habrahabr

Выбираем защищенный IM для Android

  • суббота, 28 июня 2014 г. в 03:10:39
http://habrahabr.ru/post/227817/

Решил я поискать какой-нибудь защищенный мессенджер, посмотреть, что сделали люди за все это время. Протестировал более 20 мессенджеров разной степени готовности. Интересовали только мессенджеры со «своим» протоколом, т.к. в XMPP-мире все нормально и ожидаемо.
Меня, в основном, интересовали мессенджеры для текстового общения с шифрованием в любом его виде. Поиск производился в Google Play по фразам: «secure chat», «secure IM», «secure communication», «secure messaging».
Тестировал только бесплатные решения.

tl;dr: замены Skype все еще нет.

Собственно, вот все мои находки:

1. TextSecure
  • Работает как через интернет, так и по СМС. Использует шифрование без проверки подлинности собеседника, нет даже фингерпринта. Нужно следить за значком ключа в сообщениях. Не оповещает о плейнтексте
  • Для регистрации нужен номер телефона. Регистрация не обязательна (но работает только через СМС)
  • Технических подробностей на сайте нет
  • Только сообщения
  • Android-only
  • OpenSource


2. TigerText
  • Больше enterprise-вариант. Может работать по интернету как с номером телефона, так и с почтой (режим «для домена»)
  • Все присланное и отправленное самоуничтожается максимум через 30 дней (по умолчанию 5)
  • Нет проверки собеседника, даже слепка ключа
  • Сообщения, фотографии, аудиозаписи
  • Для регистрации нужен либо номер телефона, либо почта
  • Android / iOS


3. Chiffry
  • Ключи генерируются при первом запуске. Приятный интерфейс
  • Есть фингерпринты ключей
  • Сообщения, звонки, отправка файлов и контактов. Групповые чаты
  • Для регистрации нужен номер телефона
  • Описание на Google Play говорит, что используется AES256-CGM + 512-битные(?) ECDH-ключи
  • Android / BlackBerry


4. Vipole
  • Завязан на сервисы Vipole. Чтобы сгенерировать ключ, нужно водить пальцем. Не только IM, но еще и другие сервисы VIPole — заметки, менеджер паролей
  • Требует деньги для многого, например, для шифрования локальной истории
  • Можно задать пароль для аккаунта и пароль для ключа. Можно задать фейковый пароль для ключа, который либо будет крашить программу, либо и крашить и удалять данные
  • Нет проверки фингерпринтов
  • Для регистрации нужна почта
  • Сообщения, звонки, видеозвонки, передача файлов, групповые чаты и звонки
  • Похоже, отличное решение для бизнеса
  • AES-256, RSA-3072
  • Android / Windows / MacOS / Linux


5. Unseen
  • Нет проверки собеседника, нет стампа ключа
  • Сообщения / аудиовидеозвонки / групповые аудиовидеозвонки / файлы
  • Бесплатный аккаунт позволяет делать аудиоконференции до 5 человек. Видеоконференций в бесплатной версии отсутствуют
  • Регистрация на основе логина
  • 4096-bit NTRU
  • Android / MacOS / Linux / Windows


6. Sicher
  • IM от создателей IM+
  • Сообщения, групповые чаты и файлы
  • Сообщения самоуничтожаются
  • Нет проверки собеседника, даже фингерпринта ключа
  • Регистрация по телефону
  • Android / iOS / WinPhone


7. Whistle.im
  • Только сообщения. Для регистрации не требуется ни телефон, ни почта, только логин и пароль. Подтверждение пользователя по стампу ключа
  • Android / Browser
  • Доступен исходный код библиотек шифрования


8. Surespot
  • Регистрация только с использованием логина/пароля. Используется PGP и свой keyserver
  • Фингерпринты не проверяются
  • Сообщения, голосовые сообщения (платно), картинки
  • 521-bit ECDH + AES256-GCM
  • Клиент и сервер OpenSource
  • На вебсайте в подробностях описано шифрование
  • Android / iOS


9. Wickr
  • Фингерпринты не проверяются.
  • Сообщения самоуничтожаются максимум в течение 6 дней.
  • Сообщения, фотографии, аудиозаписи.
  • Для регистрации требуется только придумать логин. Нет почты.
  • AES256, ECDH521 TLS
  • Android / iOS


10. Antox
  • Ну, про Tox вы и так все знаете, наверное. Где-то не пробился NAT и коммуникация вообще не удалась. В этом и состоит самая большая беда P2P-коммуникаций без сервера
  • OpenSource
  • Cross Platform


11. Seecrypt SC3
  • AES 256 & RC4 384
  • Сообщения / аудиозвонки / файлы
  • Android only


12. Telegram
  • Довольно удобный мессенджер с визуальным фингерпринтом. Проверки фингерпринта нет. Два режима работы: защищенные и незащищенные чаты.
  • AES-IGE + SHA1
  • Сообщения / файлы
  • Открытый протокол, OpenSource клиент, но не сервер
  • Android / iOS / Windows / MacOS / Linux / Browser


Выводы


Все несколько печально. Порадовал Chiffry, но он еще сырой и проприетарный; Surespot порадовал описанием и открытостью, несколько заинтересовал Vipole. Но всем остальным пользоваться неудобно или неприятно. Продолжаем пользоваться XMPP+OTR/SIP+ZRTP.