17/11/2014

Dziewięć usług do komunikowania się, które najbardziej dbają o bezpieczeństwo i prywatność

Porady Technologie

W czasach inwigilacji internetowej konieczna jest prywatność i bezpieczeństwo komunikacji. Fundacja Electronic Frontier Foundation opublikowała niedawno dokładną analizę bezpieczeństwa i prywatności, jakie oferują popularne programy do komunikowania się za pośrednictwem telefonu i internetu.

Nine-most-secure-instant-messengers

Niektórzy dostawcy zdali test śpiewająco, inni walczyli o punkty, a wielu po prostu go oblało. Dzisiaj przybliżymy te najlepsze. A za tydzień – te najgorsze.

Dla każdej usługi EFF przyznawała punkty w siedmiu kategoriach. Kaspersky Daily utworzył listę dostawców usług, którzy pozytywnie wypadli w co najmniej sześciu z następujących pytań (chociaż przyznaliśmy jeszcze honorowe miejsca serwisom, które miały cztery lub więcej odpowiedzi):

  1. Czy dane są szyfrowane w locie?

  2. Czy dane są szyfrowane tak, że nawet dostawca usługi nie może ich odczytać?

  3. Czy możesz zidentyfikować prawdziwą tożsamość kontaktów?

  4. Czy dostawca praktykuje doskonałe utajnienie przekazywania klucza – PFS (czy klucze szyfrowania są efemeryczne, co oznacza, że skradziony klucz nie odszyfruje istniejącej komunikacji)?

  5. Czy kod usługi jest otwarty i publicznie dostępny?

  6. Czy procedury i procesy implementacji szyfrowania są udokumentowane?

  7. Czy w ciągu ostatnich 12 miesięcy przeprowadzony był niezależny audyt bezpieczeństwa?

2

Powyższe siedem punktów miało na celu zmierzenie, które usługi oferują najlepszą ochronę przed inwigilacją rządową, węszeniem cyberprzestępców i gromadzeniem danych firmowych. Muszę tu podkreślić, że ani EFF, ani Kaspersky Daily nie popierają oficjalnie żadnych z tych programów. Nasza lista pokazuje, które aplikacje konsekwentnie stosują najlepsze praktyki.

Złoty standard: siedem punktów

Sześć aplikacji uzyskało maksymalny wynik, czyli wszystkie siedem punktów.

chatsecure

Chatsecure to aplikacja autorstwa Guardian Project. Aplikacja jest darmowa, oparta na otwartym kodzie, szyfruje czatowanie. Można jej używać na iPhone’ach i Androidzie. Spełnia wszystkie kryteria EFF, ale tylko wtedy, gdy jest używana wspólnie z wtyczką prywatności Orbot obsługiwaną przez sieć Tor.

CryptoCat

CryptoCat to usługa komunikacji szyfrowanej oparta na kodzie otwartym, dostępna dla przeglądarek Chrome, Firefox, Safari i Opera, jak również dla systemu operacyjnego OS X i iPhone’ów. Latem autorzy CryptoCat poszukiwali funduszy na utworzenie wersji dla Androida oraz na włączenie szyfrowanego czatu video.

Signal-and-Redphone

Signal, RedPhone i Textsecure są produktami Whisper Systems, to odpowiednio: bezpieczna platforma komunikacji dla iOS; bezpieczna platforma do wykonywania połączeń oraz do pisania – obie dla Androida. Każda jest darmowa i ma kod otwarty oraz dostarcza całkowite szyfrowanie i bezpieczne przechowywanie.

Silent-Circle

Silent Phone i Silent Text należą do firmy Silent Circle i są to bezpieczne usługi wykonywania połączeń i pisania. Wprawdzie są płatne, ale są kompatybilne z systemem  iOS i Android, a także działają na tradycyjnych komputerach. Silent Circle stworzył także swój własny bezpieczny smartfon o nazwie Blackphone, na którym znajduje się zmodyfikowany system operacyjny Android. Firma zapewnia całkowite wsparcie dla klientów korporacyjnych.

Prawie idealnie: sześć punktów

jitsi

Jitsi oferuje otwarty kod źródłowy, wykonywanie połączeń przez internet i komunikator z szyfrowanym kanałem audio i wideo, a także usługę współdzielenia komputera. Obsługuje wiele popularniejszych usług komunikacji, ale po sparowaniu jej z usługą szyfrującą wykonywanie połączeń, Ostel, oblała tylko jedną z wytycznych EFF: nie była niezależnie audytowana w ciągu minionego roku.

Mailvelope

Mailvelope to rozszerzenie przeglądarki służące do wysyłania szyfrowanych wiadomości zgodnie ze standardem szyfrowania OpenPGP. Usługa jest wstępnie kompatybilna z kontami w serwisach Yahoo, Gmail, Outlook i GMX. Mogłaby zostać zaliczona do złotej grupy, gdyby zastosowała doskonałe utajnienie przekazywania klucza.

pidgin-adium

Komunikację bez rejestrowania (OTR) oferują Adium dla Maków i Pidgin dla Windowsa. Są to również ważne dodatki stosujące OTR (protokół szyfrujący stosowany w usługach komunikacyjnych) w innych aplikacjach do czatowania. Obie usługi zostały wysoko ocenione przez EFF, ale nie były niezależnie audytowane w ciągu ostatnich 12 miesięcy.

Retroshare

RetroShare przedstawia się jako wieloplatformowa, zdecentralizowana usługa komunikacyjna z otwartym kodem źródłowym. Użytkownicy mogą bezpiecznie czatować i współdzielić pliki oraz uwierzytelniać swoją prawdziwą tożsamość. Jednak, jak wiele innych, które prawie załapały się do kategorii tych idealnych aplikacji, Retroshare nie była obiektem audytu zewnętrznego.

subrosa

Subrosa to kolejna platforma całkowicie szyfrująca komunikację. I ona także mogłaby otrzymać najwyższe odznaczenie, gdyby wdrożyła doskonałe utajnienie przekazywania – aby komunikacja mogła pozostać bezpieczna w przypadku upublicznienia klucza kryptograficznego.

Honorowe wyróżnienie

Postanowiliśmy jeszcze zrobić ukłon w stronę kilku serwisów, które nie przeszły ponad połowy pytań EFF. Apple’owy FaceTime i iMessage całkiem nieźle sobie radzą w stosowaniu najlepszych praktyk zabezpieczających; iPGMail, solidne są także PGP dla Maka (GPGTools) i PGP dla Windowsa (Gpg4win); szyfrowany komunikator dla iOS i Androida – SureSpot – oblał pięć odpowiedzi; podobnie jak oparty na chmurze serwis prywatnej komunikacji firmy Telegram; jak również aplikacja do całkowitego szyfrowania komunikacji, Threema.

Wkrótce opublikujemy listę usług, które słabo zabezpieczają komunikację. Cały raport EFF możecie sobie przeczytać tutaj – sprawdźcie, jak wypadł Wasza ulubiona usługa do czatowania.