TextSecure — мессенджер для Android с открытым исходным кодом, использующий собственный открытый протокол с end-to-end шифрованием. TextSecure позволяет безопасно передавать мгновенные сообщения, файлы и мультимедиа другим пользователями TextSecure и Signal. В приложении имеется возможность проверить личность собеседника путём сравнения отпечатков ключей. TextSecure также позволяет отправлять обычные незашифрованные SMS и MMS и может работать как замена стандартному SMS-приложению Android. Локальную базу сообщений можно зашифровать парольной фразой.
TextSecure совместим с Signal для iOS. Оба приложения разработаны проектом Open Whisper Systems и опубликованы под лицензией GPLv3.
TextSecure создавался как приложение для отправки и получения зашифрованных SMS-сообщений.[5]Бета-версия была выпущена в мае 2010 компанией Whisper Systems,[6] основанной специалистом по компьютерной безопасности Мокси Марлинспайком[англ.] и робототехником Стюартом Андерсоном.[7][8] В дополнение к запуску TextSecure, Whisper Systems представили RedPhone — приложение, обеспечивающее шифрование голосовых вызовов. Также были выпущены брандмауэр и инструменты для шифрования других форм данных.[2][7] На тот момент все эти инструменты были проприетарным программным обеспечением.
28 ноября 2011 года было объявлено, что Твиттер приобрёл Whisper Systems. Сумма сделки не разглашается.[9] Вскоре после приобретения сервис RedPhone стал недоступен.[10] За отключение сервиса Твиттер подвергся критике, которая утверждала, что данное программное обеспечение предназначено для помощи людям в странах с репрессивным режимом, и что это отключение оставило египтян в опасном положении во время событий египетской революции 2011 года.[11]
В декабре 2011 года Твиттер выпустил TextSecure как открытое программное обеспечение под лицензией GPLv3.[7][12][13][14] В июле 2012 года RedPhone также был выпущен под этой лицензией.[15] Позже Марлинспайк покинул Твиттер и основал Open Whisper Systems[16] — открытый проект для продолжения развития TextSecure и RedPhone.[17]
В феврале 2014 года Open Whisper Systems обновили протокол до версии 2, добавив групповые чаты и push-уведомления.[18][20] К концу июля 2014 года были озвучены планы по объединению RedPhone и TextSecure в универсальное приложение Signal.[21] Это заявление совпало с первым выпуском Signal — версии RedPhone для iOS. Разработчики заявили, что следующими шагами станут обеспечение совместимости сообщений TextSecure с iOS, объединение приложений RedPhone и TextSecure на Android и запуск веб-клиента.[22] Signal стал первым простым в использовании приложением для iOS, позволяющим бесплатно совершать надёжно защищённые голосовые вызовы.[16][23]
В марте 2015 выпущен Signal 2.0 с поддержкой сообщений TextSecure на iOS.[24][25] Позднее в том же месяце TextSecure перестал поддерживать шифрование традиционных SMS/MMS-сообщений на Android. Начиная с версии 2.7.0, TextSecure поддерживает только передачу и приём сообщений по собственному протоколу через интернет-соединение. Причины такого решения включают в себя:[5]
Сложности с процедурой шифрования SMS: пользователям необходимо вручную инициировать обмен ключами, который требуется перед обменом сообщениями
Проблемы совместимости с iOS: невозможно отправлять и принимать зашифрованные SMS/MMS-сообщения ввиду отсутствия на iOS необходимых API
Огромное количество метаданных, неизбежно растущих и неконтролируемых при использовании SMS/MMS как канала для передачи сообщений
Поддержка шифрования SMS/MMS отнимает ценные ресурсы, препятствуя развитию программного обеспечения
Отказ от шифрования SMS/MMS,[26] зависимость от Google Cloud Messaging (GCM) и, как следствие, невозможность распространения через F-Droid[26] побудило пользователей создать форк под названием SMSSecure, использующий в качестве канала только зашифрованные SMS/MMS-сообщения.[26][27]
Отзывы
Бывший сотрудник АНБЭдвард Сноуден неоднократно одобрял приложения Open Whisper Systems. В своём выступлении на South by Southwest в марте 2014 года он похвалил TextSecure и RedPhone за простоту использования.[28][29] В интервью The New Yorker в октябре 2014 года Сноуден рекомендовал использовать все разработки Мокси Марлинспайк и Open Whisper Systems.[30] В видеоконференции на мероприятии, организованном университетом Райерсона и CJFE[англ.], Сноуден сказал, что он знает модель защиты Signal, и что он «очень хорош».[31] На Reddit AMA в мае 2015 года на вопрос о приложениях для зашифрованного общения Эдвард порекомендовал «Signal для iOS, RedPhone/TextSecure для Android».[32][33]
В октябре 2014 года Electronic Frontier Foundation (EFF) включил TextSecure в своё обновлённое руководство по защите от прослушивания.[34] В ноябре 2014 года TextSecure получил максимальное количество баллов в списке защищённых средств связи, составленном EFF.[35][36] Баллы в этой таблице начисляются по следующим критериям: сообщения защищены от прослушивания во время передачи по каналу связи, невозможность прослушивания со стороны сервера (end-to-end шифрование), возможность проверки личности собеседника, сохранение предыдущих сообщений в тайне в случае, если ключи скомпрометированы (forward secrecy), возможность независимой проверки кода (открытый исходный код), документированные алгоритмы защиты и недавние независимые аудиты безопасности.[35] По состоянию на 25 августа 2015 года, такое же количество баллов имеют ChatSecure (в связке с Orbot), CryptoCat, Pidgin (с OTR), Silent Phone, Silent Text и секретные чаты Telegram.[35]
Особенности
TextSecure позволяет отправлять зашифрованные текстовые и аудио-сообщения, фотографии, видео, контакты и смайлики через интернет-соединение (например, Wi-Fi, 3G или 4G) другим пользователям TextSecure и Signal, а также обмениваться обычными незашифрованными SMS и MMS с людьми, не использующими TextSecure или Signal.[20]
Сообщения, отправленные с помощью TextSecure или Signal, автоматически зашифровываются на устройстве отправителя и расшифровываются на устройстве получателя, таким образом, сообщение может прочитать только тот, кому оно адресовано. Ключи, использующиеся для шифрования, хранятся только на устройстве пользователя[35] и в случае, если включена защита приложения парольной фразой, защищены дополнительным слоем шифрования. В интерфейсе приложения зашифрованные сообщения отмечены значком замка.
TextSecure и Signal имеют встроенную функцию проверки подлинности собеседника для защиты от атак типа «человек посередине».[35] Данная проверка может быть выполнена путём ручного сравнения отпечатков ключей на устройствах, либо сканированием QR-кода.
TextSecure и Signal позволяют общаться с группой людей.[37] Групповые чаты также надёжно зашифрованы. Как и в обычных чатах, для них используется любое доступное интернет-соединение. При этом серверы не имеют доступа к метаданным группы, таким, как список участников, название группы и её аватар.[20][38]
Дополнительные функции
Функция
Описание
Включена по умолчанию
Сообщения TextSecure
Использует интернет-соединение для связи с пользователями TextSecure и Signal
Да
Парольная фраза
Шифрует локальную базу сообщений и ключей, использующихся для шифрования сообщений
Нет
Тайм-аут парольной фразы
Стирает парольную фразу из памяти по прошествии заданного промежутка времени
Нет
Защита экрана
Блокирует возможность снятия скриншотов в самом приложении и списке недавних приложений
Да
Удаление старых сообщений
Удаляет старые сообщения, когда разговор достигает заданной длины
Нет
Отчёт о доставке SMS
Запрашивает отчёт о доставке каждого отправленного SMS-сообщения
Нет
Исходящие SMS/MMS-сообщения
Отправка сообщений пользователям, не использующим TextSecure или Signal. Такие сообщения не шифруются.
↑Chris Aniszczyk.The Whispers Are True (неопр.). The Twitter Developer Blog. Twitter (20 декабря 2011). Дата обращения: 22 января 2015. Архивировано 24 октября 2014 года.