比较安全产品:WhatsApp及其替代品

2019-08-09 08

  在21世纪,加密已经成为一种自卫手段。我们为自己辩护的人是多方面的,以及我们这样做的不同原因。有些人出于意识形态的原因使用加密作为自卫,例如,在没有妥协的情况下主张隐私权,其他人因为没有它而使他们的生命处于危险之中。

  在世界各地,调查记者,人权活动家,举报人以及律师,医生和注重隐私的个人都依赖安全加密。前者保护自己,因为他们拥有的敏感数据具有爆炸性,可能会威胁到他们的安全。后者保护那些委托他们提供敏感信息的人。

  显然,加密对于那些在极权主义政权和自由言论暗示担心个人安全的国家中维护少数民族和正义的人来说至关重要。但也有一些西方民主国家不断损害隐私权和合法的国家监督。反对这种做法的人只能采用加密作为自卫。

  信号协议

  我们下面比较的许多消息传递应用都使用信号协议。因此,这里有一个简短的解释,究竟是什么。Signal是一个开源加密协议,由着名的IT安全专家Trevor Perrin和Moxie Marlinspike在Open Whisper Systems开发。2016年,信号协议由一个国际安全专家小组进行分析,并被认为非常安全。此外,在他们的网站上,爱德华斯诺登推荐。

  默认情况下使用端到端加密的应用

  WhatsApp的

  目前,WhatsApp已被超过15亿人使用,使其成为全球最受欢迎的消息应用程序。这就是我们先看这个的原因。近年来WhatsApp发生了不少事情。

  2-1 Secure-Messengers WhatsApp

  安全性 截至2016年,WhatsApp默认使用基于信号协议的端到端加密来保护所有消息。因此,任何未经授权的人都无法阅读聊天内容,包括服务提供商WhatsApp本身。每个联系人都会分配一个单独的安全代码,这使您可以验证其他人的身份。但是,此功能需要手动激活。安全代码可保护用户免受中间人攻击。

  启用WhatsApp安全密钥

  默认情况下,WhatsApp引入了端到端加密技术,实现了IT安全行业数十年来一直在努力的目标:每个人的加密和隐私,在可用性方面没有重大妥协。因此,标志着加密历史的里程碑。不过,每个故事都有两面。以下是要记住的两件事。

  缺点 WhatsApp于2014年被Facebook收购。此次收购伴随着使用条款的更新,这些使用条款并未得到完全批准和怀疑,特别是在欧洲:来自WhatsApp的数据将与Facebook公司共享。受到欧盟的强烈批评,WhatsApp最终停止了与Facebook在欧洲的数据交换。然而,整件事让我们思考。

  另一个问题是备份功能。最初,WhatsApp将未加密的聊天记录存储在服务器上。对此有一些改进。但是,在某些情况下,至少可以查看未加密的元数据。此外,如果您或您的对话伙伴使用自动备份到iCloud或Google帐户,聊天将在云中,未加密。数据保护器对iCloud的新备份解决方案还不满意。

  此外,该应用程序在安装过程中从智能手机目录下载所有数据。根据条款和条件,Whatsapp用户有责任获得每个联系人的同意。没有必要提到这种情况从未发生过,而且不成比例。

  发送但未发送的消息存在安全漏洞。WhatsApp将此差距作为一项功能出售。争论的焦点是,在接收端更改移动电话号码时没有数据丢失。数据保护者认为这种情况至少值得怀疑。我们在Guardian中推荐此文本以获取更多信息。

  为了确保未来的融资,WhatsApp将在2019年更新中注册广告。据传闻,广告将出现在状态区域。但是,我们假设必须软化当前的端到端加密,以便抓取消息内容以便为单个用户播放合适的广告。这种变化将如何影响隐私还有待观察。

  删除邮件 有一个特殊功能,即尽管对数据保护有重要影响,但在即时消息服务中经常丢失:撤消和删除已发送邮件的选项。

  WhatsApp基本上支持这个功能,虽然有一些相当大的限制:只有在七分钟内发送的消息可能会被删除 - 但至少在2018年5月增加到68分钟。在这么短的时间内它可以删除成功传输甚至已读取的消息。

  但是这个功能确实留下了痕迹:收件人会看到“已删除邮件”信息而不是原始内容。并且有更多理由谨慎处理该过程:消息无法被读取且WhatsApp无法从接收设备中删除潜在的屏幕截图。此外,删除邮件有两个选项:仅限您的眼睛或聊天的所有参与者。这两个选项都可以在同一菜单中找到,并且可能彼此混淆。由于您没有得到任何确认,如果对方设备上的删除成功,则很难跟踪。

  在大多数情况下,它太复杂或太晚(记住七分钟窗口)一旦完成就纠正这样的错误。

  价格:现在免费,未来可能会通过广告融资

  Signal由安全专家Moxie Marlinspike等人在非盈利组织Open Whisper Systems开发。Edward Snowden毫无保留地推荐Signal和Open Whisper Systems - 例如在他们的网站上。此外,加密专家Bruce Schneier,标准参考“应用密码学”的作者,声称也是该网站上应用程序的忠实粉丝。

  2-1安全信使信号

  Signal提供群聊,文本和语音消息,语音和视频呼叫,以及发送图像,视频,音频,表情符号和贴纸的可能性。这应该涵盖大多数普通用户的需求。樱桃最重要的是在发送之前在图像上添加文本和绘图的功能。此外,它还包括一个消息的自毁定时器(定时器可以在5秒到一周之间设置),并且可以使用特定设置阻止屏幕截图。这为敏感聊天内容的传播提供了一些保护。

  安全性 根据Open Whisper Systems,默认情况下使用开源信号协议对话进行端到端加密。通过检查安全号码或扫描QR码来验证联系人。这意味着需要一个额外的步骤,因为您必须通过不同的通道比较安全号码或者与另一个人扫描QR码。但是,此过程可以保护您免受中间人攻击。与WhatsApp相比,Signal不会备份云中的任何消息。因此,备份在本地受到保护。

  缺点 信号需要通过SMS代码进行验证。因此,只有使用SIM卡才能使用Signal,这会排除某些用户组和用例。信号用户的数量相对较少,这可能会产生另一个问题。因此,大多数打算改用Signal的人都需要先努力说服他们的同行。由于应用程序要求访问手机上的联系人,因此在安装应用程序期间,那些正在使用Signal的朋友将立即公布。这也可能是主要批评之一,尽管其他信使表现出同样的问题。

  价格: 免费

  Threema

  就像Signal一样,Threema在安全性方面被认为是出色的。瑞士制造的消息应用程序正在被超过500万人使用(2019年3月)。虽然Signal主导WhatsApp替代品的国际市场,但Threema主要在德语国家流行 - 超过80%的用户来自德国,奥地利和瑞士。

  2-1安全信使三马

  安全性 在注册过程中,会生成匿名的Threema-ID和密码。配置文件名称和图片是可选的。也可选择指向您的电话号码或电子邮件地址的链接。如果您不希望该应用程序执行此操作,则无需访问您的联系人。请注意,默认情况下此功能已激活,必须手动停用 - 我们强烈建议您这样做。在只有已知数据可以被攻击的前提下,Threema将这种最小数据处理称为“元数据约束”。因此,存储在Threema服务器上的所有数据(仅用作仅用于传输的中继)也会在成功发送消息后被删除。

  此外,私人聊天可以通过PIN码隐藏和保护。根据相互信任的程度,有三种不同类型的联系人:红色表示未知,黄色表示已验证用户,绿色表示亲自联系。为了将联系人标记为绿色,您必须通过扫描其QR码来亲自会见并验证它们。因此,您可以免受中间人攻击。默认情况下,Threema使用NaCI库对端到端的所有消息进行加密。

  截至2017年9月,Threema还提供VoIP电话。如果您的联系人是个人所知,这些呼叫可以直接连接两个设备(因此IP地址从一个设备发送到另一个设备),而不联系Threema的服务器。如果对方不了解其他人,则服务器作为上述中继工作,并且IP不会向发言方披露。在VoIP呼叫之前,2017年1月推出了安全的Web客户端。

  缺点 没有关于数据安全性的已知问题。默认情况下会激活对联系人的自动访问,但可以手动取消激活。视频通话仍然无法实现(2018年3月)。 价格: 2,99€(Google Play商店),3,49€(App Store)

  使用选择加密的服务

  消息服务Telegram是免费的,拥有超过2亿用户。它是由Durov兄弟于2013年开发的 - 俄罗斯社交网络VKontakte的创始人。Telegram被认为是首批提供端到端加密的信使服务之一。除了管理最多100,000个订户的聊天组外,Telegram还可以同时在多个设备上运行应用程序(例如,在移动电话和计算机上)。开发人员自身的特点还在于提供比竞争信使服务更快发送的消息。

  2-1安全信使电报

  Security Telegram提供选择性端到端加密和消息自毁选项,用于在一定时间后自动销毁消息。群聊没有加密(截至2018年8月)。专家认为大多数用户没有使用Telegram的可选端到端加密。

  删除邮件 2019年3月,该公司在其博客上宣布,从现在开始,每个用户都可以删除任何没有时间限制的邮件。因此,即使是那些你自己没有写过的消息也可以删除。还可以删除整个聊天记录。这个新功能的例外是群聊。

  缺点 安全专家批评没有人确切知道Telegram背后的公司所处的位置。此外,Telegram使用自己的加密算法MTProto协议,它代表了内部开发。这是不可理解的,因为有可用的良好且经过良好测试的解决方案,例如信号协议。关于Telegram正在使用的协议存在许多 争议。

  由于其网站上存在可疑情况和缺失的印记,因此不建议使用Telegram。

  更新 2018年8月,人们已经知道严重的信息泄漏。消息,电报用户互相交换,被指示通过伊朗国有电信公司的服务器大约2小时。在此期间,政府可以记录这些信息。有关泄漏的更多信息,请点击此处

  Facebook Messenger

  Facebook Messenger是Facebook自己的即时通讯应用程序(从2016年中开始)Facebook用户如果想要在移动设备上阅读他们的Facebook消息就必须使用它。仅仅因为这个原因,Messenger是世界上第二大使用最少的信使应用程序。我们认为,使用该应用程序的压力是一个巨大的缺点。

  2-1安全信使Facebook Messenger

  Facebook Messenger仅在此列表中提及,因为去年它也开始使用信号协议提供端到端加密。

  删除消息 如果WhatsApp允许我们删除仅发送七分钟的消息,Facebook Messenger可以让我们再多花三分钟。在10分钟内,您可以决定是为所有收件人删除邮件还是仅为自己删除邮件。如果您错过了该时间范围,则可以仅向自己隐藏消息。收件人在聊天窗口中仍然看不到它。

  缺点 端到端加密仅作为选择加入功能提供,这意味着您必须手动激活加密功能“秘密对话”。因此,许多用户可能会坚持常见的未加密聊天。加密的群组聊天是不可能的。

  请注意,您的未加密邮件会被 Facebook自动扫描关键字。如果您使用Facebook Messenger,请始终激活“秘密对话”,但结果是您只能在一台设备上阅读您的消息。

  尽管不直接影响邮件传输??安全性,Facebook Messenger的另一个恼人的缺陷是出现在聊天列表中的广告。

  自2014年以来,Wire为智能手机,平板电脑甚至台式机提供信使服务。它由瑞士软件公司Wire Swiss GmbH开发。开发团队位于德国柏林。

  2-1安全信使线

  Security Wire使用SRTP和DTLS进行端到端加密来加密呼叫。加密文本消息和图像使用Proteus端到端加密。您与朋友或同事之间的通信在发件人的设备上加密,然后在收件人的位置再次解密。Wire的另一个优势是每个用户最多可以在八个不同的设备上使用交易会。

  缺点 即使使用Wire,也需要在通过智能手机注册时输入他的电话号码。您可以在设置中通过Wire取消激活联系人数据的使用。但是,目前尚不清楚已经与此停用相匹配的数据会发生什么。

  我们的结论

  考虑到上面提到的即时通讯服务,WhatsApp显然是全能的,它也为更广泛地使用加密做出了巨大贡献。他们的解决方案显然运作良好,因为他们实际上无法查看消息,因为WhatsApp与巴西法官之间的争议表明。WhatsApp拒绝交出聊天记录,指出公司不再能够访问这些文件,即使他们想要这样做。

  WhatsApp的最大优点是它的可用性和受欢迎程度。不利的一面是,如果不加以谨慎对待,可能会有未加密的备份最终进入云端。另一个缺点是,WhatsApp由Facebook拥有,而这两家公司希望交换数据。如果这看起来很可疑,那么最好选择Signal或Threema之一。

  至于Facebook Messenger和Google Allo,端到端加密只能以牺牲可用性为代价。但是,只有在激活加密时才能保证数据保护和隐私。由于上述讨论,Telegram也应谨慎对待。您可以根据自己最重视的功能选择信使。

  从我们的角度来看,最重要的事情是:端到端加密,没有人应该能够监视你或扫描你的消息,你写的是私人的,只是你和你的朋友之间。所有这些都是由WhatsApp,Signal和Threema提供的。