Hvilke krypterede messaging-apps er mest sikre?

Krypterede messaging-apps er hurtigt vokset i popularitet, både i USA og i udlandet. De har endda været i centrum af nationale nyhedshistorier, herunder rapporteringen om, at medarbejderne i Whitehouse-personalet i 2017 var en sikker messenger kaldet Tillid til at lækker til pressen (og kommunikere internt).


Det viser sig imidlertid, at tilliden kan have nogle alvorlige sikkerhedshuller.

Hvilket rejser spørgsmålet: hvordan ved jeg, hvilke apps der virkelig er sikre og pålidelige? Og skulle jeg bruge en til mine samtaler med venner og familie? (Tip: Ja).

Denne guide er vores bedste indsats for at besvare disse spørgsmål en gang for alle.

En introduktion til krypteret besked

Krypteret messaging har eksisteret i årtier, men kun for nylig vundet mainstream popularitet. Det plejede først og fremmest at være et værktøj for regeringsansatte og ansatte i virksomheder, der arbejder i højsikkerhedsindustrier (tech, biotech, aerospace).

Men alt dette ændrede sig, da smartphone-revolutionen var en del af Edward Snowdens lækkede dokumenter, der beviser, at de fleste amerikanske og europæiske borgere blev spioneret efter af vores egne regeringer, og langt mere omfattende end vi troede muligt.

Hvad er krypteret meddelelse?

Krypteret besked er en metode til sikker sending og modtagelse af tekst (eller tale / video) meddelelser til en ven eller kontaktperson. Kommunikationerne er sikret ved hjælp af ende-til-ende-kryptering, hvilket betyder, at de ikke kan læses af nogen, der overvåger kommunikationen under transit. Meddelelsen bliver krypteret (låst med en superstrong adgangskode) på afsenderens enhed og dekrypteret på modtagerens enhed.

Det er en utrolig kraftig at kommunikere sikkert ved hjælp af den samme teknologi, som bankerne bruger til at beskytte dine data, eller den militære bruger til at kryptere kommunikation i marken. Og de fleste af apps er gratis!

Hvorfor du skal kryptere dine beskeder

Tekstmeddelelser er utroligt usikre. Enhver regering eller dit trådløse luftfartsselskab kan let lytte til. Hvis du er på et offentligt wifi-netværk, kan dine fulde beskeder blive opfanget af alle, der kører gratis wireshark-software på det samme netværk. Og mobilnetværk er stadig sårbare over for SS7-fejlen, som stort set lader enhver teknisk dygtig person spionere på ukrypterede data på et mobilnetværk.

Og så er der den kendsgerning, at din trådløse transportør næsten helt sikkert gemmer din tekstkommunikation i måneder (hvis ikke år). Helt uskyldige tekstmeddelelser kan (og have) tages ud af sammenhæng som bevis for at retsforfølge folk for påståede forbrydelser, de begik senere i livet.

Men jeg har intet at skjule, jeg har ret i borgerne?

Bare fordi du ikke er en kriminel, betyder det ikke, at du ikke skal være interesseret i privatlivets fred. Vores kommunikation er private tanker, bekymringer og meninger. De indeholder ofte personlige billeder, data (adresser, telefonnumre) og andre ting, som vi ikke gerne vil have offentliggjort.

Og når som helst du sender / modtager noget over internettet, overføres det via kommunikationslinjer, som du ikke har kontrol over. Du vil sandsynligvis aldrig se den sti, dine beskeder tager over internettet, eller hvem der gemmer dem. Kryptering sætter kontrollen tilbage i dine hænder. Privatlivets fred er en ret men du skal udøve det.

Signal Privat Messenger (iOS / Android / Chrome) | Gratis

Signal Privat Messenger

Signal er stadig den krypterede meddelelsesstandard. Mens andre eksisterende messaging-apps tilføjer krypteringsfunktioner, blev signal bygget fra bunden for at være så sikkert som muligt. På trods af al den nylige hype omkring apps som Confide, er signal guldstandarden. Ogdet er GRATIS.

Og det er et open source-projekt, hvilket betyder, at koden kan inspiceres offentligt for fejl, bagdøre eller enhver form for ikke afsløret logning. Andre apps (som Facebook-messenger eller Whatsapp er lukket, så du er nødt til at placere al din tillid i et selskab (ikke stor).

Funktioner

Signal er en ende til ende krypteret meddelelsesapp, der også understøtter krypterede tale- og videoopkald. Den bruger en proprietær krypteringsmetode med dobbelt ratchet, der er blevet gennemgået offentligt og testet for sikkerhed.

Med signal kan du også verificere dine offentlige krypteringsnøgler og matche dem til dine kontakter personligt for at sikre, at din kommunikation ikke bliver manipuleret. Dette forhindrer, at mennesket er i mellemangreb.

  • Ende-til-ende-kryptering
  • Kommunikation, der er gemt på din enhed, ikke på Signals servere
  • Tekst, tale og videochat
  • Open-Source
  • Valideret kryptografisk algoritme
  • Undgå angreb fra Man-i-midten ved at verificere krypteringsnøgler
  • Gruppetekst

Grænseflade og krav

Signal er designet til mobile enheder (ikke tablets) og kræver, at du har et telefonnummer for at bruge appen og identificere kontakter. VOIP-numre (som google voice) fungerer, og du behøver ikke at bruge den samme telefon # som din enhed. Du kan bruge et fasttelefonnummer til din mobilapp.

De har en indbygget app til iOS, Android samt en browserudvidelse til Chrome / Chromium.

Sikkerhed & dom

Signal betragtes som utroligt sikkert, og i modsætning til andre ‘sikre’ beskeder-apps er der ikke identificeret nogen større sårbarheder for signal af forskere. Interceptet (et førende sted for beskyttelse af personlige oplysninger / varslere) betragter Signal som den bedste offentligt tilgængelige app. Interceptet har også nyttige tip til låsning af signal for maksimal sikkerhed.

Det måske mest overbevisende bevis for Signals sikkerhed er desinformation og ‘lækager’, der forsøger at male det som kompromitteret, lande forbyder eller blokerer det. Indtil en kryptoforsker offentliggør bevis for en bagdør eller mangel, skal du overveje det som ganske sikkert.

Hvad eksperterne siger:

Den anerkendte sikkerhedsekspert Bruce Schneier har givet Signal sin topkarakter blandt krypterede messaging-apps. Og endog blogget om dets vedtagelse af den amerikanske senat som et sikkerhedsværktøj. Med andre ord betragter den amerikanske regering Signal som meget sikkert. Det burde du også.

Bundlinie: Signal er i øjeblikket den mest sikre og pålidelige krypterede messaging-app. Den er funktionsrig og helt gratis. Hent det.

Whatsapp (Android, iOS) | Gratis

Whatsapp Messenger (med ende-til-ende-kryptering)

Whatsapp er verdens mest populære tredjepartsmeddelelsesapp, og er nu en af ​​de mest sikre, da de tilføjede en ende-til-ende krypteringsmulighed i 2016. Alle Whatsapp-meddelelser er nu krypteret som standard, så længe du og din kontaktperson er på en nylig version af appen.

Whatsapp bruger den samme dobbelt-ratchet-krypteringsmetode som Signal, skønt den implementeres lidt anderledes, hvilket har givet nogle eksperter bekymring for potentiel for en regering at opfange / dekryptere meddelelser med Whatsapps hjælp.

Det skal bemærkes, at Whatsapp nu ejes af Facebook, som ikke nøjagtigt er et privatlivets centrum. De fleste af Facebooks indtægter stammer direkte fra leje / salg af demografiske marketingdata til annoncører. Så sandt privatliv er muligvis ikke i deres økonomiske bedste interesse. Du er blevet advaret.

Funktioner

Whatsapp giver dig mulighed for at tekst, ringe eller sende video til kontakter over hele verden. Og det er helt gratis. Det inkluderer også multimedie- og gruppemeddelelsesfunktioner. Der er ingen gebyrer for internationale opkald / tekster, og opkald bruger dine data i stedet for telefonminutter.

  • Bruger Signals dobbelt-skraldes krypteringsteknologi
  • Fuldtid fra ende til ende-kryptering (hvis du kører den aktuelle / nyeste appversion)
  • Gruppemeddelelser
  • Tekst / Billeder / Voice / video
  • Gratis

Sikkerhed

Whatsapp blev bifaldt, da de meddelte, at de ville bruge den samme krypteringsplan som Signal til at sikre kommunikation. Der er dog nogle få bemærkelsesværdige forskelle i gennemførelsen, der imidlertid har vakt bekymring fra eksperter.

Mand-i-midten-potentiale

The Guardian rapporterede, at Whatsapp muligvis opdaterer krypteringsnøgler til dine kontakter uden at give dig besked i chatten, at noget er ændret. Dette kan endda give dem mulighed for at dekryptere og kryptere tidligere tekster med de nye taster. Efter sigende blev denne beslutning truffet for at undgå problemer, hvis dine kontakter i fremtiden skifter telefon eller simkort.

Problemet er, at en angriber (såsom NSA) kunne indlede et mand-i-midten-angreb med Facebook / Whatsapps hjælp og aflytte eller endda manipulere med krypteret kommunikation.

Metadata

I modsætning til signal kan Whatsapp muligvis opbevare kommunikationsmetadata på deres servere. Metadata inkluderer ting som din IP-adresse, tidsstempler og identitet på din kontaktperson. Din krypterede kommunikation passerer også gennem deres servere, selvom Whatsapp siger, at de faktisk ikke gemmer den krypterede kommunikation, og Quora ser ud til at være enig.

Resumé & dom

Mens det kan have nogle muligt sikkerhedsmæssige problemer, en krypteret Whatsapp er bedre end en ikke-krypteret. Og selvom en app som Signal helt sikkert er mere sikker end Whatsapp, er det svært at overbevise dine venner og familie om at installere en anden messaging app.

Whatsapp er utroligt populært (mere end 1 milliard brugere overalt i verden), så der er en god chance for, at de fleste af dine vigtige kontakter allerede er på det. Så for kørsel af fabrikets personlige kommunikation, bør Whatsapps kryptering være mere end tilstrækkelig.

Hvis vi taler ting med whistleblower-hemmeligheder, skal du vælge Signal.

Kilder:

  • Whatsapp Security Intro
  • Whatsapp Security White Paper
  • Hvor sikker er Whatsapp (Techadvisor)

Bundlinie: Whatsapp-kryptering er solid, og de fleste af dine kontakter bruger sandsynligvis allerede appen. Der er nogle bekymringer om deling af personlige oplysninger med Facebooks ejerskab, men det skal være sikkert fra hackere uden for. Det er et godt valg til brug til lav til medium sikkerhed.

Telegram

Telegram krypteret messenger

Telegram er en af ​​de mere populære messaging-apps. De kan prale af 100 millioner + brugere og er på tværs af platforme i stand. Faktisk hævder de en ‘indfødt app til enhver platform.’

Telegram er delvis open source, og selvom deres app er i stand til nogle virkelig cool ting, kræver det lidt ekstra arbejde for at maksimere sikkerheden. For eksempel er standardkrypteringsskemaet for konvertering af server-til-enhed-kryptering snarere end ægte ende-til-ende-kryptering som Whatsapp & signal.

Du kan tænde for ende-til-ende-kryptering og endda indstille samtaler til selvdestruktion, men dette er ikke standard, og dine kontakter er nødt til at vælge den samme indstilling.

Der er også været nogle sikkerhedsmæssige bekymringer i årenes løb, den seneste kommer fra en lækage om Donald Trump.

Funktioner:

Telegrams hovedstyrke er, at det er en utrolig funktionsliste og support på tværs af flere enheder. Naturligvis giver ekstra funktioner nogle gange afvekslinger i sikkerhed.

Her er de vigtigste højdepunkter:

  • iOS / Android / Windows / Mac / Linux / Webapp / Firefox support
  • Alle meddelelser krypteret (men kun ‘Secret Chats’ bruger ende-til-ende-kryptering)
  • Gruppechattilstand
  • Synkroniser chats på tværs af flere enheder
  • Cloud-funktion, så du kan få adgang til gemte chats hvor som helst
  • Selvdestruktionsfunktion til følsom kortvarig meddelelse
  • En API giver mulighed for tredjepartsapps og yderligere funktionalitet

Sikkerhed:

Telegram er en blandet taske, når det kommer til privatlivets fred og sikkerhed. Her er de største bekymringer:

Cloud Storage og serverkryptering

Som standard bruger Telegram en ‘sky’-model, hvilket betyder, at alle chats gemmes på Telegrams servere. Værre er, at samtaler er som standard krypteret mellem skyserveren og hver bruger, ikke fra bruger til bruger. Dette betyder, at Telegram har krypteringsnøglerne og kan læse (spionere på) enhver sky-samtale.

Sikker på, skyen er nyttig, fordi den giver dig mulighed for at synkronisere samtaler mellem enheder, men det er også et enormt sikkerhedshul. Hele pointen med krypteret meddelelse er, at ingen (inklusive messenger-appen) kan spionere på dem.

Telegram har en krypteret ende-til-ende-indstilling kaldet ‘Hemmelige chats’. Hemmelige chats fungerer meget lig Signal / Whatsapp end-to-end-kryptering. Det eneste problem er, at du manuelt skal oprette en hemmelig chat-session. Ligesom Facebook messenger’s krypteringsmulighed er det ikke standard.

Mand i midten angreb

Telegram er sårbart over for angreb mellem mennesker i midten, fordi det ikke tillader dig at bekræfte dine private kontakters eller nøglen, når du sender dem besked. Dette betyder, at en angriberen teoretisk kunne aflytte eller ændre meddelelser før levering, og at du ikke ved det.

EFF-krypteringskortkort bemærker også, at tidligere samtaler kan være sårbare, hvis krypteringsnøgler kompromitteres, fordi Telegram ikke bruger fremadrettet hemmeligholdelse til forskellige chats. På en positiv note er Telegrams kode blevet inspiceret for sikkerhed, men der er stadig reelle bekymringer.

Andre sikkerhedsmæssige problemer

Selvom Telegrams kryptering er bygget på standardalgoritmer som 256-bit AES, er deres brugerdefinerede implementering (kaldet MTProto) ikke blevet testet nøje af kryptografiske forskere. Professor Alan Woodward kaldte algoritmen ‘Homegrown’ og kritiserede den manglende gennemsigtighed omkring dens udvikling.

Hvilket rejser spørgsmålet: hvorfor bruge en hjemmelavet krypteringsplan, når der er helt gode peer-reviewede algoritmer til rådighed. Det er i det mindste mistænkeligt, hvis ikke faktisk afsky.

Endelig, ifølge Gizmodo, er Telegrams servere ikke krypteret i hvile. Dette betyder, at alle samtaler, der er gemt i skyen, ikke er krypterede.

Dom

Telegram har en masse funktioner, og det er rart, at du kan synkronisere mellem enheder, men der er en stor kompromis, når det kommer til sikkerhed. Samtale bruger ikke ende-til-ende-kryptering som standard. Værre er, Telegram bruger en ikke-valideret krypteringsmekanisme, som forskerne finder vedrørende.

Bundlinie: Telegram er måske bedre end intet, men det er bestemt ikke skudsikkert. Hvis du ønsker messaging med høj sikkerhed, skal du se andre steder.

Betro

Betro er en krypteret messenger med en ‘selvdestruerende’ meddelelsesfunktion. Det raket til mainstream-brug, da større nyhedssteder rapporterede, at Trumps hvide hus og ansatte anvender det til intern kommunikation såvel som eksterne lækager.

Desværre er Confide blevet betragtet som en ‘triumf for markedsføring over stof’ af den berømte sikkerhedsforsker Alan Woodward. Som sådan kan tillid have været et dårligt valg for så store budskaber fra Det Hvide Hus. Tilfældige brugere bør også være forsigtige.

Funktioner

Confides funktionssæt minder om Snapchat. De vigtigste funktioner inkluderer:

  • Engangs (efemorale) meddelelser, der forsvinder, efter at de er blevet vist.
  • Ende-til-ende-kryptering
  • Dokument- og fotodeling
  • Beskyttelse af skærmbilleder (designet til at forhindre skærmbillede af samtaler).

platforme: Confide er tilgængelig som en enkeltstående app til Windows, Mac, iOS, Android. Det fungerer endda på Apple-ur.

Sikkerhed

Confides kode er fuldstændig lukket (kan ikke inspiceres eller valideres for sikkerhed). Sikkerhedsforskere har rejst adskillige bekymringer omkring Confides sikkerhed og afsløret alvorlige mangler i deres sikkerhedsimplementering.

Krypteringsmetode

Confide bruger OpenSSL-biblioteket med krypteringsalgoritmer til at kryptere samtaler. OpenSSL er open source og betragtes som gratis krypteringsbibliotek i høj kvalitet. Det eneste problem? Confide brugte en usikker version fra 2014, der havde over 60 kendte sikkerhedsfejl.

Sårbare app-sårbarheder

Krypto-forskere har vakt opmærksomhed omkring nogle absolut kritiske sikkerhedsfejl i Confide-appen og sikkerhedsimplementering. Nogle (men muligvis ikke alle) af disse sårbarheder er siden blevet opdateret.

Ikke-valideret SSL-certifikat:
Tilsyneladende tidligere versioner af Confide-appen bekræftede ikke, om klienter bruger et gyldigt TLS / SSL-certifikat. Dette betyder, at en angriber kan forfalske deres eget certifikat og opsnappe eller ændre meddelelser.

Sårbar klientdatabase
Confide havde ikke nogen beskyttelse mod adgangskoder til brute-tvinger (gætte flere brugernavn / adgangskodekombinationer hurtigt). Forskere var i stand til at få adgang til 7.000 brugerposter i Confide-databasen, før indtrængen blev bemærket.

Andre bekymringer

Cyberscoop bemærkede, at Confide-teamet ikke inkluderer en eneste kryptograf ekspert. Det skal være et rødt flag for enhver virksomhed, der har produktens vigtigste funktion er digital sikkerhed.

For det er det, Confides team udsender en erklæring med angivelse af:

… Ikke kun har disse problemer været adresseret, men vi har heller ingen opdagelse af dem, der udnyttes af nogen anden part. Privatliv og sikkerhed er altid en løbende proces. Efterhånden som sårbarheder opstår, forbliver vi forpligtet til at adressere dem hurtigt og effektivt, som vi har gjort i dette og i alle tilfælde.

Facebook Messenger-hemmelige samtaler

Facebook (som også ejer whatsapp) frigiver også en ende-til-ende-krypteringsfunktion til deres Facebook-messenger. Funktionen, kaldet ‘Hemmelige samtaler’ giver dig mulighed for at bruge ende-til-ende-kryptering til bestemte chats i hoved messenger-interface. For at bruge denne funktion skal både du og din kontaktperson have funktionen aktiveret.

Funktionaliteten og implementeringen ligner meget Whatsapps og har de samme sårbarheder.

Funktioner

  • ende-til-ende-kryptering ved hjælp af lignende protokol til signal
  • Kan bruge ‘hemmelige’ samtaler med enhver Facebook-ven, der har funktionen aktiveret
  • Evne til at skabe ‘selvdestruerende’ chats, der forsvinder efter at have været set.
  • Funktionalitet identisk med normale Facebook-chats

Sikkerhed

Den krypteringsmetode, der bruges til hemmelige chats, er baseret på den dobbelte-ratchet-kryptering, der er anvendt af Signal og meget lig den implimentering, der bruges af Facebook-ejet Whatsapp.

Bekymringer:
Det største sikkerhedsmæssige problem med Facebook-messenger er muligheden for at annullere og genudgive krypteringsnøgler midt i samtalen. I teorien er dette designet til brugervenlighed, så du ikke mister dine samtaler, hvis du eller dine venner skifter enhed eller sim-kort. I praksis er dette et reelt sikkerhedsmæssigt problem, hovedsageligt fordi Facebook kunne udstede nye nøgler til en angriber i stedet for at tillade en mand-i-midten angreb.

Dette er sandsynligvis ikke et problem for den gennemsnitlige bruger, men hvis du chatte om noget, der har national sikkerhed, er det temmelig usandsynligt, at Facebooks hemmelige chats er sikre nok.

Som en sikkerhedsforanstaltning giver indstillingen ‘Hemmelige samtaler’ dig mulighed for at sammenligne offentlige nøgler med dine kontakter personligt for at kontrollere, at de ikke har ændret sig. I praksis gør de fleste brugere aldrig dette (fordi det kræver, at du er på samme fysiske placering).

Dom

‘Hemmelige’ chats er mere sikre end standard Facebook-meddelelser, men det ejes af et for-profit-selskab, der tjener penge ved at tjene penge på brugerdata. Der er også en klar mand-i-midten sårbarhed. Det er en dejlig mulighed for afslappede brugere, fordi det er en af ​​de mest populære messengers, og alle dine venner er sandsynligvis på facebook. Men for ægte sikkerhed, prøv signal.

Bundlinie: Det er praktisk og en anstændig sikkerhedsopgradering kontra standardchats. Men det er ikke skudtæt (og det er sandsynligvis ikke meningen, at det skal være det). Brug den til off-color samtaler med venner, men du kan med sikkerhed antage, at Facebook (eller NSA) kunne læse hele samtalen, hvis de virkelig ville.

Konklusion og samlet placering

Som du kan se, kører disse krypterede meddelelsesapps den fulde rækkevidde med hensyn til funktioner / funktionalitet og sikkerhed. Normalt er det afveksling mellem de to, tror vi Signal tilbyder den bedste kombination af de to.

Du får muligvis ikke skysynkronisering (usikker) og evnen til at føre samtaler mellem enheder, men du får en bundsolid sikkerhed og et open source (læst: verificabelt sikkert) meddelelsesøkosystem.

Der er en grund til, at kryptografipersonale som professor Alan Woodward og Bruce Schneier anbefaler Signal så stærkt sammenlignet med alternativerne.

Generelle placeringer

Her er de aktuelle placeringer af de apps, der er vist i denne vejledning. Vores vurdering er subjektiv, men faktorer i appens samlede funktionalitet, mens vi prioriterer sikkerhed og privatliv.

  1. Signal: Fungerer på alle enheder, open source, solid sikkerhed / kryptografi
  2. Whatsapp: Mindre bekymringer (og privatlivsproblemer ved at være ejet af Facebook) men drager fordel af en massiv brugerbase, fuld tid end-to-end-kryptering, og det er helt gratis.
  3. Facebook-hemmelige samtaler: Sikkerheden er næsten identisk med Whatsapp. Den største irritation er, at dine kontakter skal aktivere hemmelige chats og faktisk bruge dem. Det er ikke ‘altid-til’ -kryptering som Whatsapp
  4. Betro: Antallet af sikkerhedshuller, som undersøgelser har fundet, er ret skræmmende. Virksomheden har vist en indsats for at korrigere sårbarheder, når de opstår, men vi vil hellere se færre fejl i første omgang. Funktionssættet er ikke fantastisk, så der er ingen overbevisende grund til nogensinde at vælge Confide over Signal (medmindre du vil sende besked til Sean Spicer).
  5. Telegram: Hvor skal man begynde… slap sikkerhed, du kontrollerer ikke dine krypteringsnøgler, beskeder gemmes ukrypteret i Telegrams sky, og de bruger ikke-validerede krypteringsalgoritmer af en eller anden uklar forklaring. Listen over funktioner er ret stærk, så hvis sikkerhed ikke er et problem, kan det være værd at se på. Men hvis du specifikt leder efter en sikker messaging app, se andre steder.

Hvad er din yndlingsapp til sikker meddelelse? Hvad gik vi glip af? Hit kommentarerne, og lad os vide det.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map