Conversations — это безопасный клиент Jabber/XMPP с открытым исходным кодом для Android. Удобное приложение для обмена мгновенными сообщениями, не жертвующее вашей конфиденциальностью.
Facebook Messenger, WhatsApp и WeChat — три крупнейших приложения для обмена мгновенными сообщениями, которые в настоящее время доминируют на рынке. Их продолжающееся доминирование легко объяснить наличием простого в использовании интерфейса и пользовательской базой в миллионы человек. Однако у каждого из этих чат-приложений есть один недостаток: они принадлежат гигантам социальных сетей. Если кто-то регистрирует учетную запись WhatsApp, он также должен согласиться с пользовательским лицензионным соглашением Facebook. Обычно подразумевается, что вы жертвуете своей конфиденциальностью, пользуясь этими удобными услугами. Хотя разработчики WhatsApp внедрили сквозное шифрование в качестве стандартной функции, само приложение не полностью открытый исходный код, поэтому вам нужно слепо доверять, считаете ли вы, что WhatsApp не может собирать данные о ты.
Для обеспечения бесперебойной работы с сообщениями все основные приложения для обмена мгновенными сообщениями используют собственную реализацию передачи сообщений Android, называемую Google Cloud Messaging (GCM). Сообщение затрагивает деловые интересы еще до того, как достигнет сервера. Большинство пользователей не хотят или не могут проверить, выполняет ли служба, которую они используют, свои обещания, и даже Эксперты могут только догадываться, соответствует ли WhatsApp определенным стандартам безопасности после того, как приложение было обновлено. Каждое обновление требует независимого аудита безопасности, для чего требуется сотрудничество провайдера — в данном случае Facebook.
Ключевым моментом здесь является независимость, которая ведет нас к Разговоры Мессенджер. Это приложение для обмена мгновенными сообщениями с полностью открытым исходным кодом, которое позволяет избежать использования GCM, используя XMPP вместо этого протокол — предоставление контроля пользователю. Разговоры позволяет вам запускать несколько аккаунтов одновременно и вы даже можете использовать разные учетные записи для каждого контакта. В то время как другие мессенджеры не указывают явно, на какой сервер загружается данная информация, Conversations позволяет пользователю решить, какой сервер Jabber заслуживает его доверия. Или вы можете даже просто использовать свой собственный сервер. Conversations также предлагает сервер, оптимизированный под его требования, причем первые 6 месяцев использования сервера бесплатны.
Выбор отделяет Разговоры от толпы. Приложение поддерживает переключение между алгоритмами шифрования на лету, и вы можете выбрать один из трех алгоритмов шифрования: PGP, OTR и OMEMO. Хотя PGP и OTR являются алгоритмами, которым доверяют, OMEMO продвигает их дальше. OTR никогда не подходил большинству пользователей просто потому, что для доставки сообщений оба партнера по связи должны были быть онлайн одновременно. OMEMO решает этот главный недостаток OTR; доставка сообщений не требует, чтобы оба пользователя были онлайн одновременно.
ОМЕМО предлагает Прямая секретность. Что это значит? Он предлагает дополнительный уровень защиты, сохраняя ваши данные в безопасности. Вот сценарий: сквозное шифрование опирается на закрытый ключ, хранящийся исключительно на устройстве, поэтому в случае кражи телефона закрытый ключ попадает в руки вора. Без прямой секретности вор мог бы расшифровать все сообщения, хранящиеся на телефоне. Протокол прямой секретности генерирует случайный ключ для каждого сеанса, поэтому даже если закрытый ключ окажется в чужих руках, сохраненные сообщения по-прежнему будут в безопасности.
Обычно пользователи доверяют личности своего собеседника, поэтому OMEMO использует идентификаторы устройств. Каждый ключ OMEMO имеет уникальный отпечаток пальца, позволяющий проверить собеседника, например, посредством телефонного звонка. После проверки партнеров по чату Алгоритм двойного храповика гарантирует, что только получатель сообщения сможет его расшифровать. Double Ratchet генерирует и шифрует каждое сообщение временным ключом. После успешной доставки ключ становится бесполезным и его нельзя использовать для расшифровки. Он предназначен только для обеспечения безопасности данных во время путешествий по всемирной паутине.
Приложение «Беседы» доступно в Google Play Store и Amazon App Store. Хотя версии магазина приложений не бесплатны, приложение Открытый исходный код чтобы вы могли скомпилировать его для себя или возьми это с F-Droid.
Цена: 3,99.
4.2.
[приложение AmazonApps B00WD35AAC]
Хотите узнать больше о приложении из первых уст? Дэниел Гулч, ведущий разработчик Conversations, нашел время, чтобы ответить на мои вопросы.
Интервью с разработчиком Conversations
Вопрос: Не могли бы вы кратко представиться?
Ответ: Меня зовут Дэниел Гулч, я работаю внештатным разработчиком программного обеспечения и консультантом.
Вопрос: Что побудило вас разработать «Беседы»?
О: Я использую Jabber/XMPP уже много-много лет. Еще в 2009 году я мог использовать Jabber на своем Nokia e71. Где-то где-то в 2012 году я перешёл на телефон Android и внезапно перестал пользоваться Jabber. Был доступен Jabber-клиент для Android (Xabber), но он был совершенно не привлекателен визуально.
В начале 2014 года я задавался вопросом, насколько сложно разработать чат-клиент, который выглядел бы лучше (чем Xabber). На тот момент у меня был опыт в сфере разработки программного обеспечения, но не для Android. Через несколько дней макет пользовательского интерфейса ожил, и я задался вопросом, насколько сложно может быть научить отправку и получение сообщений Jabber для этого пользовательского интерфейса. Спустя три месяца полноценной работы была выпущена первая версия «Беседы».
Вопрос: Можете ли вы назвать три причины, по которым Conversations защищает вашу конфиденциальность лучше, чем Whatsapp или Threema?
О: Мне не нужно давать свой личный номер телефона незнакомцам, если я хочу с ними пообщаться. Я мог бы иметь частный и бизнес-аккаунт. Я могу отключить бизнес-аккаунт после смены, чтобы начальник не раздражал меня в свободное время. WhatsApp позволяет каждому в любое время анализировать модели использования моего приложения. (Мой начальник может преследовать меня, чтобы выяснить, использую ли я WhatsApp в рабочее время или использую WhatsApp ночью вместо того, чтобы спать и приходить в офис отдохнувшим.) С этим дело обстоит иначе. Разговоры; «Беседы» также не загружают всю мою адресную книгу в Facebook.
Вопрос: Сколько стоит годовая подписка на аккаунт Conversations.im?
Ответ: 8 евро (около 9 долларов США). После шестимесячного испытательного срока. Подписки не продлеваются. Отменять подписку не требуется.
Вопрос: Какие преимущества дает учетная запись Conversations.im по сравнению с другими серверами XMPP?
О: Новые функции, требующие поддержки на стороне сервера, сначала доставляются на разговоры.im. Вообще говоря, мы пытаемся запустить разговоры.im с немного более высокими требованиями. Сервер, управляемый хобби-проектом, может выйти из строя на один день, пока человек в отпуске. Мы стараемся избегать подобных вещей в диалогах.im. По крайней мере, в часы работы рядом всегда есть кто-то, способный при необходимости позаботиться о сервере. Кроме того, вы поддерживаете разработку сервера, который также имеет открытый исходный код. Изменения, внесенные специально для нашего приложения «Беседы», попадают в код сервера и доступны другим.
Вопрос: Могу ли я купить разговоры через биткойны?
О: Не приложение. Приложение продается в Google PlayStore, биткойны не принимают. Приложение можно бесплатно загрузить через магазин приложений с открытым исходным кодом F-Droid. В этом случае я с радостью принимаю пожертвования через Биткойн.
В: Что такое ОМЕМО?
О: (дополнительно) сквозное шифрование для Jabber.
ОТР легко провалился. Если определенное сообщение потеряно из-за плохого покрытия телефона, последующие сообщения также не могут быть доставлены. Более того, OTR способен обмениваться сообщениями только между двумя устройствами максимум. Например: когда я вхожу в систему с двух устройств одновременно (мобильного телефона и настольного компьютера), мой собеседник должен решить, хочет ли он отправлять сообщения на телефон или на рабочий стол. Если мой коллега не обладает ясновидением, которым я сейчас пользуюсь, то это проблема. Кроме того, сообщения в этом случае, конечно, не синхронизируются, и я пропускаю часть истории разговоров на каждом устройстве. OMEMO избавляет от обеих проблем. OMEMO более надежен и способен работать с большим количеством устройств.
Вопрос: Что такое прямая секретность?
О: Предположим, я буду часто удалять историю своих разговоров (могу автоматически удалять сообщения старше заданного периода времени).
Предположим, кто-то хранил всю мою зашифрованную переписку. (Поэтому он ничего не может с этим поделать, у него есть зашифрованный текст, а не простой текст. Теперь этот человек украл мой телефон. Сами сообщения больше не находятся на телефоне (они часто удаляются), но мой ключевой материал (мой закрытый ключ) все еще там.
Если шифрование не имеет прямой секретности, кто-то может объединить найденный ключевой материал. на моем телефоне плюс зашифрованные сообщения, которые он записал, прежде чем смог восстановить текст. Если шифрование имеет прямую секретность, это невозможно.
Вопрос: Что означает термин «заголовок сообщения»?
A: Требуемая пропускная способность, добавляемая соответственно шифрованию. Предположим, что незашифрованное сообщение имеет размер 2 КБ, а то же зашифрованное сообщение будет иметь размер 5 КБ. В данном случае 3 КБ — это «накладные расходы», создаваемые шифрованием.
Вопрос: Планируете ли вы реализовать функцию звонков?
О: Нет. Новые функции появляются, если они нужны мне самому или если они имеют смысл с экономической точки зрения. (Сколько еще людей воспользовались бы приложением, если бы эта функция была там, и насколько дорого стоит разработка такого приложения? функция?) К сожалению, функция звонков очень, очень, очень дорогая и лично меня это не особо волнует особенность.
Вопрос: Как я могу поддержать разработку приложения после его покупки?
Ответ: Подробности о том, как сделать пожертвование, можно найти на нашем сайте. Продвижение и реклама, конечно, тоже помогают, и приложение имеет открытый исходный код. Те, кто умеет разрабатывать программное обеспечение, конечно, могут помочь с кодированием.
Вопрос: Вы самостоятельно разработали алгоритм OMEMO?
О: Нет. Это был проект Google Summer of Code. (Google Summer of Code означает, что Google платит студентам 3 месяца за работу над проектами с открытым исходным кодом.) OMEMO был разработан студентом для бесед.
Вопрос: Каковы ваши дальнейшие планы по развитию «Беседы»?
О: По-настоящему крупных новых функций вряд ли появится. Разговоры делают все, что должны. Под капотом будет та или иная настройка (использование данных/скорость подключения и т. д.), но для обычного пользователя это ничего не видно. Небольшая вещь, которая, скорее всего, будет реализована в ближайшее время, — это возможность подтвердить передачу перед отправкой изображения. До настоящего времени фотографии всегда отправляются немедленно.
Вопрос: Разрешается ли самостоятельно компилировать «Беседы» с вашего Github и использовать их в личных целях?
А: Конечно. Не только частное, но и для бизнеса и всего остального, что вы хотите. Также допускается модификация кода под индивидуальные требования.
Вопрос: Можно ли туннелировать разговоры через VPN?
А: Да.
Вопрос: В конце хотелось бы услышать намек профессионала. Какие меры, помимо использования «Разговоров», вы рекомендуете защитить конфиденциальность пользователя Android?
О: Включите блокировку рекламы в вашем браузере. Например, Firefox (также доступен для Android) и надстройка uBlock.
Отключайте службы определения местоположения (в последних версиях Android для этого есть панель быстрого доступа), когда они не используются. В противном случае Google знает, где вы все время были.
Эти две вещи очень просты в применении и полезны на практике.
Примечание редактора: эта статья изначально была написана на немецком языке Раулем Радонцем. Он был переведен Раулем Радонцем и отредактирован Мишаалем Рахманом. Рауль Радонц и XDA-Developers хотели бы поблагодарить г-на Гульча за то, что он нашел время для проведения этого интервью.