Conversations — це безпечний клієнт Jabber/XMPP з відкритим кодом для Android. Зручний додаток для обміну миттєвими повідомленнями без шкоди для конфіденційності.
Facebook Messenger, WhatsApp і WeChat є трьома найкращими додатками для обміну миттєвими повідомленнями, які зараз домінують на ринку. Їхнє домінування легко пояснити простим у використанні інтерфейсом і мільйонною базою користувачів. Однак кожна з цих програм для обміну миттєвими повідомленнями має один недолік: вони належать гігантам соціальних мереж. Якщо хтось реєструє обліковий запис WhatsApp, він також повинен погодитися з ліцензійною угодою користувача Facebook. Загальновідомо, що ви торгуєте своєю конфіденційністю, щоб користуватися цими зручними послугами. Хоча розробники WhatsApp запровадили наскрізне шифрування як стандартну функцію, сама програма не є такою повністю відкритий вихідний код, тому сліпа довіра зводиться до того, чи вірите ви, що Whatsapp не може збирати дані ви.
Для плавного обміну повідомленнями всі основні програми обміну миттєвими повідомленнями покладаються на власну реалізацію передачі повідомлень Android під назвою Google Cloud Messaging (GCM). Повідомлення доходить до бізнес-інтересів ще до того, як досягає сервера. Більшість користувачів не хочуть або не можуть перевірити, чи служба, якою вони користуються, дотримується своїх обіцянок і навіть Експерти можуть лише здогадуватися, чи WhatsApp все ще відповідає певним стандартам безпеки після того, як програма була запущена оновлено. Кожне оновлення потребує незалежного аудиту безпеки, який потребує співпраці з постачальником — у цьому випадку Facebook.
Незалежність тут є ключем, до чого нас веде Месенджер розмов. Це програма обміну миттєвими повідомленнями з повністю відкритим кодом, яка уникає використання GCM за допомогою XMPP натомість протокол — надання керування користувачеві. Розмови дозволяє вам запускати кілька облікових записів одночасно і ви навіть можете використовувати інший обліковий запис для кожного контакту. У той час як інші месенджери не вказують, на який сервер завантажено дану інформацію, Розмови дозволяють користувачеві вирішити, який сервер Jabber заслуговує їхньої довіри. Або ви навіть можете використовувати свій власний сервер. Conversations також пропонує сервер, оптимізований відповідно до його вимог, і перші 6 місяців використання сервера безкоштовне.
Вибір виділяє розмови з натовпу. Програма підтримує перемикання між алгоритмами шифрування на льоту, і ви можете вибрати один із трьох алгоритмів шифрування: PGP, OTR і OMEMO. Хоча PGP і OTR є надійними алгоритмами, OMEMO просуває їх далі. OTR ніколи не підходив для більшості користувачів просто тому, що обидва партнери по спілкуванню мали бути онлайн одночасно для доставки повідомлень. OMEMO вирішує цей головний недолік OTR; для доставки повідомлень не потрібно, щоб обидва користувачі були в мережі одночасно.
Пропозиції OMEMO Передня секретність. Що це значить? Він пропонує додатковий рівень захисту, зберігаючи ваші дані в безпеці. Ось сценарій: наскрізне шифрування покладається на приватний ключ, який зберігається виключно на пристрої, тож якщо телефон викрадено, приватний ключ потрапляє до рук злодія. Без Forward Secrecy злодій міг би розшифрувати всі повідомлення, що зберігаються на телефоні. Протокол Forward Secrecy генерує випадковий ключ для кожного сеансу, тож навіть якщо закритий ключ перебуває в чужих руках, збережені повідомлення залишаються в безпеці.
Зазвичай користувачі довіряють особистості свого співрозмовника, тому OMEMO використовує ідентифікатори пристроїв. Кожен ключ OMEMO має унікальний відбиток пальця, що дозволяє перевірити співрозмовника, наприклад, за допомогою телефонного дзвінка. Після перевірки партнерів чату, Алгоритм Double Ratchet гарантує, що лише одержувач повідомлення зможе його розшифрувати. Double Ratchet генерує та шифрує кожне повідомлення за допомогою тимчасового ключа. Після успішної доставки ключ стає марним і його не можна використовувати для дешифрування. Він призначений лише для збереження даних під час подорожей всесвітньою мережею.
Розмови доступні в Google Play Store і Amazon App Store. Хоча версії магазину додатків не безкоштовні, додаток є відкрите джерело тому ви можете скомпілювати його для себе або завантажте його з F-Droid.
Ціна: 3,99 грн.
4.2.
[appbox amazonapps B00WD35AAC]
Хочете дізнатися більше про додаток із вуст коня? Даніель Гультш, провідний розробник Conversations, знайшов час, щоб відповісти на мої запитання.
Інтерв'ю з розробником бесід
З: Не могли б ви коротко представитися?
A: Мене звати Даніель Гультш, я працюю незалежним розробником програмного забезпечення та радником.
З: Що спонукало вас розвивати Conversations?
A: Я використовую Jabber/XMPP багато років. Ще в 2009 році я міг використовувати Jabber на своїй Nokia e71. Приблизно в 2012 році я перейшов на телефон Android, тож раптом не зміг користуватися Jabber. Був доступний клієнт Jabber для Android (Xabber), але він був навпаки візуально привабливим.
На початку 2014 року я задавався питанням, наскільки важко буде розробити клієнт чату, який виглядає краще (ніж Xabber). На той момент у мене був досвід у сфері розробки програмного забезпечення, але не для Android. Через кілька днів макет інтерфейсу користувача ожив, тож я задумався, наскільки складним може бути навчання надсилання та отримання повідомлень Jabber у цьому інтерфейсі користувача. Через три місяці повної роботи була випущена перша версія Conversations.
З: Чи можете ви назвати три причини, чому Conversations захищає вашу конфіденційність краще, ніж Whatsapp або Threema?
Відповідь: Мені не потрібно давати свій приватний номер телефону незнайомцям, якщо я хочу з ними поспілкуватися. Я міг би мати приватний і бізнес обліковий запис. Я можу вимкнути бізнес-акаунт після зміни, щоб мій бос не дратував мене у вільний час. WhatsApp дозволяє кожному аналізувати моделі використання моїх програм у будь-який час. (Мій начальник міг стежити за мною, щоб перевірити, чи використовую я WhatsApp у робочий час або WhatsApp вночі замість того, щоб спати і приходити добре відпочилим в офіс.) З бесіди; Розмови також не завантажують всю мою адресну книгу на Facebook.
З: Скільки коштує річна підписка на обліковий запис Conversations.im?
В: 8 євро (приблизно 9 доларів США). Після шестимісячного випробувального періоду. Підписки не поновлюються самі. Припиняти підписку не потрібно.
З: Які переваги пропонує обліковий запис Conversations.im порівняно з іншими серверами XMPP?
Відповідь: Нові функції, які вимагають підтримки на стороні сервера, спершу доставляються на conversions.im. Загалом ми намагаємося запустити conversions.im із трохи вищими вимогами. Сервер, керований хобі-проектом, може вийти з ладу на день, поки людина у відпустці. Ми намагаємося уникати таких речей для розмов.im. Принаймні в години обслуговування завжди є хтось, хто може подбати про сервер, якщо потрібно. Крім того, ви підтримуєте розробку сервера, який також є відкритим кодом. Зміни, внесені спеціально для нашої програми для розмов, потрапляють у код сервера та доступні іншим.
З: Чи можу я придбати розмови через біткойн?
A: Не додаток. Додаток продається в Google PlayStore, вони не приймають біткойни. Програму можна завантажити безкоштовно через магазин відкритих програм F-Droid. У такому випадку я із задоволенням приймаю пожертви через біткойни.
З: Що таке OMEMO?
В: (необов’язкове) наскрізне шифрування для Jabber.
OTR легко вийшов з ладу. Якщо певне повідомлення втрачено через погане покриття телефонного сигналу, додаткові повідомлення також не можуть бути доставлені. Крім того, OTR може обмінюватися повідомленнями лише між двома пристроями. Наприклад: коли я входжу в систему за допомогою двох пристроїв одночасно (мобільного телефону та настільного комп’ютера), мій партнер має вирішити, чи хоче він надсилати повідомлення на телефон чи на настільний комп’ютер. Якщо мій колега не вміє бачити ясновидіння, яким я зараз користуюся, це проблема. Крім того, у цьому випадку повідомлення, звичайно, не синхронізуються, і я пропускаю частину історії розмов на кожному пристрої. OMEMO позбавляє від обох проблем. OMEMO більш надійний і здатний працювати з більшою кількістю пристроїв.
Питання: Що таке пряма секретність?
В: Припустімо, я часто видаляю історію розмов (можу автоматично видаляти повідомлення, старше встановленого періоду часу.
Припустімо, що хтось зберігав усе моє зашифроване повідомлення. (Тож він не може нічого з цим зробити, у нього є зашифрований текст, а не звичайний текст. Тепер ця людина краде мій телефон. Самих повідомлень більше немає на телефоні (їх часто видаляють), але мій ключовий матеріал (мій особистий ключ) все ще там.
Якщо шифрування не має функції Forward Secrecy, хтось може об’єднати знайдений ключовий матеріал на моєму телефоні плюс зашифровані повідомлення, які він записав, перш ніж він зміг реконструювати рівнину текст. Якщо шифрування має пряму секретність, це неможливо.
З: Що описує термін «Накладні витрати на повідомлення»?
Відповідь: необхідна пропускна здатність, додана шифруванням. Припустімо, що незашифроване повідомлення має розмір 2 КБ, а таке ж зашифроване повідомлення матиме розмір 5 КБ. У цьому випадку 3 КБ — це «накладні витрати», створені шифруванням.
П: Чи плануєте ви запровадити функцію виклику?
A: Ні. Нові функції з’являються, якщо вони мені потрібні або якщо вони мають сенс з економічної точки зору. (Скільки більше людей користувалися б додатком, якби ця функція була там, і наскільки дорого коштує розробка такого функція?) На жаль, функція дзвінка дуже, дуже, дуже дорога, і особисто мене це не дуже цікавить функція.
З: Як я можу підтримати розробку програми після її придбання?
A: На нашому веб-сайті є докладна інформація про те, як зробити пожертву. Просування та реклама, звичайно, також допомагає, і додаток має відкритий код. Ті, хто вміє розробляти програмне забезпечення, звичайно, можуть допомогти з програмуванням.
З: Ви самостійно розробили OMEMO-алгоритм?
Відповідь: Ні. Це був проект Google Summer of Code. (Google Summer of Code означає, що Google платить студентам 3 місяці за роботу над проектами з відкритим кодом.) OMEMO був розроблений студентом для бесід.
З: Які ваші подальші плани щодо розвитку Conversations?
A: Дійсно великі нові функції навряд чи з’являться. Conversations робить усе, що має робити. Під капотом буде те чи інше налаштування (використання даних/швидкість підключення тощо). Але це нічого не видно для середнього користувача. Дрібниця, яка, швидше за все, буде реалізована далі, це можливість підтвердити передачу перед відправкою зображення. До дати зображення завжди надсилаються негайно.
З: Чи можна самостійно компілювати розмови з Github і використовувати їх для приватного використання?
A: Звичайно. Не лише приватні, а й для бізнесу та все, що завгодно. Також дозволяється модифікувати код відповідно до індивідуальних вимог.
З: Чи можна тунелювати розмови через VPN?
A: Так.
В: На завершення хочеться почути підказку професіонала. Які вимірювання, окрім використання Розмов, ви рекомендуєте для захисту конфіденційності як користувач Android?
A: Увімкніть блокування реклами у вашому браузері. Наприклад, Firefox (також доступний для Android) і доповнення uBlock.
Вимкніть служби визначення місцезнаходження (в останніх версіях Android для цього є панель швидкого доступу), коли вони не використовуються. Інакше Google знатиме, де ви були весь час.
Ці дві речі дуже прості у застосуванні та практичні.
Примітка редактора: цю статтю спочатку написав Рауль Радонц німецькою мовою. Його переклав Рауль Радонц і відредагував Мішаал Рахман. Рауль Радонц і XDA-Developers хотіли б подякувати пану Гульчу за те, що він знайшов час для проведення цього інтерв’ю.