Gagnaöryggi: Aegees vs aðrir boðberar

Til að vera viss um að boðberi okkar er í raun besta tilboðið á markaðnum, fengum við umfangsmikla og ítarlega rannsókn á öllum vinsælum skilaboðaforritum. Áhersla okkar var á að bera saman eiginleika og aðgerðir sem við erum að innleiða í Aegees. Fyrir aðeins einum sólarhring síðan, loksins kom skýrslan, stafla af pappír hærri en leiðtogi prófunarteymisins okkar og taka orð okkar fyrir það, hann er virkilega hávaxinn strákur! Auðvitað, mikið af því er mjög tæknilegt, sem þýðir að okkur finnst það heillandi en það er ansi slæmt fyrir alla aðra. Það eru líka nokkrar viðkvæmar upplýsingar sem við viljum helst hafa í húsinu vegna þess að þær tákna þekkingu sem samkeppnisaðilar myndu bara elska að ná í sínar hendur. Fyrir utan allt þetta er ennþá mikið af spennandi hlutum sem við getum og viljum deila með þér og við vonum að þér finnist það áhugavert. Þess vegna höfum við skrifað þessa samantekt!

Svo hér förum við. Við völdum 19 boðbera sem eru taldir markaðsleiðtogar hvað varðar öryggi notenda. Þeir eru; Bitwala, Briar, Confide, Dust, e-Chat, Eleet, Gem, Kik, Obsidian, Paymon, Ring, SafeUM, Sendandi, Signal, Status, Token (Toshi), Threema, Wickr og CrypViser. Óþarfur að segja, markmiðið var að vera fullkomlega hlutlaus og hlutlæg í samanburði þeirra allra við Aegees því augljóslega myndum við vera fyrst til að tapa ef við byggjum alla greininguna okkar á ónákvæmum upplýsingum.

Við völdum vísvitandi að taka WhatsApp og Telegram ekki með í rannsókninni vegna þess að að okkar mati telja þessi skilaboðaforrit ekki í raun örugg. WhatsApp geymir alla tengiliði notenda á netþjónum sínum, byggir auðkenni notenda á símanúmerum og hefur nýlega gefið upp dulkóðun frá lokum, með öðrum orðum, það er EKKI öruggt og EKKI tryggja nafnleynd. Telegram geymir lykla og svokallað „leyndarspjall“ í tækinu, sem er betra, en það dulritar ekki þá!

Örugg geymsla gagna
Við höfum komist að því að geymsla gagna er ein af mikilvægu varnarleysunum hjá flestum nútímalegum boðberum, og þess vegna ákváðum við að þróa og innleiða í Aegees byltingarkennda nálgun á gagnaöryggi. Þessi varnarleysi skiptist í þessa mikilvægu hluti: beita miðlægri nálgun gagnageymslu; geyma gögn á netþjónum; og dulkóðað geymsla gagna.

Við tókum á síðustu tveimur þáttum þessarar þriggja áskorana með því að búa til dulritunarílát. Það virkar eins og öryggishólf sem er sett upp í tæki notandans og geymir öll forritsgögn, þ.mt skilaboð, símtöl og tengiliði og svo framvegis dulkóðuð. Það er raunverulega byltingarkennd lausn vegna þess að eins langt og við vitum notar engin önnur skilaboðaforrit neitt slíkt.

Til að ljúka gagnaverndaráætluninni munum við með tímanum innleiða dreifðan miðlarainnviði. Þó við vinnum að þessari lausn höfum við ekkert val en að halda okkur við gömlu gömlu, vel, vissulega gömlu en ekki svona góðu, miðstýrðu nálgunina ásamt gagnakóðun. Einkunnarorð okkar eru „geymdu aldrei dulkóðaðar upplýsingar á netþjónum“ vegna þess að öryggi netþjónanna þessa dagana er með fleiri götum en svissneskur ostur; hugsaðu bara um nýleg öryggisupplýsingar fyrir HP, iLO og Exim, til dæmis.

Við viljum gera Ring, Signal, Wickr og CrypViser réttlæti með því að staðfesta að þessir boðberar dulkóða öll gögn og geyma þau á tækinu. Hér er þó eitt stórt öryggisbil, öll þessi gögn eru geymd í almenna skráarkerfinu sem hægt er að nálgast í gegnum stýrikerfið og því af öllum forritum frá þriðja aðila sem notandinn gæti sett upp.

Sumir verktaki hafa gaman af því að forritin geyma gögn mikið leyndarmál, það er erfitt að sjá hvers vegna. Við vitum með vissu að SafeUM og Threema ákváðu að halda sig við gagnageymslu netþjónsins og við teljum að þetta hafi verið mikil mistök.

Við viljum einnig veita Bitwala, Briar, Obsidian, Paymon, Status, CrypViser og Token (Toshi) hönnuðum lánstraust fyrir að hafa þegar innleitt dreifð miðlarinnviði. Samt sem áður með Signal geta rekstraraðilar ennþá skráð öll forritsgögn á netþjóna sína ef þeir vilja. Bria, Gem og Wickr nota dulkóðun frá lokum alveg eins og Aegees. Restin veitir annað hvort dulkóðun sem sérstök valfrjáls þjónusta fyrir borgaða þjónustu eða nefnir hana ekki einu sinni.

End-to-end dulkóðun
Dulkóðun frá lokum til loka hefur verið tala bæjarins undanfarið; margir kalla það skilvirkustu gagnaverndarlausnina sem til er. Eins og þú hefur sennilega heyrt, einn af leiðtogum markaðarins, féll WhatsApp nýlega frá dulkóðun frá lokum fyrir skilaboð til að fullnægja kröfum nýs eiganda, Facebook og Bandaríkjastjórnar.

Auðvitað vitum við líka eitthvað gott þegar við sjáum það, svo að við fórum rétt fyrir það og innleiddum dulkóðun frá lokum til Aegees. Við erum vissulega ekki þeir einu sem gera það; dulkóðun frá lokum til notkunar er notuð af Briar, Confide, e-Chat, Eleet, Ring, Sender, Signal, Status, Token (Toshi), Wickr, CrypViser, Threema og Dust - en sum þessara forrita útfæra það í slíku leið sem verktakarnir geta lesið skilaboð. Í Aegees gerðum við það ómögulegt; aðeins notandinn og enginn nema notandinn mun eiga og hafa aðgang að efni sínu.

Persónulegur lykill og netsending
Við trúum því staðfastlega að einkalyklar megi aldrei ... nokkurn tíma ... vera sendir um netkerfi, hvort sem þeir eru að fullu eða í heild. Þess vegna styður Aegees ekki lykilflutning núna og við gefum orð okkar um að það muni aldrei verða. Forrit eins og Briar, Ring, Signal, Wickr og CrypViser nota öll sömu aðferð.

Sumir boðberar dulkóða lykilinn eða hluta hans fyrir flutning en að okkar mati eru nútíma tölvunargeta þess eðlis að varúðarráðstafanir eins og þær eru algjörlega gagnslausar. Það er næstum eins óöruggt og að flytja lykilinn dulkóðaðan. Lykillinn og / eða hluti hans verður aðeins að vera geymdur í tæki notandans og aldrei fluttur um net.

Upprunakóði
Það er aðeins hægt að staðfesta að verktaki þýðir viðskipti með því að skoða frumkóða vörunnar. Án þess er engin leið að vita hvort varan skilar sannarlega öllum loforðum sínum varðandi virkni og öryggi.

Þar sem við vitum að eins og enginn annar, erum þeir verktaki sem við erum, ætlum við að upplýsa um kóðann okkar þegar tíminn kemur. Við teljum að það gefi okkur enn meira samkeppnisforskot. Sumir aðrir verktaki voru líka að hugsa á svipuðum nótum: Briar, Ring, SafeUM, Signal and Token (Toshi) fóru líka með opinn aðgang.

Svo virðist sem sum fyrirtæki hafi farið í hálfgerða lausn og afhjúpað aðeins nokkur gögn, en ekki nóg til að gefa fulla mynd af því sem varan getur eða getur ekki gert. Eitt dæmi er Threema; verktaki þess sendiboða valdi að veita aðgang að forritinu en aðeins að forritsviðmótinu.

Bannar notendareikninga
Að því er varðar vöru okkar, Aegees, stefnum við á að halda réttinum til að loka fyrir alla reikninga sem dreifa upplýsingum um hryðjuverk, eiturlyfjasmygl, barnaklám og önnur andstæðingur-félagsleg viðurstyggð. Okkur finnst vera í takt við hönnuðina Signal, Ring and Dust sem völdu sömu aðferð.

Forvitnilegt er þó að margir verktaki hafa ekki gefið upp neinar upplýsingar um réttindi sín til að banna slíka reikninga. Rannsóknir okkar sýna að þetta er tilfellið með Bitwala, Confide, Eleet, e-Chat, Gem, Kik, Obsidian, Paymon, SafeUM, Sendandi, Status, Token (Toshi), Threema og Wickr. Einu tvö skilaboðaforritin sem við höfum bent á sem veita raunverulega 100 prósenta næði og friðhelgi gagnvart bönkum eru CrypViser og Briar. Gallinn við þessa nálgun er að þeir eru mjög líklegir til að verða ákjósanleg net fyrir alls konar öfgamenn, mansal og dreifingaraðila á barnaklámi.

IP-tala notanda
Við erum enn óákveðnir varðandi IP-tölu notandans en gerum ráð fyrir að ljúka vali okkar fljótlega og löngu áður en alþjóðlegt útlit stendur yfir. Við munum láta þig vita af ákvörðun okkar í gegnum fréttatilkynningu. Það sem við vitum hingað til er að eina skilaboðaforritið sem örugglega leynir IP tölu notandans er Briar; en verðið sem þeir greiða fyrir það er enginn iOS stuðningur, vegna þess sem við teljum vafasama nálgun við framkvæmd P2P lagsins. Við vitum líka með vissu að ryk og merki gefa IP-tölu notenda til veitunnar; Ring hefur þróað dreifstýrt net sem IP-tölu er rekjanlegt; á meðan enginn annar verktaki segir orð um hvort boðberar þeirra leyni eða leyni ekki IP-tölu notandans.

Svo hver er mest varin?
Vegna þess að það var val okkar að bera saman smáforritin á hlutlausasta og hlutlægan hátt, verðum við að viðurkenna að sum skilaboðaforrit á markaðnum geta örugglega keppt við Aegees eins og það er núna. Allir slíkir boðberar eru opinn verkefnum sem nota miðlæga gagnageymsluaðferð. Við að greina kosti og galla vara í þessum hópi teljum við auðmjúklega (reyndar ekki of auðmjúk) að Aegees veiti besta öryggið.

Þrátt fyrir að dulkóðunarlausnir nútímans séu meira og minna einsleitar, hefur Aegees ákveðið og öflugt yfirburði yfir allar aðrar svipaðar vörur þökk sé nýstárlegri dulkóðunarlausn sinni, svo og nokkrum öðrum einstökum eiginleikum, eins og til dæmis dulkóðuðu hljóðráðstefnum.

Talandi um, eina varan sem getur gert það sama, fyrir utan Aegees, er Skype frá Microsoft, en Aegees er frábrugðin því að hún gefur verktaki enga stjórn á dulkóðunarlyklum. Við munum aldrei geta notað samræður notenda okkar. Öll önnur forritin sem við erum að tala um bjóða alls ekki upp á hljóðráðstefnur.

Kjarni málsins
Jafnvel í dag, löngu áður en henni lýkur að fullu, er Aegees eina skilaboðaforritið á markaðnum sem býður notendum sínum þessa kosti:

• Allar gagnasendingar eru dulkóðaðar. Öll gögn eru alltaf geymd dulkóðuð;

• Öll notendagögn eru geymd á öruggan hátt í dulmálsílát sem er sett upp í tækinu;

• Einkalyklar yfirgefa aldrei notendatækið;

• Framkvæmdaraðilinn hefur enga stjórn á dulkóðunarlyklum;

• Dulkóðaðar hljóðráðstefnur eru útfærðar.

Eftir að hafa gert allt þetta höldum við áfram með vinnu okkar til að gera Aegees enn betri, jafnvel öruggari og við erum staðráðnir í að skila notendum okkar besta tilboð á markaðnum.