您的消息传递应用程序的安全性如何?
为了绝对安全,您会选择哪个消息传递应用程序?每个开发人员都会声称他们负责任地考虑用户的安全和隐私。但是,有这么多不同的选择,很难说出您可以信任的消息传递平台。
这套标准可以帮助您评估消息传递应用程序的安全性,并决定您可以信任它们的程度。
加密
几乎没有消息传递应用程序以明文格式发送您的消息; 所有平台都使用某种形式的加密来扰乱消息,并防止未经授权的各方阅读它们。但并非所有形式的加密都同样安全。
有些应用程序会在过渡和存储中加密您的消息,但也会保存加密密钥的副本。这意味着他们可以解密和阅读您的消息内容。使用这种加密形式的公司通常会这样做,以挖掘用户数据用于广告目的。示例包括即将分阶段的google环聊,Skype和微信。
但是,如果这些公司的服务器成为数据泄露的受害者,恶意行为者将获得对密钥的访问权限,还可以解密您的消息。然后,托管这些服务的公司向希望调查用户私人通信的政府机构开放。
采用端到端加密 (E2EE) 的最安全平台。这些应用程序使用公钥密码术来加密消息: 对于每个用户,平台都会发布一对公共和私有加密密钥。它将公钥存储在其服务器上,但私钥仅存储在用户设备上。
用户可以从服务器中检索彼此的公钥以加密其消息。用公钥加密的每条消息只能用其对应的私钥解密,私钥属于接收者的独占权。端到端加密可确保即使托管应用程序的公司也无法访问消息的内容。即使黑客闯入他们的服务器或三个字母的代理机构强迫他们交出用户数据,他们也无法解密消息内容。
目前,越来越多的平台采用端到端加密。一些例子包括设计、WhatsApp、Wickr和苹果的iMessage。
其他消息传递应用程序 (例如Telegram和facebook messenger) 也支持端到端加密,但默认情况下不会打开。您必须为内部聊天手动启用该功能。Skype最近还添加了一项称为 “私人对话” 的功能,该功能提供端到端加密聊天,但它也不是默认配置。
消息删除
尽管端到端加密可以保护您免受窃听者的侵害,但如果您的设备或与您聊天的人的设备落入错误的手中,则没有用。在消息传递应用程序中寻找的另一个安全功能是能够在消息发送后删除消息。删除消息可确保如果其中一个设备受到威胁,则不会暴露您的敏感通信。
Telegram,Signal和Skype允许用户为自己和消息的收件人删除消息。Wickr还具有 “召回消息” 功能,该功能可从参与对话的每个人的设备中删除消息。WhatsApp去年12月添加了 “每个人都删除” 选项,但是您可以使用它仅删除过去13小时内发送的邮件。
iMessage不支持删除inpidual消息: 您只能删除整个聊天,当您这样做时,您只能从您正在使用的设备中删除聊天; 它保留在共享相同Apple ID的所有其他iOS设备以及与您聊天的人的设备上。
删除的一个方便的补充是自删除消息。此功能将在一定时间到期后自动从所有用户的设备中删除消息。在信号上,它被称为 “消失的消息”。当您打开该功能时,您可以指定一个过期时间,在此之后,一条消息将自动从所有设备中删除。
Wickr的自毁功能被称为 “烧伤阅读”。Telegram和Facebook Messenger也支持自毁消息,但仅支持以端到端加密运行的秘密聊天功能。WhatsApp不支持自删除消息。
请注意,如果消息的接收者会截取您聊天的屏幕截图并将其存储在其他地方,则删除将毫无意义; 删除消息不会保护您免受恶意对话伙伴的伤害。相反,这是防止无意错误的保护措施。
元数据
除了消息的内容外,您还应该关注元数据-消息传递平台存储的有关您的活动的信息。元数据包括发送者和接收者id,发送消息的时间,登录时间,ip地址,设备类型,通话持续时间以及其他可能显示您的身份和习惯的信息。
在错误的手中,元数据可能是非常有害的,因为它可以揭示用户的通信模式: 他们接触的人,他们的地理位置,他们的消息的时间,等等。
最流行的消息传递应用程序收集了大量有关用户活动的信息。但是Signal有最好的跟踪记录,因为它只注册您创建帐户的电话号码和您登录帐户的最后日期 (不包括小时、分钟和秒)。
透明度
除了开发人员的承诺之外,独立专家应该能够验证消息传递应用程序的安全性。开源平台 -- 其开发人员将源代码公开的应用程序 -- 通常更可靠,因为它们通常会经过其他开发人员和安全专家的彻底同行审查和盘问。
Signal是开源的,所有版本的应用程序的源代码都可以在GitHub上下载。Wickr在去年公开发布了它的源代码。Telegram还提供其应用程序的资源代码,并允许开发人员创建和发布自己的客户端应用程序版本,这些版本可以连接到其应用程序编程接口 (ApI) 中。
WhatsApp和Facebook Messenger不是开源的,但它们确实使用开源信号协议来加密用户的消息。
iMessage等封闭源应用程序要求用户完全信任开发人员检查其代码中是否存在安全漏洞,而不是安装后门: 故意漏洞旨在为选定方 (例如广告商和政府机构) 提供对加密消息内容的访问权限。
没有什么是完美的
总而言之,当您评估消息传递应用程序时,请问自己以下问题:
它使用端到端加密吗?
它是否允许对话各方删除消息?
它收集了多少元数据?
源代码是否开放审查,是否有外部专家确认其安全性?
回答他们会让你很好地了解一个消息传递应用程序的安全性。
但需要明确的是,没有绝对安全这回事。即使是最安全的消息传递平台也无法保护您免受伤害。
除了为您的敏感通信选择安全的消息传递应用程序外,您还应该养成个人安全习惯,例如在设备上设置屏幕锁定,不安装来自未知开发人员的应用程序以及不在线共享。进行私人对话的最好方法是完全避免在线平台。