Краткий обзор возможных альтернатив Whatsapp

Изменения в условиях и политике конфиденциальности мессенджера побудили большое количество недовольных пользователей искать альтернативное приложение для обмена сообщениями, которое уважает их конфиденциальность.

Многие увидели в грядущих изменениях отмену конфиденциальности переписки, которая связана с предоставлением данных мессенджером своей материнской компании — Facebook. В связи с этим специалисты сервиса ProtonMail предложили 7 альтернативных мессенджеров на замену WhatsApp.

Signal

Протокол сквозного обмена сообщениями мессенджера Signal разработан некоммерческой организацией Signal Foundation, имеет открытый исходный код, прошел профессиональную проверку на предмет уязвимостей и широко известен своей криптографической стойкостью. Signal и Signal Foundation почти не хранят метаданные, связанные с использованием приложения. Только «дату и время, когда пользователь зарегистрировался в Signal, и последнюю дату подключения пользователя к сервису». Тот факт, что пользователи должны регистрироваться с действующим номером телефона, является основным источником критики. Однако контакты хранятся только локально и не могут быть доступны разработчику.

Telegram

Обычные «облачные сообщения», к которым можно получить доступ на любом из устройств пользователя, зашифрованы при передаче и при хранении на серверах Telegram, но сквозным шифрованием подвергаются только секретные чаты. Внутреннее шифрование MTProto с открытым исходным кодом, используемое для защиты связи в Telegram, подверглось критике со стороны экспертов по безопасности, хотя новая версия MTProto 2.0 еще не прошла формальный аудит. Другая проблема заключается в том, что Telegram собирает большой объем метаданных о пользователях.

Threema

Как и Proton, Threema базируется в Швейцарии, стране с очень строгими законами о конфиденциальности данных и независимой от США и Европейского Союза. Threema использует библиотеку криптографии NaCl с открытым исходным кодом для сквозного шифрования всех коммуникаций, и все они были проверены в 2020 году специалистами по безопасности. Адрес электронной почты или номер телефона не требуются для регистрации учетной записи, и пользователь может приобрести Threema для Android анонимно, используя биткойны.

Wickr

Существует три приложения Wickr, причем бесплатная версия Wickr Me предназначена для личного использования. Wickr Pro также является бесплатным, хотя при запуске требуется подтвердить свою личность. Код для основного протокола сквозного шифрования wickr-crypto-c, лежащего в основе всех приложений Wickr, доступен на Github для ознакомления любому желающему, но лицензионные ограничения означают, что его нельзя на самом деле назвать открытым исходным кодом. Разработчики Wickr утверждают, что их код приложений прошел несколько независимых аудитов безопасности, но полные результаты этих аудитов не являются общедоступными.

Wire

Разработчики Wire утверждают, что базируются в Швейцарии, но принадлежат американской компании, что указывает на необходимость соответствию запросам данных из США. Для облегчения синхронизации между несколькими устройствами Wire хранит довольно много метаданных. Wire для обеспечения сквозного шифрования текстовых сообщений использует протокол Proteus — ранний форк кода, который впоследствии стал Signal Protocol. Proteus и все приложения Wire прошли публичный аудит.

Element (ранее назывался Riot.im)

В отличие от других мессенджеров, Element построен на идее федерации. Пользователи могут настраивать свои собственные серверы, используя протокол связи Matrix или подключаться к серверам Matrix, которые были настроены другими пользователями. Matrix и Element используют реализацию Olm алгоритма Double Ratchet, а Megolm используется для групповой связи. Все приложения Element, а также сам протокол Matrix, имеют открытый исходный код, но формально не проверялись.

Keybase

Keybase — бесплатный мессенджер с открытым исходным кодом, который обеспечивает сквозное шифрование всех текстов. Файлы и документы, пересылаемые между пользователями, зашифрованы и хранятся на серверах Keybase, но не с помощью E2EE. Keybase позволяет подключаться к другим пользователям с помощью их учетных данных в социальных сетях (Twitter, GitHub, Reddit, Hacker News и Mastodon), которые проверяются с помощью ключей шифрования PGP. Сквозное шифрование на основе PGP является надежным и прошло полный независимый аудит в 2019 году. Сообщения хранятся на централизованных серверах (расположенных в США), которые собирают большие объемы персональных данных, включая хеши паролей, активность учетной записи, идентификатор пользователя Keybase и IP-адрес, сетевую активность и пр.