Решил я поискать какой-нибудь защищенный мессенджер, посмотреть, что сделали люди за все это время. Протестировал более 20 мессенджеров разной степени готовности. Интересовали только мессенджеры со «своим» протоколом, т.к. в XMPP-мире все нормально и ожидаемо.
Меня, в основном, интересовали мессенджеры для текстового общения с шифрованием в любом его виде. Поиск производился в Google Play по фразам: «secure chat», «secure IM», «secure communication», «secure messaging».
Тестировал только бесплатные решения.
tl;dr: замены Skype все еще нет.
Собственно, вот все мои находки:
1. TextSecure
2. TigerText
3. Chiffry
4. Vipole
5. Unseen
6. Sicher
7. Whistle.im
8. Surespot
9. Wickr
10. Antox
11. Seecrypt SC3
12. Telegram
Все несколько печально. Порадовал Chiffry, но он еще сырой и проприетарный; Surespot порадовал описанием и открытостью, несколько заинтересовал Vipole. Но всем остальным пользоваться неудобно или неприятно. Продолжаем пользоваться XMPP+OTR/SIP+ZRTP.
Меня, в основном, интересовали мессенджеры для текстового общения с шифрованием в любом его виде. Поиск производился в Google Play по фразам: «secure chat», «secure IM», «secure communication», «secure messaging».
Тестировал только бесплатные решения.
tl;dr: замены Skype все еще нет.
Собственно, вот все мои находки:
1. TextSecure
- Работает как через интернет, так и по СМС. Использует шифрование без проверки подлинности собеседника, нет даже фингерпринта. Нужно следить за значком ключа в сообщениях. Не оповещает о плейнтексте
- Для регистрации нужен номер телефона. Регистрация не обязательна (но работает только через СМС)
- Только сообщения
- Android-only
- OpenSource
2. TigerText
- Больше enterprise-вариант. Может работать по интернету как с номером телефона, так и с почтой (режим «для домена»)
- Все присланное и отправленное самоуничтожается максимум через 30 дней (по умолчанию 5)
- Нет проверки собеседника, даже слепка ключа
- Сообщения, фотографии, аудиозаписи
- Для регистрации нужен либо номер телефона, либо почта
- Android / iOS
3. Chiffry
- Ключи генерируются при первом запуске. Приятный интерфейс
- Есть фингерпринты ключей
- Сообщения, звонки, отправка файлов и контактов. Групповые чаты
- Для регистрации нужен номер телефона
- Описание на Google Play говорит, что используется AES256-CGM + 512-битные(?) ECDH-ключи
- Android / BlackBerry
4. Vipole
- Завязан на сервисы Vipole. Чтобы сгенерировать ключ, нужно водить пальцем. Не только IM, но еще и другие сервисы VIPole — заметки, менеджер паролей
- Требует деньги для многого, например, для шифрования локальной истории
- Можно задать пароль для аккаунта и пароль для ключа. Можно задать фейковый пароль для ключа, который либо будет крашить программу, либо и крашить и удалять данные
- Нет проверки фингерпринтов
- Для регистрации нужна почта
- Сообщения, звонки, видеозвонки, передача файлов, групповые чаты и звонки
- Похоже, отличное решение для бизнеса
- AES-256, RSA-3072
- Android / Windows / MacOS / Linux
5. Unseen
- Нет проверки собеседника, нет стампа ключа
- Сообщения / аудиовидеозвонки / групповые аудиовидеозвонки / файлы
- Бесплатный аккаунт позволяет делать аудиоконференции до 5 человек. Видеоконференций в бесплатной версии отсутствуют
- Регистрация на основе логина
- 4096-bit NTRU
- Android / MacOS / Linux / Windows
6. Sicher
- IM от создателей IM+
- Сообщения, групповые чаты и файлы
- Сообщения самоуничтожаются
- Нет проверки собеседника, даже фингерпринта ключа
- Регистрация по телефону
- Android / iOS / WinPhone
7. Whistle.im
- Только сообщения. Для регистрации не требуется ни телефон, ни почта, только логин и пароль. Подтверждение пользователя по стампу ключа
- Android / Browser
- Доступен исходный код библиотек шифрования
8. Surespot
- Регистрация только с использованием логина/пароля. Используется PGP и свой keyserver
- Фингерпринты не проверяются
- Сообщения, голосовые сообщения (платно), картинки
- 521-bit ECDH + AES256-GCM
- Клиент и сервер OpenSource
- На вебсайте в подробностях описано шифрование
- Android / iOS
9. Wickr
- Фингерпринты не проверяются.
- Сообщения самоуничтожаются максимум в течение 6 дней.
- Сообщения, фотографии, аудиозаписи.
- Для регистрации требуется только придумать логин. Нет почты.
- AES256, ECDH521 TLS
- Android / iOS
10. Antox
- Ну, про Tox вы и так все знаете, наверное. Где-то не пробился NAT и коммуникация вообще не удалась. В этом и состоит самая большая беда P2P-коммуникаций без сервера
- OpenSource
- Cross Platform
11. Seecrypt SC3
- AES 256 & RC4 384
- Сообщения / аудиозвонки / файлы
- Android only
12. Telegram
- Довольно удобный мессенджер с визуальным фингерпринтом. Проверки фингерпринта нет. Два режима работы: защищенные и незащищенные чаты.
- AES-IGE + SHA1
- Сообщения / файлы
- Открытый протокол, OpenSource клиент, но не сервер
- Android / iOS / Windows / MacOS / Linux / Browser
Выводы
Все несколько печально. Порадовал Chiffry, но он еще сырой и проприетарный; Surespot порадовал описанием и открытостью, несколько заинтересовал Vipole. Но всем остальным пользоваться неудобно или неприятно. Продолжаем пользоваться XMPP+OTR/SIP+ZRTP.