Опубликованы исходники швейцарского криптомессенджера Threema

[nerudo]

Чего только не приходится придумывать из-за того, что аську поломали!

[rsashka]

Зато у неё есть одно преимущество перед конкурентами — швейцарская юрисдикция.

Точно-точно, это гарантия 100% безопасности!

Швейцарская разведка с 1993 года знала о контроле над шифрованием в стране со стороны ЦРУ

По данным журналистов и исследователей, швейцарская фирма заработала миллионы долларов, десятилетиями продавая оборудование в более чем 120 стран. Все это время ею тайно владела ЦРУ в рамках секретного партнёрства с западногерманской разведкой БНД

[gsaw]

Несколько лет назад на банки Швейцарии США надавили и теперь они по запросу передают данные клиентов. А с 2014 с EU вообще обмениваются на регулярной основе. Вот и вся швейцарская неприкосновенность.

Не на Луне Швейцария, все взаимосвязаны.

[Tangeman]

Если бы они передавали деньги клиентов, а не данные — тогда это было бы проблемой, так что всё в порядке с неприкосновенностью.

Одно можно сказать точно — компания из Швейцарии не обязана выдавать данные своих клиентов кому-то вне Швейцарии (да и внутри тоже), пока её не обяжут к этому решением суда в Швейцарии же — а этого очень непросто добиться если законы Швейцарии не нарушены.

[gsaw]

The FATCA agreement currently in force between Switzerland and the US is based on the so-called Model 2. According to this model, Swiss financial institutions provide the US tax authorities (IRS) directly with the account information that is subject to reporting with the consent of the clients concerned. In cases where no consent has been granted, an anonymous, aggregated report containing certain account information is provided.

"directly" значит банки напрямую по запросу сдают данные. Без суда как говорится и следствия.

[Tangeman]

Банки это особый случай и это регулируется существующими соглашениями — т.е. это законно и без решения суда. Но даже тут, если вы вчитаетесь:

subject to reporting with the consent of the clients concerned. In cases where no consent has been granted, an anonymous, aggregated report

Т.е. не всё так прозрачно как хотелось бы властям США, и опять-таки — это не имеет отношения к неприкосновенности ибо собственно деньги никуда не деваются.

Но какое отношение имеют банки к мессенжерам? Или где-то есть такое же соглашение о них? Или может вы приведёте другие случаи когда данные (кроме банковских и конечно не считая шпионажа) выдавались просто так?

[gsaw]

Просто в статье говорится, про Швейцарию, мол там все надёжнее. На самом деле если потребуют американцы, то все сдадут. Судьи поломаются для виду, но сдадут. Как и в случае с
знаменитой швейцарскойй тайной вкладов, что по сути было фишкой надёжных швейцарских банков. Теперь какие то Кайманы надёжнее швейцарских банков.

[Tangeman]

Если потребуют американцы — они сдадут в худшем случае только американских граждан — не более того, если вы не американец, а тем более швейцарец — можете не беспокоиться, тайна вкладов на граждан Швейцарии всё ещё действует.

Но ещё раз напомю — это не имеет никакого отношения к мессенжерам и приватности, тут другие законы и их последствия, гораздо более жёсткие чем в США (и лишь чуть более жёсткие чем в ЕС).

[gsaw]

Ну да, ЕС не обменивается данными вкладчиков
с Швейцарией с 2017 на автомате. Швейцарская полиция не сотрудничает с ФБР. Недавно полиция не провела обыски у Till Kotmann только по запросу в помощи в расследовании от американцев.

Наивно полагать, что ты в неприкосновенности, только потому что в Швейцарии. Вот и всё, что я хочу сказать. Можете дальше карму понижать и минусовать. Говорю, что думаю.

[Tangeman]

Я абсолютно уверен (на данный момент) что если не нарушаю закон — то в полной безопасности от обысков и прочего как в Германии, Швейцарии так и в ЕС в целом — со стороны властей так точно.

Насчёт кармы это не ко мне (посмотрите на мою — я тоже говорю что думаю).

[gsaw]

Прошу прощения, вы победили :)

[sirocco]

А кто американец, кто нет — по ip определять будут?

[Daddy_Cool]

Интересно, а как дело обстоит в условных Парагваях и Нигериях?
Threema в Playmarket стоит 279 руб, вот интересно — можно ли выпилить софтину из маркета на основании того, что она не позволяет шпионить?

[3draven]

Всегда можно придумать причину. Зачем же за непрогиб удалять?

[rezdm]

>> На фоне массового исхода пользователей WhatsApp
Да?

[saboteur_kiev]

Где-то в январе из-за заявления Whatsapp о том, что они объединят данные пользователей с фейсбуком поднялся хай
Сигнал заявил что у него за неделю прибавилось 7.5 миллионов пользователей (типа в 43 раза больше, чем обычно).
Телеграм о 5.6 миллиона.
Считали по количеству скачиваний с Appstore

Также месяц назад была новость, что из-за изменения текста в пользовательском соглашении поднялся хай и миллионы юзеров начали перескакивать на всякие телеграмы/сигналы.
Из-за этого whatsapp даже выпустили заявление что переносят принятие нового текста соглашения с февраля на май
blog.whatsapp.com/giving-more-time-for-our-recent-update

Сколько конкретно юзеров решило перейти (ну точнее просто зарегаться в других мессенджерах) сходу не скажу, но 15 февраля сигнал падал из-за наплыва новых юзеров.

[sirocco]

Ни один коллега не ушел из WhatsApp, а он у нас не официально корпоративный. Да и все контакты кроме работы живые. Никто из него не ушел, мне кажется, просто параллельно установили другие мессенжеры на попробовать.

[Spunreal]

Ни один коллега не ушел из WhatsApp… =>… Никто из него не ушел

Ваши коллеги — это не весь WhatsApp. Сколько их? 100-1000? Только у WhatsApp'а количество пользователей больше 2 млрд.
Вы уверены, что так категорично хотите сказать за всех пользователей WhatsApp'a?

[Tarakanator]

На моём примере. Я не ушёл из вотсаппа, но все новые переписки веду в телеграмме.
А до этого телеграмм у меня использовался только для тех, у кого вотсаппа небыло(или бот, или группа в телеге)
А смена основного мессенджера это по моему серьёзно.

[Tangeman]

Переписки в Телеграме не зашифрованы (если это не секретные чаты), в отличие от переписок в WhatsApp — в чём смысл новые переписки вести в Телеграме, не уходя из WhatsApp?

Грядующие изменения в WhatsApp никак не влияют на приватность сообщений — всё остается как прежде, их никто кроме участников не сможет читать.

[Tarakanator]

Смысл в том, что функционально телеграмм лучше, но вотсапп привычнее(ну и как-то удобнее когда по дефолту всё идёт в одном мессенджере, а не пополам)
последнии новости стали последней соломинкой, народ ещё в телегу повалил, да и фейсбук слишком агрессивную политику ведёт. Не хочется иметь с ним дела.

Т.е. смысл в том, что я ушёл в телегу, а вотсапп остался только для совместимости со старыми контактами. В принципе если припечёт хоть завтра могу удалить.

[dakuan]

Большинство пользователей имеет весьма туманное представление о том, как работает шифрование, в т.ч. E2EE. Я как-то интереса ради спрашивал знакомых, использующих Whatsapp, верифицируют ли они ключи по альтернативному каналу. Кроме пары гиков, никто даже не подозревал о существовании этой опции и ее назначении.

Кроме того, исходный код приложения Telegram открыт и билды воспроизводимые. Чего не скажешь о Whatsapp, код которого не только не открыт, но и предприняты некоторые меры по его защите от реверсинга.

[rezdm]

>> Сколько конкретно юзеров решило перейти… сходу не скажу,
Об этом и речь

>> просто зарегаться в других мессенджерах
Просто зарегистрироваться != начать пользоваться как основным

[saboteur_kiev]

Тем не менее во всех новостях фраза звучала как «массовый исход пользователей».
Просто в первую очередь эта истерия была не в русскоязычном сегменте, поэтому многие и не заметили.

[rezdm]

Не читайте истеричных журналистов, и не транслируйте потом так, цитирую:

>> На фоне массового исхода пользователей WhatsApp
>> Сколько конкретно юзеров решило перейти… сходу не скажу

[saboteur_kiev]

Под истеричными журналистами вы подразумеваете создателей Телеграм и Сигнал?

Как бы очевидно, что whatsapp не будет сообщать о том, сколько человек перестало пользоваться, да и посчитать это проблематично.

Но косвенные данные — это косвенные данные, и шаги со стороны whatsapp в виде публичных заявлений и откладываний принятия нового текста соглашения показывают, что для него это не истеричные журналисты, а конкретные проблемы.

[Maxim_Q]

Я так понимаю самостоятельно поднять свой сервер для Threema не получится. В Jabber спокойно можно поднять свой сервер. Чем эта программа лучше Jabber'a?

[ivan386]

Зачем вообще сервер нужен? Ведь можно сообщения передавать напрямую.

[remzalp]

Для этого в идеале надо чтобы оба участника обладали белым ИП адресом с возможностью прямого коннекта. Wi-Fi и большинство сетей сотовых операторов выпускают Вас под NAT, иногда даже двойной NAT.
Без промежуточного сервера немного сложно обойтись

[tzlom]

И любой DPI делает запись "Вася общался с Х". А если вася был оффлайн то не общался :)

[Tangeman]

… или общался лично попивая пивко с X в сауне. И никакой DPI про это не узнает.

[saboteur_kiev]

А вот представь, что ты бы хотел через мессенджер общаться с друзьями, сотрудниками, не общаться, но иметь в контакте одноклассников, друзей друзей, потенциальных работодателей на всяк случай, контакт пиццерий на твоем районе.
На свой сервер их пригласишь всех?

[sirocco]

Эээм.., зачем на свой, когда для таких случаев есть шлюз(или как там это называется?) через который можно хоть куда, хоть в WhatsApp, Телеграмм, одноклассники...., а если нет, то его можно и сделать при желании. Но я топлю за безсерверную архитектуру и меш сети. ИМХО, никогда и ни при каких обстоятельствах в наше время не будет такого общественного крупного сервера, который бы не подчинялся местным и другим регуляторам. Это невозможно в долгосрочной перспективе и это аксиома. А значит никакого сервера быть не должно.
Но технически мы не готовы к такому, очевидно, что при такой схеме серверами должны быть все участники сети, а значит нужны быстрые сети, ёмкие накопители, ёмкие батареи, и т.д.

[masv]

Меня-бы вполне устроил опенсорс безсерверный криптомессенджер, способный передавать хотя-бы просто текст. А котиков можно смотреть и в ватсапах и телегах, вместе с товарищем майором.

[isden]

Держите.
https://f-droid.org/en/packages/org.briarproject.briar.android/

[masv]

Благодарю.

[ivan386]

И ещё один.
https://f-droid.org/en/packages/ltd.evilcorp.atox/

[artemisia_borealis]

Про САСШ (США) верно написано. В частности поэтому сервера OpenBSD находятся в Канаде.

OpenBSD Foundation

The OpenBSD Foundation is a Canadian not-for-profit corporation which exists to support OpenBSD and related projects such as OpenSSH, OpenBGPD, OpenNTPD, OpenSMTPD, LibreSSL, and mandoc.

[fanatikvoice]

"В отличие от Telegram, серверы Threema не хранят сообщения и файлы пользователей, поэтому здесь расходы на инфраструктуру минимальны."
Это очень спорное утверждение.

[Num]

Целое ведро воды.

Именно швейцарская юрисдикция — главное преимущество Threema перед Signal (США) и Telegram (США, Великобритания, разработка переезжает по офисам в разных странах, сейчас находится в ОАЭ, основатели и программисты преимущественно из России, инвесторы из России и других стран, кроме США).

Так какие преимущества по сравнению с Германией и ОАЭ? Где подробное сравнение?

[yoz]

Но ведь Threema у нас включена в реестр. Т.е. согласилась сотрудничать с ФСБ.
В чем тогда безопасность Швейцарской юрисдикции?

[poige]

Интересно, что исходники на Github обновляются только с обновлением клиентов, то есть один коммит = один релиз.

Это как раз не интересно, а достаточно беспонтово и настораживающе. Ужать все правки до одной — типичный способ запутать отслеживание изменений. Так когда-то Red Hat стал делать, выпуская свои патчи, некогда гранулярные, сжатыми в один — чтобы затруднить их использование тому же Oracle.

Например, в США действуют законы, по которым компания обязана секретно внедрить бэкдоры в свои продукты и сервисы и реализовать слежку за пользователями, если секретный суд примет такое решение.

Если чуть дальше подумать, то легко будет прийти к выводу, что все мобильные клиенты, всё равно каких именно мессенджеров, «идут лесом», вместе со смартфонами, собственно — потому что смартфонов «швейцарской юрисдикции» до сих пор так и не появилось.