Мессенджер Threema

Ответить
Аватара пользователя
Эми
Сообщения: 276
Зарегистрирован: апр 12, '19, 18:12
Старый ник: Хорель

Мессенджер Threema

Сообщение Эми »

За последние несколько лет у исследователей безопасности накопилось довольно много вопросов к безопасности Телеграма, а также компетентности и честности его сотрудников и руководства.

Для тех, кто не хочет держать все яйца в одной корзине, может оказаться подходящим вариантом установить себе регулярно проходящий независимый аудит швейцарский мессенджер Threema https://threema.ch

Некоторые из отличий от Телеграма:
1. Можно не привязывать номер телефона и мейл
2. Регулярно проходят сторонний аудит безопасности (Телеграм в последний раз делал это 6 лет назад)
3. Сообщения не хранятся на сервере мессенджера после того, как они доставлены. У Телеграма они хранятся на сервере годами в условно зашифрованном виде (условно - тк это хранение устроено так, что есть возможности это все читать в любой момент и для сотрудников Телеграма, и для официальных лиц, и тут остается только верить на слово Дурову, что ничего такого не происходит). И у исследователей есть в том числе вопрос, точно ли они исчезают на сервере после того, как сообщения были удалены на устройстве.


Вследствие особого упора на безопасность, у Threema есть некоторые минусы, например, его невозможно использовать на нескольких телефонах/планшетах, и там нет каналов, только чаты. Сообщения нельзя редактировать, и нельзя удалить сообщение кроме как у себя.
Программа стоит несколько долларов.


Ссылка для установки на iOS из аппстора - https://apps.apple.com/ua/app/threema-t ... d578665578
Для андроида - https://play.google.com/store/apps/deta ... hreema.app
Для мака - https://releases.threema.ch/web-electro ... Latest.dmg
Для виндовса - https://releases.threema.ch/web-electro ... Latest.exe



Сначала в любом случае надо установить на смартфон. На примере айфона:

1. Соглашаешься с политикой конфиденциальности, кликаешь на стрелку внизу-справа экрана
2. Дальше надо пальцем провести случайным образом по таблице с символами, до тех пор, пока она вся не позеленеет
3. Тебе покажут твой айди - сохрани его себе. Его нужно давать другим, чтобы тебя добавили в контакты и могли тебе писать. Но можно добавлять контакты и сканированием QR-кода
4. Не создавай бэкап на сервере Тримы. Если ты потеряешь смартфон, то ты конечно в таком случае потеряешь и всю переписку, при этом это устраняет потенциальное слабое звено в виде хранящегося где-то там бэкапа твоей переписки. Просто нажми на стрелку внизу-справа, и подтверди, что не хочешь использовать Threema Safe
5. Придумай себе ник, который будет показываться твоим контактам
6. Дальше НЕ привязывай номер телефона - нажми стрелку в нижней правой части экрана. Подтверди, что "хочешь использовать полностью анонимно"
7. Дальше убери галочку с "синхронизировать контакты"
8. На следующей странице проверь, что показывается ник, номера телефона нет, синхронизация контактов и Сейф выключены. Подтверди
9. Разреши отправку уведомлений
10. Отключи предварительный просмотр пуш-уведомлений

Добавлять контакты можно добавляя ID, можно сканировать qr-код из программы, можно пересылать друг другу специальную ссылку с контактами внутри Тримы или в других мессенджерах.

Добавленный контакт можно переименовывать.

Инструкция по переносу аккаунта и переписки на новый смартфон - https://threema.ch/en/faq/data_backup

Установка на ноутбук (на примере MacOS):
1. Скачай файл по ссылке выше
2. Установи в папку Программы
3. Запусти ее на Маке
4. Запусти ее на айфоне, там иди в настройки, выбери строку ПК/веб-клиент, и там вверху увидишь символ сканирования. Жми его, разреши Триме доступ к камере, и сканируй QR-код с мака. Готово

Аватара пользователя
Келли
Сообщения: 1984
Зарегистрирован: июл 16, '19, 11:45

Re: Мессенджер Threema

Сообщение Келли »

Эми писал(а):
дек 31, '21, 04:59
3. Сообщения не хранятся на сервере мессенджера после того, как они доставлены.
Получается, синхронизировать их между разными устройствами нельзя? Переписку, которую я начал на десктопе (допустим), я не увижу на смартфоне?

Аватара пользователя
Келли
Сообщения: 1984
Зарегистрирован: июл 16, '19, 11:45

Re: Мессенджер Threema

Сообщение Келли »

Я ещё хочу вякнуть, что были и такие истории, как с Signal - когда мессенджер в итоге оказывался (во всяком случае, есть основания считать так) продуктом компаний, аффилированных с спецслужбами.

То, что этот конкретный новый мессенджер швейцарский, тоже ведь мало что значит - Proton Mail тоже швейцарский, а IP-адреса кого-то из пользователей недавно раскрыл по запросу властей.

Плюс чем строже требования мессенджера к безопасности, тем им неудобнее пользоваться, в общем случае - как с этими зашифрованными бэкапами на сервере, например - отказавшись от них, приходится отказаться от синхронизации между устройствами и от возможности перенести историю переписки на новый смартфон.

Так что мне кажется, это вопрос баланса - в какой мере мои обсуждения в мессенджере требуют этой самой безопасности. Мне кажется, не так уж они ее и требуют - ну допустим, имеет Дуров возможность читать переписку пользователей на своих серверах (я не так не думаю, но предположим) - что мне с этого?

Пусть читает мою :) Тем более, что он никогда естественно читать ее не будет, т.е. остаётся вероятность взлома - а взломан Телеграм никогда не был. Несмотря на то, что появление публикации о таком взломе конкурентам Телеграм выгодно, и несмотря на то, что существует он давно.

Аватара пользователя
Yuka
Сообщения: 197
Зарегистрирован: апр 21, '19, 22:05

Re: Мессенджер Threema

Сообщение Yuka »

Для личных переписок может это и пофигу, а в случае пересылки доков, паролей или еще чего-то важного стоит перестраховаться, раз есть шанс что базу телеграма рано или поздно сольют.

Аватара пользователя
Эми
Сообщения: 276
Зарегистрирован: апр 12, '19, 18:12
Старый ник: Хорель

Re: Мессенджер Threema

Сообщение Эми »

Келли писал(а):
дек 31, '21, 10:11
Эми писал(а):
дек 31, '21, 04:59
3. Сообщения не хранятся на сервере мессенджера после того, как они доставлены.
Получается, синхронизировать их между разными устройствами нельзя? Переписку, которую я начал на десктопе (допустим), я не увижу на смартфоне?
Переписку, которую начнешь на десктопе, увидишь, но десктопная версия это просто придаток к полноценной версии со смартфона. Синхронизировать с чем-то еще не получится.

Аватара пользователя
Эми
Сообщения: 276
Зарегистрирован: апр 12, '19, 18:12
Старый ник: Хорель

Re: Мессенджер Threema

Сообщение Эми »

Сама по себе аффилированность со спецслужбами это не обязательно плохо, так как те же спецслужбы и госструктуры в США в итоге навреное не случайно сами себе рекомендуют использовать Сигнал. Вряд ли они стали бы использовать то, что вне их контроля. При этом открытый код приложения выступает некой гарантией от недобросовестности со стороны разработчиков.
В Сигнале лично мне не нравится обязательная привязка к телефонам, а также юрисдикция США, что может негативно сказаться.
На раскрытие айпи-адреса по запросу спецслужб мне похуй.

В Триме, насколько я знаю, перенести на новый смартфон можно и без бэкапа, по спец процедуре.

Вопрос не лично в Дурове. Так как разработчики Телеграма могут читать, и это далеко не один человек, то вопрос времени - когда сможет читать любая свинья.
О взломах Телеграма мы возможно ничего никогда и не узнаем, тк его руководство ведет себя нечистоплотно и при выявлении багов в безопасности сторонними исследователями.

Листоед
Сообщения: 118
Зарегистрирован: июл 28, '19, 11:14

Re: Мессенджер Threema

Сообщение Листоед »

> Для личных переписок может это и пофигу, а в случае пересылки доков, паролей или еще чего-то важного стоит перестраховаться, раз есть шанс что базу телеграма рано или поздно сольют.

В Телеграме есть режим end-to-end encryption (secret chat) для таких целей, когда сообщения не хранятся нигде, кроме как на двух устройствах переписывающихся сторон, между которыми открыт такой чат.

Аватара пользователя
Эми
Сообщения: 276
Зарегистрирован: апр 12, '19, 18:12
Старый ник: Хорель

Re: Мессенджер Threema

Сообщение Эми »

Листоед писал(а):
дек 31, '21, 20:34
В Телеграме есть режим end-to-end encryption (secret chat) для таких целей, когда сообщения не хранятся нигде, кроме как на двух устройствах переписывающихся сторон, между которыми открыт такой чат.
Режим есть. Но тут вопрос всех яиц в одной корзине, причем уже сомнительной по своему поведению.

Листоед
Сообщения: 118
Зарегистрирован: июл 28, '19, 11:14

Re: Мессенджер Threema

Сообщение Листоед »

Еще идея: подыскать такой мессенджер для обмена критически секретной инфой, код которого выложен в открытом доступе. Он будет не таким удобным, как Телеграм или Threema, но поскольку и секретность такая нужна нечасто, это может быть подходящим вариантом.

Аватара пользователя
Эми
Сообщения: 276
Зарегистрирован: апр 12, '19, 18:12
Старый ник: Хорель

Re: Мессенджер Threema

Сообщение Эми »

Код Threema уже есть в открытом доступе.

Аватара пользователя
Келли
Сообщения: 1984
Зарегистрирован: июл 16, '19, 11:45

Re: Мессенджер Threema

Сообщение Келли »

Эми писал(а):
дек 31, '21, 17:43
открытый код приложения выступает некой гарантией от недобросовестности со стороны разработчиков.
Открытый код подразумевает, видимо, и использование общепринятых стандартов шифрования, того же RSA. Дуров на эту тему пишет интересное - что АНБ (агентство безопасности США) принимало активное участие в разработке международных стандартов шифрования и вполне может получить доступ к данным, зашифрованным этими способами. Ссылается он при этом на данные, опубликованные в свое время Сноуденом:
https://www.theatlantic.com/technology/ ... on/311404/

Телеграм, как известно, использует свой собственный стандарт шифрования, разработанный Николаем Дуровым.

Аватара пользователя
Эми
Сообщения: 276
Зарегистрирован: апр 12, '19, 18:12
Старый ник: Хорель

Re: Мессенджер Threema

Сообщение Эми »

К счастью, цель не в том, чтобы спрятать что-то от АНБ.

Ответить

Вернуться в «Правила безопасности»