Ниже представлена таблица сравнения мессенджеров с функцией end-to-end шифрования относительно различных параметров, таких как удобство, доступность на различных платформах, анонимность и приватность и, собственно, реальная безопасность.
Это первая версия, данные могут быть неточны, далеко не все параметры для сравнения указаны/выбраны. Рассматриваются сугубо функции вокруг крипто-протоколов, т.к. сами протоколы (и используемые алгоритмы шифрования) можно считать в определенной степени надежными (хотя в криптографии с математической точки зрения принята совсем обратная история: пока не доказана надежность - не надежно). Акцент сделан именно на возможности с достаточным уровнем анонимности и безопасности использовать мессенджеры различными людьми (даже не понимающими в IT) в работе (т.е., например, вы хорошо понимаете в безопасности и компьютерах, а человек - совсем нет, но вам нужно обеспечить надежны и безопасный канал связи с ним).
Информация будет пополняться и корректироваться по мере возможности и желания. Критерии - расширяться, данные - уточняться.
Текущий вариант таблицы уже позволяет выбрать то или иное решение, подходящие лично вам в ваших условиях, учитывая особенности ваших собеседников.
Связаться через Jabber: sporaw@jabber.org и sp0raw@jabber.org (оба)
Связаться по почте: sp0raw@mail.ru или mail@sporaw.com
v1.2 17.07.2017 02:44
v1.1 16.07.2017 17:12
v1.0 16.07.2017 05:02
© При распространении [данных со] страницы ссылка обязательна
| Параметр \ Мессенджер | Signal | Telegram | WIRE | Xabber (Jabber + OTR) |
|---|---|---|---|---|
| Удобство: Регистрация | ||||
| Бесплатно (доступность любому; приватность: нет привязки к средствам оплаты) |
(+) | (+) | (+) | (+) |
| Регистрация учетной записи без смартфона (аппарата) (т.е. не требуется установки мобильной версии куда-либо) | (-) | (/) только используя Pidgin + Telegram-Purple + доступ к SMS |
(/) возможно, НО web-версия не работает через TOR |
(+) |
| Общий балл: | 1.0 | 1.5 | 1.5 | 2.0 |
| Удобство: Общее | ||||
| Субъективная оценка UI и работы | (/) мало функций, много неудобных вещей |
(+) лучший мессенджер в плане UI |
(/) знатно тормозит, много неудобных вещей - например, выделение сообщений |
(-) old-style, не для современных людей |
| Поддержка настоящих (отправляемых именно в момент нажатия "отправить") зашифрованных оффлайн сообщений | (+) | (+) | (+) | (-) |
| Наличие плагинов протокола для мульти-мессенджеров | (-) | (/) Telegram-Purple - кривой-косой, но худо-бедно работает; все контакты придется добавлять через web.telegram.org |
(-) | (+) |
| Передача фотографий (изображений) в зашифрованном виде в чате | (+) | (+) | (+) | (-) на определенных серверах еще и улетит на web-сервер в открытом виде |
| Передача файлов любого типа в зашифрованном виде в чате | (+) | (+) | (-) | (-) |
| Поддержка нескольких учетных записей одновременно на одном смартфоне | (-) | (-) | (-) | (+) |
| Поддержка нескольких учетных записей одновременно на десктопе без VM | (-) | (/) только через Pidgin + Telegram-Purple |
(-) | (+) |
| Поиск в сообщениях | (-) только если через экспортирование истории сообщений |
(-) | (+) | (-) только если через сохранение истории сообщений |
| Синхронизация шифрованных чатов между устройствами (включая десктоп) | (+) с момента добавления устройства |
(-) | (+) | (?) |
| Автоматическая отправка сообщений при плохой или отсутствующей связи (без участия пользователя) | (-) | (+) | (-) | (-) |
| Информация о подтверждении доставки сообщения на устройство | (+) | (-) | (+) | (+) |
| Информация о подтверждении прочтения сообщения собеседником | (-) | (+) | (-) | (-) |
| Информация о том, когда собеседник был в сети | (-) | (+) | (-) | (-) |
| Нотификация о процессе написания сообщения собеседником | (-) | (+) | (+) | (+) |
| Редактирование отправленных (своих) сообщений у собеседника | (-) | (-) в секретных чатах отсутствует |
(+) | (-) |
| Работа в "заблокированных" регионах | (+) через сервисы Google |
(/) [пока] только SOCKS5 (TOR без bridges) |
(-) | (+) SOCKS5 (TOR совместно с bridges) |
| Общий балл: | 6.5 | 9.5 | 7.5 | 5.0 (?) |
| Платформы | ||||
| OS: iOS (iPhone, iPad) | (+) | (+) | (+) | (+) ChatSecure |
| OS: Android | (+) | (+) | (+) | (+) |
| OS: Windows Phone | (-) | (/) секретные чаты адски глючат (сообщения не доходят, чаты дохнут и т.п.) - исправлением, поддержкой и развитием не занимаются |
(-) | (-) |
| OS: Windows | (+) в виде плагина к браузеру |
(/) секретные чаты не поддерживаются в официальном клиенте; только если Pidgin + Telegram-Purple; еще есть cutegram, но там нет поддержки SOCKS5 (TOR) с момента запуска |
(+) | (+) любой Jabber-клиент с OTR |
| OS: *nix | (-) | (/) секретные чаты не поддерживаются в официальном клиенте; только если Pidgin + Telegram-Purple; еще есть cutegram, но там нет поддержки SOCKS5 (TOR) с момента запуска |
(+) [пока] experimental |
(+) любой Jabber-клиент с OTR |
| OS: MacOS | (-) | (+) одна из (официальных?) версий клиента, вроде бы, поддерживает секретные чаты |
(+) | (+) любой Jabber-клиент с OTR |
| Web-версия | (-) | (-) секретные чаты не поддерживаются |
(/) не работает через TOR |
(?) не знаю, существуют ли именно с поддержкой OTR (если нет, то здесь, надо "-") |
| Нативный клиент на десктопе | (-) плагин к браузеру |
(+) | (+) | (+) любой Jabber-клиент |
| Общий балл: | 3.0 | 5.5 | 6.5 | 6.0 (?) |
| Безопасность | ||||
| Отсутствие использования доказано уязвимых криптографических примитивов в протоколе и сопутствующих местах | (?) дописать |
(-) дописать (SHA1, IGE-режим и т.д.) |
(?) дописать |
(?) дописать |
| Perfect Forward Secrecy (PFS) | (?) дописать |
(?) дописать |
(?) дописать |
(?) дописать |
| End-to-End шифрование на десктопе | (+) | (/) только через Pidgin + Telegram-Purple |
(+) | (+) |
| Невозможность случайной отправки незашифрованных сообщений (хотя бы до сервера, пусть даже под https/SSL) |
(+) | (/) посылка сообщений в несекретный чат |
(+) | (-) легко отослать сообщение, не включив OTR по тем или иным причинам; даже если сервер OTR-only, то сообщение минимум через все промежуточные узлы до сервера дойдет |
| Четкая необходимость подтвердить ключ при первом установлении чата (статус неподтвержденности явно и постоянно отображается) | (-) | (-) | (+) | (+) |
| Реакция на смену ключа | (+) | (?) уточнить |
(+) | (+) |
| Работа без выдачи прав на смартфоне (контактная книга, микрофон, память и др.) | (-) невозможно работать без доступа к контакт-листу (добавить контакт по номеру телефона невозможно) |
(-) полноценно невозможно работать без доступа к контакт-листу (добавить контакт по номеру телефона невозможно) |
(+) | (+) |
| Доступ по паролю | (?) дописать |
(?) дописать |
(?) дописать |
(?) дописать |
| Невозможность легким путем (по умолчанию) "забэкапить" историю и данные в облако от смартфона (тот случай, когда у вашего собеседника настроены автобэкапы его устройства в облако, а вы об этом можете даже и не знать) |
(+) уточнить |
(+) уточнить |
(?) уточнить |
(?) уточнить |
| OpenSource: клиент | (+) | (+) | (+) | (+) |
| OpenSource: сервер | (+) | (-) | (/) частично, но собираются открыть все |
(+) в целом, зависит от сервера |
| Независимый аудит: крипто-протокола (не научно-экспертно-глобально, в целом близко к профанации пользователей в маркетинговом плане) |
(+) [1] [2] [3] |
(+) [1] [2] [3] [4] формально существует награда в $300K, но это больше маркетинговый подход к проблеме |
(+) [1] [2] |
(?) дописать пункт |
| Независимый аудит: клиентского кода (не научно-экспертно-глобально, в целом близко к профанации пользователей в маркетинговом плане) |
(?) дописать пункт |
(?) дописать пункт |
(+) [1] |
(?) дописать пункт |
| Независимый аудит: серверного кода (не научно-экспертно-глобально, в целом близко к профанации пользователей в маркетинговом плане) |
(?) дописать пункт |
(?) дописать пункт |
(?) дописать пункт |
(?) дописать пункт |
| Зашифрованные звонки через сервер "вендора" | (+) | (+) | (+) |
(-) |
| Зашифрованные звонки напрямую (p2p) | (+) | (+) | (?) посмотреть |
(-) |
| Хранение базы истории на устройстве в зашифрованном виде | (?) посмотреть |
(?) посмотреть |
(?) посмотреть |
(?) посмотреть |
| Удаление истории на устройстве подтвержденным wipe-методом | (?) посмотреть |
(?) посмотреть |
(?) посмотреть |
(?) посмотреть |
| Удаление сообщений у собеседника (может игнорироваться клиентом собеседника!) |
(-) | (/) например, в Pidgin + Telegram-Purple удаляться не будет |
(+) | (-) |
| Автоматический таймер для удаления сообщений (может игнорироваться клиентом собеседника!) |
(-) | (/) например, в Pidgin + Telegram-Purple удаляться не будет |
(+) | (-) |
| Возможность экспортировать/импортировать историю сообщений | (+) | (-) только если вручную копировать по 100 сообщений; или если общаться в Pidgin + Telegram-Purple |
(-) только если вручную копировать по 1 сообщению |
(-) только если вручную копировать по 1 сообщению |
| Общий балл: | ||||
| Приватность / анонимность | ||||
| Поддержка SOCKS5 (TOR) на смартфоне с момента запуска (до ввода учетной записи) | (-) | (+) с 07/2017 ВАЖНО: Не проверял, работает ли это с момента запуска, когда учетная запись еще не создана (т.е. можно ли создать учетную запись, на засветив IP) |
(-) | (+) |
| Поддержка SOCKS5 (TOR) на десктопе с момента запуска (до ввода учетной записи) | (-) | (+) | (-) | (+) |
| Поддержка TOR у web-версии | (-) т.к. web-версии нет вообще |
(+) | (-) | (+) неясно только, если web-версии с OTR |
| Регистрация без привязки к номеру телефона и SMS | (-) | (-) | (+) | (+) |
| Регистрация без всего | (-) | (-) | (/) требуется e-mail |
(+) |
| Использование никнеймов | (-) связь только по номерам телефонов |
(/) если телефон абонента указан в вашей адресной книге, он автоматически увидит ваш телефон, как только вы ему напишете или он посмотрит информацию по вам; также стоит понимать, что сервер (и имеющие доступ к нему) знают связь между никнеймом и номером телефона, на который зарегистрирована учетная запись |
(+) | (+) |
| Возможность работы без слива контакт-листа смартфона с телефонами на сервер | (-) невозможно толком добавить контакт/написать сообщение без разрешения сливать контакт-лист; сливает хэши от номеров телефонов, якобы, так сложнее их узнать - но это чушь, можно сгенерировать любые номера телефонов и по ним таблицу хэшей, плюс пробивать известные номера, нужных людей (якобы не сохраняет хэши на сервере - не проверяемо) |
(/) можно не сливать контакт, если общаться через Pidgin + Telegram-Purple; во всех остальных случаях невозможно толком добавить контакт/написать сообщение без разрешения сливать контакт-лист; контакт-лист хранится на сервере, минимум данных: номер телефона, фамилия, имя |
(+) позволяет не давать право на доступ к контакт-листу (т.е. не сливать на сервер) |
(+) используется свой контакт-лист, никак не связанный с контактами смартфона |
| Отсутствие сбора и сохранения мета-данных | (+) разработчики заявляют минимальный сбор мета-данных и максимальное несохранение их; проверить без открытия и аудита сервера невозможно |
(-) к мета-данным относятся наплевательски, один контакт-лист чего стоит; в целом работа в стиле ВКонтакте |
(+) разработчики заявляют минимальный сбор мета-данных и максимальное несохранение их; проверить без открытия и аудита сервера невозможно |
(+) |
| Отсутствие сохранения зашифрованных сообщений на сервере (после доставки) | (?) посмотреть; без контроля за сервером нет гарантий |
(?) посмотреть; без контроля за сервером нет гарантий |
(?) посмотреть; без контроля за сервером нет гарантий |
(+) настраивается, но без контроля за сервером нет гарантий |
| Возможность сокрытия в оповещениях на смартфоне имени автора и текста сообщения | (+) | (+) | (-) | (/) выводит имя автора, текст сообщения можно скрыть (настраивается) |
| Общий балл: | 2.0 (?) | 4.0 (?) | 4.5 (?) | 8.5 |
| Разное | ||||
| Общий балл: | ||||
© При распространении [данных со] страницы ссылка обязательна (sporaw @ www.sporaw.com)