Session

Session
Логотип программы Session
Скриншот программы Session
Скриншот из версии 1.17.4 (Декабрь 2023)
Тип мгновенный обмен сообщениями
Разработчик The Oxen Project
Написана на Java, Kotlin, C++, Swift, TypeScript
Интерфейс EGL
Операционные системы Android 6 или выше, iOS 12 или выше, Windows, MacOS, Linux[1]
Языки интерфейса английский
Дата выпуска 4 февраля 2020[2]
Аппаратная платформа Android
Последняя версия 1.20.2 (14 октября 2024)
Репозиторий github.com/oxen-io/sessi…
Лицензия GPL-3.0[3]
Сайт getsession.org
Логотип Викисклада Медиафайлы на Викискладе

Session — открытый анонимный децентрализованный мессенджер на базе экосистемы Oxen, поддерживающий сквозное шифрование и минимизирующий использование метаданных для скрытия личностей пользователей по умолчанию[4].

Отличительной особенностью Session является отсутствие необходимости предоставлять любые персональные данные для регистрации. Вместо этого при создании аккаунта генерируется случайный уникальный ID[4][5]. Другой важной особенностью является то, что Session скрывает IP-адреса пользователей, тем самым защищая их от деанонимизации[5][6][7][8].

История создания

Session создан The Oxen Projects при поддержке Loki Foundation, НПО из Австралии, сфокусированном на технологиях, обеспечивающих приватность[9]. Изначально мессенджер был форком Signal, который долгое время считался одним из самых безопасных мессенджеров из-за использования сквозного шифрования и протокола Signal. Однако протокол Signal был разработан для систем с централизованным сервером, а мессенджер Signal собирал больше метаданных, чем необходимо. В итоге разработчики Session решили создать свой протокол, обеспечивающий большую скорость, децентрализованность и безопасность ценой некоторых функций Signal[4].

Принцип работы

Session построен на основе блокчейна Oxen, который работает на серверах, поддерживаемых сообществом энтузиастов[9]. Диалоги шифруются с помощью сквозного шифрования: только отправитель и получатель могут расшифровать сообщение. Также, защищена идентичность пользователей за счёт использования луковой маршрутизации — пользователи соединяются друг с другом через напоминающую Tor сеть нод с некоторыми ключевыми отличиями, улучшающими приватность[5][6][7][8]. Ни одна нода не может одновременно знать IP-адрес отправителя и получателя сообщения, все сообщения в сети зашифрованы.

Кроме того, ноды сгенерированы в рои. Рои обеспечивают устойчивость сети и используются для временного хранения сообщений, которые временно не могут быть доставлены в точку назначения[10].

Дополнительные возможности

Этот раздел опирается на источники, аффилированные с предметом статьи или иной заинтересованной стороной.
Это может вызвать сомнения в нейтральности и проверяемости представленной информации. Такие источники также не показывают значимость предмета статьи. Статью можно улучшить, использовав независимые вторичные источники вместо аффилированных. (1 августа 2023)

Мульти-устройства

Session поддерживает мульти-устройства (multi-device). Таким образом можно использовать его и на компьютере, ноутбуке, телефоне, а также на других устройствах одновременно[11]. Для этого необходимо, чтобы была проведена синхронизация ключей между двумя устройствами. С точки зрения пользователя нужно, чтобы оба устройства имели одинаковую ключевую пару публичного и приватного ключа.

Мульти-устройства в Session messenger

На схеме изображена пересылка информации с использованием нескольких устройств. Алиса посылает сообщение с её первичного устройства для Боба, у которого включено несколько устройств одновременно. Алиса отправляет сообщение для первичного и вторичного устройства Боба. Она также отправляет сообщение себе, для своего вторичного устройства для оставления своего сообщения на другом устройстве. (Для упрощения рисунка здесь не показаны луковые запросы, а также репликация сообщений через рой).

Передача вложений

Отправка файлов поддерживается до 10 МБ. Перед отправкой файл шифруется случайным AES ключом. После этого отправитель отправляет файл через луковые запросы (onion requests). В ответ файловый сервер передаёт ссылку на контент, возвращаемую тоже через луковые запросы. После этого отправитель отправляет сообщение получателю через существующую сессию. Это сообщение содержит ссылку на контент, его хэш и ключ расшифровки. Получатель использует луковые запросы для получения зашифрованного сообщения с файл-сервера, а затем расшифровывает его с помощью полученного ключа дешифровки от отправителя. Получатель также проверяет хэш вложения для проверки того, что файл не был модифицирован при передаче[12].

Другие возможности

В мессенджере есть возможность создавать исчезающие сообщения с периодом от 5 секунд до 1 недели. Для защиты от спама максимальное время хранения сообщений в рое перед их доставкой составляет 96 часов[13]. Это время можно выбрать в настройках приложения в пределах 12 часов — 96 часов (Message TTL).

Session поддерживает бэкап на некоторые популярные облачные сервисы. Бэкап шифруется с помощью симметричного ключа (полученного из долгоживущего приватного ключа (long-term private key), который в свою очередь шифруется с помощью парольной фразы, состоящей из 12 произносимых случайных слов[14].

Достоинства Session messenger

  1. Использует сквозное шифрование
  2. Скрывает IP-адреса и метаданные пользователей по умолчанию (на момент только в переписке, в будущем также во время звонков)
  3. Не требует номер телефона, электронной почты или любых других данных для регистрации
  4. Имеет открытый исходный код[15]
  5. Использует (децентрализованную) onion-маршрутизацию с некоторыми ключевыми отличиями[6], улучающими приватность пользователя
  6. Не имеет возможности логгировать данные пользователя, в следствие чего ежемесячно отказывает десяткам судебных требований выдать данные пользователя (в силу отсутствии возможности сделать это)[16]
  7. Поддерживает групповые чаты
  8. Устойчив к атакам MITM и Сивиллы
  9. Использует надежную и широко одобренную систему шифрования Libsodium, также имеющую открытый исходный код
  10. Клиенты Session для ПК, Android и iOS прошли аудит информационной безопасности от Quarkslab[17][10]
  11. Доступен для установки на все операционные системы (Windows, Mac, Linux, iPhone, iPad, Android)
  12. Стоит также отметить, что команда разработчиков Session (OPTF) является некоммерческой организацией[18] и полностью прозрачна в финансировании[18]

Недостатки Session messenger

  1. Некоторые считают, что отказ от PFS является недостатком[19], но на самом деле это не компрометирует безопасность юзеров в условиях Session[20][21].

См. также

Ссылки

Примечания

  1. Официальная страница загрузки Session messenger. Дата обращения: 5 мая 2020. Архивировано 12 мая 2020 года.
  2. Session messenger в Google Play. Дата обращения: 5 мая 2020. Архивировано 22 мая 2020 года.
  3. Loki-project на GitHub. Дата обращения: 5 мая 2020. Архивировано 18 июня 2020 года.
  4. 1 2 3 Session Messenger Review (амер. англ.). SecurityTech. Дата обращения: 1 августа 2023. Архивировано 1 августа 2023 года.
  5. 1 2 3 Li₿εʁLiøη. Keep Your Privacy With Session Messenger (англ.). Coinmonks (19 марта 2023). Дата обращения: 21 ноября 2023. Архивировано 21 ноября 2023 года.
  6. 1 2 3 Frequently Asked Questions - Session Private Messenger (англ.). Session. Дата обращения: 21 ноября 2023. Архивировано 27 ноября 2023 года.
  7. 1 2 Das, Ankush. 8 Reasons to Try Session as a Private Messaging App (англ.). MUO (10 февраля 2022). Дата обращения: 21 ноября 2023. Архивировано 31 октября 2022 года.
  8. 1 2 Session Messenger Review - Best Secure Messaging App? (амер. англ.). RestorePrivacy. Дата обращения: 21 ноября 2023. Архивировано 10 октября 2021 года.
  9. 1 2 Session App Review: Everything You Need to Know (амер. англ.). www.privacyaffairs.com (12 июля 2022). Дата обращения: 1 августа 2023. Архивировано 1 августа 2023 года.
  10. 1 2 Session Messenger Review - Best Secure Messaging App? (амер. англ.). RestorePrivacy. Дата обращения: 1 августа 2023. Архивировано 10 октября 2021 года.
  11. Whitepaper, стр.16
  12. Whitepaper, стр.18, 23
  13. Whitepaper, стр.23
  14. Whitepaper, стр.20
  15. Oxen (англ.). GitHub. Дата обращения: 21 ноября 2023. Архивировано 19 ноября 2023 года.
  16. OPTF | Transparency Report | Privacy is a fundamental right. (англ.). OPTF. Дата обращения: 21 ноября 2023. Архивировано 21 ноября 2023 года.
  17. Oxen Session Audit (англ.). Quarkslab. Дата обращения: 14 марта 2023. Архивировано 23 октября 2021 года.
  18. 1 2 OPTF | Annual reports (англ.). OPTF. Дата обращения: 21 ноября 2023. Архивировано 21 ноября 2023 года.
  19. AnonymousPlanet. The Hitchhiker’s Guide to Online Anonymity (амер. англ.). The Hitchhiker’s Guide to Online Anonymity. Дата обращения: 21 ноября 2023. Архивировано 21 ноября 2023 года.
  20. Kee Jefferys. Session Protocol: Technical implementation details (англ.). Session (15 декабря 2020).
  21. Kee Jefferys. The Session Protocol: What’s changing — and why (англ.). Session (16 декабря 2020).

Content Disclaimer

Informasi ini disarikan dari Wikipedia dan disajikan kembali untuk tujuan edukasi. Konten tersedia di bawah lisensi CC BY-SA 3.0. Kami tidak bertanggung jawab atas ketidakakuratan data yang bersumber dari kontribusi publik tersebut.

  1. The information displayed on this website is sourced in part or in whole from Wikipedia and has been adapted for the purpose of restating it. We strive to provide accurate and relevant information, however:
  2. There is no guarantee of absolute accuracy. Wikipedia is an open, collaborative project that can be edited by anyone, so information is subject to change.
  3. It is not intended to constitute professional advice. The content displayed is for informational and educational purposes only. For important decisions (e.g., medical, legal, or financial), please consult a professional.
  4. Content copyright. Wikipedia is licensed under the Creative Commons Attribution-ShareAlike License (CC BY-SA). This means that content may be reused with appropriate attribution and shared under a similar license.
  5. Responsible use. Any risk arising from the use of information from this website is entirely the responsibility of the user.