最佳安全和加密消息应用程序,即时通讯软件有哪些 | 即时通讯 | 即时通信 | 即时通讯软件

最佳安全和加密消息应用程序|即时通讯软件有哪些|即时通讯|即时通信|即时通讯软件

正在寻找更好的电子邮件替代方案来进行安全通信?本指南重点介绍了最佳安全消息传递服务、常见问题以及您应该避免的一些消息传递应用程序和做法。

你有没有在别人耳边低声说不想让别人听到的话?

我们都有。如今,我们中的许多人在网上与人交谈的时间比面对面的时间要多。你有没有说过(或输入或展示)任何你不想让别人听到(或阅读或看到)的东西?如果是这样,您最好使用某种加密的消息传递应用程序来执行此操作。

在这个新的和更新的指南中,我们将讨论为什么您需要使用安全消息服务。然后我们将快速浏览几个安全消息传递应用程序的最新版本及其运行的服务,以及一些需要寻找的重要特征。正如您将看到的,每个都有自己的优点和缺点,并且每个都采用不同的方法来解决提供安全消息传递功能的问题。

为什么需要使用安全消息传递

当您在线与某人聊天时,您可能会假设只有您自己和他知道对话。但正如我们多年来了解到的那样,有许多团体正在花费大量精力来监视您的通信。无论是企业监控还是ZF机构窥探数据,您的私人信息都会受到攻击。

  • 公司希望阅读您的消息,以便他们可以更好地向您投放广告或将您的个人信息出售给出价最高的人。
  • 黑客要利用这些信息窃取您的身份,打入您的银行帐户,推销自己的公司的新业务计划,以竞争,或者用维加斯狂野之夜的照片勒索你。
  • ZF想知道你所想、所说和所做的一切,甚至可能抓到一两个孔布分子。

除非您使用安全消息服务,否则任何或所有这些组都可以轻松拦截您的消息(如果他们选择这样做)。

随着ZF强迫人们在家工作以预防这种病毒,情况变得更糟。企业通常比坐在家里沙发上的人拥有更好的内部安全性,甚至使您的公司通信面临比以前更大的威胁。

这就是为什么声称私密、安全、匿名或这些的任意组合的新消息服务蓬勃发展的原因。但他们中的大多数人由于某种原因未能完成这项工作。有些只保护传输中的消息,同时让服务的员工可以访问它们。其他的则由因保护您的隐私而声誉不佳的公司所有。有些甚至可能被美国国家安全局或其他国家情报机构入侵。然而,并没有失去所有希望。

以下是一些安全的消息传递应用程序,它们使您的成绩…

最佳加密消息应用程序

多年来,我们已经测试了很多消息服务。此处列出的那些是我们认为是安全消息传递的最佳选择的那些。

1. Signal——最安全的通讯应用

Signal——最安全的通讯应用

Signal 是2021 年 1 月从WhatsApp 的隐私问题中真正受益的两个消息传递应用程序之一。埃隆·马斯克在危机期间的推文推荐当然没有受到伤害。从那时起,Signal 继续受到很多关注。

Signal 通常被认为是最安全的消息传递服务。最初由 Open Whisper Systems 发布,他们的加密协议(信号协议)非常好,以至于许多其他服务(包括像 WhatsApp 这样的巨头)都基于它自己的加密协议。Signal 是端到端加密、开源且完全免费的。它允许您创建消失的消息(又名自毁消息),成功完成第三方审计,并发布透明度报告

如果这还不够,它还有来自包括Bruce Schneier和Edward Snowden在内的顶级隐私倡导者的建议。

但是,Signal 确实有一些缺点。也许最成问题的是,它需要一个电话号码进行注册。当然,这会将您在 Signal 上所做的事情通过您的电话号码与您的身份联系起来,这对某些人来说可能会破坏交易。幸运的是,Signal 电话号码注册问题有一些解决方法。当然,您也可以使用下面列出的另一种安全消息传递应用程序。

+ 优点

  • 端到端 (E2E) 加密
  • 加密算法:信号协议,具有用于文本消息、语音消息和视频通话的完美前向保密 (PFS)
  • 开源
  • 消失的消息(又名自毁消息)
  • 已发布的透明度报告和安全审计
  • 记录最少量的数据
  • 不记录 IP 地址
  • 可以代替手机的短信应用
  • 专注于个人用户
  • 所有 Signal 产品都是免费的

– 缺点

  • 需要电话号码才能注册
  • 不支持2FA(双重身份验证)

https://signal.org

阅读我们的 Signal Messenger 点评 以了解更多信息。

2. Wickr Me – 短暂的匿名消息应用程序

2. Wickr Me – 短暂的匿名消息应用程序

Wickr 是安全消息应用程序的另一个不错的选择。Wickr 产品线包含针对个人和团队/企业的免费和付费版本。在我们的Wickr 点评中,我们专注于Wickr Me,这是 Wickr 的免费个人版本。

注意:自我们第一次审查以来,该公司一直在努力扩大其产品线。现在,他们提供Wickr Pro(一种具有不同付费层级的个人/小型团队解决方案)、Wickr Enterprise(旨在提供完全可扩展、安全的协作平台)和Wickr RAM(针对军事用途进行了优化的版本)。

Wickr Me 与该公司的付费商业产品基于相同的代码库构建,其中一些功能仅针对付费版本启用。虽然 Wickr Me 和 Signal 都是超级安全的服务,但它们有许多功能差异,可能会导致您选择其中一个。

  • Wickr Me 使用匿名帐户。您无需提供电话号码电子邮件地址或任何其他个人身份信息即可创建帐户。这可能比 Signal 的基于电话号码的帐户更适合您的威胁模型。
  • 所有 Wickr Me 内容都是短暂的。虽然 Signal 让您决定消息是否必须自毁,但 Wickr Me 没有给您选择。所有消息和附件都会自毁。作为 Wickr Me 用户,您拥有的唯一控制权是内容在不复存在之前的持续时间。

如果匿名对您很重要,并且您可以接受几天后发送的所有内容消失,那么 Wickr Me 可能是您的安全信使。

+ 优点

  • 客户端端到端 (E2E) 加密
  • 加密算法:AES 256、ECDH521 和 RSA 4096,具有完美前向保密 (PFS)
  • 匿名账户
  • 临时消息和附件
  • Burn-On-Read 消息和附件
  • 已发布的透明度报告和安全审计
  • 过期后,所有用户内容都会从设备中删除
  • 不记录 IP 地址或唯一设备 ID
  • 不记录用户元数据
  • 符合 GDPR

– 缺点

  • 代码在 GitHub 上公开可见,但不开源
  • 消息处理异常
  • 总部设在美国

https://wickr.com

注意:作为 Wickr Me(免费版)的替代品,您还可以获得 Wickr Pro 的“基本”版,其中包含更多选项并且也是免费的。

有关更多信息和不同版本的比较,请参阅我们的Wickr Messenger 点评。

3. Wire – 安全的消息传递和协作

Wire – 安全的消息传递和协作

Wire 是备受推崇的企业协作套件,具有安全消息传递、群聊功能、文件共享以及与外部客户安全协作的能力。在本综述中,我们审查了 Wire Personal,这是他们面向个人的安全消息传递应用程序。根据第三方测试,Wire Personal 所依赖的 Proteus 协议是安全的。与 Signal 一样,Wire Personal 是开源的,可为您提供自毁消息。与 Signal 一样,Wire 需要一些个人信息才能创建帐户,例如电子邮件地址或电话号码。但是,您始终可以为此使用刻录机临时电子邮件

从其技术来看,Wire Personal 是一款出色的个人安全消息传递应用程序。不利的一面是,只有大约500,000 名 Wire Personal 用户。另一个缺点是该公司已宣布他们将更多地关注企业用户,而不是个人。如果您正在寻找满足加密聊天应用需求的长期解决方案,请考虑这一点。

+ 优点

  • 端到端 (E2E) 加密
  • 加密算法:Proteus 协议、WebRTC(DTLS、KASE、SRTP)和 PFS
  • 开源
  • 自毁消息
  • 已发布的透明度报告和安全审计
  • 符合 GDPR
  • Wire Personal 是免费的

– 缺点

  • 注册需要电子邮件地址或电话号码
  • 一些个人数据的记录
  • 不支持 2FA
  • 少量 Wire Personal 用户(约 500,000)
  • 公司现在的重点是企业市场,而不是个人用户

https://wire.com

这是我们完整的 Wire Messenger 点评。

4. Threema – 匿名消息,不收集用户数据

Threema – 匿名消息,不收集用户数据

Threema 是鲜为人知的安全和私人消息传递应用程序之一。它拥有大约500 万用户和超过 8 年的市场,它是一个成熟、强大的产品,不知何故从未像 Telegram 那样获得大量追随者,也从未像 Signal 这样广为人知。但这并不意味着 Threema 不是某些用例的好选择。这就是为什么……

首先,您可以完全匿名使用 Threema。除非您选择将应用链接到电子邮件地址或电话号码,否则识别用户的唯一方法是通过随机生成的 ID,该 ID 与任何用户可识别数据无关。同样,每个用户的私钥都存储在他们的设备上,这意味着只有相关设备的用户才能阅读发送给它的消息。

注意:您可以选择在 Threema Safe 中安全备份您的 Threema ID、联系人、群组和其他数据,该保险箱可以驻留在公司的服务器上或您选择的其他位置。

Threema 提供了该产品的商业/教育版本,以及用于向 Threema 群组广播消息的附加组件,以及通过您自己的软件使用 Threema 消息网络的 API。

在某些情况下,即使 Threema 的相对默默无闻也可能是一个优势。任何试图监视、入侵或以其他方式篡改消息传递服务的人更有可能将目标锁定在用户群更大或更臭名昭著的服务上。被忽视可能有好处。

虽然目前没有免费版本的 Threema,但您仍然可以通过 Threema商店或 Google Play 和 Apple 商店购买此应用程序以直接下载。

+ 优点

  • 端到端 (E2E) 加密
  • NaCl开源加密
  • 匿名消息;不需要电话号码或电子邮件地址
  • 文本和语音消息、语音和视频通话、文件共享、投票、群组和通讯组列表
  • 移动应用程序以及基于浏览器的安全桌面聊天
  • 向开源的过渡已完成
  • 没有 IP 地址或元数据日志记录
  • 他们拥有所有自己的服务器,以提高安全性和隐私性
  • 定期安全审计和透明度报告
  • 符合 GDPR

– 缺点

  • 小用户群
  • 没有 2FA
  • 没有免费版

https://threema.ch/cn

请查看我们的 Threema 点评。

5. Telegram – 拥有 500+ 百万用户的安全消息应用程序

Telegram – 拥有 500+ 百万用户的安全消息应用程序

Telegram 是 2021 年初 WhatsApp 隐私问题的最大受益者。受益者有多大?Telegram仅在 2021 年的前几周就获得了数千万新用户

如果您无法与任何使用它的人交谈,则消息应用程序的安全性和私密性无关紧要。当消息服务拥有超过 10 亿用户(如 WhatsApp 或 Facebook Messenger)时,您想与之聊天的人已经拥有帐户的可能性很高。当一项服务的用户少于 100 万(例如 Wire)时,您想要与之交谈的人已经拥有帐户的可能性很小。

Telegram 占据了中间位置。每月超过 5 亿活跃用户,您需要与之交谈的人已经拥有帐户的可能性非常大。而且这项服务也是免费的。那么让我们来谈谈安全信使服务的其他特征。

虽然我们喜欢 Telegram 的广泛接受以及不断扩展的功能集,但我们确实对该服务有一些担忧。Telegram 中的通信默认不是端到端加密的。只有语音通话和秘密聊天是 E2E 加密的。除非您使用这两种模式中的一种,否则您在 Telegram 中的通信并不真正安全。即使您确实使用了服务的 E2E 加密部分,Telegram 使用的加密协议 MTProto 充其量是有问题的,最坏的情况是不安全——这一切都取决于您问的是谁。此外,与此处列出的其他服务相比,Telegram 记录的用户信息更多。

Telegram 是否适合您在很大程度上取决于您的威胁模型和用例。您很可能会发现,对 Telegram 丰富的功能集和庞大的用户群的访问权超过了有关 Telegram 究竟有多安全和隐私的问题。如果您决定尝试使用 Telegram,请确保也使用良好的 VPN 服务。使用 VPN 隐藏您的 IP 地址和物理位置对于克服所有用户数据记录的隐私问题大有帮助。

+ 优点

  • 端到端 (E2E) 加密
  • 加密算法:MTProto,自定义协议
  • 开源应用程序和电报数据库库
  • 自毁消息
  • 用户可以同时登录多个设备
  • 支持两步验证
  • 符合 GDPR

– 缺点

  • 注册需要电话号码
  • E2E 加密仅适用于语音通话和秘密聊天
  • 服务器不是开源的
  • 缺乏已发布的正式第三方审计
  • 记录 IP 地址和其他元数据

https://telegram.org

请查看我们的Telegram 点评。

应避免的消息传递应用程序

既然我们已经介绍了上面最好的安全消息传递应用程序,让我们谈谈另一个主题:要避免的消息传递应用程序。

1. WhatsApp(由 Facebook 拥有)

当然,WhatsApp 可能会加密您的消息 – 但这并不能使其成为安全可靠的解决方案。它归Facebook所有,并根据美国法律运营。以下是避免使用 WhatsApp 的几个原因:

  • WhatsApp收集有关每个用户的元数据,这些元数据可以被Facebook 利用和/或移交给ZF机构。这些数据包括您的姓名、IP 地址、手机号码、位置历史记录、手机网络、联系人和设备类型。
  • 根据一项新条约,Facebook 和 WhatsApp 将被迫与英国景方分享用户的加密信息。
  • 报告表明,ZF可以通过“WhatsApp Web”轻松访问加密的 WhatsApp 数据。
  • 2021 年初,有关 WhatsApp 重大隐私政策变化的消息传出,这将更多数据交到 Facebook 手中。

查看关于WhatsApp 最佳替代品的指南。

2. Keybase(现在归 Zoom 所有)

多年来越来越受欢迎的 Keybase 在 2020 年被 Zoom 售罄。

我们知道 Zoom 不是一家尊重用户隐私或安全的企业。事实上,在过去的几年里,Zoom已经发生了很多丑闻。

由于 Zoom 现在拥有 Keybase,我们不能再推荐它了。

3. Regular(未加密)短信

虽然这不属于加密消息应用程序的范畴,但它仍然值得重复。如果您期望任何隐私或安全性,请不要使用标准(未加密)文本消息。

您的移动运营商及其共享数据的实体可以轻松看到这些短信。此外,常规文本消息容易受到中间人攻击以及Stingray设备的窃听 。

重要的是要意识到这也适用于 Signal 发送的 SMS 消息。如果您将 Signal 配置为管理您的 SMS 消息,它可以发送和接收 SMS。但是没有办法加密 SMS 消息,因此即使 Signal 正在管理它们,SMS 消息也不会加密。

选择加密消息应用程序时要寻找的特征

在选择加密消息应用程序或服务时,您应该寻找哪些特征?即使您有一些非常专业的要求,这些也是您绝对应该注意的特征:

  • 端到端 (E2E) 加密
  • 第三方测试/评论
  • 开源代码
  • 自我毁灭
  • 有限的用户数据收集
  • 您需要的特定功能
  • 匿名注册选项

端到端 (E2E) 加密

端到端 (E2E) 加密是在安全消息传递服务中寻找的第一大特征。当消息服务使用端到端加密时,只有正在通信的人才能阅读消息。没有其他人,甚至是提供服务的公司,都无法阅读这些消息。无论您是否决定进一步深入 E2E 兔子洞,要记住的关键是:如果服务不提供端到端加密,则它是不安全的。

但是,端到端加密服务必须满足两个额外条件才能确保其安全。首先,它必须使用经过验证的加密算法。其次,端到端加密必须应用于您的消息。因此,让我们多看一下这两个条件。

可信加密算法

E2E 加密的安全性假设没有人可以破解加密。或者更现实地说,破解正在使用的加密需要大量时间。长达数百万或数十亿年。这通常不是问题。这是因为消息传递服务通常使用受信任的加密算法。像Signal的Signal 协议这样的算法已经被密码学家分析过,并且证明可以安全地抵御任何合理的攻击。如果服务不使用受信任的加密算法,并不意味着该服务不安全,但需要考虑。

端到端加密已开启

E2E 加密只有在打开时才有用。默认情况下,大多数安全消息服务都启用 E2E 加密。另一方面,Telegram没有。如果您希望在 Telegram 中开启 E2E 加密,您需要确保您使用的是 Telegram 的秘密聊天系统或通过语音消息进行通信。

第三方测试/评论

在处理任何类型的安全消息服务时,最大的问题之一是能够验证他们的声明。您需要自己回答几个不同的问题:

  1. 服务对“安全”的定义是什么?一项服务可能采用零知识方法,加密/解密客户端中的所有消息,而服务器无法访问您的密码和加密密钥。另一个可能使用 TLS 来保护传输中的数据,并使用他们自己的加密密钥在他们的服务器上对其进行加密。两者都可以声称他们的服务是安全的,但他们都会使用“安全”这个词的不同定义。
  2. 你的威胁模型是什么?您需要了解您要防范哪些威胁。如果您只希望在消息在 Internet 上来回缩放时防止第三方监视您的消息,那么这就是一种安全类型。如果您希望您的消息安全,以防有人(可能是 NSA)进入消息服务的服务器并使用他们的加密密钥副本解密您的消息,那么这是完全不同的安全级别。您需要搜索哪一个取决于您的威胁模型。

获得前两个问题的答案后,您需要确定您考虑的服务是否适合您的特定情况。但是如何?

您自己验证他们的主张是否切合实际?知道您感兴趣的安全消息服务具有开源代码是很棒的。但是你能分析他们的代码,看看它是否真的符合他们的要求吗?我当然不能。我也不能进行渗透测试或任何其他测试,这些测试是查看服务是否真正实现其承诺所必需的。

这就是第三方测试、审计和审查的用武之地。许多公司现在聘请第三方来验证服务。他们完成的确切测试各不相同,他们发布的测试结果数量也各不相同。但这种测试至少可以让我们了解产品是否兑现了他们的营销承诺。

开源代码

开源代码还可以让我们对服务兑现承诺更有信心。为什么?不是因为你或我可能会查看他们的源代码,寻找他们算法中的后门或缺陷。但是因为有人完全有可能做到这一点。有些人可以并且确实在挖掘开源代码以寻找问题。

消息服务越流行,人们就越有可能查看代码,准备提出问题。有人愿意并能够像这样浏览开源代码这一简单事实意味着错误很可能会更快得到修复,任何试图在代码中做一些偷偷摸摸的事情都会被公开指责。

自我毁灭

通过自毁消息提供安全性的想法已经存在很长时间了。今天的安全消息应用程序已经恢复了自毁消息的想法,尽管它们不像旧的Mission Impossible团队那样具有戏剧性。

某些服务允许您将特定消息设置为在阅读后一定时间自毁。Wickr Me甚至将自我毁灭作为他们服务的基础。所有消息和附件将在一定时间后自毁。根据您的安全消息服务用例,这可能是一个关键功能。

有限的用户数据收集

仅仅因为您的所有消息都经过安全的端到端加密,并不意味着该服务没有关于您的信息。大多数服务会收集一定数量的用户数据。这可能是您的电子邮件地址、电话号码、连接到服务的 IP 地址、连接时间、连接对象等。虽然收集此类信息可能不会危及您消息的安全性,但它确实会降低您的隐私。

您需要的特定功能

如果消息应用程序或服务不具备您需要的功能,那么它的安全性和隐私性就毫无意义。令人高兴的是,大多数顶级安全消息服务继续增加功能,降低您想要的服务丢失所需内容的风险。例如,在多个平台上运行的能力实际上是必需的,而发送视频消息或语音备忘录的能力可能是也可能不是,这取决于您的用例。

要特别寻找的一个“功能”是兼容性。具体来说,与您需要与之交换消息的人使用的安全消息传递服务的兼容性。Telegram 的用户群增长迅速,拥有超过 4 亿用户。其余的顶级服务只占该用户群的一小部分。根据情况,您可能需要在安全和隐私方面做出妥协,才能与您需要联系的人进行交流。

常问问题

在本文中,我们的目标是在寻找安全且私密的消息传递应用程序时为您提供多种选择。但是有些人希望我们选出一个赢家。到目前为止,我们在研究这个主题时听到的最常见的问题是:

什么是最安全和私密的消息传递应用程序?

我们知道您希望我们告诉您,一个特定的消息传递应用程序是最安全和私密的。但我们不会这样做。虽然我们对这个问题有自己的看法,但我们更愿意听从第 82 空降师的意见。他们推荐SignalWickr作为在战区使用的安全和私人消息传递应用程序。我们有什么资格争论。

关于安全消息传递应用程序的结论

安全消息传递应用程序仍然是标准电子邮件通信的绝佳替代方案。我们已经说了很多年了,甚至爱德华·斯诺登也同意。

阅读全文

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注