Tietoturva: Aegees vs.

Jotta voisimme olla varmoja siitä, että messengerimme on todella paras tarjous markkinoilla, tilasimme kattavan ja yksityiskohtaisen tutkimuksen kaikista suosituista viestisovelluksista. Keskityimme vertailemaan ominaisuuksia ja toimintoja, joita toteutamme Aegeesissa. Vain päivä tai kaksi sitten, raportti saapui vihdoin, nippu paperia korkeampi kuin testausryhmän johtaja, ja ota sanan siihen, hän on todella pitkä kaveri! Tietysti suuri osa siitä on erittäin teknistä, mikä tarkoittaa, että pidämme siitä kiehtovana, mutta se on melko tylsä ​​kenellekään muulle. Siellä on myös joitain kaupallisesti arkaluontoisia tietoja, joita mieluummin säilyttäisimme talossa, koska ne edustavat taitotietoa, jonka kilpailijat haluaisivat saada käsiinsä. Kaiken tämän lisäksi on vielä paljon jännittäviä juttuja, joita voimme ja haluamme jakaa kanssanne, ja toivomme sinun mielenkiintoiseksi. Siksi olemme kirjoittaneet tämän yhteenvedon!

Joten tässä mennään. Valitsimme ennakkoon 19 lähettiläätä, joita pidetään markkinoiden johtajina käyttäjien turvallisuuden suhteen. He ovat; Bitwala, Briar, Confide, Dust, e-Chat, Eleet, Gem, Kik, Obsidian, Paymon, Ring, SafeUM, Sender, Signal, Status, Token (Toshi), Threema, Wickr ja CrypViser. Sanomattakin on selvää, että tavoitteena oli olla täysin neutraali ja puolueeton vertaamalla niitä kaikkia Aegeesiin, koska olisimme tietysti ensimmäiset, jotka menetimme, jos perustimme koko analyysimme epätarkkoihin tietoihin.

Olemme tietoisesti päättäneet olla sisällyttämättä WhatsAppia ja Telegramia tutkimukseen, koska ammatillisen mielestämme nämä viestisovellukset eivät oikeastaan ​​ole turvallisia. WhatsApp tallentaa kaikki käyttäjän yhteystiedot palvelimilleen, perustaa käyttäjän tunnistetiedot puhelinnumeroihin ja on äskettäin luopunut kokonaisestä salauksesta, toisin sanoen, se EI ole suojattu, ja EI TÄYTÄ varmistaa nimettömyyttä. Telegram tallentaa avaimet ja ns. Salaiset keskustelut laitteeseen, mikä on parempi, mutta se ei salata niitä!

Tietojen turvallinen tallennus
Olemme todenneet, että tietojen tallennus on yksi nykyaikaisten lähettiläiden kriittisistä haavoittuvuuksista, minkä vuoksi päätimme kehittää ja toteuttaa Aegeesissa vallankumouksellisen lähestymistavan tietoturvaan. Tämä haavoittuvuus jakautuu näihin elintärkeisiin komponentteihin: keskitetyn lähestymistavan soveltaminen tietojen varastointiin; tietojen tallentaminen palvelimille; ja salaamattoman datan tallennus.

Käsittelimme kyseisen haasteiden kolmen viimeistä elementtiä luomalla salauskontin. Se toimii kuin turvallisuus, joka on asennettu käyttäjän laitteeseen, ja pitää kaikki sovellustiedot, mukaan lukien viestit, puhelut ja yhteystiedot, ja niin edelleen täysin salatut. Se on todella uraauurtava ratkaisu, koska me tiedämme, ettei mikään muu viestisovellus käytä mitään sellaista.

Tietosuojasuunnitelmamme täydentämiseksi otamme ajan myötä käyttöön hajautetun palvelininfrastruktuurin. Vaikka työskentelemme tämän ratkaisun parissa, meillä ei ole muuta vaihtoehtoa kuin kiinni vanhasta hyvästä, hyvin, varmasti vanhasta, mutta ei niin hyvästä, keskitetystä lähestymistavasta yhdistettynä tietojen salaamiseen. Mottomme on "koskaan tallentaa salaamattomia tietoja palvelimille", koska palvelimien tietoturvassa on nykyään enemmän reikiä kuin sveitsiläisessä juustossa; ajatelkaa esimerkiksi viimeaikaisia ​​tietoturvatiedotteita esimerkiksi HP: lle, iLO: lle ja Eximille.

Haluamme tehdä oikeudenmukaisuuden Ringille, Signalille, Wickrille ja CrypViserille vahvistamalla, että nämä lähettilät salaavat kaiken tiedon ja tallentavat sen laitteelle. Täällä on kuitenkin yksi suuri tietoturva aukko, kaikki tämä tieto on tallennettu yleiseen tiedostojärjestelmään, johon pääsee käyttöjärjestelmän kautta, ja siksi minkä tahansa kolmannen osapuolen sovelluksen, jonka käyttäjä voi asentaa.

Jotkut kehittäjät haluavat pitää sinne, missä heidän sovelluksensa tallentavat tietoja, valtavan salaisuuden, on vaikea ymmärtää miksi. Tiedämme varmasti, että SafeUM ja Threema päättivät pitää kiinni palvelinten tietojen tallennustavasta, ja mielestämme se oli iso virhe.

Haluamme antaa tunnustusta myös Bitwala-, Briar-, Obsidian-, Paymon-, Status-, CrypViser- ja Token (Toshi) -kehittäjille siitä, että ne ovat jo ottaneet käyttöön hajautetun palvelininfrastruktuurin. Signalin avulla operaattorit voivat kuitenkin halutessaan kirjata minkä tahansa sovellustiedot palvelimilleen. Bria, Gem ja Wickr käyttävät päästä toiseen -salausta kuten Aegees. Muut tarjoavat salauksen erillisenä valinnaisena maksullisena palveluna tai eivät edes mainitse sitä ollenkaan.

Päittäin salaus
Päästä päähän -salaus on ollut viime aikoina kaupungin puhetta; monet kutsuvat sitä tehokkaimmaksi tietosuojaratkaisuksi. Kuten luultavasti olet kuullut, yksi markkinoiden johtajista, WhatsApp hiljattain luopui viestien koodauksesta, jotta se vastaisi uuden omistajansa Facebookin ja Yhdysvaltain hallituksen vaatimuksia.

Tietenkin myös me tiedämme jotain hyvää, kun näemme sen, joten menimme siihen oikein ja otimme käyttöön kokonaisenkoodauksen Aegeesissa. Emme todellakaan ole ainoat, jotka tekevät niin; koodausta käyttävät Briar, Confide, e-Chat, Eleet, Soitto, Lähettäjä, Signaali, Tila, Token (Toshi), Wickr, CrypViser, Threema ja Dust - mutta jotkut näistä sovelluksista toteuttavat sen sellaisissa tapa, jolla kehittäjät pystyvät lukemaan viestejä. Aegeesissa teimme sen mahdottomaksi; vain käyttäjä eikä kukaan muu kuin käyttäjä omistaa sisällön ja käyttää sitä.

Yksityinen avain ja verkon lähetys
Uskomme vakaasti, että yksityisiä avaimia ei saa koskaan ... koskaan ... siirtää verkkojen kautta, joko kokonaan tai osittain. Siksi Aegees ei tue avainten siirtoa nyt, ja annamme sanomme, että se ei koskaan tule. Briar, Ring, Signal, Wickr ja CrypViser, kuten kaikki sovellukset, käyttävät samaa lähestymistapaa.

Jotkut lähettiläiset salaavat avaimen tai sen osat ennen siirtoa, mutta mielestämme nykyaikaiset laskentakapasiteetit ovat sellaisia, että vastaavat varotoimet ovat täysin hyödytöntä. Se on melkein yhtä turvallista kuin avaimen siirtäminen salaamattomana. Avain ja / tai mikä tahansa sen osa on tallennettava vain käyttäjän laitteeseen eikä sitä koskaan saa siirtää verkkojen kautta.

Lähdekoodi
On vain mahdollista varmistaa, että kehittäjä tarkoittaa yritystä, tarkastelemalla vain tuotteen lähdekoodia. Ilman sitä ei ole mitään keinoa tietää, täyttääkö tuote todella kaikki toiminnallisuutta ja turvallisuutta koskevat lupauksensa.

Koska tiedämme, ettei kukaan muu olemme, koska olemme kehittäjiä, aiomme paljastaa lähdekoodimme, kun aika tulee. Uskomme, että se antaa meille vielä enemmän kilpailuetua. Jotkut muut kehittäjät myös ajattelivat samanlaista linjaa: Briar, Ring, SafeUM, Signal ja Token (Toshi) menivät myös avoimen lähdekoodin ohjelmiin.

Näyttää siltä, ​​että jotkut yritykset ovat menneet puoliväliin ratkaisuun ja paljastaneet vain joitain tietoja, mutta eivät riitä antamaan täydellistä kuvaa siitä, mitä tuote voi tai ei voi tehdä. Yksi esimerkki on Threema; Messengerin kehittäjä päätti tarjota pääsyn ohjelmaan, mutta vain sovellusrajapintaan.

Käyttäjätilien kielto
Tuotteellemme, Aegees, aiomme säilyttää oikeuden estää kaikki tilit, joissa levitetään tietoja terrorismista, huumekaupasta, lapsipornosta ja muusta anti-sosiaalisesta kauhistumisesta. Tunnemme olevansa linjassa Signal, Ring ja Dust -kehittäjien kanssa, jotka valitsivat saman lähestymistavan.

On kuitenkin uteliasta, että monet kehittäjät eivät ole paljastaneet mitään tietoja heidän oikeudestaan ​​kieltää sellaiset tilit valikoivasti. Tutkimuksemme osoittavat, että tämä on tilanne Bitwala, Confide, Eleet, e-Chat, Gem, Kik, Obsidian, Paymon, SafeUM, Sender, Status, Token (Toshi), Threema ja Wickr kanssa. Ainoat kaksi tunnistamaamme viestisovellusta, jotka todella tarjoavat 100-prosenttisen tilin yksityisyyden ja suojan kieltoja vastaan, ovat CrypViser ja Briar. Tämän lähestymistavan haittapuoli on, että niistä todennäköisesti tulee suosittuja verkostoja kaikenlaisille ääriliikkeille, salakuljettajille ja lapsipornojen jakelijoille.

Käyttäjän IP-osoite
Olemme edelleen päättämättömiä käyttäjän IP-osoiteongelmasta, mutta odotamme saavani päätöksemme päätökseen pian ja hyvissä ajoin ennen globaalia käyttöönottoa. Ilmoitamme päätöksestämme lehdistötiedotteen kautta. Tiedämme toistaiseksi, että ainoa viestisovellus, joka kätkee käyttäjän IP-osoitteen ehdottomasti, on Briar; mutta hinta, jonka he maksavat siitä, ei ole iOS-tukea, koska uskomme olevan kyseenalainen lähestymistapa P2P-tason toteutukseen. Tiedämme myös varmasti, että pöly ja signaali antavat käyttäjän IP-osoitteet palveluntarjoajalle; Ring on kehittänyt hajautetun verkon, jonka avulla IP-osoite on jäljitettävissä; kun taas mikään muusta kehittäjästä ei sano sanaakaan siitä, piilevätkö heidän sanansaattajansa käyttäjän IP-osoitteen vai eivät.

Joten mikä on eniten suojattu?
Koska valinta oli meidän vertailla sovelluksia mahdollisimman neutraalilla ja puolueettomalla tavalla, meidän on myönnettävä, että jotkut markkinoilla olevat viestisovellukset voivat todellakin kilpailla Aegeesin kanssa kuten nykyään. Kaikki tällaiset sanansaattajat ovat avoimen lähdekoodin projekteja, jotka käyttävät keskitettyä tiedontallennuslähestymistapaa. Analysoimalla tämän ryhmän tuotteiden etuja ja haittoja uskomme nöyrästi (tosiasiallisesti ei liian nöyrästi), että Aegees tarjoaa parhaan turvallisuuden.

Vaikka nykypäivän salausratkaisut ovat enemmän tai vähemmän yhdenmukaisia, Aegeesilla on selkeä ja tehokas etu verrattuna muihin vastaaviin tuotteisiin innovatiivisen salausteknisäiliöratkaisunsa ja muutamien muiden ainutlaatuisten ominaisuuksien, kuten esimerkiksi salattujen äänikonferenssien, ansiosta.

Mistä puhutaan, ainoa tuote, joka voi tehdä saman, Aegeesia lukuun ottamatta, on Microsoftin Skype, mutta Aegees on erilainen siinä, että se ei anna kehittäjälle mitään hallintaa salausavaimista. Emme koskaan pysty käyttämään käyttäjien keskusteluja. Kaikissa muissa sovelluksissa, joista puhumme, ei ole ollenkaan äänentoistoa.

Bottom Line
Jo tänään, kauan ennen sen täysimittaista valmistumista, Aegees on markkinoiden ainoa viestisovellus, joka tarjoaa käyttäjilleen nämä edut:

• Kaikki tiedonsiirrot ovat salattuja. Kaikki tiedot tallennetaan aina salattuina;

• Kaikki käyttäjätiedot tallennetaan turvallisesti laitteeseen asennetussa salaussäiliössä.

• Yksityiset avaimet eivät koskaan poistu käyttäjän laitteesta;

• Kehittäjällä ei ole hallintaa salausavaimista;

• Salatut äänikokoukset otetaan käyttöön.

Saatuaan kaiken tämän jatkamme työtämme tehdä Aegeesista entistäkin parempia, entistä turvallisempia ja olemme sitoutuneet toimittamaan markkinoille parhaan tarjouksen käyttäjillemme.