμείνουμε στην καλή παλιά, καλά, σίγουρα παλιά αλλά όχι τόσο καλή, κεντρική προσέγγιση σε συνδυασμό με την κρυπτογράφηση δεδομένων. Το σύνθημά μας είναι να "μην αποθηκεύετε ποτέ κρυπτογραφημένα δεδομένα σε διακομιστές", επειδή η ασφάλεια των διακομιστών αυτές τις μέρες έχει περισσότερες τρύπες από το τυρί της Ελβετίας. απλά σκεφτείτε τα πρόσφατα δελτία ασφαλείας για HP, iLO και Exim, για παράδειγμα.

Θέλουμε να κάνουμε δίκιο με τους Ring, Signal, Wickr και CrypViser επιβεβαιώνοντας ότι πράγματι αυτοί οι αγγελιοφόροι κρυπτογραφούν όλα τα δεδομένα και τα αποθηκεύουν στη συσκευή. Υπάρχει όμως ένα μεγάλο κενό ασφαλείας εδώ, όλα αυτά τα δεδομένα αποθηκεύονται στο γενικό σύστημα αρχείων που μπορεί να προσπελαστεί μέσω του λειτουργικού συστήματος και επομένως από οποιεσδήποτε εφαρμογές τρίτου μέρους που μπορεί να εγκαταστήσει ο χρήστης.

Μερικοί προγραμματιστές επιθυμούν να διατηρήσουν όπου τα apps τους αποθηκεύουν τα δεδομένα ένα τεράστιο μυστικό, είναι δύσκολο να καταλάβεις γιατί. Γνωρίζουμε με σιγουριά ότι η SafeUM και η Threema αποφάσισαν να τηρήσουν την προσέγγιση αποθήκευσης δεδομένων διακομιστή και πιστεύουμε ότι αυτό ήταν ένα μεγάλο λάθος.

Θέλουμε επίσης να δώσουμε πίστωση στους προγραμματιστές Bitwala, Briar, Obsidian, Paymon, Status, CrypViser και Token (Toshi) για την εφαρμογή ήδη μιας αποκεντρωμένης υποδομής διακομιστών. Ωστόσο, με το Signal, οι χειριστές μπορούν να καταγράψουν οποιαδήποτε δεδομένα εφαρμογών στους διακομιστές τους, αν το επιθυμούν. Οι Bria, Gem και Wickr χρησιμοποιούν κρυπτογράφηση από άκρο σε άκρο, όπως ακριβώς και τα Aegees. Τα υπόλοιπα παρέχουν κρυπτογράφηση ως ξεχωριστή προαιρετική υπηρεσία πληρωμής ή δεν το αναφέρουν καθόλου.

Κρυπτογράφηση από άκρο σε άκρο
Από το τέλος μέχρι το τέλος της κρυπτογράφησης υπήρξε η συζήτηση της πόλης πρόσφατα. πολλοί το αποκαλούν την πιο αποτελεσματική λύση προστασίας δεδομένων που υπάρχει. Όπως ίσως έχετε ακούσει, ένας από τους ηγέτες της αγοράς, η WhatsApp έριξε πρόσφατα την κρυπτογράφηση από άκρο σε άκρο για μηνύματα για να ικανοποιήσει τις απαιτήσεις του νέου ιδιοκτήτη της, του Facebook και της αμερικανικής κυβέρνησης.

Φυσικά και εμείς γνωρίζουμε κάτι καλό όταν το βλέπουμε, γι 'αυτό πήγαμε σωστά και εφαρμόσαμε κρυπτογράφηση από το τέλος του αιώνα στα Αιγαία. Σίγουρα δεν είμαστε οι μόνοι που το κάνουμε. Η κρυπτογράφηση από άκρο σε άκρο χρησιμοποιείται από τους Briar, Confide, e-Chat, Eleet, Ring, Sender, Signal, Status, Token (Toshi), Wickr, CrypViser, Threema και Dust. έτσι ώστε οι προγραμματιστές να μπορούν να διαβάζουν μηνύματα. Στα Αιγαία, το κάναμε αδύνατο. μόνο ο χρήστης και κανένας αλλά ο χρήστης θα κατέχει και θα έχει πρόσβαση στο περιεχόμενό τους.

Ιδιωτικό κλειδί και μετάδοση δικτύου
Πιστεύουμε ακράδαντα ότι τα ιδιωτικά κλειδιά δεν πρέπει ... ποτέ ... να μεταδίδονται μέσω δικτύων, είτε σε πλήρη είτε σε τεμάχια. Αυτός είναι ο λόγος για τον οποίο η Aegees δεν υποστηρίζει πλέον τη μεταφορά κλειδιών και δίνουμε το λόγο μας ότι δεν θα το κάνει ποτέ. Εφαρμογές όπως το Briar, Ring, Signal, Wickr και CrypViser χρησιμοποιούν όλοι την ίδια προσέγγιση.

Μερικοί αγγελιοφόροι κρυπτογραφούν το κλειδί ή τμήματα του πριν από τη μεταφορά, αλλά κατά τη γνώμη μας, οι σύγχρονες δυνατότητες υπολογιστών είναι τέτοιες ώστε οι προφυλάξεις αυτού του είδους να είναι εντελώς άχρηστες. Είναι σχεδόν εξίσου ανασφαλές όπως η μεταφορά του κλειδιού χωρίς κρυπτογράφηση. Το κλειδί ή / και οποιοδήποτε μέρος του πρέπει να αποθηκεύεται μόνο στη συσκευή του χρήστη και να μην μεταφέρεται ποτέ μέσω δικτύων.

Κωδικός πηγής
Είναι δυνατή μόνο η επαλήθευση ότι ένας προγραμματιστής σημαίνει επιχείρηση προβάλλοντας τον πηγαίο κώδικα του προϊόντος. Χωρίς αυτό, δεν υπάρχει τρόπος να γνωρίζουμε αν το προϊόν ικανοποιεί όλες τις υποσχέσεις του σχετικά με τη λειτουργικότητα και την ασφάλεια.

Δεδομένου ότι γνωρίζουμε ότι όπως και κανένας άλλος, που είναι οι προγραμματιστές είμαστε, σκοπεύουμε να αποκαλύψουμε τον πηγαίο κώδικα μας όταν έρθει η ώρα. Πιστεύουμε ότι μας δίνει ακόμη περισσότερο ένα ανταγωνιστικό πλεονέκτημα. Κάποιοι άλλοι προγραμματιστές σκέφτονταν επίσης παρόμοιες γραμμές: οι Briar, Ring, SafeUM, Signal και Token (Toshi) πήγαν επίσης ανοιχτά.

Φαίνεται ότι κάποιες εταιρείες πήγαν για μια λύση στο μισό του δρόμου και αποκάλυψαν μόνο κάποια στοιχεία, αλλά όχι αρκετά για να δώσουν μια πλήρη εικόνα του τι μπορεί ή δεν μπορεί να κάνει το προϊόν. Ένα παράδειγμα είναι το Threema. ο προγραμματιστής αυτού του αγγελιοφόρου επέλεξε να παρέχει πρόσβαση στο πρόγραμμα, αλλά μόνο στη διασύνδεση εφαρμογής.

Απαγορεύσεις λογαριασμού χρήστη
Για το προϊόν μας Aegees σχεδιάζουμε να διατηρήσουμε το δικαίωμα να αποκλείουμε κάθε λογαριασμό που διανέμει πληροφορίες σχετικά με την τρομοκρατία, τη διακίνηση ναρκωτικών, την παιδική πορνογραφία και οποιαδήποτε άλλη αντικοινωνική βδέλυκα. Νιώθουμε ευθυγραμμισμένοι με τους προγραμματιστές του Signal, Ring and Dust που επέλεξαν την ίδια προσέγγιση.

Είναι, ωστόσο, περίεργο το γεγονός ότι πολλοί προγραμματιστές δεν έχουν αποκαλύψει καμία πληροφορία σχετικά με τα δικαιώματά τους να απαγορεύουν επιλεκτικά τους λογαριασμούς αυτούς. Η έρευνά μας δείχνει ότι αυτό συμβαίνει με τα Bitwala, Confide, Eleet, e-Chat, Gem, Kik, Obsidian, Paymon, SafeUM, Sender, Status, Token, Threema και Wickr. Οι μόνο δύο εφαρμογές ανταλλαγής μηνυμάτων που έχουμε εντοπίσει ότι παρέχουν πραγματικά ιδιωτικότητα 100% και ασυλία έναντι οποιωνδήποτε απαγορεύσεων είναι οι CrypViser και Briar. Το μειονέκτημα αυτής της προσέγγισης είναι ότι είναι πολύ πιθανό να γίνουν τα προτιμώμενα δίκτυα για κάθε είδους εξτρεμιστές, διακινητές και διανομείς παιδικής πορνογραφίας.

Διεύθυνση IP χρήστη
Εξακολουθούμε να είμαστε αναποφάσιστοι σχετικά με το ζήτημα της διεύθυνσης IP του χρήστη, αλλά αναμένουμε να ολοκληρώσουμε την επιλογή μας σύντομα και πολύ πριν την παγκόσμια ανάπτυξη. Θα σας ενημερώσουμε για την απόφασή μας μέσω δελτίου τύπου. Αυτό που γνωρίζουμε μέχρι στιγμής είναι ότι η μόνη εφαρμογή ανταλλαγής μηνυμάτων που σίγουρα αποκρύπτει τη διεύθυνση IP του χρήστη είναι ο Briar. αλλά η τιμή που πληρώνουν για αυτό δεν είναι υποστήριξη iOS, λόγω του τι πιστεύουμε ότι ήταν μια αμφισβητήσιμη προσέγγιση για την εφαρμογή του στρώματος P2P. Επίσης, γνωρίζουμε με σιγουριά ότι το Dust and Signal δίνει διευθύνσεις IP χρήστη στον παροχέα. Η Ring έχει αναπτύξει ένα αποκεντρωμένο δίκτυο μέσω του οποίου η διεύθυνση IP είναι ανιχνεύσιμη. ενώ κανένας από τους άλλους προγραμματιστές δεν λέει μια λέξη για το αν οι αγγελιοφόροι τους κάνουν ή δεν κρύβουν τη διεύθυνση IP του χρήστη.

Ποιο είναι το πιο προστατευμένο;
Επειδή ήταν η επιλογή μας να συγκρίνουμε τις εφαρμογές με τον πλέον ουδέτερο και αντικειμενικό τρόπο, πρέπει να παραδεχτούμε ότι ορισμένες εφαρμογές ανταλλαγής μηνυμάτων στην αγορά μπορούν πράγματι να ανταγωνιστούν με τα Αιγαί όπως είναι τώρα. Όλοι αυτοί οι αγγελιοφόροι είναι έργα ανοικτού κώδικα που χρησιμοποιούν μια κεντρική προσέγγιση αποθήκευσης δεδομένων. Αν αναλύσουμε τα πλεονεκτήματα και τα μειονεκτήματα των προϊόντων αυτής της ομάδας, εμείς με πείσμα (στην πραγματικότητα όχι πολύ ταπεινά) πιστεύουμε ότι τα Aegees παρέχουν την καλύτερη ασφάλεια.

Ενώ οι σύγχρονες λύσεις κρυπτογράφησης είναι περισσότερο ή λιγότερο ομοιόμορφες, η Aegees έχει ένα σαφές και ισχυρό πλεονέκτημα έναντι όλων των άλλων παρόμοιων προϊόντων, χάρη στην καινοτόμο λύση crypto-container, καθώς και μερικά ακόμη μοναδικά χαρακτηριστικά, όπως για παράδειγμα κρυπτογραφημένα ακουστικά συνέδρια.

Μιλώντας για αυτό, το μόνο προϊόν που μπορεί να κάνει το ίδιο, εκτός από τα Aegees, είναι το Skype της Microsoft, αλλά τα Aegees είναι διαφορετικά, δεδομένου ότι δεν δίνει στον προγραμματιστή κανένα έλεγχο στα κλειδιά κρυπτογράφησης. Δεν θα μπορέσουμε ποτέ να αξιοποιήσουμε τις συνομιλίες των χρηστών μας. Όλες οι άλλες εφαρμογές που μιλάμε δεν προσφέρουν καθόλου ακουστική διάσκεψη.

Συμπέρασμα
Ακόμα και σήμερα, πολύ πριν ολοκληρωθεί η ολοκλήρωσή της, η Aegees είναι η μόνη εφαρμογή μηνυμάτων στην αγορά που προσφέρει αυτά τα πλεονεκτήματα στους χρήστες της:

• Όλες οι μεταδόσεις δεδομένων είναι κρυπτογραφημένες. Όλα τα δεδομένα αποθηκεύονται πάντα κρυπτογραφημένα.

• Όλα τα δεδομένα χρήστη αποθηκεύονται με ασφάλεια μέσα σε ένα κρυπτο-δοχείο που είναι εγκατεστημένο στη συσκευή.

• Τα ιδιωτικά κλειδιά δεν αφήνουν ποτέ τη συσκευή χρήστη.

• Ο προγραμματιστής δεν έχει κανένα έλεγχο στα κλειδιά κρυπτογράφησης.

• Εφαρμόζονται συνέδρια κρυπτογραφημένου ήχου.

Έχοντας κάνει όλα αυτά, συνεχίζουμε τη δουλειά μας για να κάνουμε τα Aegees ακόμα καλύτερα, ακόμα ασφαλέστερα και δεσμευόμαστε να προσφέρουμε στους πελάτες μας την καλύτερη προσφορά στην αγορά.