Session

Session
Логотип программы Session
Скриншот программы Session
Скриншот из версии 1.17.4 (Декабрь 2023)
Тип Мгновенный обмен сообщениями
Разработчик The Oxen Project
Написана на Java, Kotlin, C++, Swift, TypeScript
Интерфейс EGL
Операционные системы Android 6 или выше, iOS 12 или выше, Windows, MacOS, Linux[1]
Языки интерфейса английский
Первый выпуск 4 февраля 2020[2]
Аппаратная платформа Android
Последняя версия 1.17.4 (12 января 2024)
Репозиторий github.com/oxen-io/sessi…
Лицензия GPL-3.0[3]
Сайт getsession.org
Логотип Викисклада Медиафайлы на Викискладе

Session — открытый анонимный децентрализованный мессенджер на базе экосистемы Oxen, поддерживающий сквозное шифрование и минимизирующий использование метаданных для скрытия личностей пользователей по умолчанию[4].

Отличительной особенность Session является отсутствие необходимости предоставлять любые персональные данные для регистрации. Вместо этого при создании аккаунта генерируется случайный уникальный ID[4][5]. Другой важной особенностью является то, что Session скрывает IP-адреса пользователей, тем самым защищая их от деанонимизации[5][6][7][8].

История создания

Session создан The Oxen Projects при поддержке Loki Foundation, НПО из Австралии, сфокусированном на технологиях, обеспечивающих приватность[9]. Изначально мессенджер был форком Signal, который долгое время считался одним из самых безопасных мессенджеров из-за использования сквозного шифрования и протокола Signal. Однако протокол Signal был разработан для систем с централизованным сервером, а мессенджер Signal собирал больше метаданных, чем необходимо. В итоге разработчикам Session пришлось разработать свой протокол, обеспечивающий большую скорость, децентрализованность и безопасность ценой некоторых функций Signal[4].

Принцип работы

Session построен на основе блокчейна Oxen, который работает на серверах, поддерживаемых сообществом энтузиастов[9]. Диалоги шифруются с помощью сквозного шифрования: только отправитель и получатель могут расшифровать сообщение. Также, защищена идентичность пользователей за счёт использования луковой маршрутизации — пользователи соединяются друг с другом через напоминающую Tor сеть нод с некоторыми ключевыми отличиями, улучающими приватность[5][6][7][8]. Ни одна нода не может одновременно знать IP-адрес отправителя и получателя сообщения, все сообщения в сети зашифрованы.

Кроме того, ноды сгенерированы в рои. Рои обеспечивают устойчивость сети и используются для временного хранения сообщений, которые временно не могут быть доставлены в точку назначения[10].

Дополнительные возможности

Мульти-устройства

Session поддерживает мульти-устройства (multi-device). Таким образом можно использовать его и на компьютере, ноутбуке, телефоне, а также на других устройствах одновременно[11]. Для этого необходимо, чтобы была проведена синхронизация ключей между двумя устройствами. С точки зрения пользователя нужно, чтобы оба устройства имели одинаковую ключевую пару публичного и приватного ключа.

Мульти-устройства в Session messenger

На схеме изображена пересылка информации с использованием нескольких устройств. Алиса посылает сообщение с её первичного устройства для Боба, у которого включено несколько устройств одновременно. Алиса отправляет сообщение для первичного и вторичного устройства Боба. Она также отправляет сообщение себе, для своего вторичного устройства для оставления своего сообщения на другом устройстве. (Для упрощения рисунка здесь не показаны луковые запросы, а также репликация сообщений через рой).

Передача вложений

Отправка файлов поддерживается до 10 МБ. Перед отправкой файл шифруется случайным AES ключом. После этого отправитель отправляет файл через луковые запросы (onion requests). В ответ файловый сервер передаёт ссылку на контент, возвращаемую тоже через луковые запросы. После этого отправитель отправляет сообщение получателю через существующую сессию. Это сообщение содержит ссылку на контент, его хэш и ключ расшифровки. Получатель использует луковые запросы для получения зашифрованного сообщения с файл-сервера, а затем расшифровывает его с помощью полученного ключа дешифровки от отправителя. Получатель также проверяет хэш вложения для проверки того, что файл не был модифицирован при передаче[12].

Другие возможности

В мессенджере есть возможность создавать исчезающие сообщения с периодом от 5 секунд до 1 недели. Для защиты от спама максимальное время хранения сообщений в рое перед их доставкой составляет 96 часов[13]. Это время можно выбрать в настройках приложения в пределах 12 часов — 96 часов (Message TTL).

Session поддерживает бэкап на некоторые популярные облачные сервисы. Бэкап шифруется с помощью симметричного ключа (полученного из долгоживущего приватного ключа (long-term private key), который в свою очередь шифруется с помощью парольной фразы, состоящей из 12 произносимых случайных слов[14].

Достоинства Session messenger

  1. Использует сквозное шифрование
  2. Скрывает IP-адреса и метаданные пользователей по умолчанию (на момент только в переписке, в будущем также во время звонков)
  3. Не требует номер телефона, электронной почты или любых других данных для регистрации
  4. Имеет открытый исходный код[15]
  5. Использует (децентрализованную) onion-маршрутизацию с некоторыми ключевыми отличиями[6], улучающими приватность пользователя
  6. Не имеет возможности логгировать данные пользователя, в следствие чего ежемесячно отказывает десяткам судебных требований выдать данные пользователя (в силу отсутствии возможности сделать это)[16]
  7. Поддерживает групповые чаты
  8. Устойчив атакам MITM и Сивиллы
  9. Использует надежную и широко одобренную систему шифрования Libsodium, также имеющую открытый исходный код
  10. Клиенты Session для ПК, Android и iOS прошли аудит информационной безопасности от Quarkslab[17][10]
  11. Доступен на все операционные системы (Windows, Mac, Linux, iPhone, iPad, Android)
  12. Стоит также отметить, что команда разработчиков Session (OPTF) является некоммерческой организацией[18] и полностью прозрачна в финансировании[18]

Недостатки Session messenger

  1. Не поддерживает двухфакторную аутентификацию
  2. Синхронизация устройств отличается от таковой в мессенджере Signal[10]
  3. Некоторые считают, что отказ от PFS является недостатком[19], но на самом деле это едва ли компрометирует безопасность юзеров в условиях Session[6]

См. также

Ссылки

Примечания

  1. Официальная страница загрузки Session messenger. Дата обращения: 5 мая 2020. Архивировано 12 мая 2020 года.
  2. Session messenger в Google Play. Дата обращения: 5 мая 2020. Архивировано 22 мая 2020 года.
  3. Loki-project на GitHub. Дата обращения: 5 мая 2020. Архивировано 18 июня 2020 года.
  4. 1 2 3 Session Messenger Review (амер. англ.). SecurityTech. Дата обращения: 1 августа 2023. Архивировано 1 августа 2023 года.
  5. 1 2 3 Li₿εʁLiøη Keep Your Privacy With Session Messenger (англ.). Coinmonks (19 марта 2023). Дата обращения: 21 ноября 2023. Архивировано 21 ноября 2023 года.
  6. 1 2 3 4 Frequently Asked Questions - Session Private Messenger (англ.). Session. Дата обращения: 21 ноября 2023. Архивировано 27 ноября 2023 года.
  7. 1 2 Das, Ankush 8 Reasons to Try Session as a Private Messaging App (англ.). MUO (10 февраля 2022). Дата обращения: 21 ноября 2023. Архивировано 31 октября 2022 года.
  8. 1 2 Session Messenger Review - Best Secure Messaging App? (амер. англ.). RestorePrivacy. Дата обращения: 21 ноября 2023. Архивировано 10 октября 2021 года.
  9. 1 2 Session App Review: Everything You Need to Know (амер. англ.). www.privacyaffairs.com (12 июля 2022). Дата обращения: 1 августа 2023. Архивировано 1 августа 2023 года.
  10. 1 2 3 Session Messenger Review - Best Secure Messaging App? (амер. англ.). RestorePrivacy. Дата обращения: 1 августа 2023. Архивировано 10 октября 2021 года.
  11. Whitepaper, стр.16
  12. Whitepaper, стр.18, 23
  13. Whitepaper, стр.23
  14. Whitepaper, стр.20
  15. Oxen (англ.). GitHub. Дата обращения: 21 ноября 2023. Архивировано 19 ноября 2023 года.
  16. OPTF | Transparency Report | Privacy is a fundamental right. (англ.). OPTF. Дата обращения: 21 ноября 2023. Архивировано 21 ноября 2023 года.
  17. Oxen Session Audit (англ.). Quarkslab. Дата обращения: 14 марта 2023. Архивировано 23 октября 2021 года.
  18. 1 2 OPTF | Annual reports (англ.). OPTF. Дата обращения: 21 ноября 2023. Архивировано 21 ноября 2023 года.
  19. AnonymousPlanet The Hitchhiker’s Guide to Online Anonymity (амер. англ.). The Hitchhiker’s Guide to Online Anonymity. Дата обращения: 21 ноября 2023. Архивировано 21 ноября 2023 года.