End-to-end encryption, opensource, без засветки номеров и проч. (и без рута телефона)
Обращаю внимание вот на это
В этом теме ниже будет пополняться информация о различных end-to-end encryption мессенджерах.
_________________________
Кто-нибудь Surespot на телефоне использует? Или нечто подобное, что позволяло бы без засветки телефона общаться (в отличие от Signal)? [При этом условия: e2e, open source, конечно; т.е. та же Threema сразу идет лесом; еще и платная :)]
В wiki есть такой интересный момент: "In May 2015, Channel 4 News published an investigation in which they alleged that "at least 115 ISIS-linked people" appeared to have used Surespot between November 2014 and May 2015. In June 2015, a Surespot user wrote a blog post about how the Surespot developers had stopped responding to his repeated questions regarding "governmental demands for information", leading to the user alleging that the Surespot developers were "under a gag order"."
https://web.archive.org/web/20150629203903/https://antipolygraph.org/blog/2015/06/07/developers-silence-raises-concern-about-surespot-encrypted-messenger/
(Полный вариант, с обновлениями): https://antipolygraph.org/blog/2015/06/07/developers-silence-raises-concern-about-surespot-encrypted-messenger/
Там же ссылка и на это: https://surespotencryptedmessenger.blogspot.ru/2015/09/never-compromised.html
Про meta-data неплохие разъяснения изложены (по крайней мере, если доступа к серверам нет, можно сравнивать логически с открытым кодом клиентов):
https://www.surespot.me/documents/threat.html
_________________________
Еще интересная ссылка. Исходно про Telegram, но в комментариях там по многим прошлись. В целом, мысли схожие с моим постом.
https://unhandledexpression.com/2013/12/17/telegram-stand-back-we-know-maths/
Еще про Telegram/Signal:
http://cs.au.dk/~jakjak/master-thesis.pdf
https://eprint.iacr.org/2015/1177.pdf
_________________________
Еще, кто что думает про Tox? (Опять же, сугубо в контексте мобильного использования и вышеуказанных ограничений).
Жирный минус: категорически (в toxcore) отсутствуют offline-сообщения в каком-либо виде вообще, просто как класс. Их реализация в отдельных клиентах выглядит так: если оба участника в данный момент онлайн - отложенные сообщения будут отправлены.
https://en.wikipedia.org/wiki/Tox_(protocol)
https://wiki.tox.chat/clients (iOS: Antidote - https://antidote.im / Android: Antox -- все в бета-версиях)
https://www.reddit.com/r/crypto/comments/3i7mvz/is_tox_any_good/
https://github.com/irungentoo/toxcore/issues/121
https://habrahabr.ru/post/280208/
Имейте в виду, что история может получиться такой же, как и с Cryptocat (см. History):
https://habrahabr.ru/post/276665/
Хотя и разработчики NaCl хотели сделать, чтобы даже полные "чайники" могли использовать библиотеку и не нагадить - все равно умудряются определенные вещи не делать корректно (типа чистки ключей и т.п.)
_________________________
И, если вдруг кто случайно не знает (что маловероятно), есть такая штука с OTR для Jabber. И из-за этого слега неудобная на последних iOS; если конкретнее, то вот почему:
Q: Why can’t ChatSecure for iPhone stay connected in the background?
A: The short answer is we can’t stay connected or ‘always on’ because Apple doesn’t let us
Если совсем подробно, то по этой ссылке.
Фактически, я не вижу, чтобы и в Android постоянно не рвалась OTR-сессия с обычными desktop-джабберами. Либо подскажите по настройкам, либо это использовать можно с дичайшим геморроем.
Плюсы: оно мультипротокольное, т.е. держит всякие соцсети и проч. (Никогда не пробовал по причине отсутствия в оных - но вы можете посмотреть; по идее, он через них будет передавать зашифрованные через OTR данные).
https://chatsecure.org
Также стоит учитывать, что были/есть такие особенности:
http://blog.quarkslab.com/security-assessment-of-instant-messaging-app-chatsecure-when-privacy-matters.html
http://blog.quarkslab.com/resources/2015-06-25_chatsecure/14-03-022_ChatSecure-sec-assessment.pdf
https://chatsecure.org/blog/chatsecure-security-audit/
Обновлено: На замену ChatSecure, оказывается, есть ZOM с OMEMO. Не проверял, не пробовал. Чуть подробнее тут. Продублирую и сюда:
https://chatsecure.org/blog/chatsecure-conversations-zom/
https://zom.im
https://play.google.com/store/apps/details?id=im.zom.messenger
https://itunes.apple.com/us/app/zom-mobile-messenger/id1059530167?mt=8
https://github.com/zom/zom-android
https://github.com/zom/Zom-iOS
Добавлено 26.06.2017: Не рекомендую использовать Zom. Глючное, криворукое, бажное...
_________________________
Еще чисто для Android есть вот такая штука: Jabber + OTR (+ возможен TOR) -- слегка заброшенная:
https://www.xabber.com
https://github.com/redsolution/xabber-android
Тоже только Android - Conversations, поддерживает OpenPGP - платное (150р / $2):
https://conversations.im
https://gultsch.de
https://en.wikipedia.org/wiki/Conversations_(software)
Вероятно, в Google Play еще существует бесплатный вариант Conversations, собранный из исходников. Но кто именно собирал и не дописал ли еще какого "своего" кода туда при сборке - неясно:
https://es.wikipedia.org/wiki/Freelab_messenger_(software)
https://github.com/siacs/Freelab -- 404; где исходники сейчас, я не знаю
Если кто подробности какие-то про это знает - напишите, внесу.
Conversations в F-Droid (бесплатно):
https://f-droid.org/repository/browse/?fdid=eu.siacs.conversations
_________________________
Не Open Source, толком неизвестное решение, из США, но очень пиарят разные люди. Я бы не стал использовать. Есть под все desktop'ы, а так же мобильные платформы (кроме Windows Phone):
https://www.wickr.com
https://en.wikipedia.org/wiki/Wickr
Более того, разработчики криворукие, и не умеют в Visual Studio выбирать Target: Windows XP, установив последние обновления. Из-за этого ругается на отсутствие GetTickCount64 в kernel32.dll. Решается банальнейшим образом. Но, подозреваю, разрабатывают это странные люди. / Возможно, там не VS, не стал смотреть позже - но сути дела не меняет; это может быть собрано под XP /
_________________________
Еще одно решение, которое недавно стало "как бы" Open Source, толком неизвестное, из Германии (разработка) и Швейцарии (юрлицо). Я бы не стал использовать. Хотя бы потому, что Германия (формально так и остается: основным средством бы точно не стал делать, но как варианты - возможно). Но там интересная история и люди. Есть под все desktop'ы, а так же мобильные платформы (кроме Windows Phone). Под Windows - только начиная с Windows 7 (или через браузер).
https://www.wire.com
https://en.wikipedia.org/wiki/Wire_Swiss
Добавлено: Более подробно рассмотренно здесь.
_________________________
Обращаю внимание вот на это
В этом теме ниже будет пополняться информация о различных end-to-end encryption мессенджерах.
_________________________
Кто-нибудь Surespot на телефоне использует? Или нечто подобное, что позволяло бы без засветки телефона общаться (в отличие от Signal)? [При этом условия: e2e, open source, конечно; т.е. та же Threema сразу идет лесом; еще и платная :)]
В wiki есть такой интересный момент: "In May 2015, Channel 4 News published an investigation in which they alleged that "at least 115 ISIS-linked people" appeared to have used Surespot between November 2014 and May 2015. In June 2015, a Surespot user wrote a blog post about how the Surespot developers had stopped responding to his repeated questions regarding "governmental demands for information", leading to the user alleging that the Surespot developers were "under a gag order"."
https://web.archive.org/web/20150629203903/https://antipolygraph.org/blog/2015/06/07/developers-silence-raises-concern-about-surespot-encrypted-messenger/
(Полный вариант, с обновлениями): https://antipolygraph.org/blog/2015/06/07/developers-silence-raises-concern-about-surespot-encrypted-messenger/
Там же ссылка и на это: https://surespotencryptedmessenger.blogspot.ru/2015/09/never-compromised.html
Про meta-data неплохие разъяснения изложены (по крайней мере, если доступа к серверам нет, можно сравнивать логически с открытым кодом клиентов):
https://www.surespot.me/documents/threat.html
_________________________
Еще интересная ссылка. Исходно про Telegram, но в комментариях там по многим прошлись. В целом, мысли схожие с моим постом.
https://unhandledexpression.com/2013/12/17/telegram-stand-back-we-know-maths/
Еще про Telegram/Signal:
http://cs.au.dk/~jakjak/master-thesis.pdf
https://eprint.iacr.org/2015/1177.pdf
_________________________
Еще, кто что думает про Tox? (Опять же, сугубо в контексте мобильного использования и вышеуказанных ограничений).
Жирный минус: категорически (в toxcore) отсутствуют offline-сообщения в каком-либо виде вообще, просто как класс. Их реализация в отдельных клиентах выглядит так: если оба участника в данный момент онлайн - отложенные сообщения будут отправлены.
https://en.wikipedia.org/wiki/Tox_(protocol)
https://wiki.tox.chat/clients (iOS: Antidote - https://antidote.im / Android: Antox -- все в бета-версиях)
https://www.reddit.com/r/crypto/comments/3i7mvz/is_tox_any_good/
https://github.com/irungentoo/toxcore/issues/121
https://habrahabr.ru/post/280208/
Имейте в виду, что история может получиться такой же, как и с Cryptocat (см. History):
https://habrahabr.ru/post/276665/
Хотя и разработчики NaCl хотели сделать, чтобы даже полные "чайники" могли использовать библиотеку и не нагадить - все равно умудряются определенные вещи не делать корректно (типа чистки ключей и т.п.)
_________________________
И, если вдруг кто случайно не знает (что маловероятно), есть такая штука с OTR для Jabber. И из-за этого слега неудобная на последних iOS; если конкретнее, то вот почему:
Q: Why can’t ChatSecure for iPhone stay connected in the background?
A: The short answer is we can’t stay connected or ‘always on’ because Apple doesn’t let us
Если совсем подробно, то по этой ссылке.
Фактически, я не вижу, чтобы и в Android постоянно не рвалась OTR-сессия с обычными desktop-джабберами. Либо подскажите по настройкам, либо это использовать можно с дичайшим геморроем.
Плюсы: оно мультипротокольное, т.е. держит всякие соцсети и проч. (Никогда не пробовал по причине отсутствия в оных - но вы можете посмотреть; по идее, он через них будет передавать зашифрованные через OTR данные).
https://chatsecure.org
Также стоит учитывать, что были/есть такие особенности:
http://blog.quarkslab.com/security-assessment-of-instant-messaging-app-chatsecure-when-privacy-matters.html
http://blog.quarkslab.com/resources/2015-06-25_chatsecure/14-03-022_ChatSecure-sec-assessment.pdf
https://chatsecure.org/blog/chatsecure-security-audit/
Обновлено: На замену ChatSecure, оказывается, есть ZOM с OMEMO. Не проверял, не пробовал. Чуть подробнее тут. Продублирую и сюда:
https://chatsecure.org/blog/chatsecure-conversations-zom/
https://zom.im
https://play.google.com/store/apps/details?id=im.zom.messenger
https://itunes.apple.com/us/app/zom-mobile-messenger/id1059530167?mt=8
https://github.com/zom/zom-android
https://github.com/zom/Zom-iOS
Добавлено 26.06.2017: Не рекомендую использовать Zom. Глючное, криворукое, бажное...
_________________________
Еще чисто для Android есть вот такая штука: Jabber + OTR (+ возможен TOR) -- слегка заброшенная:
https://www.xabber.com
https://github.com/redsolution/xabber-android
Тоже только Android - Conversations, поддерживает OpenPGP - платное (150р / $2):
https://conversations.im
https://gultsch.de
https://en.wikipedia.org/wiki/Conversations_(software)
Вероятно, в Google Play еще существует бесплатный вариант Conversations, собранный из исходников. Но кто именно собирал и не дописал ли еще какого "своего" кода туда при сборке - неясно:
https://es.wikipedia.org/wiki/Freelab_messenger_(software)
https://github.com/siacs/Freelab -- 404; где исходники сейчас, я не знаю
Если кто подробности какие-то про это знает - напишите, внесу.
Conversations в F-Droid (бесплатно):
https://f-droid.org/repository/browse/?fdid=eu.siacs.conversations
_________________________
Не Open Source, толком неизвестное решение, из США, но очень пиарят разные люди. Я бы не стал использовать. Есть под все desktop'ы, а так же мобильные платформы (кроме Windows Phone):
https://www.wickr.com
https://en.wikipedia.org/wiki/Wickr
Более того, разработчики криворукие, и не умеют в Visual Studio выбирать Target: Windows XP, установив последние обновления. Из-за этого ругается на отсутствие GetTickCount64 в kernel32.dll. Решается банальнейшим образом. Но, подозреваю, разрабатывают это странные люди. / Возможно, там не VS, не стал смотреть позже - но сути дела не меняет; это может быть собрано под XP /
_________________________
Еще одно решение, которое недавно стало "как бы" Open Source, толком неизвестное, из Германии (разработка) и Швейцарии (юрлицо). Я бы не стал использовать. Хотя бы потому, что Германия (формально так и остается: основным средством бы точно не стал делать, но как варианты - возможно). Но там интересная история и люди. Есть под все desktop'ы, а так же мобильные платформы (кроме Windows Phone). Под Windows - только начиная с Windows 7 (или через браузер).
https://www.wire.com
https://en.wikipedia.org/wiki/Wire_Swiss
Добавлено: Более подробно рассмотренно здесь.
_________________________
Обращаю внимание вот на это