Для оценки безопасности мессенджеров необходимо учитывать несколько ключевых критериев. Эти критерии помогут пользователям выбрать наиболее безопасное и конфиденциальное приложение для обмена сообщениями.
Оглавление:
1. Градация важности сообщений и переписки
2. Критерии по которым выбирается мессенджер
3. Чем не рекомендуется пользоваться
4. Децентрализованные мессенджеры
5. Краткое описание всех мессенджеров
Список мессенджеров для разного типа важности переписок
Критически важная информация: Signal, KeyBase,Threema(платный), Wickr Me, Briar, Session, Matrix (с клиентом Riot/Element), SimpleX Chat.
Средняя важность информации: Telegram (секретные чаты), Viber, Wire, WhatsApp.
Совершенно не критическая информация: Любые популярные мессенджеры, например — Telegram, WhatsApp, Facebook Messenger, Viber.
Не рекомендуются к использованию: Skype, Agent Mail ru, Slack, Yandex Messenger, Microsoft Teams, WeChat, Vk, Google Chat, SnapChat, Discord — У этих мессенджеров закрытый исходный код.
Децентрализованные мессенджеры: Signal, Briar, Session, Matrix (с клиентом Riot/Element), SimpleX Chat
Для того чтобы правильно выбрать мессенджер в зависимости от уровня важности информации, стоит классифицировать данные по их чувствительности и критичности. Ниже приведена градация важности, которая поможет определить, какой мессенджер лучше использовать в различных ситуациях.
Градация важности сообщений и переписки
Критически важная информация:
Данные, которые при попадании в руки посторонних могут нанести серьезный вред. Это могут быть конфиденциальные деловые документы, личные медицинские записи, финансовая информация или информация, связанная с национальной безопасностью.
Например: Личные данные, номера паспортов, социального страхования, финансовые отчеты, данные банковских счетов, медицинские записи и результаты анализов, конфиденциальная деловая информация, компрометирующие фотографии которые, военные секреты или данные о государственной безопасности.
Рекомендуемые мессенджеры: Signal, KeyBase,Threema(платный), Wickr Me, Briar, Session, Matrix (с клиентом Riot/Element), SimpleX Chat
Высокая важность информации:
Описание: Данные, которые желательно защитить от посторонних, но их утечка не приведет к серьезным последствиям. Это может быть внутренняя переписка компании, юридические документы или личные переписки с важными сведениями.
Например: Внутренние документы компании, юридические документы и контракты, переписка с адвокатом или консультантом, личные переписки с важными сведениями.
Рекомендуемые мессенджеры: Signal, KeyBase,Threema(платный), Wickr Me, Briar, Session, Matrix (с клиентом Riot/Element), SimpleX Chat
Средняя важность информации:
Данные, которые вы предпочли бы сохранить в тайне, но их утечка не приведет к значительным проблемам. Это может быть личная переписка, семейные фотографии или обсуждение планов.
Например: Личная переписка с друзьями и семьей, фотографии и видео семейных мероприятий, обсуждение личных планов и идей, обмен новостями и общение на общие темы.
Рекомендуемые мессенджеры: Telegram (секретные чаты), Viber, Wire, WhatsApp
Совершенно не критическая информация:
Данные, утечка которых не представляет никакой угрозы. Это может быть обычная переписка о погоде, планах на день или обмен анекдотами.
Например: Переписка о погоде и природе, обсуждение планов на день, обмен анекдотами и шутками
Рекомендуемые мессенджеры: Любые популярные мессенджеры (Telegram, WhatsApp, Facebook Messenger, Viber)
Критерии по которым выбирается мессенджер
Сквозное шифрование (End-to-End Encryption)
Этот вид шифрования обеспечивает защиту сообщений на всем пути их передачи — от отправителя к получателю. После обмена ключами шифрования, только устройства отправителя и получателя могут расшифровать сообщение. Никто, включая провайдера мессенджера, не сможет перехватить или прочитать сообщение. При условии если эти ключи никто не подменит или не перехватит в процессе обмена.
Политика конфиденциальности и сбор данных
Анализ того, какие данные собирает мессенджер, как и где они хранятся, какие денные он может предоставить властям и вообще кому эти данные передаются и для чего. Ограничение сбора данных до необходимого минимума, уменьшает риски утечки или неправомерного использования данных.
Аутентификация пользователей и безопасность учетной записи
Чем больше вариантов защиты, способов подтверждения подлинности пользователя, тем выше безопасность учетной записи и защита от несанкционированного доступа. Например, такие как двухфакторная аутентификация (2FA), установка кода внутри самого приложения.
Открытый исходный код приложения
Доступность исходного кода приложения, позволяет независимым экспертам, компаниям и любому желающему проверять код на наличие уязвимостей и back door. Независимые аудиты безопасности, гарантирует, что приложение соответствует высоким стандартам безопасности.
Локация серверов и юрисдикция
Местоположение серверов и законодательство, под которое они подпадают. Где главный офис компании? Если он находится на территории Украины \ России \ Белоруссии — я думаю и так понятно… Для тех кому не понятно: всегда найдут лазейку что бы «взять» свое — против Государства сложно возмущаться. Разные страны имеют различные законы о защите данных. Некоторый придерживаются строгих стандартов защиты данных, а в некоторых на законодательном уровне прописаны возможности доступа к этим данным определенных структур.
Децентрализация данных для мессенджеров
Децентрализация данных в мессенджерах означает, что данные пользователей не хранятся централизованно на серверах компании-разработчика, а распределены между пользователями или хранятся на их устройствах. Это увеличивает безопасность и приватность, так как уменьшается вероятность утечки данных и усложняется доступ третьих лиц к информации.
Функции мессенджера
Защита от скриншотов — предотвращающие или уведомляющие о снятии скриншотов. Неплохая защита от несанкционированного копирования конфиденциальной информации.
Функция самоуничтожения сообщений — возможность автоматического удаления сообщений через определенное время, помогает сохранить конфиденциальность, удаляя старые сообщения. Это малая часть функций, их куда больше, но расписывать их все, займет много кучу времени и целое полотно текста. Ниже будет приведен список из мессенджеров и краткий обзор. В дальнейшем будут статьи который будут описываться каждый мессенджер в отдельности.
Чем не рекомендуется пользоваться, если очень хочется то можно =)
Нет сквозного шифрования или реализация оного закрыта на стороне разработчика. Мессенджеры которые разработаны и находятся под юрисдикциями России, Беларуси, Украины, Китая и других стран где правительственные органы беспрепятственно могут получить доступ к данным — обратите внимание, это только предположение и нет 100% подтверждения информации. Если есть предполагаемая информация, о том что есть back door, которым пользуются правительственные органы.
У этих мессенджеров закрытый код: Skype, Agent Mail, Slack, Yandex Messenger, Microsoft Teams, WeChat, Vk, Google Chat, SnapChat, Discord
Децентрализованные мессенджеры
Децентрализация данных в мессенджерах означает, что данные пользователей не хранятся централизованно на серверах компании-разработчика, а распределены между пользователями или хранятся на их устройствах. Это увеличивает безопасность и приватность, так как уменьшается вероятность утечки данных и усложняется доступ третьих лиц к информации. Вот основные особенности децентрализованных мессенджеров:
Преимущества децентрализованных мессенджеров
Повышенная приватность и контроль над данными
Отсутствие централизованного хранилища: Данные не хранятся на серверах компании-разработчика, что снижает риск утечек и взломов.
Контроль над своими данными: Пользователи сами контролируют свои данные и могут выбирать, где и как они хранятся
Высокая безопасность
Сквозное шифрование: Все сообщения зашифрованы от конца до конца, что делает их недоступными для третьих лиц.
Меньший риск массовых утечек: В случае взлома одного устройства, данные других пользователей остаются защищенными.
Устойчивость к цензуре и блокировкам
Отсутствие центрального сервера: Сложнее заблокировать или цензурировать, так как данные передаются напрямую между пользователями.
Анонимность: Некоторые децентрализованные мессенджеры предлагают повышенный уровень анонимности для пользователей.
Независимость от компании-разработчика
Долговечность: Меньшая зависимость от существования и политики одной компании.
Развитие сообщества: Открытый исходный код и участие сообщества в развитии приложения.
Децентрализованные мессенджеры предоставляют высокий уровень приватности и безопасности, но могут быть сложнее в использовании и настройке. Они предлагают устойчивость к цензуре и независимость от центральных компаний, однако могут сталкиваться с проблемами производительности и функциональности. Выбор между децентрализованными и централизованными мессенджерами зависит от приоритетов пользователя: приватность и контроль над данными или удобство и функциональность.
Децентрализованные мессенджеры: Signal, Briar, Session, Matrix (с клиентом Riot/Element), SimpleX Chat
Краткое описание всех мессенджеров
Facebook Messenger
Компания разработчик: Facebook, Inc.
Юрисдикция \ Главный офис: Менло-Парк, Калифорния, США
Исходный код: Закрытый
Шифрование: Сквозное (для секретных чатов), транспортное (TLS)
Сбор данных: Высокий — собирают большой объем данных.
Данные пользователей хранятся: На серверах Facebook и частично на устройствах пользователей
WhatsApp
Компания разработчик: WhatsApp Inc. (дочерняя компания Facebook, Inc.)
Юрисдикция \ Главный офис: Менло-Парк, Калифорния, США
Исходный код: Закрытый
Шифрование: Сквозное (end-to-end encryption)
Сбор данных: Высокий — собирают большой объем данных.
Данные пользователей хранятся: На серверах WhatsApp и частично на устройствах пользователей
Viber
Компания разработчик: Rakuten Viber
Юрисдикция \ Главный офис: Люксембург
Исходный код: Закрытый
Шифрование: Сквозное (end-to-end encryption)
Сбор данных: Высокий — собирают большой объем данных.
Данные пользователей хранятся: На серверах Viber и частично на устройствах пользователей
iMessage
Компания разработчик: Apple Inc.
Юрисдикция \ Главный офис: Купертино, Калифорния, США
Исходный код: Закрытый
Шифрование: Сквозное (end-to-end encryption)
Сбор данных: Высокий — собирают большой объем данных
Данные пользователей хранятся: На серверах Apple (метаданные) и устройствах пользователей (контент сообщений)
Telegram
Компания разработчик: Telegram Messenger LLP
Юрисдикция \ Главный офис: Дубай, ОАЭ
Исходный код: Частично открытый (клиентские приложения), серверный код закрыт
Шифрование: Сквозное (для секретных чатов), транспортное (MTProto)
Сбор данных: Низкий — собирают меньше остальных мессенджеров
Данные пользователей хранятся: На серверах Telegram и частично на устройствах пользователей
KeyBase
Компания разработчик: Keybase, Inc. (приобретена Zoom Video Communications, Inc.)
Юрисдикция \ Главный офис: Сан-Франциско, Калифорния, США
Исходный код: Частично открытый
Шифрование: Сквозное (end-to-end encryption)
Сбор данных: Минимальное
Данные пользователей хранятся: На серверах Keybase и частично на устройствах пользователей
Threema
Компания разработчик: Threema GmbH
Юрисдикция \ Главный офис: Пфеффикон, Швейцария
Исходный код: Частично открытый
Шифрование: Сквозное (end-to-end encryption)
Сбор данных: Минимальное
Данные пользователей хранятся: На серверах Threema и частично на устройствах пользователей
Signal
Компания разработчик: Signal Foundation
Юрисдикция \ Главный офис: Маунтин-Вью, Калифорния, США
Исходный код: Открытый
Шифрование: Сквозное (end-to-end encryption)
Сбор данных: Минимальное
Данные пользователей хранятся: На серверах Signal и частично на устройствах пользователей
Matrix (с клиентом Riot/Element)
Компания разработчик: Matrix.org Foundation
Юрисдикция \ Главный офис: Великобритания
Исходный код: Открытый
Шифрование: Сквозное (end-to-end encryption)
Сбор данных: Минимальное
Данные пользователей хранятся: На серверах Matrix и частично на устройствах пользователей
Briar
Компания разработчик: Briar Project
Юрисдикция \ Главный офис: Германия
Исходный код: Открытый
Шифрование: Сквозное (end-to-end encryption)
Сбор данных: Минимальное
Данные пользователей хранятся: Только на устройствах пользователей
Session
Компания разработчик: Loki Foundation
Юрисдикция \ Главный офис: Австралия
Исходный код: Открытый
Шифрование: Сквозное (end-to-end encryption)
Сбор данных: Минимальное
Данные пользователей хранятся: Только на устройствах пользователей
SimpleX Chat
Компания разработчик: SimpleX Chat
Юрисдикция \ Главный офис: Не указано (децентрализованная структура)
Исходный код: Открытый
Шифрование: Сквозное (end-to-end encryption)
Сбор данных: Минимальное