Mensagens seguras em 2023
O estado das mensagens seguras em 2023
Então, é 2023. Uma guerra cibernética completa ainda está acontecendo entre a Ucrânia e a Rússia. O Telegram se tornou uma ferramenta nessa guerra para os dois lados. Vamos aproveitar a oportunidade e examinar o estado das mensagens seguras, revisar algumas das opções mais conhecidas e examinar algumas das opções comerciais menos conhecidas.
Ao avaliar um aplicativo de mensagens seguro, o que observamos? Bem, a primeira coisa que vejo é a situação da propriedade. Além disso, o aplicativo ou sua tecnologia de criptografia subjacente é de código aberto? A integridade dos endpoints individuais pode ser garantida mesmo se a infraestrutura de back-end estiver corrompida ou a propriedade mudar (keybase.io foi um exemplo de mudança de propriedade quando a Zoom o comprou em 2020, mas mais sobre isso mais tarde?
Os critérios a seguir fluem para a revisão e avaliação de aplicativos e serviços de mensagens seguras. Isso pode diferir para algumas pessoas, mas acho que abrange os itens obrigatórios mais importantes.
- Criptografia de ponta a ponta (acéfalo)
- Compatível com várias plataformas
- Suporte de chamadas de voz e vídeo, bem como anexos
- Criptografia de código aberto
Vou fazer deste um top 5, começando com o meu favorito.
Sinal — https://signal.org/
Meu favorito pessoal por uma série de razões. Vamos começar com uma tabela de prós e contras:
Pró
- Pode fazer chats em grupo, SMS, chamadas de voz e vídeo, documentos e mensagens multimídia.
- Opção para enviar mensagens que desaparecem (com um timer)
- Protocolo Open Source Signal (usado também por outros aplicativos de mensagens)
- Acesso PIN (você pode definir um PIN que é usado para configurar o Signal em outros/novos dispositivos)
- Proteção por senha (o aplicativo exigirá um PIN ou senha para abrir, bom se o seu dispositivo cair em mãos erradas)
- Não armazena dados do usuário ou metadados
- Disponível para iOS, Android, Mac, Windows e Linux
- Crescente base de usuários
Vigarista
- Requer um número de celular para inscrição inicial
- Você só pode excluir mensagens de todos em um bate-papo enviado há menos de 3 horas. Pode não ser um problema para a maioria das pessoas, mas ainda vale a pena mencionar.
O Signal é o aplicativo de mensagens preferido de muitos indivíduos preocupados com segurança e privacidade; os exemplos mais conhecidos são Edward Snowden , Jack Dorsey e Bruce Schneier .
Neste ponto, estou confiante de que o Signal é o aplicativo de mensagens mais seguro que está facilmente disponível para o público em geral; o fato de haver uma enorme comunidade de código aberto revisando o código-fonte e identificando pontos fracos garante isso. Eu tenho que entrar na 1 coisa que é uma desvantagem, o fato de que você precisa fornecer um número de celular para a inscrição inicial; além disso, ainda não encontrei nada que me incomodasse com o Signal, e isso provavelmente é uma coisa menor para a qual sempre haveria a opção SIM descartável.
Um fator importante nessa segurança é o protocolo Signal : o padrão ouro de fato na criptografia de mensagens; isso é usado até por outros aplicativos que ainda não entraram nessa lista por vários motivos (por exemplo, What's App).
Portanto, esta é minha principal recomendação para um mensageiro seguro.
Mais sobre o Signal pode ser lido aqui: https://support.signal.org/hc/en-us
Mensageiro do Telegram — https://telegram.org/
Vamos esclarecer a primeira coisa aqui no começo, o fato de que o Telegram é de propriedade da Rússia. Por que diabos isso faria o top 5? Bem, existem algumas boas razões para isso.
O Telegram foi fundado em 2013 por dois irmãos russos, Nikolai e Pavel Durov. Em 2014, Pavel fugiu do país depois que alguns indivíduos fortemente ligados ao Kremlin assumiram o controle de um site de rede social conhecido apenas como VK. A agência de inteligência da Rússia pediu a Durov que entregasse os dados dos manifestantes anti-Kremlin. Durov recusou, o que acabou levando-o a sentir o país.
Embora muitos na Ucrânia tenham preferido o Signal ao invés do Telegram, uma grande comunidade ucraniana ainda está utilizando o Telegram, incluindo alguns de canais governamentais. Há também o Canal Telegram chamado Exército de TI da Ucrânia , com cerca de 185.000 assinantes até o momento, onde tarefas são dadas a indivíduos para ataques à infraestrutura e empresas russas.
Isso por si só pode não deixar a maioria dos usuários à vontade, então aqui estão alguns prós e contras a serem considerados; no final, você precisa decidir por si mesmo se o Telegram é confiável.
Pró
- Criptografia de ponta a ponta (E2EE)
- Protocolo de criptografia: MTProto , um protocolo personalizado
- Aplicativos de código aberto e Telegram Database Library
- Detecção de captura de tela (somente bate-papo secreto)
- Aplicativos para iOS, Android, Mac, Windows, Linux
- Mensagens autodestrutivas
- Pode excluir mensagens de todos os membros de um bate-papo sem limite de tempo
- Os usuários podem estar conectados em vários dispositivos simultaneamente
- Os usuários podem usar várias contas de telegrama no aplicativo e alternar entre elas
- Suporta verificação em duas etapas (2FA)
- Opção de criar Canais com audiência ilimitada ou grupos de até 200.000 membros
- Agora é possível se inscrever sem cartão SIM (leia mais aqui: https://telegram.org/blog/ultimate-privacy-topics-2-0#sign-up-without-a-sim-card )
Vigarista
- A criptografia E2EE é apenas para bate-papos secretos e não por padrão para todos os bate-papos
- Os servidores não são de código aberto
- Registra o endereço IP e outros dados do usuário
Estes parecem ser muitos contras, mas no final ainda é muito melhor, pelo menos na minha opinião, do que confiar na palavra de organizações como Meta (What's App. FB Messenger, Instagram Messenger) quando se trata de privacidade, todos nos lembramos do escândalo da Cambridge Analytica .
Mais sobre o Telegram pode ser lido aqui: https://telegram.org/faq .
Threema — https://threema.ch/en
Threema é uma alternativa interessante, embora não seja gratuita. É, como todos os outros, oferecendo E2EE. Um diferencial importante é que, ao contrário de literalmente todas as outras alternativas, não requer um número de celular ou endereço de e-mail para configuração inicial e registro.
Pró
- Criptografia de ponta a ponta (E2EE)
- Open Source (transição concluída)
- Método de criptografia: NaCl (sal) (biblioteca criptográfica de código aberto)
- Nenhum número de celular ou endereço de e-mail necessário
- Mensagens de texto e voz; chamadas de voz e vídeo; grupos e listas de distribuição
- Aplicativos para iOS, Android, Mac, Windows, Linux e o bastante decente WebApp aberto
- Compartilhamento de arquivos e votação em grupo
- Não registra endereços IP ou metadados (sua própria declaração)
- Possui todos os seus próprios servidores
Vigarista
- Um número relativamente pequeno de usuários significa opções limitadas
- Sem suporte 2FA
- Não é gratuito e não há avaliação gratuita (o custo para o download do Mobile é de 3,99 USD
O Threema é certamente um aplicativo de mensagens seguras muito bom. É um dos poucos que permite que você se inscreva sem fornecer um número de telefone ou endereço de e-mail. Por ser um aplicativo pago, você pode considerar isso uma vantagem, pois eles precisam ganhar dinheiro e, se ganharem dinheiro cobrando pelo aplicativo, terão menos motivos para vender seus dados (como o Facebook/Meta faz).
Dito tudo isso, quero encerrar a revisão do Threema com o fato de que eles estão sediados na Suíça, portanto, apenas lembrando a todos sobre o caso da Crypto AG - mas é claro, o Threema não parece estar conectado de forma alguma e apenas como o ProtonMail é certamente uma opção muito boa para suas necessidades de mensagens seguras.
Wickr Me — https://wickr.com/
Pensei um pouco antes de decidir incluir o Wickr nesta lista, e a razão para isso é a recente aquisição do Wickr pela Amazon. Eu ainda encontrei motivos suficientes para incluí-lo.
Vamos começar com os prós e contras
Pró
- Criptografia de ponta a ponta do lado do cliente (E2EE)
- Algoritmos de criptografia: AES 256, ECDH521 e RSA 4096, com Perfect Forward Secrecy (PFS)
- Contas anônimas são possíveis
- Aplicativos para iOS, Android, Mac, Windows, Linux e
- Um bom recurso "gravar ao ler" para mensagens e anexos
- Mensagens efêmeras e anexos (Mensagens efêmeras são a transmissão de dispositivo para dispositivo de mensagens que desaparecem automaticamente da tela do destinatário assim que a mensagem é lida. Você pode configurar o intervalo de tempo para isso).
- Publica Relatórios de Transparência — obtenha os mais recentes aqui: https://wickr.com/wp-content/uploads/2021/09/Transparency-Report-070121.pdf
- Todo o conteúdo do usuário é totalmente apagado do dispositivo após a expiração.
- Não registra endereços IP ou UID (Unique device ID — sua própria declaração)
- Não registra os metadados do usuário (sua própria declaração)
Vigarista
- O código é visível publicamente no GitHub, mas não é totalmente open source
- Com sede nos Estados Unidos
- Adquirida recentemente pela Amazon (vamos ver onde isso
- Não é uma base de usuários muito grande
O Wickr Me ainda pode ser considerado um dos melhores aplicativos de mensagens seguras do mundo. Mensagens efêmeras certamente são um gosto adquirido, mas pergunte a si mesmo se você precisa de anos de histórico de mensagens e, se precisar, este aplicativo não é para você. É uma solução viável para você se não o fizer, mas devemos continuar monitorando o que a Amazon fará com ela.
O Wickr Pro é para você se precisar de recursos adicionais. Se você quiser alguns recursos adicionais, escolha o Plano Básico (mas você não será mais anônimo) - para ainda mais, existem Silver, Gold e Platinum. Você pode conferir os níveis de produto para obter mais detalhes: https://wickr.com/product-tiers/
Dito isto, e mesmo tendo sido adquirido pela Amazon, ainda assim entrou na minha lista principalmente pelo facto de não ser necessário fornecer um número de telemóvel ou endereço de e-mail para se inscrever, tornando-o útil para determinados fins. Mas aqui, tudo depende se você confia ou não na Amazon ou como se sente sobre eles possuírem o Wickr.
Base de chaves — https://keybase.io/
Assim como no Wickr, também pensei nisso antes de incluir o Keybase; isso ocorre principalmente porque eles foram adquiridos pela Zoom em algum momento de 2020.
Vamos começar novamente com os prós e contras
Pró
- Criptografia baseada em PGP de ponta a ponta (E2EE) para mensagens e compartilhamento de arquivos
- Algoritmos de criptografia: XSalsa20, Poly1305, Ed25519, SHA512
- Os aplicativos são de código aberto
- Aplicativos para iOS, Android, Windows, Mac, Linux
- Possui um recurso de autodestruição para mensagens
- o uso de vários dispositivos é possível
- Eles fornecem 250 GB de armazenamento em nuvem criptografado com sua conta
- Baseado em Blockchain para proteção contra adulteração
- Totalmente gratuito.
Vigarista
- Agora propriedade da Zoom, que tem fortes laços com a China (preocupações com a privacidade) - Embora o proprietário agora seja um cidadão dos EUA, a principal força de trabalho de desenvolvimento está baseada na China.
- Não é tão simples de instalar e configurar totalmente
- Usuários regulares podem ter um pouco de curva de aprendizado
- Bate-papo com recursos limitados
- O back-end do servidor NÃO é de código aberto
- não é uma base de usuários muito grande (abaixo de 500k)
Portanto, apesar de todos esses contras, o aplicativo chegou ao último lugar no meu top 5.
Keybase é uma poderosa coleção de ferramentas de segurança que trazem a criptografia PGP para mais usuários e a tornam mais aplicável para uso geral. Para o usuário médio, é um pouco confuso e complicado de usar, mas para pessoas bem versadas em tecnologia, é uma boa caixa de ferramentas.
Em uma revisão inicial, o Keybase ainda é muito seguro. Não houve relatos de Keybase sendo hackeado ou comprometido de outra forma que eu pudesse encontrar.
Infelizmente, não há nada que tire o fato de Zoom Ownership, então, embora tenha feito uma lista, devido aos muitos recursos para usuários avançados e ao fato de ser totalmente gratuito, mal entrou na lista no último lugar, e não tenho certeza se isso fará parte da lista dos próximos anos para mim.
Com isso, encerro o artigo de hoje e espero que possa ajudar alguns de vocês a decidir sobre o messenger certo para usar.
Você também pode querer conferir alguns dos meus vídeos no meu canal do YouTube:
Comentários
Postar um comentário