WhatsApp vélemények
WhatsApp vélemények láttak napvilágot tucatszámra, miután eme kommunikációs termék 2016 óta rendszeresen oszt meg személyes adatokat a Facebook™ közösségi hálózatával. Ez pedig a felhasználókat arra ösztökélte, hogy WhatsApp alternatívák után kezdjenek kutakodni, én pedig ehhez a kutakodáshoz szeretnék segítséget adni.
Személy szerint a végponttól végpontig történő titkosítást (E2EE) minden olyan üzenetkezelő vagy egyéb Messenger szerű alkalmazás esetén alapkövetelménynek tekintem, amelyek a biztonságos és privát jelzőket használják és ez alapján igyekeznek felhasználókat meghódítani.
A végponttól végpontig történő titkosítás lényegét több cikkemben is említettem már, akit érdekel ennek a jelentése, annak javaslom olvassa el az email titkosítás gyorstalpalója írásom.
WhatsApp vélemények az alternatívák fényében
A WhatsApp végpontok közötti titkosítást használ, ezért a tényleges üzenetek biztonságosak a platformon. De ez így magában még nem fék ahhoz, hogy például a Facebook™ ne éljen vissza mondjuk a metaadatokkal.
WhatsApp vélemények hét másik alternatívával való összehasonlítás alapján
WhatsAPP vs Signal vs Telegram vs Threema vs Wickr Me vs Wire vs Element vs Keybase
Ugrás a felső index értelmezéséhez!
Milyen veszélyekkel jár a WhatsApp használata?
2016 óta a WhatsApp megosztja a felhasználói tranzakciós adatainak és metaadatainak túlnyomó részét a Facebook rendszerével. Nem rég egy új adatvédelmi nyilatkozata is napvilágot látott, amit a felhasználóknak 2021. május 15.-ig kell elfogadniuk avagy továbblépniük egy WhatsApp alternatíva felé 😉
A WhatsApp által a Facebook felé megosztott információk tartalmazzák az IP-címet, az eszköz azonosítóját, az operációs rendszert, a böngésző adatait, a mobilhálózat adatait, az üzenetet kinek küldjük, mennyi ideig és milyen gyakran kommunikálunk, a tranzakciós és fizetési adatokat és egyebeket.
A WhatsApp chat az biztonságos, privát?
A WhatsApp üzeneteit a Signal protokoll segítségével végpontok közötti titkosítás jellemzi. Ez azt jelenti, hogy csak Te és a címzett (ek) olvashatják el az aktuális üzeneteket. Tehát a WhatsApp biztonságos. Ugyanakkor sok olyan metaadatot gyűjt, amely káros a magánszférádra (erről épp feljebb írtam).
Metaadatok jelentése a kommunikációs applikációk vonatkozásában
Információk arról, hogy kivel, honnan, milyen időpontban, milyen gyakran és melyik eszközről kommunikálunk.
A nyílt forráskód szemlélet jelentősége
A nyílt forráskód tulajdonság egy fontos mérőszáma annak, hogy egy szolgáltatás tényleg biztonságos, vagy pedig a lehető legrövidebb idő alatt azzá tehető. Az alkalmazás kódjának nyilvános közzétételével bárki megvizsgálhatja, hogy megbizonyosodjon arról, hogy az alkalmazás azt csinálja, ami eredetileg a rendeltetése. Ez fontos, hisz több szem többet lát, és a hibák, esetleges biztonsági rések is sokkal gyorsabban javíthatók.
Pontosan ezért csemegéztem olyan WhatsApp alternatívák között, amelyekre igaz, hogy nyílt forráskódú, valamint támogatják az E2EE kommunikációs metodikát. Az előnyökre és hátrányokra szeretnék rámutatni.
Az eltűnő üzenetek fogalmáról
Az eltűnő üzenetek, amint a neve is mutatja, olyan üzenetek, amelyek valamikor később eltűnnek, vagy automatikusan törlődnek a csevegésből. … Például a Facebook tulajdonában lévő üzenetküldő alkalmazás hivatalosan is bejelentett egy új funkciót – „eltűnő üzeneteket” néven, még 2020. novemberében.
Üzenetküldő alkalmazások
Signal alkalmazás
A Signal üzenetküldési protokoll egy végponttól végpontig lévő üzenetküldési protokoll. Ezt a Signal Foundation, egy nonprofit szervezet fejlesztette ki, amelyet kriptográfus és adatvédelmi aktivista, Moxie Marlinspike alapított. A Signal Protokoll nyílt forráskódú, szakmailag ellenőrizték a biztonsági réseket, és széles körben alkalmazzák titkosítási hatékonysága miatt.
Üzenetküldő alkalmazások, amelyek a Signal protokollt használják
A Signal protokollt minősége miatt számos harmadik féltől származó üzenetküldő alkalmazás is használja az üzenetek biztonságos végpontok közötti titkosítására. Ilyen például a WhatsApp, a Facebook, a Messenger vagy a Skype.
A Signal protokollt alkalmazó harmadik féltől származó alkalmazásokkal ellentétben, a Signal Foundation Signal alkalmazása azonban 100% -ban nyílt forráskódú.
A Signal alkalmazás metaadat kezeléséről
Fontos, hogy a WhatsApp adatvédelmi irányelveivel kapcsolatos közelmúltbeli fokozott tudatosság fényében a Signal alkalmazás és a Signal Foundation szinte semmilyen metaadatot nem őriz meg az alkalmazás használatával kapcsolatban! Csak „a felhasználó által a Signal szolgáltatással regisztrált dátum és idő, valamint a felhasználó Signal szolgáltatáshoz való csatlakozásának utolsó dátuma” rögzítődik a metaadatokban, amelynek tényállása bírósági eljárásban is bizonyítottá vált!
Titkosítási folyamatok és adattárolás
A WhatsApp-tól eltérően a Signal a telefon rendszeres SMS messenger alkalmazásának helyettesítésére szolgál Androidon (nem iOS-en). A más Signal felhasználókkal kicserélt üzenetek végpontok közötti titkosítást kapnak, a nem Signal felhasználókkal való kommunikáció már nem. A Signal mindig figyelmeztet, ha az üzeneteket titkosítatlanul küldik!
Ez a Signal használatát nagyon átláthatóvá teszi, de az a tény, hogy a felhasználóknak érvényes telefonszámmal kell regisztrálniuk a kapcsolattartás érdekében, szintén az alkalmazás kritikájának legfőbb forrása. Meg kell azonban jegyezni, hogy a névjegyeket csak helyben tárolják, és a Signal Foundation nem fér azokhoz hozzá.
A Signal alkalmazás az üzenetkezelés mellett támogatja a hangalapú kommunikációt és a videókonferenciát.
A Signal alkalmazás előnyei
- A Signal app ingyenes
- Nagyon jó titkosítás
- Metaadatokat alig tárol
- Zökkenőmentesen használható Android rendszereken
- Eltűnő üzenetek (Signal üzenet törlése automatikus az időzítő által)
- E2EE alapú szöveges, hang és videocsoportos csevegés lehetősége
A Signal alkalmazás hátrányai
- A regisztrációhoz érvényes telefonszámra van szükség
- Nem rendelkezik saját szerverrel, az Amazon (AWS) van a háttérben
Telegram Messenger
Mi az a Telegram? Hogyan működik a Telegram?
Több mint 500 millió felhasználóval a Telegram egy nagyon népszerű WhatsApp alternatíva. Ennek a népszerűségnek az oka az a széles körben elterjedt felfogás, miszerint a Telegram rendkívül biztonságos. Ezt a nézetet csak számos ország kormánya mellőzi, nevezetesen Indonézia, Oroszország és Irán, amelyek megpróbálják blokkolni vagy betiltani ezt a platformot.
Van azonban néhány kérdés a Telegram felhasználóinak nyújtott biztonság tekintetében!
A rendszeres alapértelmezett „felhőalapú üzenetek”, amelyek a felhasználó bármely eszközén elérhetők, átviteli állapotban és a Telegram szerverein vannak tárolva titkosítva. Azonban csak az ügyfelek közötti csevegések vannak titkosítva. E2EE alapú csevegések nem érhetők el a csoportok vagy csatornák számára!
A Telegramban a kommunikáció biztonságához használt nyílt forráskódú házon belüli MTProto titkosítás kritikát kapott a biztonsági szakértők részéről. Bár az új verziót (MTProto 2.0) hivatalosan is igazolták, hogy kriptográfiailag megfelelő. A Telegram API és az összes Telegram alkalmazás nyílt forráskódú, de szerveroldali háttér-szolgáltatása nem.
Telegram metaadat kezelése
A Telegram nagyon sok metaadatot gyűjthet a felhasználóktól: olyan metaadatokat, mint például IP cím, a felhasználó által használt eszközök, a felhasználónév-változtatások előzményei és még lehetne sorolni.
A Telegram Messenger előnyei
- Ingyenes
- Csatornákon keresztüli üzenetszórás lehetősége
- Az egyes csoportokat botok segítségével lehet menedzselni
- Szinkronizálás több eszközzel (nem E2EE alapon!)
- Szavazások, matricák, aktuális lokalizáció megosztása, identitáskezelés
- E2EE szöveg, hang és videó chat kezelés
A Telegram Messenger hátrányai
- Titkosítási aggályok
- Csak a titkos csevegések E2EE alapúak
- A csoportos csevegések (szöveg vagy audio) nem E2EE alapú
- Rengeteg metaadatot gyűjt
- Nincs csoportos videocsevegések lehetőség
- A Telegram regisztráció érvényes telefonszámot igényel
- Székhelye az Egyesült Arab Emírségekben (UAE) van, amely nem híres az emberi jogok gyakorlásáról vagy a magánélet tiszteletben tartásáról
Threema Messenger
A Threema székhelye Svájcban található, egy olyan országban, amely nagyon szigorú adatvédelmi törvényekkel rendelkezik, és független az Egyesült Államoktól és az Európai Uniótól. Ezenkívül saját szerver-infrastruktúrával rendelkezik Svájcban.
A Threema összes alkalmazása a nyílt forráskódú NaCl kriptográfiai megoldásokat használja az összes kommunikáció titkosításához, és mindegyiket a közelmúltban, 2020-ban ellenőrizték a biztonsági szakemberek.
A regisztrációhoz nem szükséges e-mail cím vagy telefonszám, és a Bitcoin segítségével névtelenül is megvásárolható a „Threema for Android”. A Threema állítása szerint ez lehetővé teszi, hogy anonim módon küldjön bárki SMS-eket vagy kezdeményezzen hívásokat. Sok mindent megtesz annak érdekében, hogy minimális mennyiségű metaadatot gyűjtsön össze.
Az a tény, hogy az alkalmazás nem ingyenes, valószínűleg fájdalmat okozhat egyesek számára, de körülbelül 3 USD (egyszeri vásárlás) által már használatba is vehető. Ettől függetlenül, vicces de pont ennek köszönheti alacsony felhasználói táborát.
A teljes E2EE csoportos szöveges és hanghívások mellett a Threema csoportos lekérdezési funkciót is kínál. Az E2EE videohívások támogatottak, de csoportok számára nem.
Előnyök
- Nincs szükség telefonszámra vagy e-mailre a regisztrációhoz
- Kevés metaadatot gyűjt
- Svájci bázisú saját szerverekkel
- GDPR kompatibilis
- E2EE csoportos szöveges és hangalapú csevegés
Hátrányok
- Nem ingyenes
- Nagyon alacsony a felhasználói bázisa
- Nem támogatja a csoportos videóhívásokat
Wickr ME
Három Wickr kiadás létezik:
– Az ingyenes Wickr Me a személyes használatra tervezett verzió
– A Wickr Pro alapszintű csomagja szintén ingyenes, bár megköveteli, hogy induláskor igazoljuk a személyazonosságot
– Wickr Enterprise
Alkalmazza az eltűnő üzenetek megoldást!
Az üzenetek eltűnnek mind a küldő, mind a fogadó eszközökről egy meghatározott idő után (alapértelmezés szerint hat nap). A Wickr a szervereken tárolt kézbesítetlen üzeneteket is törli egy idő után.
Beállítható egy írás-olvasás időzítő is annak meghatározásához, hogy az üzenet mennyi ideig tárolódjon a megsemmisülése előtt. Ha nem kerül az üzenet elolvasásra, akkor az üzenet időzítő hosszának végén törlődik. Az összes metaadat törlésre kerül, ha egy üzenet megnyílik vagy az időzítése alapján lejár.
Nyílt forráskódú némi fenntartással
A Wickr nyílt forráskódú szoftverként hirdeti önmagát, de eme állításával kapcsolatban akad néhány fontos megjegyzés.
Az összes Wickr alkalmazást megalapozó wickr-crypto-c az a titkosítási eljárás, amelyet bárki megvizsgálhat, a Github-on bárki számára elérhető. A Wickr licencelési sajátossága miatt, viszont nem lehet teljes mértékben nyílt forráskódként kezelni!
Biztonsági szempontból ugyanis jelentős kérdés, hogy bár az alap kriptográfiai protokoll elérhető, a Wickr alkalmazások forráskódja azonban nem. A Wickr szerint az applikációk forráskódja több független biztonsági auditon esett át, de ezeknek az ellenőrzéseknek a teljes eredménye nem nyilvános.
Lehetőségek a Wickr applikációkkal
A szolgáltatáshoz történő regisztrációhoz nincs szükség telefonszámra vagy e-mailre. Legfeljebb 10 embert lehet meghívni egy szobába, vagy végpontok közötti titkosított szöveges, hangalapú csoportos csevegésbe. A videokonferencia nem érhető el a Wickr Me szolgáltatásban, bár a Wickr Pro alkalmazás támogatja (beleértve az E2EE csoportos csevegést a szoba minden tagjával).
A Wickr nyilvános kiszolgáló hálózatokon (például a Google és az AWS) rendszereiben van tárolva. A Psiphonnal együttműködve kínálja a Wickr Open Access funkciót, amely egy erőteljes anti-cenzúraellenes funkció.
A Wickr Me ingyenes, de a Wickr prémium kategóriájú Pro és Enterprise alkalmazásaiból finanszírozzák!
Előnyök
- Ingyenes
- Rövid üzenetküldésre készült
- Cenzúraellenes funkció
- E2EE csoportos szöveges és hangalapú csevegés
- Nincs szükség telefonszámra vagy e-mailre a regisztrációhoz
Hátrányok
- Az alkalmazások maguk nem nyílt forráskódúak
- A biztonsági auditok eljárásainak eredményét nem teszik közzé
- Nincs videocsevegés (bár elérhető az alkalmazás ingyenes Pro verziójában)
Wire
A több eszköz közötti szinkronizálás megkönnyítése érdekében a Wire meglehetősen sok metaadatot őriz. A Wire a Proteus protokollal végpontok közötti titkosítást biztosít a szöveges üzenetek számára. A Proteust és az összes Wire alkalmazást nyilvánosan auditálták és ezeket a felülvizsgálati eredményeket közzé is tették.
A konferenciabeszélgetéseket (legfeljebb 25 résztvevő) és a videohívásokat (legfeljebb 12 résztvevő) végpontok között titkosítják a DTLS segítségével, SRTP handshake által.
A SRTP fogalmáról
Az SRTP azt jelenti, hogy Secure Real-time Transport Protocol ami a Real-time Transport Protocol (RTP) profilja, amely titkosítást, üzenet hitelesítést és integritást, valamint támadás elleni védelmet nyújt az RTP adatok számára mind az egyedi, mind a multicast alkalmazásokban. Ezt egy kis csapat, az Internet Protocol és a Cisco valamint az Ericsson kriptográfiai szakértői fejlesztették ki. Először az IETF adta ki 2004 márciusában RFC 3711 néven.
Az üzleti felhasználók tekintetit is megragadja
Az alkalmazás támogatja a fejlett videokonferencia-szolgáltatásokat, amelyek vonzóak az üzleti felhasználók számára, ideértve a képernyőmegosztást, a képernyőfelvételt és a fejlett értekezlet-ütemezést.
A Wire szívesen orientálja a felhasználókat a Premium Pro és Enterprise termékek felé, de elérhető egy ingyenes verzió, amely a Pro alkalmazáshoz hasonló funkciókat kínál.
Előnyök
- Tartalmaz ingyenes lehetőségeket
- E2EE alapú szöveges, hang és videocsoportos csevegések
- Szinkronizálható akár nyolc eszközre is
- Fejlett videokonferencia-szolgáltatások
Hátrányok
- Elég sok metaadatot naplóz (s ráadásul ezt sima szövegben tárolja)
- Telefonszám vagy e-mail cím szükséges a regisztrációhoz
Element (régebbi nevén Riot.im)
A cikkben eddig tárgyak üzenetküldő alkalmazások valamilyen központi szerverhálózaton alapultak. Az Element ehelyett a föderáció elvére épül. A felhasználók beállíthatják saját szervereiket a Matrix kommunikációs protokoll segítségével, vagy csatlakozhatnak a Matrix szerverekhez, amelyeket más felhasználók állítottak be. A Föderáció megkapta Edward Snowden támogatását, de továbbra is ellentmondásos ötlet az ilyen hálózat potenciálisan megbízhatatlan ad-hoc peer-to-peer jellege miatt.
Működési elvéről
A Matrix szerverek interoperábilisak, így bármely Matrix kliens bármely felhasználója (az Element a legnépszerűbb ezek közül) kommunikálhat bármely más Matrix felhasználóval. A mátrix „hidak” lehetővé teszik a kommunikációt más népszerű üzenetküldő platformok – például a Signal, a Slack vagy akár a WhatsApp – felhasználóival is.
A Matrix (és így az Element) a Double Ratchet algoritmus Olm megvalósítását használja, a Megolm változatot pedig a csoportos kommunikációhoz. Az összes Element alkalmazás, valamint maga a Matrix protokoll nyílt forráskódú, de formálisan nem auditálták őket. Olm és Megolm algoritmusok viszont auditálva lettek.
Az Element-hez való regisztrációhoz nem szükséges e-mail vagy telefonszám, bár ezek hozzáadhatók a kapcsolattartás megkönnyítése érdekében. Alapértelmezés szerint az üzeneteket egy nagy, a Matrix által üzemeltetett nyilvános kiszolgálón tárolják, de bármely Matrix szerverhez csatlakozhat, vagy néhány másodperc alatt beállíthatja magát.
A végpontok közötti titkosításról
Az összes szöveges chat, valamint az 1:1 arányú hang- és videohívások végpontok között titkosítottak.
A csoportos hang- és videohívások (amelyek szintén lehetővé teszik a képernyőmegosztást) kihasználják Jitsi-t (az Element viszont jelenleg nem támogatja a csoportos kommunikációt E2EE alapon). Az Element alkalmazás ingyenes, de prémium csomagok állnak rendelkezésre az Element által kezelt Matrix szerverekhez.
Előnyök
- Tartalmaz ingyenes lehetőségeket
- Föderáció elv (tud szervereket egyesíteni, minden világ él mindenben)
- „Hidak” az interoperabilitás érdekében más alkalmazásokkal
- E2EE chat
Hátrányok
- Kérdések a Matrix szerver hálózati megbízhatóságával kapcsolatban
- Teljes mértékben azért nincs auditálva
Keybase
A Keybase egy ingyenes és nyílt forráskódú messenger alkalmazás (megjegyzem a szerverek viszont nem nyílt forráskódúak), amely végpontok közötti titkosítást biztosít a felhasználók közötti összes szöveg és fájlcserék esetén. A hang- és videohívásokat közvetlenül nem támogatják, de lehetséges (nem E2EE) Jitsi bot segítségével.
Az E2EE csoportos chat, a privát és nyilvános „csapatok” (azaz csatornák) támogatásával, végpontok közötti titkosítással rendelkeznek.
A Keybase figyelemre méltó, mivel lehetővé teszi, hogy más platformokkal is kapcsolatba léphessen, a közösségi média (Twitter, GitHub, Reddit, Hacker News és Mastodon) identitásaival, amelyeket PGP titkosítási kulcsokkal ellenőriznek. Nincs szükség telefonszámra vagy e-mail címre, és az alkalmazás szinkronizálni képes több eszközt is.
A Keybase által használt PGP-alapú végpontok közötti titkosítás szilárd és teljes független auditon esett át még 2019-ben. Érdekes módon a Keybase szinte egyedülálló abban, hogy a szerverekhez való csatlakozáskor nem támogatja a Trust On First Use (TOFU) szolgáltatást ami a biztonság szempontjából előnyös.
Előnyök
- Ingyenes (a finanszírozási modell számomra nem világos)
- E2EE chat nyilvános és magáncsatornák támogatásával
- PGP ellenőrzéssel kapcsolatba léphet az emberekkel a közösségi média profiljukon keresztül
- Több eszközön szinkronizál
- Eltűnő üzenetek
- Stellar kriptopénztárcaként is szolgál
- Minden felhasználó számára legalább 250 Gb tárhelyet tart fent
Hátrányok
- A ZOOM tulajdonában van
- Sok metaadatot naplóz és ide a Stellar wallet-el kapcsolatos műveleteket is bele kell érteni
Az összehasonlító táblázat felső indexben lévő számairól
1: Az összes Telegram alkalmazás nyílt forráskódú, de a háttér nem. Ez nem igazán lenne kérdés, ha minden kommunikáció E2EE lenne, de alapértelmezés szerint nem (és egyetlen csoportos csevegés sem élvezi E2EE-t).
2: Alapértelmezés szerint a Telegram-csevegések nincsenek végpontok közötti titkosításban. Csak a Telegram ügyfél-ügyfél közötti csevegések kódoltak. Titkos csevegések nem állnak rendelkezésre csoportok vagy csatornák számára.
3: Az MTProto protokoll 2015. évi ellenőrzése nem volt túl kedvező. Formálisan igazolták, hogy az MTProto 2.0 kriptográfiailag megfelelő.
4: A Wickr szerint kódja több független biztonsági ellenőrzésen esett át, de ezeknek az ellenőrzéseknek a teljes eredménye nem nyilvános.
Esetleg ha a táblázathoz szeretnél vissza ugrani: Visszaugrás a táblázathoz, klikk!
5: Az Element alkalmazásokat és a Matrix protokollt hivatalosan nem ellenőrizték. A Matrixot megalapozó Olm és Megolm protokollok azonban ellenőrzöttek.
6: Az összes metadat törlésre kerül az üzenet megtekintése vagy az időzítő alapján.
7: A névjegyeket hozzá lehet adni a közösségi média profiljai segítségével, és PGP kulcsokkal ellenőrizni.
8: A Wickr a Psiphonnal együttműködve kínálja szervereihez a Wickr Open Access funkciót, amely egy hatékony anticenzúra-ellenes funkció.
9: Az Element és / vagy a Matrix valójában nem saját szerverrel rendelkezik, de az új Matrix szerverek perceken belül felállíthatók bármely szerver platformon (vagy önállóan is üzemeltethetők). Ezért szinte lehetetlen leállítani vagy blokkolni a Matrix platformhoz való hozzáférést.
10: A Wire székhelye Svájcban van, és az Egyesült Államokon kívüli összes felhasználóra a svájci törvények vonatkoznak. Az amerikai felhasználókra azonban az amerikai törvények vonatkoznak.
11: A Matrix egy közösség által kifejlesztett nyílt forráskódú platform, amelynek összevont szerverei a világ bármely pontján tárolhatók.
12: A Keybase a Zoom tulajdonában van, amelyet szintén Kína nyomása alá lehet helyezni.
A táblázatban a kérdés adott és az üzenetek kezelésére szakosodott applikációk nevei is, tehát függőlegesen kell kinyerni belőle az információt!
Elismerem nem könnyű a döntés, hogy melyik megoldás is a legjobb 😉 Digitális világunk fejlődésében annak tudnék igencsak örülni ha magát az embert helyeznék a központba és az Internet kultúráját a magánszféra tiszteletben tartásával építenék.