Տվյալների անվտանգություն. Էգեեսը ընդդեմ այլ սուրհանդակների

Համոզվելու համար, որ մեր սուրհանդակն իսկապես լավագույն առաջարկն է շուկայում, մենք հանձնարարեցինք բազմակողմանի և մանրամասն ուսումնասիրություն կատարել հաղորդագրությունների տարածման բոլոր հայտնի ծրագրերը: Մեր ուշադրության կենտրոնում էր Էգեեսում գործառույթներն ու գործառույթները համեմատելը: Ուղիղ մեկ-երկու օր առաջ զեկույցը վերջապես հասավ. Մեր թեստավորման թիմի ղեկավարից թուղթ ավելի բարձր էր, և մեր խոսքը վերցրու դրա համար, նա իսկապես բարձրահասակ տղա է: Իհարկե, դրա մեծ մասը շատ տեխնիկական է, ինչը նշանակում է, որ մենք գտնում ենք, որ դա հետաքրքրաշարժ է, բայց դա շատ ձանձրալի է ցանկացած մեկի համար: Առկա են նաև առևտրային առումով զգայուն տեղեկություններ, որոնք մենք գերադասում ենք պահել տնային պայմաններում, քանի որ այն ներկայացնում է նոու-հաու, որ մրցակիցները պարզապես կցանկանային ձեռք բերել: Բացի այդ ամենից, չնայած, դեռ կան շատ հետաքրքիր նյութեր, որոնք մենք կարող ենք և ուզում ենք կիսվել ձեզ հետ, և հուսով ենք, որ այն հետաքրքիր կգտնեք: Ահա թե ինչու մենք գրել ենք այս ամփոփագիրը:

Այսպիսով, մենք գնում ենք: Մենք նախապես ընտրեցինք 19 սուրհանդակ, որոնք շուկայի առաջատար են համարվում օգտագործողների անվտանգության տեսանկյունից: Նրանք են; Bitwala, Briar, Confide, Plust, e-Chat, Eleet, Gem, Kik, Obsidian, Paymon, Ring, SafeUM, Sender, ազդանշան, կարգավիճակ, Token (Toshi), Threema, Wickr և CrypViser: Ավելորդ է ասել, որ նպատակն էր լինել բոլորովին չեզոք և օբյեկտիվ `դրանք բոլորը Էգեեսին համեմատելու համար, քանի որ, ակնհայտորեն, մենք առաջինը կկորցնեինք, եթե մեր ամբողջ վերլուծությունը հիմնենք ոչ ճշգրիտ տեղեկատվության վրա:

Մենք գիտակցաբար որոշեցինք WhatsApp- ը և Telegram- ը ներառել ուսումնասիրության մեջ, քանի որ, մեր մասնագիտական ​​կարծիքով, այս հաղորդագրությունների ուղարկման ծրագրերը իրականում չեն որակվում որպես անվտանգ: WhatsApp- ը պահպանում է օգտագործողների բոլոր կոնտակտները իր սերվերներում, հիմնավորում է օգտվողի նույնականացումը հեռախոսահամարների վրա և վերջերս հրաժարվել է վերջավորության ծածկագրումից, այլ կերպ ասած ՝ դա ԱՊԱՀՈՎ չէ, և ՉԻ ապահովում անանունությունը: Telegram- ը սարքի վրա պահում է ստեղները և, այսպես կոչված, «գաղտնի զրույցները», ինչը ավելի լավ է, բայց դրանք չեն ծածկագրում:

Տվյալների անվտանգ պահպանում
Մենք հաստատեցինք, որ տվյալների պահպանումը ժամանակակից սուրհանդակներից շատերի համար խոցելի խոցելիություններից մեկն է, այդ իսկ պատճառով մենք որոշեցինք Aegees- ում զարգացնել և իրականացնել հեղափոխական մոտեցում տվյալների անվտանգության նկատմամբ: Այս խոցելիությունը բաժանվում է այս կենսական կարևոր բաղադրիչների. Տվյալների պահպանում կենտրոնացված մոտեցում կիրառելը. սերվերների վրա տվյալների պահպանում; և տվյալների չգրակված պահպանում:

Մենք դիմեցինք մարտահրավերների այդ եռյակի վերջին երկու տարրերին ՝ ստեղծելով ծպտյալ կոնտեյներ: Այն աշխատում է որպես ապահովի, որը տեղադրված է օգտագործողի սարքում և պահպանում է բոլոր հավելվածների տվյալները ՝ ներառյալ հաղորդագրությունները, զանգերը և կոնտակտները և այլն, ամբողջությամբ կոդավորված: Դա իսկապես հիմնարար լուծում է, քանի որ, որքան մենք գիտենք, ոչ մի այլ հաղորդագրության հաղորդագրություն չի օգտագործում դրա նման մի բան:

Տվյալների պաշտպանության մեր ծրագիրը լրացնելու համար մենք ժամանակի ընթացքում կիրականացնենք ապակենտրոնացված սերվերային ենթակառուցվածք: Մինչ մենք աշխատում ենք այս լուծման վրա, մենք այլ ճանապարհ չունենք, քան մնում ենք լավ հին, լավ, իհարկե, հին, բայց ոչ այդ լավ, կենտրոնացված մոտեցմանը `տվյալների կոդավորման հետ զուգորդված: Մեր նշանաբանն է. «Երբեք սերվերների վրա չպտտեցված տվյալներ մի պահիր», քանի որ սերվերի անվտանգությունն այս օրերին ավելի շատ անցքեր ունի, քան շվեյցարական պանիրը: պարզապես մտածեք HP- ի, iLO- ի և Exim- ի վերջին անվտանգության տեղեկագրերի մասին, օրինակ:

Մենք ուզում ենք արդարություն հաստատել Զանգի, ազդանշանի, Wickr- ի և CrypViser- ի վրա ՝ հաստատելով, որ իսկապես, այս սուրհանդակները գաղտնագրում են բոլոր տվյալները և պահում այն ​​սարքում: Այնուամենայնիվ, այստեղ կա անվտանգության մեծ բացթողում, այդ բոլոր տվյալները պահվում են ընդհանուր ֆայլային համակարգում, որը կարելի է մուտք գործել ՕՀ-ի միջոցով, և, հետևաբար, ցանկացած երրորդ կողմի հավելվածների կողմից, որոնց օգտագործողը կարող է տեղադրել:

Որոշ ծրագրավորողներ ցանկանում են պահել, թե որտեղ են իրենց ծրագրերը պահում տվյալները հսկայական գաղտնիք, դժվար է տեսնել, թե ինչու: Մենք հաստատ գիտենք, որ SafeUM- ը և Threema- ն որոշեցին հավատարիմ մնալ սերվերի տվյալների պահպանման մոտեցմանը, և մենք կարծում ենք, որ դա մեծ սխալ էր:

Մենք նաև ցանկանում ենք վարկ տրամադրել Bitwala, Briar, Obsidian, Paymon, Status, CrypViser և Token (Toshi) ծրագրավորողներին ՝ արդեն իսկ իրականացված ապակենտրոնացված սերվերային ենթակառուցվածքի համար: Այնուամենայնիվ, Signal- ի միջոցով օպերատորները ցանկության դեպքում դեռ կարող են մուտքագրել ցանկացած ծրագրի տվյալներ իրենց սերվերներում: Bria- ն, Gem- ը և Wickr- ը օգտագործում են ավարտի գաղտնագրերը, ինչպես Էգեեսը: Մնացածները կամ ապահովում են կոդավորումը որպես առանձին կամընտիր վճարովի ծառայություններ, կամ ընդհանրապես չեն էլ նշում այդ մասին:

Վերջավոր ծածկագրում
Վերջերս գաղտնագրումը քաղաքի խոսակցությունն էր. շատերն այն անվանում են տվյալների պաշտպանության ամենաարդյունավետ լուծում, որն առկա է: Ինչպես հավանաբար լսել եք, շուկայի առաջատարներից մեկը ՝ WhatsApp- ը վերջերս հեռացրեց վերջավորության կոդավորումը հաղորդագրությունների իր նոր սեփականատիրոջ ՝ Facebook- ի և ԱՄՆ կառավարության պահանջները բավարարելու համար:

Իհարկե, մենք նույնպես լավ բան գիտենք, երբ դա տեսնում ենք, ուստի մենք ճիշտ գնացինք դրա համար և ավարտեցինք գաղտնագրումը Էգեեսում: Մենք, իհարկե, միակը չենք, որ այդպես վարվենք: վերջավոր ծածկագրման համար օգտագործվում են Briar, Confide, e-Chat, Eleet, Ring, Sender, ազդանշան, կարգավիճակ, Token (Toshi), Wickr, CrypViser, Threema և փոշիներ, բայց այս ծրագրերից ոմանք այն իրականացնում են միջոց, որը մշակողները կարող են կարդալ հաղորդագրություններ: Էգեեսում մենք դա անհնարին դարձանք. միայն օգտագործողը և ոչ ոք, բայց օգտագործողը կունենա և կկարողանա օգտվել դրանց բովանդակությունից:

Անձնական բանալին և ցանցի փոխանցումը
Մենք խստորեն հավատում ենք, որ մասնավոր ստեղները երբեք չպետք է… երբևէ… փոխանցվեն ցանցերի միջոցով ՝ ամբողջությամբ կամ մասամբ: Ահա թե ինչու Էգեեսը այժմ չի պաշտպանում առանցքային փոխանցումը, և մենք մեր խոսքն ենք ասում, որ դա երբեք չի լինի: Ծրագրեր, ինչպիսիք են Briar- ը, Ring- ը, ազդանշանը, Wickr- ը և CrypViser- ը, բոլորը օգտագործում են նույն մոտեցումը:

Որոշ առաքյալներ գաղտնագրում են դրա բանալին կամ դրա մի մասը նախքան փոխանցելը, բայց, մեր կարծիքով, ժամանակակից հաշվողական հնարավորություններն այնպիսին են, որ նման նախազգուշական միջոցները լիովին անօգուտ են: Այն գրեթե նույնքան անվտանգ է, որքան բանալին չհրապարակված փոխանցելը: Հիմնականը և (կամ) դրա ցանկացած մասը պետք է պահվեն միայն օգտագործողի սարքում և երբեք չփոխանցվեն ցանցերի միջոցով:

Աղբյուրի կոդը
Հնարավոր է միայն հաստատել, որ ծրագրավորողը նշանակում է բիզնես `դիտելով ապրանքի աղբյուրի կոդը: Առանց դրա, միջոց չկա իմանալ, թե արդյո՞ք արտադրանքը իրականում կատարում է իր բոլոր խոստումները `կապված ֆունկցիոնալության և անվտանգության հետ:

Քանի որ մենք գիտենք, որ ինչպես ոչ ոք, լինելով ծրագրավորողներ, մենք ծրագրում ենք հրապարակել մեր աղբյուրը, երբ ժամանակը գա: Մենք հավատում ենք, որ դա մեզ ավելի շատ մրցակցային առավելություն է տալիս: Որոշ այլ ծրագրավորողներ նույնպես մտածում էին նմանատիպ գծերի շուրջ. Briar, Ring, SafeUM, Signal and Token (Toshi) նույնպես գնացին բաց կոդ:

Թվում է, որ որոշ ընկերություններ գնացին կիսով չափ լուծման և միայն որոշ տվյալներ բացահայտեցին, բայց բավարար չէ ՝ ամբողջական պատկերացում կազմելու, թե ինչ կարող է կամ չի կարող անել արտադրանքը: Մեկ օրինակ է Թրեեման; այդ մեսենջերի մշակողը որոշեց մուտք ապահովել ծրագրին, բայց միայն դիմումի միջերեսին:

Օգտագործողի հաշվի արգելանքները
Մեր արտադրանքի համար, Էգեեսը, մենք նախատեսում ենք պահպանել իրավունք ՝ արգելափակել ցանկացած հաշիվ, որը տարածում է ահաբեկչությանը, թմրանյութերի ապօրինի շրջանառությանը, մանկական պոռնոգրաֆիկությանը և ցանկացած այլ հասարակական-սոցիալական գարշահոտություն: Մենք զգում ենք համահունչ Signal- ի, Ring- ի և Dust- ի մշակողներին, ովքեր ընտրեցին նույն մոտեցումը:

Սակայն հետաքրքրական է, որ շատ ծրագրավորողներ որևէ տեղեկություն չեն բացահայտել այդպիսի հաշիվներն ընտրովիորեն արգելելու իրենց իրավունքների մասին: Մեր հետազոտությունները ցույց են տալիս, որ սա գործն է Bitwala- ի, Confide- ի, Eleet- ի, e-Chat- ի, Gem- ի, Kik- ի, Obsidian- ի, Paymon- ի, SafeUM- ի, Sender- ի, Status- ի, Token- ի (Toshi), Threema- ի և Wickr- ի հետ: Միակ հաղորդագրությունները ուղարկող երկու ծրագրերը, որոնք մենք իրականում ապահովում ենք 100 տոկոսանոց հաշվի գաղտնիություն և անձեռնմխելիություն ցանկացած արգելքների դեմ, CrypViser և Briar են: Այս մոտեցման թերությունն այն է, որ նրանք, ամենայն հավանականությամբ, կդառնան գերադասելի ցանցեր բոլոր տեսակի ծայրահեղականների, առևտրականների և մանկական պոռնո դիստրիբյուտորների համար:

Օգտագործողի IP հասցե
Մենք դեռ որոշված ​​չենք օգտագործողի IP հասցեի խնդրի վերաբերյալ, բայց մենք ակնկալում ենք, որ շուտով կավարտենք մեր ընտրությունը, և գլոբալ դուրս գալուց առաջ: Մեր որոշման մասին մենք ձեզ կտեղեկացնենք մամուլի հաղորդագրության միջոցով: Այն, ինչ մենք գիտենք մինչ այժմ, այն է, որ հաղորդագրությունների ուղարկման միակ ծրագիրը, որն անպայման թաքցնում է օգտագործողի IP հասցեն, Briar է; բայց գինը, որի համար վճարում են դրա համար, ոչ մի iOS աջակցություն չէ, որի պատճառով մենք կարծում ենք, որ կասկածելի մոտեցում էր P2P շերտի ներդրման հարցում: Մենք հաստատ գիտենք, որ փոշին և ազդանշանը օգտվող IP- հասցեներ են տալիս մատակարարին. Ring- ը մշակել է ապակենտրոնացված ցանց, որի միջոցով IP հասցեն հետքի է: մինչդեռ մյուս ծրագրավորողներից ոչ մեկը որևէ խոսք չի ասում այն ​​մասին, թե արդյոք իրենց սուրհանդակները անում կամ չեն թաքցնում օգտվողի IP հասցեն:

Այսպիսով, ո՞րն է առավել պաշտպանված:
Քանի որ մեր ընտրությունն էր առավելագույն չեզոք և օբյեկտիվ եղանակով համեմատել ծրագրերը, մենք պետք է ընդունենք, որ շուկայում ուղարկվող հաղորդագրությունների որոշ ծրագրեր իսկապես կարող են մրցակցել Էգեեսի հետ, ինչպես հիմա: Բոլոր այդպիսի սուրհանդակները բաց կոդով ծրագրեր են ՝ օգտագործելով տվյալների կենտրոնացված պահպանումը: Վերլուծելով այս խմբում առկա ապրանքների դրական և դեմքերը, մենք խոնարհաբար (իրականում ոչ այնքան խոնարհ) հավատում ենք, որ Էգեեսը ապահովում է լավագույն անվտանգությունը:

Թեև ներկայումս գաղտնագրման լուծումները քիչ թե շատ համազգեստ են, Aegees- ը իր նորարարական կրիպտո-կոնտեյներային լուծման շնորհիվ ունի նաև միանշանակ և հզոր առավելություն բոլոր մյուս նմանատիպ ապրանքների նկատմամբ, ինչպես նաև մի քանի այլ եզակի առանձնահատկություններ, ինչպես, օրինակ, կոդավորված աուդիո կոնֆերանսները:

Խոսելով որի մասին, միակ արտադրանքը, որը կարող է նույնը անել, Aegees- ից զատ, Microsoft- ի Skype- ն է, բայց Aegees- ն այլ է, քանի որ այն ծրագրավորողին հնարավորություն է տալիս ոչ մի վերահսկողություն տեղադրել կոդավորման բանալիների վրա: Մենք երբևէ չենք կարողանա շոշափել մեր օգտվողների խոսակցությունները: Մնացած բոլոր ծրագրերը, որոնց մասին մենք խոսում ենք, չեն առաջարկում աուդիո կոնֆերանս ընդհանրապես:

Ստորին գիծ
Նույնիսկ այսօր ՝ իր լրիվ ծավալն ավարտվելուց շատ շուտ, Էյջեսը շուկայում հաղորդագրությունների միակ հաղորդագրությունն է, որն առաջարկում է այս առավելությունները իր օգտագործողներին.

• Տվյալների բոլոր փոխանցումները գաղտնագրված են: Բոլոր տվյալները միշտ պահվում են կոդավորված.

• Օգտագործողի բոլոր տվյալներն ապահով կերպով պահվում են սարքի վրա տեղադրված ծպտյալ կոնտեյներով:

• Մասնավոր ստեղները երբեք չեն թողնում օգտագործողի սարքը;

• Մշակողը չունի վերահսկողություն կոդավորման բանալիների վրա.

• Իրականացվում են կոդավորված աուդիո կոնֆերանսներ:

Այս ամենը կատարելով ՝ մենք շարունակում ենք մեր աշխատանքները ՝ Էգեզին ավելի լավ, նույնիսկ ավելի անվտանգ դարձնելու համար, և մենք պարտավոր ենք շուկայում լավագույն առաջարկը մատուցել մեր օգտագործողներին: