Решил составить таблицу фич современных мессенджеров с оглядкой на безопасность и порог входа. Возможно, кому-то это поможет сделать выбор подходящего инструмента для общения.
О том, что у меня получилось — под катом.
| Фичи/Мессенджер | End-to-end шифрование | Шифрованные групчаты | Desktop клиент с шифрованием | Шифрованные голосовые звонки | Нужен сервер | Id |
| Telegram | Да, нужно отдельно создавать защищенный чат | До сервера (Дуров может читать) | Cutegram | Нет | Да | Тел. номер, Nickname |
| Signal | Да(mobile only) | Да(mobile only) | Пока нет | Да | Да | Тел. номер |
| Tox | Да | Да(desktop only yet) | Да | Да + group | Нет | Публичный ключ, нужно разный на каждом инстансе |
| Вроде как да(Android only) | Нет | HTTPS | ? | Да | Тел. номер | |
| Skype | Нет, у ФСБ есть доступ | Нет | До сервера | Нет | Да | Логин |
| Viber | Нет, у ФСБ есть доступ | Нет | До сервера | ? | Да | Тел. номер |
| Jabber+otr (Pidgin, ChatSecure) | Да | Нет | Да | Нет | Да | Логин |
Замечания
- У Telegram по умолчанию шифрование лишь до сервера, а там лишь доверие Дурову. Secret chat нужно врубать отдельно.
- WhatsApp вроде прикрутил такое же шифрование как в Signal, но подробностей нет и вроде только на андроидах это работает
- Signal — самый защищенный из удобных неанонимных мессенджеров, но нет десктоп клиента. Активно пилят web расширение для хрома. Советую приглядеться. Низкий порог входа.
- Tox — за ним будущее, но пока он очень сырой. И нужно генерить столько Id, сколько у вас одновременно устройств в сети, иначе будет глючить. Но у него единственного есть анонимные групповые шифрованные голосовые конференции (если клиент не вылетит)
- Jabber + OTR. отличная безопасность, но высокий порог входа с кучей настроек
- Viber, Skype — только если вы не против, что органы читают ваши беседы почти в реальном времени.
Вот еще неплохая табличка с сравнениями
Комментарии (41)
elias32
23.11.2015 12:30Skype, VIber — Desktop клиент есть.
Scratch
23.11.2015 12:34Имел в виду шифрованные, поправлю
alltiptop
23.11.2015 12:39То есть у скайпа на телефонах есть шифрование, а на десктопе нет? Действительно? Ну и как нешифрованные десктопы с телеграмом общаются с шифрованными телефонами например?
И что за фигня что нет шифрования у скайпа? То что у ФСБ есть доступ к записям и ключам не отменяет того момента что фактически запись шифруется, что в таблице является неправдой.Scratch
23.11.2015 12:52Между десктопом телеграма и телефоном невозможно создать шифрованный чат, только обычный. Общаются они, передавая сообщение серверу, он расшифровывает и зашифровывает для получателя
antoo
23.11.2015 20:53Почему это невозможно? Под OS X без проблем создаётся, довольно часто общаюсь в секретных (шифрованных) чатах. При этом совершенно неважно, использует человек мобильное приложение или тоже сидит с десктопа.
wrewolf
23.11.2015 12:54Ну и как не шифрованные десктопы с телеграмом общаются с шифрованными телефонами например?
Никак не общаются.
End-To-End шифрование только между мобильными клиентами. + можно задать время жизни сообщения, + нельзя скопировать из чата и переслать, о скриншоте секретного чата уйдет уведомление.
TimsTims
23.11.2015 13:57+1У Telegram по умолчанию шифрование лишь до сервера, а там лишь доверие Дурову. Secret chat нужно врубать отдельно.
Допустим, Дурову не доверяем(и вы ставите это под сомнение), тогда откуда уверенность, что Secret Chat такой защищенный и надежный? Нелогично. Либо доверяем(на основе знаний), либо не доверяем, либо про это вовсе не пишем :)))Scratch
23.11.2015 14:02+3Api открыто, алгоритмы известны, то что Secret chat использует end to end известно, отпечатки ключей проверить можно. Это очень хороший набор свойств, чтобы исключить из него доверие к Дурову )
FoxF
23.11.2015 15:59Т.е. я могу убедится, что на другом конце именно тот человек, который мне нужен (мистер X), а не майор ФСБ?
Предположим, Дуров куплен (чисто гипотетически, а то хоть кому-то хочется верить), тогда когда я попытаюсь добавить в контакты мистера X и открыть секретный чат, то между нами будет прокси, которая будет сливать все налево.
Nagg
23.11.2015 16:32Чтобы узнать, что между вами кто-то что-то слушает в секретном чате, вам надо встретиться лично и сверить отпечатки ключей (там специальный экран), в случае совпадения — 100% защита. Хотя какой в этом толк если ваша ОС может кейлогать ваши движения :)
PS: посылать скриншот ключа в чат из-за лени встретиться бессмыслеленно.
steam
23.11.2015 14:42+3Как насчёт threema.ch/en? Швейцарцы знают толк в создании замков, запоров, часов и безопасного софта
Scratch
23.11.2015 14:48Первый раз про неё слышу, пишут вроде хорошо, но подробностей нет
steam
23.11.2015 18:05В западной европе популярный в некоторых кругах мессенжер. Вайтпейпер можно найти здесь: threema.ch/press-files/2_documentation/cryptography_whitepaper.pdf
Googolplex
23.11.2015 14:42Для Telegram вроде бы есть десктопные клиенты с шифрованием, по крайней мере этот. На сайте, правда, английский немного странный, но сам проект даже выложен на гитхабе.
Scratch
23.11.2015 14:50Надо попробовать, непонятно как оно будет работать если уже будет один защищенный чат с мобильного
Scratch
23.11.2015 17:18В общем, с каждого устройства secure chat будет отдельным чатом, это как-то коряво выглядит, но вроде работает
BiTHacK
23.11.2015 15:04Хотелось бы услышать подробности по поводу end-to-end шифрования у Tox, по поводу которого у вас написано: «Да(desktop only yet)». Откуда информация, что мобильные клиенты не поддерживают шифрование? Насколько мне известно, шифрование в tox реализуется на уровне toxcore, а не клиентов и клиенты не могут не использовать end-to-end шифрование для любого взаимодействия между собой (вот c-header реализации шифрования в toxcore: https://github.com/irungentoo/toxcore/blob/master/toxcore/crypto_core.h).
giner
23.11.2015 15:46Рекомендую обратить внимание на Kontalk: kontalk.org. Он пока малофункциональный, но многообещающий.
Foxcool
23.11.2015 15:54Токс — да. За ним будущее. Но вот отсутствие этой базовой вещи, как один аккаунт на разных девайсах — убивает.
Что касается остальных, имхо, когда обсуждаешь месенджер именно с т.з. безопасности, в сторону не опенсорс смотреть не надо вообще. (:Scratch
23.11.2015 16:50Я думаю, «одноайдишность» реализуют в итоге костылем, когда за одной айдишкой скрывается несколько, типа алиасов. Это самый простой путь
Bal
23.11.2015 17:09Такая «одноайдишность» несколько снижает секретность. Можно примерно вычислить человека в небольшой группе по смене ID-шников. На работе — один, дома — другой. Вычисляем график, сопоставляем с другой активностью (соцсети, форумы), повышаем вероятность идентификации.
PapaTramp
24.11.2015 08:46А кто-нибудь пользовался VIPole? По крайней мере на сайте красиво расписано, какой это чоткий мессенджер :)
foxyrus
Откуда информация о «ФСБ есть доступ»?
Scratch
Да хоть бы вот и вот