2020年に最高の暗号化されたメッセージングアプリ(およびその制限)

最高の暗号化されたメッセージングアプリ

最適な暗号化されたメッセージングアプリを知りたいですか?残念なことに、状況によっては理想的なアプリがあるため、それほど単純ではありません。 多くの場合、トレードオフを行う必要があります 他の人には実用的ではない.

これは、最適なアプリが状況に依存することを意味するため、適切な組み合わせを提供するいくつかの異なるオプションが引き続き必要になります 実用性と適切なセキュリティレベル 任意の会話に対して.

はじめに、暗号化されたメッセージングアプリを使用する必要がある理由と、仮想的な完璧なアプリの機能について説明します。その後、提供されている主要なアプリと、各アプリをいつ使用するかを調査できます.

最後に、これらのアプリの制限と、最高の保護でもデータを保存できない状況について説明します.

暗号化されたメッセージングアプリを使用する理由?

近年、メッセージングアプリは、コミュニケーションの大部分を行うことができるワンストップショップになりました。ほとんどの場合、ほとんどの場合携帯電話を使用しているため、これらのアプリを使用すると、いつでも好きなときに通信できます。これにより、メッセージングアプリは、固定電話やデスクトップベースのメッセージングなどの他の通信チャネルよりもはるかに実用的になりました。.

ほとんどの場合、これらのアプリは無料です。これは、通話やSMSメッセージングなどの機能に対するもう1つの利点です。ほとんどのアプリは、他の人と連絡を取るためのさまざまな方法を提供しています。ユーザーにテキストメッセージ、音声メッセージを送信したり、音声通話やビデオ通話をしたり、写真を送信したり、ファイルを共有したりできます。.

さらに、多くのメッセージングアプリが提供しています エンドツーエンドからの暗号化, 本質的には、携帯電話と受信者の間の移動中にデータにアクセスできないことを意味します。これにより、ハッカーが会話を盗聴してデータを盗むのを防ぐことができ、さらに政府が索するのを防ぎます.

これらの側面により、暗号化されたメッセージングアプリは、電話、テキストメッセージ、標準的な電子メール、さらには控えめな郵便局よりも安全です。これらの機能をすべて追加すると、暗号化されたメッセージングアプリを利用する多くの理由があります。しかし、それらのすべてが平等に作成されているわけでも、開発者が常にあなたのセキュリティを真剣に考えているわけでもありません.

完璧な暗号化メッセージングアプリ

夢のアプリを作成できれば、さまざまな機能を組み合わせることができますが、残念ながら現実が邪魔をして妥協を余儀なくされます。それでも、完璧なアプリは次のようになります。

みんなとコミュニケーションができる

理想的には、すべての人に連絡するために使用できるアプリが1つだけ必要です。現状では、友人、家族、同僚と通信するときに、異なるアプリ、テキスト、電子メール、通話を切り替えるという煩わしさを経験しています。.

すべてを1か所で行うことができれば、より効率的です。理論的には、これは2つの方法で実現できます。 1つは、全員がユニバーサルメッセージングアプリを使用しているかどうかです。別の方法は、単一のアプリが他のすべてのアプリにメッセージを送信できるようにすることです.

現時点では, 人気の暗号化されたメッセージングアプリはすべて、同じプラットフォームを使用する他のユーザーとの会話にのみ使用できます. WhatsAppメッセージを誰かのiMessageアカウントに送信することはできません。他のWhatsAppユーザーにのみ送信できます(ただし、間もなくFacebookはそのアプリを統合して、人々がWhatsApp、Facebook Messenger、Instagramの間でメッセージを送信できるようにします).

全員が同じアプリを使用できるようにすることは、ニーズが異なるため実用的ではない場合があります。もう1つのオプションは、さまざまなアプリで同じプロトコルを使用し、相互運用性を確保することです。たとえば、Gmailユーザーであれば、他のGmailアカウントにメールを送信するだけに制限されません。誰にでもメールを送信できます。 Outlookユーザーおよび他のすべてのユーザーと同様に.

メッセージングアプリにも同様のシステムが可能です。必要なのは、複数のプラットフォームが同じ基盤プロトコルを使用することだけです。 ChatSecureやConversationsなどのアプリはそれぞれXMPPプロトコルを使用しており、ユーザーは同じプロトコルを使用する異なるアプリケーションからメッセージを送受信できます。.

このアプローチは完全ではなく、多くの開発者が商業的および技術的な理由で拒否しています。 Facebookや他の企業の利益のために、あなたが彼らのメッセージングサービスに閉じ込められたままにしておくことです。より実用的な意味では、オープンプロトコルを使用すると、開発者が達成できることを制限し、セキュリティまたは機能上の目的で新しい機能を追加することが難しくなります。.

フル機能 & 使いやすい

誰もが同じアプリを使用するようにするには、ユーザーが必要とする可能性のあるすべての機能を含める必要があります。ビデオチャット、絵文字、GIFなどがない場合は、代わりにこれらのオプションを提供する他のサービスに向かうユーザーもいます。.

その機能に加えて、理想的なアプリはシンプルで便利です。連絡先を自動的に同期し、新しい人を見つけやすくし、迅速で簡単なコミュニケーションを提供します。残念ながら、いくつかの異なる便利なメカニズムは、以下で説明するプライバシーおよびセキュリティ対策の一部と競合します.

セキュリティ専用

セキュリティは、機密情報や貴重な情報を送信するあらゆる状況で重要です。デフォルトでは、インターネットは非常に安全ではない場所であり、攻撃者は隅々に潜んでいる可能性があります。これが、メッセージアプリがセキュリティを真剣に考えることが重要な理由です.

安全なアプリの最も重要な機能の1つは エンドツーエンド暗号化. これをセキュリティのベストプラクティスと一緒に実装すると、携帯電話のアプリと受信者のアプリの間でやり取りされるデータに誰もアクセスできなくなります。これは、犯罪者も政府も、サービスを介して送信中のデータやメッセージにアクセスできないことを意味します.

一部のユーザーにとって、完璧なアプリは 匿名のまま. これは、プラットフォームがデータを一切渡さずにサインアップできることを意味します。現状では、より多くの主流のアプリケーションには、メールであろうと電話番号であろうと、何らかの種類の識別子が必要です。特定の場合、これを回避する方法がありますが、それでも障害です.

匿名ユーザーは、IDを損なうことなく連絡先の同期などの便利な機能をアプリが提供できないため、実用性の問題に直面することになります。.

プライバシーとセキュリティの両方の理由から、アプリにとって理想的です ユーザー情報を保存しない. プラットフォームは、コミュニケーションを確立して有効にするために、いくつかのメタデータを収集して処理する必要があります。後でデータを削除することもできます。一部のサービスは、ライバルよりもはるかに多くのメタデータを処理して保存しますが、これはプライバシーとセキュリティにとって大きな危険です.

安全なメッセージングアプリが重要であることも重要です オープンソース. これは、コードが一般に公開されており、誰でも検査できることを意味します。コードを見る人が多いほど、誰かが脆弱性や悪意のあるアクションを見つける可能性が高くなります.

外部セキュリティ監査も同様に実施する必要がありますが、オープンソースソフトウェアの代替としてではありません。監査は少数の人々によって行われるため、レビューが侵害される可能性が高くなります。結果は公開されない場合があります。外部監査には、ソースコードを注いでいるコミュニティの集合的な目から来るのと同じ種類の精査が欠けています.

以下のように実装する必要がある他のさまざまなセキュリティ機能 完全な秘密. これは暗号用語であり、将来暗号キーが危険にさらされても、過去のメッセージへのアクセスには使用できないことを意味します。他の人は、自己破壊的なメッセージや、画面キャプチャを無効にするメカニズムのような機能が必要な場合があります.

これらのセキュリティ機能の多くが理想的です デフォルトで有効 ユーザーを保護し、使用の邪魔になるユーザーを無効にすることができます。あるいは、理想的なアプリには、ユーザーがニーズに合わせてセキュリティ構成を簡単に調整できるようにする厳格な標準モードとライトモードがあります.

重要なのは機能だけではありません。開発者の態度も重要です。この仮想アプリの開発者は プライバシー、セキュリティ、透明性にコミット. 当局からの侵入に抵抗し、広告用のユーザーデータの収集を拒否する必要があります。.

最高の暗号化されたメッセージングアプリ

セキュリティで保護されたメッセージングアプリの理想的な機能について説明したので、より一般的なアプリのプラスとマイナスの属性を分析することができます。.

セキュリティに重点を置いたいくつかのアプリをカバーすることから始め、次に、より広いネットワークを持つアプリに進みます。他にも数え切れないほどのアプリが提供されており、それぞれに独自の興味深いセキュリティ機能や特定の地域の大規模なユーザーベースがあります.

主な目的は、最も一般的なものだけでなく、最高のセキュリティを備えたアプリを調査し、使用するのに適しているものと、それを避ける必要があるものについての洞察を提供することです.

1.シグナル

暗号化メッセージング-3

シグナルブルーアイコン Tyler Reinhardによるライセンス CC0

まず、Signalから始めましょう。Signalは、暗号化されたメッセージングアプリの場合、ゴールドスタンダードとしてよく見られます。それは完璧ではありませんが、セキュリティに関しては多くのことが行われています、そしていくつかの選択肢は特定のユーザーが好む個々の機能を持っているかもしれません.

このアプリケーションは、WhatsAppなどのサービスに匹敵する幅広い機能を提供します。テキストからビデオハングアウト、グループチャット、絵文字まで、すべてが重要です。また、PGPなどの他の安全な通信形態と比較して、非常に使いやすいです。.

シグナルは、その暗号化セットアップで際立っています。これは、会社が一般的に データやキーにアクセスできません それを確保します。メタデータも保持されないため、当局がSignalの記録を召喚すると、引き渡すことができるものはあまりありません。.

これは以前に法廷でテストされており、会社が引き渡すことができた唯一のデータは、アカウントが作成されたときと最後に接続されたときのタイムスタンプでした。このような限られた量のデータを保持することは、Signalがユーザーのセキュリティとプライバシーに大きなレベルの懸念を置いていることを示しています.

詳細に飽きたくはないかもしれませんが、そのセキュリティはさまざまなアルゴリズムとセキュリティメカニズムによって実現されます。これらには、XedDSAおよびVXEdDSAデジタル署名、拡張トリプルDiffie-Hellman鍵合意プロトコル、ならびにDouble RatchetおよびSesameアルゴリズムが含まれます.

技術的なノウハウを持っている人なら誰でもSignalのコードを確認できます。 オープンソース. また、研究者によって監査され、「その設計に大きな欠陥はない」ことが判明しました。これは、セキュリティの厳選された世界のように聞こえるよりもはるかに熱烈なレビューです.

全体として、プロトコルはその精査のすべてに対して信じられないほど良好であり、多くの人がそれを 最良かつ最も実用的な安全なメッセージングソリューション.

セキュリティを重視する人がアプリで持つ主な不満の1つは、 登録には電話番号が必要です. これはユーザーのアカウントを確認するために使用され、ユーザー名とパスワードの必要性を排除します。また、Signalを使用する連絡先を見つけやすくなります.

一部の人々は電話番号を引き渡すことを渋っていますが、それはアカウントを設定するためにのみ必要です。ユーザーはVoIP番号、固定電話、または非個人番号を使用することもできるため、この問題の回避策があります.

Signalのもう1つの利点は、その構造、資金調達、全体的なビジョンです。それは、アナキストの船乗りであり、暗号の救世主であることで有名な謎めいた男、Moxie-Marlinspikeによって共同設立されました。長年のしゃがみとヒッチハイクの後、彼はWhisper Systemsという会社を共同設立しました。.

Twitterに買収されたとき、彼はソーシャルメディアプラットフォームのサイバーセキュリティ責任者になりました。彼は、現在Signalを開発している会社であるOpen Whisper Systemsを立ち上げるために会社を辞めた。そうすることで、彼はストックオプションで100万ドルから離れました.

アプリは広告なしで無料であり、それは ユーザーデータを収集または販売しません. 現在、フリーダムオブザプレスファンデーション、ブライアンアクトン、その他からの助成金と寄付金が支給されています。.

これらの詳細はSignalを自動的に信頼できる組織にするものではありませんが、Facebookのようにデータマイニングに依存して数十億を作る代替手段よりも信頼性が高くなります.

Signalの最大の欠点は、WhatsAppやFacebook Messengerなどのメインストリームアプリほど人気が​​ないことです。ジャーナリスト、活動家、政治家、および機密情報を扱う他の人に人気がありますが、大きなライバルと同じような広範な採用は見られていません.

つまり、これを使用して多くの友人、家族、同僚にメッセージを送ることができない場合があります。あなたは彼らにそれを採用するように奨励することができますが、それは常に簡単に売れるとは限りません。機密情報や貴重な情報を扱う場合は常に最適な選択肢の1つですが、特定の人と話すにはWhatsAppやFacebook Messengerなどの安全性の低い代替手段に戻す必要がある場合があります.

2.ワイヤー

暗号化されたメッセージング2

ワイヤーテキストロゴ ワイヤーによるライセンス CC0

WireはSignalよりも人気がありませんが、特定の状況で適切な代替となるいくつかの違いがあります。メッセージング、音声通話、ビデオ通話、グループチャットなど、期待される機能のコアグループを提供します。また、ビジネス市場向けのさまざまなコラボレーションツールも含まれています。 Wireアプリも比較的 便利で使いやすい.

その利点の1つは、ユーザーが 電話番号を渡さずに登録する. 代わりにユーザー名とパスワードを使用してサインアップするだけです。そのメッセージは、Proteusで暗号化されています。ProteusはSignal Protocolに基づいています。 Wireは音声通話にSRTPとDTLSを使用します.

ワイヤーも オープンソースであり、外部から監査されている. 以前のバージョンにはいくつかのセキュリティ上の問題がありましたが、問題はその後解決されました。現状では、アプリは高レベルのセキュリティを提供すると考えられています.

Wireの最大の欠点の1つは、 はるかに多くのメタデータを保存します シグナルより。この情報はプレーンテキストとして保持され、誰に連絡したか、この情報を非表示にしたいユーザーにとって望ましくないときが含まれます。 Wireの声明によると、この情報は複数のデバイス間で連絡先を同期するのに役立つように保持されています.

プラットフォームが当局によってユーザーデータの引き渡しを強制されたかどうかを示す公開情報は(執筆時点では)存在しないため、Signalと比較してこの方法でアプリがどのように公平になるかは現時点ではわかりません.

Wireがより多くのデータを収集するという事実から判断すると、それは 当局にさらに引き渡すことを余儀なくされた, しかし、法執行機関の要求に直面したときに会社がそのかかとを引きずるかもしれないかどうかはわかりません.

このプロジェクトはスイスに拠点を置き、多くの元Skype従業員で構成されています。最初はIconicalから資金を受け取り、プラットフォームをサポートするために広告を使用することに反対しています。現在、無料のプランとプレミアムオプションの両方を提供しており、おそらくその開発とランニングコストに資金を提供しています.

WireのネットワークはSignalよりも小さいため、通信するユーザーがさらに少なくなります。それにもかかわらず、それはのための実用的なソリューションです ビジネスユーザー, したい人 クロスデバイスプラットフォーム そして、電話番号を引き渡したくないユーザーのために.

3.ウィッカー

ウィッカーは 古いセキュリティ重視のアプリ, メッセージング、ビデオ通話、写真の共有、デバイス間の同期などの機能を提供します。この記事で説明した各アプリのように、Wickrには長所と短所があります。これは、ある状況では適切な選択になるが、他の状況では適切ではないことを意味します.

Wickrは3つの異なるサービスを提供します。

  • ウィッカー・ミー –無料のパーソナルメッセージングアプリ.
  • ウィッカープロ –無料オプションと有料オプションの両方を備えたビジネスコラボレーションプラットフォーム.
  • ウィッカーエンタープライズ –企業のニーズを満たすことを目的とした、スケーラブルでコンプライアンス対応のツール.

これらの各レベルには、セキュリティとプライバシーの設定をわずかに変更する可能性のあるさまざまな機能が含まれています。この記事では、主にWickr Meについて説明します。これは、Wickr Meが、これから説明する他のアプリに最も匹敵するサービスだからです。.

Wickrメッセージングプロトコルは、完全な機密性と優れた消失メッセージシステムを備えたエンドツーエンドの暗号化を提供します。そのセキュリティ設定は、セキュリティの専門家から好意的なレビューを受けており、また によって賞賛 電子フロンティア財団 透明性への全体的なアプローチ.

アプリケーションは、ネットワークを介して送信される通信からメタデータを削除します。これは、ユーザーのプライバシーにとって有利です。もう1つの重要な機能は、電話番号や識別情報を必要としないことです。この意味は 匿名メッセージングに使用できます, シグナルとは異なり.

Wickrには強力なセキュリティ履歴もあります。数年前にいくつかのバグが見つかりましたが、その後パッチが適用されています。セキュリティニッチ内であっても、このような少数の欠陥は賞賛に値します.

Wickrの主要な問題の1つは 完全にオープンソースではありません. アプリの暗号化プロトコルのコードは最終的に2023年にリリースされましたが、そのクライアントアプリケーションとサーバー側のコードはまだ利用できません.

ZDNetによると、Wickrの元CEOは「会社の知的財産と営利事業構造」のため、コードを完全にオープンすることに抵抗がありました。コード全体を公開する.

多くの人は、このアプリは完全にオープンソースだと考えているようです。多くのメディアの記事では、 セキュリティプロトコルのみがオープンソースになり、クライアントまたはサーバーコードは作成されませんでした.

これは、完全なコードがコミュニティによってバックドアやその他の脆弱性についてオープンにレビューされていると信じるようになるため、危険な誤解です。これは事実ではなく、会社は全体的に比較的信頼できるように見えますが、コードが完全にオープンソースにされるまで、私たちは確実に知ることができません.

この段階では、Wickrはこの方向に向かうつもりはないようです。これは、セキュリティプロトコルのコードをオープンソースにすることは、セキュリティへのコミットメントよりも宣伝スタントに近いことを示している可能性があります.

Wickrが当局へのバックドアを持っている可能性は比較的低いかもしれませんが、他の多くのセキュリティ重視のアプリはオープンソースであることに起因する完全な精査に直面しているため、これらの選択肢は1.

一般に、セキュリティコミュニティでは完全にオープンソースのアプリが好まれますが、反対側も同様に検討するのは公正です. Wickrは多くの信頼できる組織から外部レビューを受けました. これらには、Aspect Security、Veracode、NCC Group、およびAICPAが含まれます。同社には、最大100,000ドルを提供するバグバウンティプログラムもあります。.

最終的には、会社とその監査を信頼するかどうか、またはオープンソースコミュニティが見渡せるオプションを好むかどうかについて、独自の決定を行う必要があります。.

良い点として、Wickrは収集するデータについて非常に透明性が高く、どの条件の下で個人情報を当局に引き渡すことを余儀なくされるかもしれません。.

Wickrは、Meサービスを使用するユーザーに関する次の情報を保存します。

  • アカウントが作成された日付.
  • アカウントが使用されたデバイスのタイプ.
  • 最終使用日.
  • 送受信されたメッセージの総数.
  • アカウントに接続されている外部ID(メールアドレスと電話番号)の数。ただし、プレーンテキストの外部ID自体は含まれません。.
  • アバター画像(ユーザーが提供した場合).
  • アカウント設定の最近の変更に関する限られたレコードセット。これらには、デバイスが追加または一時停止されているかどうかが含まれますが、メッセージの内容やルーティングおよび配信情報は含まれません.
  • 使用されているWickrバージョン番号.

Proサービスを使用するユーザーには、次の情報も保存されます。

  • 彼らのネットワーク所属.
  • Wickr Pro ID(メールアドレス).
  • 電話番号(2番目の認証要素としてネットワーク管理者から提供された場合).

Wickr Proの設定方法によっては、さらに多くのデータが収集される場合があります。会社には次の免責事項が含まれています。

Wickr Proの場合、各ネットワークの構成は企業のニーズによって異なる場合があります。したがって、Wickrがユーザー情報の合法的な要求に応じて提供できる情報は、さまざまです。.

Wickrは上記のデータのみを保存するため、これは法執行機関に渡すことができる唯一の情報です。つまり、メッセージのコンテンツやメタデータを放棄することはできません。会社のプライバシーポリシーには、アカウント情報のリクエストがあった場合、法的に禁止されていない限り、ユーザーに通知することも明記されています。この場合、影響を受けるユーザーに通知が許可されるとすぐに通知することを目的としています。.

Wickrは透明性レポートも毎年2回リリースしています。 7月1日からのレポートには、過去6か月に受け取ったリクエストが含まれています。

  • 8つのアカウントをカバーする5つの検索保証(1つの注文が複数のアカウントに関係する場合があります).
  • 75アカウントに関する49件の裁判所命令.
  • 59のアカウントをカバーする40の法執行機関の召喚状.
  • 国家安全保障上の要求はゼロ.
  • 21その他のリクエスト.
  • 非米国居住者に関する4つのリクエスト.

上で述べたように、Wickrはこれらのリクエストを受信すると、メッセージの内容やメタデータではなく、保存されている情報のみを引き渡すことができます.

ウィッカーのコアチームは、サイバーセキュリティの専門家とプライバシーの専門家で構成されています。初期の技術開発の大部分は、組織の共同設立者の1人であり、元CTOのRobert Roberta博士によって監督されていました。彼は印象的なinfosecの血統を持ち、それは会社の現在のリーダーシップと相まって、プロジェクトを良い手に保っています.

この組織は、Knight Foundation、Byerer Capital、Juniper Networks、CME Group、Wargamingなどを含むさまざまなグループから初期資金を受け取りました。これは営利企業にとってかなり標準的なものです。 Wickrのビジネスモデルは現在、プレミアムサブスクリプションサービスの提供に基づいているようです.

全体的に、Wickrは幅広いビジネスサービスを提供し、ユーザーが匿名でサインアップできるため、Wireと非常によく似ています。 Wireのようにメタデータを保存しないという点で追加のポイントを獲得しますが、コードを完全にオープンソースにすることを拒否すると、より多くのセキュリティに敏感な個人が先送りされます.

Wickrは一般的に優れたサービスですが、Signalはより大きなネットワークといくつかのセキュリティ上の利点を提供します。特にビジネスコラボレーションツールまたは匿名性を必要としない限り、ほとんどの場合、Signalがおそらくより良い選択です。.

4.暴動

Riotは、前述のアプリに対して異なるアプローチを採用しており、現時点ではパワーユーザーに任せるのが最善です。それは オープンソースであり、フェデレーテッドマトリックスプロトコルを使用, つまり、Riotユーザーは、同じアプリをインストールした他のユーザーにメッセージを送信することに限定されません。.

Riotはオープンスタンダードの上に構築されているため、 メッセージは、Matrixプロトコルを使用する他のアプリケーションにも配信できます。. つまり、Riotメッセージは、FractalやWeeChat Matrixなどのプログラムを使用しているすべてのユーザーの受信トレイに直接送られます。.

フェデレーションの性質により、電子メールのようなものになります。Gmailを使用してOutlookを使用している場合でも、だれからでもメールを送受信できます。電子メールと同様に、Matrixプロトコルは広く受け入れられることを目指しており、使用しているクライアントに関係なく、人々が互いにメッセージを送信できるようにします。.

XMPPやIRCなどのプロトコルとSlackコラボレーションツールへの公式のブリッジがあります。コミュニティはまた、独自のブリッジを開発しました さまざまな一般的な種類の通信との間でメッセージを中継する, 以下を含む:

  • Eメール
  • SMS
  • WhatsApp
  • 信号
  • Facebook Messenger
  • スカイプ
  • iMessage
  • 電報
  • Googleハングアウト
  • WeChat
  • 不和

Riotは、テキストコールからビデオコール、プライベートチャットからグループチャット、ファイル共有、ボットまで、さまざまな一般的な機能を提供します。ただし、使いやすさは劣り、Signalのような競合他社ほど成熟していません.

アプリ間で通信できるという利点があるように見えますが, 連合システムにも欠点がある. 彼らは開発をより困難にし、SignalやWireなどのサイロ化されたシステムに取り残される可能性があります。これは、新機能とセキュリティメカニズムの採用が遅れ、サービスの魅力が低下する可能性があることを意味します。.

RiotのMatrixプロトコルのエンドツーエンド暗号化は、Signalも使用するDouble Ratchetアルゴリズムの上に構築されています。マトリックスは、グループチャットにMegOLMを使用するほか、他の多くの暗号化技術も使用します.

Riotはまだ比較的未熟なアプリなので、現在のセキュリティについては議論の余地があります。 4月、基盤となるMatrixプロトコルのサーバーは ハッカーが侵入した, メッセージデータ、パスワードハッシュ、アクセストークンへのアクセスを許可した可能性があります.

Riotアプリに署名するためのキーも侵害された可能性があり、攻撃者がRiotの悪意のあるバージョンをリリースする可能性がありました。開発者は、この可能性を防ぐために、異なるIDでアプリの新しいバージョンをリリースしました.

この段階では、徹底的なセキュリティ監査は行われていないようです。そのため、Riotが監視にどれだけ耐えられるかを知ることは困難です。初期段階のアプリはセキュリティの問題に悩まされる傾向があるため、ユーザーは注意する必要がありますが、これは必ずしもRiotが将来安全なアプリにならないという意味ではありません.

暴動は、現在米国に本部を置くイスラエルの多国籍企業であるアムドックスにまでさかのぼります。社内でチャットツールが作成され、Matrixプロトコルに変身しました。プロジェクトを処理するために子会社が設立されましたが、2023年にその資金は遮断されました.

これは 独自の会社を設立するコア開発者 MatrixとRiotの両方の構築に焦点を当てます。初期の資金の多くはコミュニティからのものであり、ステータス、パートナーシップ、コンサルティングの可能性から資金が注入されました。このビジネスモデルでは、アプリは現在広告なしで無料で提供されています.

アムドックスの下でのアプリの始まりについては、オンラインで懐疑的な見方が少しあります。これは、イスラエルに関連したスパイの可能性について以前に調査されました。調査では証拠が見つかりませんでした。現在、プロジェクトは別の会社によって実行されています。このリンクはおそらく暴動のセキュリティに関して最も懸念の少ない側面の1つですが、一部の情報セキュリティオタクは良い陰謀を愛しています.

この段階では、暴動は 比較的小さなネットワーク. GoogleのPlayストアが10,000以上を主張しているのに対し、そのWebサイトは700万人のユーザーがいることを示しています。 Riotのコミュニティのほとんどはセキュリティを意識しており、ブラウザやF-Droidからアプリをダウンロードする可能性が高いため、Riotの数値は確かに正確である可能性があります。.

小規模なユーザーベースにもかかわらず、Riotは、Matrixプロトコルを使用する他のアプリケーションとの相互運用性、および他のプラットフォームへのブリッジにより、これらの数字が示すよりもはるかに使いやすくなっています。.

5. WhatsApp

暗号化メッセージング-4

WhatsAppロゴタイプ WhatsAppライセンス CC0

セキュリティに重点を置いたいくつかの異なるアプリについて説明したので、次は主流のプラットフォームを検討します。セキュリティと大規模ネットワークの妥協点として、おそらくWhatsAppが最善の策でしょう。機能面では、ほとんどの人が必要とするほぼすべてのものがあり、Signalのプロトコルの上に構築され、信じられないほどの数のユーザーがいます。2023年末までに15億のアクティブな月間ユーザーがいます.

ユビキタスであるため、ほとんどの読者はおそらくそれに精通しているため、その機能については詳しく説明しません。最も重要な部分はそのセキュリティです。 2014年、WhatsAppは最初の主要なプラットフォームの1つとしてハイテク業界に波を起こしました デフォルトでメッセージをエンドツーエンドで暗号化する.

Signalの親であるOpen Whisper Systemsと協力してそれを実現し、現在の暗号化採用の波でパックをリードしました。同じプロトコルを使用して構築されていますが、すべての側面が同じではありません。まず、その コードは独自のものであり、検査のために開かれていません. これは、ボンネットの下で何が起こっているのかを完全に確信できないことを意味します.

いくつかの脆弱性が発見されましたが、それらはメディアによって非常に誇張されています。 2023年、Guardianはユーザーを危険にさらす重大な欠陥を報告しました。しかし、これは後に不正確であることが判明し、それ以来論文は撤回しました.

5月、WhatsAppに脆弱性が発見されましたが、その後パッチが適用されました。欠陥は確かに心配でしたが、適切なコンテキストで表示する必要があります。それは、NSOグループが開発した非常に高度な技術を必要としました。NSOグループは、本質的にサイバースーパーヴィランコングロマリットと見なすことができるような複雑な攻撃を開発するセキュリティ会社です。.

どれだけの人が影響を受けたかは明確ではありませんが、同様の攻撃があれば、ハッキングは大量のリソースを費やし、 ターゲットを絞った方法でのみ使用できた.

このロジックに従うと、低リスクのユーザーは脆弱ではなかったようです。たとえそうであったとしても、持っている限り安全です 最新のアップデートをインストールしました. これらの時折の誇張されたレポートにもかかわらず、WhatsAppのプラットフォームは利用可能なより安全なメインストリームオプションの1つです

アプリのセキュリティはまともですが、Wh​​atsAppとSignalの最も重大な違いは、WhatsAppが収集するデータの量と、それを制御するユーザーによって決まります。. WhatsAppははるかに多くのメタデータを保存します 連絡先、連絡が行われた時間、通話の継続時間など、Signalよりも.

この情報とアドレス帳のデータを当局に公開するよう命じられた場合は、当局と公開します。 WhatsAppはメッセージのコンテンツを引き渡すことはできませんが、多くの場合、メタデータは捜査で法執行機関を支援するのに十分です.

WhatsAppも このデータを フェイスブック スパムとの闘い、指標の追跡、より関連性の高い広告の表示に役立つと考えられます。例外はヨーロッパです。EUの規制により、会社はそうすることができません。.

Facebookにはプライバシー侵害の長い歴史があり、そのビジネスモデルはFacebookに依存しています。 WhatsAppのきちんとしたセキュリティの実装にもかかわらず、そのような物議を醸す会社への従属を乗り越えることは困難です。既にメタデータを共有していますが、時間の経過とともにプライバシーとセキュリティが悪化する可能性があります?

Facebookは現在、Facebook、WhatsApp、Instagramを統合してサービス間のクロスプラットフォームメッセージングを可能にすることを目的とした大規模なオーバーホールの真っin中にあるため、WhatsAppの未来に関するすべてが空中に浮かんでいます。.

これがセキュリティにどのように影響するかを知るのは困難です。なぜなら、この段階では、あまり多くの詳細が公開されていないからです。. Facebookは将来、プライバシーに対するより大きなコミットメントを表明しました, しかし、この段階では、物事がどのように終わるかはわかりません.

WhatsAppは完璧とはほど遠い、特にあなたが誰であるかを考えるときは。ただし、非常に多くの人がすでにそれを持っていることを考えると、より安全なオプションが不可能な場合は良い選択です.

6.電報

暗号化メッセージング-5

電報のロゴ Javitomadによるライセンス CC0

テレグラムは多くの場合、安全な代替手段であると考えられていますが、深く掘り下げると、すべてが見た目どおりではありません。特に他のサービスが禁止されている国では、機能が豊富で急速に成長しています.

アプリケーションに対する最初の攻撃は、その暗号化スキームであるMTProtoがTelegram独自の暗号化に基づいていることです。これは大罪です 暗号化は複雑で悪名高い. このプラットフォームは、より安全で徹底的に精査された暗号化スキームを使用していないことについて、暗号学者によって長い間批判されてきました.

2番目の大きな欠点は そのクライアント側のソースコードのみがオープンソースです. これは、サーバー側で何が起こっているのか実際にはわからないことを意味します。 Telegramは最終的にコード全体をリリースすると主張していますが、それまではセキュリティの問題について徹底的に調査することはできません.

Telegramは、デフォルトのメッセージング設定も批判されており、エンドツーエンドで暗号化されていません。会社はユーザーの通信を保護するキーにアクセスでき、理論的には当局に明け渡すことを強いられる可能性があります。.

テレグラムは、これは一度も起きたことがないと主張し、その構成のため、そうするためには複数の国からの裁判所命令が必要だと主張していますが、SignalとWhatsAppが共有していないことは依然として懸念事項です.

Telegramは、エンドツーエンドのメッセージを暗号化する秘密チャット機能も提供しますが、これも問題です。そもそも、Telegramの物議を醸す暗号化スキームに基づいています。これは、会社が主張するほど安全ではない可能性があります.

他の重要な側面は この方法で会話を暗号化するには余分な努力が必要です, つまり、ほとんどの人は気にしません。セキュリティを重視している場合は、デフォルトですべてを保護するアプリを使用することをお勧めします。これにより、通信を安全に保つために特別な手順を踏む必要がなくなります。.

現時点では、グループチャットをエンドツーエンドで暗号化することはできません。同社はまた、暗号化コンテストを開始したことで非難されており、特定の方法で誰かがプラットフォームを攻撃できる場合、最大300,000ドルが提供されました。シナリオは非現実的であり、セキュリティブロガーにridされました.

予想通り、どのコンテストにも勝つことはできませんでしたが、これは必ずしもTelegramのセキュリティによるものではありませんでした。クラッキングコンテストは、一般にinfosecコミュニティによって軽disされています。 多くの場合、実際のセキュリティよりも不公平であり、姿勢についての詳細.

Telegramのセキュリティ慣行は世界で最悪ではないかもしれませんが、確かに日陰になります。セキュリティは常にある程度の信頼を伴い、上記のプラクティスのいくつかはこれを侵食しました.

7. iMessage

iMessageにはデフォルトでApple製品が付属していますが、その正確なユーザー数は入手が困難です。 2023年時点で、世界中に約7億台のiPhoneが存在すると推定されたため、10億人を超えるユーザーの推定は不合理ではない.

Appleユーザーに限定されていますが、人気が高いため、アプリのセキュリティを調べることが重要です。最初の大きな問題は コードはプロプライエタリであり、オープンソースではありません, つまり、セキュリティコミュニティはそれを確認する機会を持っていません。.

会社は内部監査を実施していますが、外部レビューに関する情報を入手するのは困難です。このため、それらが実施されたかどうか、最新のイベントがいつ行われたか、結果がどうであったかを知ることは困難です。.

別の問題は、iMessageが1280ビットRSAキーを使用することです。これらは現在、ほとんどの攻撃から保護するのに十分なほど強力ですが、可能性の範囲外ではありません 国民国家の攻撃者は彼らをブルートフォースすることができます. このため、NISTは現在、2048ビットRSAキーを最低限必要としています。.

iMessageには長年にわたっていくつかのセキュリティホールが見つかりましたが、とんでもないことはありません。 2016年、ジョン・ホプキンス大学の研究者は、暗号化キーを収集できるバグを発見しましたが、その後、Appleによってパッチが適用されました.

会社全体のプライバシーとセキュリティのアプローチに関して言えば、Appleが実際にどこにいるかを知るのは困難です。サンバーナーディーノの射撃に関するFBIの会社の事例は、会社とそのエンドツーエンドの暗号化の両方が当局に対して強く立ち上がっていることを示しているようです。.

一方、リークされたNSA文書は、Appleが特定の状況で人々をスパイするために3文字の機関にシステムへのアクセスを許可した数少ない企業の1つであると主張しています。会社はプログラムへの積極的な関与を否定しました.

この問題に関するAppleの正確な位置を知るのは難しいですが、会社のことに注目する価値はあります。 ビジネスモデルはデータの収集を中心に展開しません, ライバルとは異なり、FacebookとGoogle。全体的に、iMessageはおそらくセキュリティの最初の選択肢ではありませんが、脅威レベルが高すぎない限り問題ありません。.

8. Facebookメッセンジャー

encrypted-messaging-6

Facebook Messenger 4ロゴ フェイスブックによるライセンス CC0

最後に、最も人気のあるメッセージングプラットフォームの1つである、プライバシーとセキュリティに関心がある場合は、このアプリを避けてください。 Facebook Messengerは、どこにでもあり、無料で、使いやすく、新しい機能を追加し続けていますが、このサービスは、ユーザーの利益を保護するのに十分な機能を備えていません。.

Facebookは個人データを収集して広告を挿入することで収入の大部分を生み出しています。 プライバシーは現在のビジネスモデルに反する. そのセキュリティの評判は、まさに恒星ではありません.

まず、エンドツーエンド暗号化はデフォルトでは提供されていません。電報のセクションで説明したように、これは、圧倒的多数の人々が秘密の会話機能を使用する機会をとらないことを意味します。 信号プロトコルに基づいて. その結果、ほとんどの人のプライベートメッセージがプラットフォームによってスキャンおよび分析されます.

これに加えて、 会社のコードは独自のものです また、研究者や他のオープンソースコミュニティがレビューすることはできません。これは、実際に何が起こっているのかわからず、バックドアや脆弱性があるかどうかもわからないことを意味します.

会社の過去のセキュリティおよびプライバシーの問題をすべてカバーする場合、私たちは一日中ここにいます。出発点として、次のものがあります。

  • ケンブリッジアナリティカスキャンダル.
  • ユーザーデータを当局に引き渡す.
  • 複数のデータ侵害.

上記の問題は、Facebookのプライバシーとセキュリティの問題の表面をかろうじて傷つけています。 Facebook Messengerは、安全でプライベートなプラットフォームを探している場合に使用できる最悪のアプリです。.

Facebookは最近、よりプライバシー重視の企業になるための方向転換を約束しました。また、WhatsApp、Instagram、Messengerを統合するために大幅な見直しが行われていますが、これらの変更が長期的に企業のサービスにどの程度影響するかを判断するのは困難です.

その他のメッセージングアプリ

最も人気のあるアプリの一部と、セキュリティへの最善のアプローチを備えたアプリの概要を簡単に説明しました。どちらのカテゴリーにも分類されるものは無数にありますが、すべてのカテゴリーを網羅するのは実際的ではありません.

まだ話していないアプリを評価したい場合は、次の質問をしてください:

  • セキュリティとプライバシー重視ですか?
  • オープンソースですか?
  • 監査されましたか?
  • セキュリティコミュニティからの評価は高いですか?
  • 以前にセキュリティインシデントはありましたか?これらはマイナーまたはメジャーでしたか?改善されましたか?
  • 会社は透明ですか?
  • ギミックです(ブロックチェーンや軍事レベルの暗号化などの流行語に注意してください)?
  • 誰が所有していますか?彼らの動機は何ですか?
  • どのビジネスモデルがそれを支えていますか?広告?データマイニング?サブスクリプション?寄付?

アプリケーションがこれらの各領域で適切に機能する場合、 おそらく信頼できる. ただし、信頼できるセキュリティ研究者によって行われたレビューを試してみることも価値があります.

どの暗号化されたメッセージングアプリを使用する必要がありますか?

最善のアプローチは、コミュニケーションのニーズに合った最も安全なアプリを使用することです。話したい相手がSignalのようなアプリを持っている場合、または彼らがそれをダウンロードする意思がある場合、あなたの情報を掃除する代替手段の代わりにそれを使用しないのはなぜですか?

大まかな議論の余地のあるガイドとして(個々の懸念に応じて)、次の順序でこのアプリのリストを下って、状況に合った最初のアプリを使用することをお勧めします。

  1. 信号、ワイヤ、ウィッカーまたは同等の高セキュリティ.
  2. WhatsAppまたはiMessage.
  3. 電報.
  4. Facebook Messenger.

また、個々の脅威レベル、および特定の会話またはトピックのリスクを分析する時間も必要です。これは、特定の状況でどのアプリが最も適切かを判断するのに役立ちます.

あなたがエドワード・スノーデンのような価値の高いターゲットである場合、スペクトルのより安全な終わりに常に固執することが最善です。一方、おばあちゃんが孫の誕生日おめでとうを望んでいる場合、セキュリティのニーズはそれほど大きくないでしょう。.

なぜ最も安全なアプリを使用する必要があるのか?

最も安全なアプリを使用することには、いくつかの明確な利点があります。

企業、ハッカー、法執行機関からデータを保護します

Signalのようなアプリは、重要なユーザーデータを保存しないことが証明されています。これは、彼らが すべての情報を収集して広告目的に使用しているわけではありません または他人に売ること。もう1つの大きな利点は、ハッカーがサーバーにアクセスしようとしても、有用なものがなくなることはないということです。.

さらなる利点は、Signalが圧力を受けたときに法執行機関に放棄できるデータがあまりないことです。これは、活動家や、当局によって不当に標的にされる可能性のある権威主義体制に住んでいる人々にとって重要です。.

セキュリティに重点を置いたアプリを、Facebook Messengerのようなスペクトルの反対側にあるアプリケーションと比較すると、違いは驚くべきものです。 Facebookはおそらくあなたのお母さんよりあなたのことをよく知っていて、その情報を多くの怪しい方法で使っています。多数のデータ侵害があり、当局へのデータの引き渡しに関する懸念はないようです。.

アプリを切り替える必要はありません, & 偶発的な開示から保護します

一般的な議論は、ほとんどの通信には機密データや貴重なデータが含まれていないということです。そもそも、会話は接線を離れる傾向があり、セキュリティとプライバシーを必要とするトピックについて、気づく前に簡単に話すことができます。.

これがFacebook Messengerなどのアプリで発生した場合, データは直接会社の手に渡ります ハッカーや当局への道を作ることさえできます。データを保護するアプリを既に使用している場合、この種の偶発的なスリップアップはそれほど心配ではありません.

デフォルトで安全なアプリを使用する場合、それはまたあなたが デリケートなトピックが登場するたびにアプリを切り替え続ける必要はありません. これにより物事が容易になり、また、怠subjectsから安全でないアプリでこれらの主題について議論することからあなたを守ります.

当局の標的にされている場合、追加の保護手段も提供できます。 Facebook Messengerでほとんどの会話を行い、何か重要なことが起きたら、受信者に「シグナルに切り替えましょう」と言います.

当局がFacebookの記録を取得すると、Signalへの頻繁な参照が表示され、会話が終了します。彼らはあなたがSignalで何を話しているのかを伝えることはできませんが、彼らが持っている情報は彼らにそれを調べる価値があるかもしれないというかなり良い推測を与えます.

また、誰にいつ話しているのかを伝えます。時には、これは当局が彼らの調査のために適切な足場を得るために必要なすべてであり得る.

実用的であること

できる限り、友人、家族、同僚に、より安全なメッセージングプラットフォームを使用するよう説得してください。あなたが何かについて話しているなら 機密または貴重な場合は、適切に保護されたアプリケーションを使用することを主張する必要があります.

会話がそれほど重要ではない場合でも、より安全なアプリケーションを使用するように受信者に優しく圧力をかけることをお勧めします。ただし、セキュリティに過度に巻き込まれて、他の重要なものを見失ってしまわないようにしてください.

誰かがFacebook Messengerを介して無害なコーヒーのデートを手配したい場合、またはあなたのいとこがあなたの犬の写真をプラットフォームを通して見せたい場合、多分あなたは彼らにそれを許可するべきです。時間がない、またはセキュリティの必要性を理解していない人もいます。多くの場合、個人的な関係を犠牲にするだけの価値はありません.

あなたがジュリアン・アサンジでない限り、インタラクションと友情の価値は、おそらくフラペチーノが存在するとは思わないこと、またはあなたのいとこの犬が偏っていることをFacebookが発見することよりもはるかに大きいでしょう.

安全なメッセージングアプリの制限

セキュリティで保護されたメッセージングサービスに切り替えると、通信が防弾であるという錯覚に陥りやすくなります。そうではなく、まだあります データが侵害される可能性のあるいくつかの方法.

たとえ最高のアプリを使用しているとしても、それが提供できるのはエンドツーエンドの暗号化だけです。つまり、アプリケーションにデータを入力すると、データが暗号化され、組織のサーバーを通過し、受信者のアプリに配信されて復号化され、受信者がメッセージにアクセスできるようになります。.

データがアプリケーション間を移動しても安全です, 暗号化される前と復号化された後は依然として脆弱です. これは、自分または受信者のデバイスのいずれかが侵害された場合、攻撃者が通信にアクセスできる可能性があることを意味します。これが、適切なセキュリティ衛生を維持し、デバイスにスパイウェアが侵入しないようにすることが重要である理由です。.

気をつけなければならないのはマルウェアだけではありません。会話をバックアップするアプリを使用している場合、これはおそらく高いレベルのセキュリティでは行われていません。攻撃者はアプリからアプリに移動するときに通信にアクセスできない場合がありますが、バックアップされた後は通信にアクセスできる場合があります.

パスワードが弱いと、データが漏洩する可能性があります。誰かがあなたや受信者のパスワードを見つけたり、推測したり、ブルートフォースしたりできるなら、彼らはあなたのアカウントにアクセスしてあなたのメッセージを見ることができるかもしれません. 強力なパスワードと二要素認証 安全に保つことができますが、SMSの検証には注意が必要です。.

もう1つの大きな問題は、あなたまたはあなたの受取人が、パスワードまたは議論された内容の詳細を手渡さざるを得ない状況に陥ることがあるということです。受信者は最初から侵害されている可能性があり、当局または他の敵に通知している可能性があります.

あるいは、どちらかが多額の刑務所で法執行機関に脅かされたり、拷問の影響で屈したりするかもしれません。人々は強迫されているときに多くの情報を引き渡す.

セキュリティアプリを使用すると、ユーザー、データ、通信を保護する上で大きな効果がありますが、それが役に立たない極端な状況がいくつかあります。この可能性にもかかわらず、これらのシナリオは非常にまれであり、ほとんどの人は、適切に使用している限り、アプリが提供する保護手段に自信を持つ必要があります。.