Мессенджер Threema
Мессенджер Threema
За последние несколько лет у исследователей безопасности накопилось довольно много вопросов к безопасности Телеграма, а также компетентности и честности его сотрудников и руководства.
Для тех, кто не хочет держать все яйца в одной корзине, может оказаться подходящим вариантом установить себе регулярно проходящий независимый аудит швейцарский мессенджер Threema https://threema.ch
Некоторые из отличий от Телеграма:
1. Можно не привязывать номер телефона и мейл
2. Регулярно проходят сторонний аудит безопасности (Телеграм в последний раз делал это 6 лет назад)
3. Сообщения не хранятся на сервере мессенджера после того, как они доставлены. У Телеграма они хранятся на сервере годами в условно зашифрованном виде (условно - тк это хранение устроено так, что есть возможности это все читать в любой момент и для сотрудников Телеграма, и для официальных лиц, и тут остается только верить на слово Дурову, что ничего такого не происходит). И у исследователей есть в том числе вопрос, точно ли они исчезают на сервере после того, как сообщения были удалены на устройстве.
Вследствие особого упора на безопасность, у Threema есть некоторые минусы, например, его невозможно использовать на нескольких телефонах/планшетах, и там нет каналов, только чаты. Сообщения нельзя редактировать, и нельзя удалить сообщение кроме как у себя.
Программа стоит несколько долларов.
Ссылка для установки на iOS из аппстора - https://apps.apple.com/ua/app/threema-t ... d578665578
Для андроида - https://play.google.com/store/apps/deta ... hreema.app
Для мака - https://releases.threema.ch/web-electro ... Latest.dmg
Для виндовса - https://releases.threema.ch/web-electro ... Latest.exe
Сначала в любом случае надо установить на смартфон. На примере айфона:
1. Соглашаешься с политикой конфиденциальности, кликаешь на стрелку внизу-справа экрана
2. Дальше надо пальцем провести случайным образом по таблице с символами, до тех пор, пока она вся не позеленеет
3. Тебе покажут твой айди - сохрани его себе. Его нужно давать другим, чтобы тебя добавили в контакты и могли тебе писать. Но можно добавлять контакты и сканированием QR-кода
4. Не создавай бэкап на сервере Тримы. Если ты потеряешь смартфон, то ты конечно в таком случае потеряешь и всю переписку, при этом это устраняет потенциальное слабое звено в виде хранящегося где-то там бэкапа твоей переписки. Просто нажми на стрелку внизу-справа, и подтверди, что не хочешь использовать Threema Safe
5. Придумай себе ник, который будет показываться твоим контактам
6. Дальше НЕ привязывай номер телефона - нажми стрелку в нижней правой части экрана. Подтверди, что "хочешь использовать полностью анонимно"
7. Дальше убери галочку с "синхронизировать контакты"
8. На следующей странице проверь, что показывается ник, номера телефона нет, синхронизация контактов и Сейф выключены. Подтверди
9. Разреши отправку уведомлений
10. Отключи предварительный просмотр пуш-уведомлений
Добавлять контакты можно добавляя ID, можно сканировать qr-код из программы, можно пересылать друг другу специальную ссылку с контактами внутри Тримы или в других мессенджерах.
Добавленный контакт можно переименовывать.
Инструкция по переносу аккаунта и переписки на новый смартфон - https://threema.ch/en/faq/data_backup
Установка на ноутбук (на примере MacOS):
1. Скачай файл по ссылке выше
2. Установи в папку Программы
3. Запусти ее на Маке
4. Запусти ее на айфоне, там иди в настройки, выбери строку ПК/веб-клиент, и там вверху увидишь символ сканирования. Жми его, разреши Триме доступ к камере, и сканируй QR-код с мака. Готово
Для тех, кто не хочет держать все яйца в одной корзине, может оказаться подходящим вариантом установить себе регулярно проходящий независимый аудит швейцарский мессенджер Threema https://threema.ch
Некоторые из отличий от Телеграма:
1. Можно не привязывать номер телефона и мейл
2. Регулярно проходят сторонний аудит безопасности (Телеграм в последний раз делал это 6 лет назад)
3. Сообщения не хранятся на сервере мессенджера после того, как они доставлены. У Телеграма они хранятся на сервере годами в условно зашифрованном виде (условно - тк это хранение устроено так, что есть возможности это все читать в любой момент и для сотрудников Телеграма, и для официальных лиц, и тут остается только верить на слово Дурову, что ничего такого не происходит). И у исследователей есть в том числе вопрос, точно ли они исчезают на сервере после того, как сообщения были удалены на устройстве.
Вследствие особого упора на безопасность, у Threema есть некоторые минусы, например, его невозможно использовать на нескольких телефонах/планшетах, и там нет каналов, только чаты. Сообщения нельзя редактировать, и нельзя удалить сообщение кроме как у себя.
Программа стоит несколько долларов.
Ссылка для установки на iOS из аппстора - https://apps.apple.com/ua/app/threema-t ... d578665578
Для андроида - https://play.google.com/store/apps/deta ... hreema.app
Для мака - https://releases.threema.ch/web-electro ... Latest.dmg
Для виндовса - https://releases.threema.ch/web-electro ... Latest.exe
Сначала в любом случае надо установить на смартфон. На примере айфона:
1. Соглашаешься с политикой конфиденциальности, кликаешь на стрелку внизу-справа экрана
2. Дальше надо пальцем провести случайным образом по таблице с символами, до тех пор, пока она вся не позеленеет
3. Тебе покажут твой айди - сохрани его себе. Его нужно давать другим, чтобы тебя добавили в контакты и могли тебе писать. Но можно добавлять контакты и сканированием QR-кода
4. Не создавай бэкап на сервере Тримы. Если ты потеряешь смартфон, то ты конечно в таком случае потеряешь и всю переписку, при этом это устраняет потенциальное слабое звено в виде хранящегося где-то там бэкапа твоей переписки. Просто нажми на стрелку внизу-справа, и подтверди, что не хочешь использовать Threema Safe
5. Придумай себе ник, который будет показываться твоим контактам
6. Дальше НЕ привязывай номер телефона - нажми стрелку в нижней правой части экрана. Подтверди, что "хочешь использовать полностью анонимно"
7. Дальше убери галочку с "синхронизировать контакты"
8. На следующей странице проверь, что показывается ник, номера телефона нет, синхронизация контактов и Сейф выключены. Подтверди
9. Разреши отправку уведомлений
10. Отключи предварительный просмотр пуш-уведомлений
Добавлять контакты можно добавляя ID, можно сканировать qr-код из программы, можно пересылать друг другу специальную ссылку с контактами внутри Тримы или в других мессенджерах.
Добавленный контакт можно переименовывать.
Инструкция по переносу аккаунта и переписки на новый смартфон - https://threema.ch/en/faq/data_backup
Установка на ноутбук (на примере MacOS):
1. Скачай файл по ссылке выше
2. Установи в папку Программы
3. Запусти ее на Маке
4. Запусти ее на айфоне, там иди в настройки, выбери строку ПК/веб-клиент, и там вверху увидишь символ сканирования. Жми его, разреши Триме доступ к камере, и сканируй QR-код с мака. Готово
Re: Мессенджер Threema
Я ещё хочу вякнуть, что были и такие истории, как с Signal - когда мессенджер в итоге оказывался (во всяком случае, есть основания считать так) продуктом компаний, аффилированных с спецслужбами.
То, что этот конкретный новый мессенджер швейцарский, тоже ведь мало что значит - Proton Mail тоже швейцарский, а IP-адреса кого-то из пользователей недавно раскрыл по запросу властей.
Плюс чем строже требования мессенджера к безопасности, тем им неудобнее пользоваться, в общем случае - как с этими зашифрованными бэкапами на сервере, например - отказавшись от них, приходится отказаться от синхронизации между устройствами и от возможности перенести историю переписки на новый смартфон.
Так что мне кажется, это вопрос баланса - в какой мере мои обсуждения в мессенджере требуют этой самой безопасности. Мне кажется, не так уж они ее и требуют - ну допустим, имеет Дуров возможность читать переписку пользователей на своих серверах (я не так не думаю, но предположим) - что мне с этого?
Пусть читает мою :) Тем более, что он никогда естественно читать ее не будет, т.е. остаётся вероятность взлома - а взломан Телеграм никогда не был. Несмотря на то, что появление публикации о таком взломе конкурентам Телеграм выгодно, и несмотря на то, что существует он давно.
То, что этот конкретный новый мессенджер швейцарский, тоже ведь мало что значит - Proton Mail тоже швейцарский, а IP-адреса кого-то из пользователей недавно раскрыл по запросу властей.
Плюс чем строже требования мессенджера к безопасности, тем им неудобнее пользоваться, в общем случае - как с этими зашифрованными бэкапами на сервере, например - отказавшись от них, приходится отказаться от синхронизации между устройствами и от возможности перенести историю переписки на новый смартфон.
Так что мне кажется, это вопрос баланса - в какой мере мои обсуждения в мессенджере требуют этой самой безопасности. Мне кажется, не так уж они ее и требуют - ну допустим, имеет Дуров возможность читать переписку пользователей на своих серверах (я не так не думаю, но предположим) - что мне с этого?
Пусть читает мою :) Тем более, что он никогда естественно читать ее не будет, т.е. остаётся вероятность взлома - а взломан Телеграм никогда не был. Несмотря на то, что появление публикации о таком взломе конкурентам Телеграм выгодно, и несмотря на то, что существует он давно.
Re: Мессенджер Threema
Для личных переписок может это и пофигу, а в случае пересылки доков, паролей или еще чего-то важного стоит перестраховаться, раз есть шанс что базу телеграма рано или поздно сольют.
Re: Мессенджер Threema
Переписку, которую начнешь на десктопе, увидишь, но десктопная версия это просто придаток к полноценной версии со смартфона. Синхронизировать с чем-то еще не получится.
Re: Мессенджер Threema
Сама по себе аффилированность со спецслужбами это не обязательно плохо, так как те же спецслужбы и госструктуры в США в итоге навреное не случайно сами себе рекомендуют использовать Сигнал. Вряд ли они стали бы использовать то, что вне их контроля. При этом открытый код приложения выступает некой гарантией от недобросовестности со стороны разработчиков.
В Сигнале лично мне не нравится обязательная привязка к телефонам, а также юрисдикция США, что может негативно сказаться.
На раскрытие айпи-адреса по запросу спецслужб мне похуй.
В Триме, насколько я знаю, перенести на новый смартфон можно и без бэкапа, по спец процедуре.
Вопрос не лично в Дурове. Так как разработчики Телеграма могут читать, и это далеко не один человек, то вопрос времени - когда сможет читать любая свинья.
О взломах Телеграма мы возможно ничего никогда и не узнаем, тк его руководство ведет себя нечистоплотно и при выявлении багов в безопасности сторонними исследователями.
В Сигнале лично мне не нравится обязательная привязка к телефонам, а также юрисдикция США, что может негативно сказаться.
На раскрытие айпи-адреса по запросу спецслужб мне похуй.
В Триме, насколько я знаю, перенести на новый смартфон можно и без бэкапа, по спец процедуре.
Вопрос не лично в Дурове. Так как разработчики Телеграма могут читать, и это далеко не один человек, то вопрос времени - когда сможет читать любая свинья.
О взломах Телеграма мы возможно ничего никогда и не узнаем, тк его руководство ведет себя нечистоплотно и при выявлении багов в безопасности сторонними исследователями.
Re: Мессенджер Threema
> Для личных переписок может это и пофигу, а в случае пересылки доков, паролей или еще чего-то важного стоит перестраховаться, раз есть шанс что базу телеграма рано или поздно сольют.
В Телеграме есть режим end-to-end encryption (secret chat) для таких целей, когда сообщения не хранятся нигде, кроме как на двух устройствах переписывающихся сторон, между которыми открыт такой чат.
В Телеграме есть режим end-to-end encryption (secret chat) для таких целей, когда сообщения не хранятся нигде, кроме как на двух устройствах переписывающихся сторон, между которыми открыт такой чат.
Re: Мессенджер Threema
Режим есть. Но тут вопрос всех яиц в одной корзине, причем уже сомнительной по своему поведению.
Re: Мессенджер Threema
Еще идея: подыскать такой мессенджер для обмена критически секретной инфой, код которого выложен в открытом доступе. Он будет не таким удобным, как Телеграм или Threema, но поскольку и секретность такая нужна нечасто, это может быть подходящим вариантом.
Re: Мессенджер Threema
Код Threema уже есть в открытом доступе.
Re: Мессенджер Threema
Открытый код подразумевает, видимо, и использование общепринятых стандартов шифрования, того же RSA. Дуров на эту тему пишет интересное - что АНБ (агентство безопасности США) принимало активное участие в разработке международных стандартов шифрования и вполне может получить доступ к данным, зашифрованным этими способами. Ссылается он при этом на данные, опубликованные в свое время Сноуденом:
https://www.theatlantic.com/technology/ ... on/311404/
Телеграм, как известно, использует свой собственный стандарт шифрования, разработанный Николаем Дуровым.
Re: Мессенджер Threema
К счастью, цель не в том, чтобы спрятать что-то от АНБ.