Pytania i odpowiedzi: W jaki sposób plany sesji wyprzedzą Signal i Telegram

Uwaga: jeśli kupisz coś za pośrednictwem naszych linków, możemy otrzymać niewielką część sprzedaży. To jeden ze sposobów, w jaki utrzymujemy tu włączone światła. Kliknij tutaj, aby uzyskać więcej.

Na początku tego tygodnia odkryliśmy Session, aplikację do przesyłania wiadomości, dla której nie liczy się to, kim jesteś – i to dosłownie. Żadnych numerów telefonów, żadnych serwerów centralnych i wbudowanego routingu cebulowego – Big Tech nie rozpoznałby Cię, nawet gdyby próbował.

Aha, czy wspominałem, że zgromadzili już ponad milion użytkowników, nie wydając ani centa na reklamę? Najwyraźniej ludzie cenią swoją prywatność i chcą produktu, który spełnia tę obietnicę. Kto by pomyślał, prawda?

Teraz posuwamy rozmowę dalej. Podczas naszych ekskluzywnych pytań i odpowiedzi spotykamy się ze współzałożycielem Session, Kee Jefferysem, aby odkryć inspirację stojącą za aplikacją, technologię, która ją napędza, oraz wyzwania, przed którymi stanął.

Od szczegółów szyfrowania po poruszanie się po globalnych przepisach — ten wywiad obejmuje wszystko.

Czy przesyłanie wiadomości dbających o prywatność jest przyszłością? Przeczytaj pełną część pytań i odpowiedzi, aby zobaczyć, jak Session prowadzi i jakie są planowane aktualizacje dla użytkowników dbających o prywatność.

Zacznij czytać już teraz

Sesja rozpoczęła się od sprawdzenia koncepcji zbudowanej na zdecentralizowanej sieci zwanej siecią węzłów serwisowych Loki. Wtedy był znany jako „Loki Messenger” (później przemianowany na Session).

Pomysł był prosty: chcieliśmy pokazać programistom, co jest możliwe w zdecentralizowanej sieci. Aplikacja do przesyłania wiadomości wydawała się idealnym przykładem, ponieważ gdybyśmy mogli pokazać ludziom, jak przechowywać i przekazywać wiadomości, można by to uogólnić na inne aplikacje i zainspirować programistów do tworzenia własnych projektów.

Nie spodziewaliśmy się tego, jak szybko społeczność przyłączy się do Loki Messenger.

Niemal od chwili uruchomienia ludzie prosili o ulepszenia i nowe funkcje. Widzieli to, co my: Loki Messenger miał coś wyjątkowego, czego nie oferowały inne aplikacje do przesyłania wiadomości.

Wyróżniały go trzy kluczowe rzeczy:

• Brak numerów telefonów : do rejestracji nie był potrzebny numer telefonu. Ta prosta zmiana sprawiła, że ​​przesyłanie wiadomości stało się bardziej prywatne i anonimowe.
• Brak scentralizowanych serwerów : działając w zdecentralizowanej sieci, nie było serwera zbierającego dane ani tworzącego pułapkę dla hakerów.
• Wbudowany routing cebulowy : routing cebulowy ukrywał adresy IP użytkowników i jeszcze bardziej zwiększał prywatność.

Wszystko to zostało spakowane w wieloplatformową aplikację, która była łatwa w użyciu, zapewniając każdemu dostęp do prywatności.

Od samego początku Session skupiało się na tych zasadach, a ostatnio Session przekroczyło 1 milion aktywnych użytkowników miesięcznie.

To, co zaczęło się jako weryfikacja koncepcji, przekształciło się w platformę przesyłania wiadomości stawiającą na prywatność, która naprawdę robi różnicę i jestem dumny, że mogłem się w to zaangażować.

Sesja wykorzystuje wiele warstw szyfrowania podczas wysyłania i odbierania wiadomości. Kiedy użytkownik tworzy konto sesyjne, generuje losową parę kluczy publiczny-prywatny Ed25519.

Klucz publiczny staje się identyfikatorem konta użytkownika, który można udostępnić poza pasmem za pomocą kodu QR lub 66-znakowego ciągu cyfr i liter. Gdy już zdobędziesz identyfikator konta danej osoby, możesz podpisywać i szyfrować wiadomości tego konkretnego użytkownika.

Aby wysłać prawidłową wiadomość na czacie jeden na jednego, nadawca zaczyna od utworzenia wiadomości. Wiadomość jest podpisana przy użyciu klucza prywatnego Ed25519 nadawcy, zgodnie z algorytmem podpisu Ed25519.

Ten krok zapewnia autentyczność wiadomości. Następnie do wiadomości dołączany jest klucz publiczny Ed25519 nadawcy i podpis cyfrowy.

Następnie nadawca generuje efemeryczną parę kluczy X25519. Ta tymczasowa para kluczy wraz z kluczem publicznym X25519 odbiorcy służy do tworzenia współdzielonego klucza szyfrowania symetrycznego.

Za pomocą tego klucza wiadomość jest szyfrowana algorytmem XSalsa20-Poly1305, zapewniając zarówno poufność, jak i integralność.

Zaszyfrowana wiadomość i powiązane metadane, takie jak klucz publiczny X25519 odbiorcy i efemeryczny klucz publiczny X25519 nadawcy, są pakowane w kopertę. Koperta ta jest następnie ponownie szyfrowana w celu bezpiecznego dostarczenia przy użyciu protokołu routingu cebulowego Session, Onion Requests.

Proces routingu cebulowego obejmuje trzykrotne szyfrowanie koperty — raz na każdy przeskok na ścieżce sieciowej. Każda warstwa szyfrowania opiera się na kluczach symetrycznych pochodzących z kluczy Ed25519 każdego przeskoku i szyfrowanych za pomocą AES lub XChaCha20-Poly1305.

Potrójnie zaszyfrowana koperta jest wysyłana do pierwszego przeskoku, a każdy kolejny przeskok usuwa warstwę szyfrowania, ujawniając następny cel, aż koperta dotrze do roju odbiorcy. Gdy koperta dotrze do roju odbiorcy, odbiorca pobiera ją i odszyfrowuje, aby odzyskać wiadomość.

Protokół szyfrowania sesji zapewnia kompleksowe szyfrowanie i wysoki poziom prywatności metadanych dla każdej wysłanej wiadomości.

Pomimo zaawansowanej technologii, użytkownicy nie muszą martwić się o złożoność. Mogą po prostu wysyłać i odbierać wiadomości tak samo, jak w przypadku każdej innej aplikacji, korzystając jednocześnie z wysokiego poziomu prywatności i bezpieczeństwa Session.

Sesja jest w pełni open source. Obejmuje to wszystkie aplikacje klienckie, w tym Session iOS, Android i Desktop, a także całe oprogramowanie obsługujące zdecentralizowaną sieć węzłów, która przechowuje i przekierowuje wiadomości.

Kod źródłowy jest publicznie dostępny na GitHubie pod adresem https://github.com/session-foundation

Aby zaimplementować backdoora w aplikacji, szkodliwi programiści musieliby wypchnąć zmiany w kodzie do tych repozytoriów i utworzyć nową wersję. Takie zmiany nie pozostaną niezauważone przez społeczność Session i jej współpracowników.

Gdyby tak się stało, repozytoria mogłyby łatwo zostać przekazane złośliwemu programiście, a aplikacja mogłaby zostać ponownie wdrożona bez szkodliwego kodu.

Sesja została również poddana niezależnym audytom zewnętrznym w celu zapewnienia jej bezpieczeństwa i integralności. Jeden z takich audytów przeprowadził firma Quarkslab, a jego ustalenia udostępniono publicznie. Tutaj możesz zapoznać się z ich raportem:

Ta otwartość i przejrzystość sprawia, że ​​backdoorowi lub luce w zabezpieczeniach trudno jest przedostać się do wydania.

Długoterminowy model zrównoważonego rozwoju Session obejmuje monetyzację poprzez wersję premium Session, zwaną Session Pro.

Session Pro będzie usługą subskrypcyjną przeznaczoną dla zaawansowanych użytkowników, oferującą dodatkowe funkcje w sposób podobny do tego, w jaki Telegram Premium zwiększa wygodę użytkowników Telegramu.

Wszystkie subskrypcje Session Pro wracają do ekosystemu Session. Płatności te pomogą w utrzymaniu i rozwoju sieci Session Node, zapewniając jej skalowalność i niezawodność w miarę ciągłego powiększania się bazy użytkowników Session.

Co ważne, Session zawsze będzie utrzymywać bezpłatną wersję, która zapewnia ten sam wysoki poziom prywatności wszystkim użytkownikom. To zaangażowanie w komunikację dbającą o prywatność pozostaje centralnym elementem misji Session.

Cały dotychczasowy rozwój Session miał charakter całkowicie organiczny, napędzany głównie rekomendacjami wpływowych ekspertów ds. prywatności. Wierzę, że ten wzrost przyspieszy, w miarę jak Session będzie nadal pozycjonować się jako bezpieczniejsza alternatywa dla WhatsApp, Telegramu i Signal. Zespoły

pracujący nad Session mają głębokie powiązania w przestrzeni organizacji pozarządowych i wśród liderów zajmujących się ochroną prywatności, którzy będą nadal opowiadać się za Session w miarę rozwoju aplikacji i ulepszania jej podstawowych funkcji.

Nadal pozostaje wiele do zrobienia od strony technicznej, aby poprawić utrzymanie użytkowników.

W ciągu najbliższych 6–12 miesięcy nacisk zostanie położony na kluczowe obszary, takie jak zwiększanie funkcjonalności grupy, zwiększanie szybkości i niezawodności oraz zapewnianie możliwie bezproblemowego wdrożenia. Obejmuje to zapewnienie użytkownikom możliwości łatwego nawiązywania kontaktu ze znajomymi i rodziną oraz zapraszania nowych osób do dołączenia do aplikacji.

Stawiając czoła tym wyzwaniom technicznym, zachowując jednocześnie silne poparcie w obszarze prywatności, Session ma dobrą pozycję, aby kontynuować swój wzrost jako wiodąca platforma przesyłania wiadomości skupiająca się na prywatności.

Krajobraz regulacyjny dotyczący prywatnych wiadomości wciąż się wyłania, a różne kraje przyjmują różne podejścia do regulowania kompleksowego szyfrowania i prywatności danych.

Session ogłosiła niedawno, że zarządzanie projektem zostanie przeniesione poza Australię, od pierwotnego zarządcy projektu (OPTF) do Session Technology Foundation, szwajcarskiej fundacji zajmującej się promowaniem innowacji cyfrowych i praw cyfrowych.

Posunięcie to było w dużej mierze odpowiedzią na najnowsze przepisy i naciski australijskich organów regulacyjnych, które coraz bardziej utrudniają Session prowadzenie działalności poza Australią przy jednoczesnym zachowaniu gwarancji prywatności i bezpieczeństwa, jakie oferuje swoim użytkownikom.

W przeciwieństwie do Australii, Szwajcaria posiada silną ochronę konstytucyjną chroniącą prywatność i długą historię wspierania aplikacji chroniących prywatność, takich jak ProtonMail, Threema i Nym.

Z założenia firmy i osoby zaangażowane w rozwój Session nie mają uprzywilejowanego dostępu do danych użytkowników.

Kompleksowo zaszyfrowane wiadomości są przechowywane i przesyłane przez sieć składającą się z ponad 2100 węzłów obsługiwanych przez społeczność. To podejście zasadniczo różni się od innych platform przesyłania wiadomości.

Historycznie rzecz biorąc, taki projekt oznaczał, że po otrzymaniu żądania danych nie było dostępnych żadnych informacji, które można byłoby udostępnić stronie żądającej. OPTF, poprzedni zarządca projektu Session, regularnie publikował raporty dotyczące przejrzystości na poparcie tego faktu, które można zobaczyć tutaj.

Gdy Fundacja Session Technology przejmie zarządzanie, będzie kontynuować tę tradycję, a raporty dotyczące przejrzystości zostaną opublikowane tutaj: https://session.foundation/transparency-reports

Żadna z firm ani osób zaangażowanych w rozwój Session nie otrzymała próśb o wdrożenie backdoorów w aplikacji.

Przeniesienie zarządzania na szwajcarską fundację Session Technology Foundation jest aktywnym krokiem mającym na celu zapewnienie, że Session będzie mogła w dalszym ciągu chronić prywatność i bezpieczeństwo swoich użytkowników.

Obecny plan sesji skupia się na przeróbce kluczowych funkcji w celu zwiększenia niezawodności i użyteczności w całej aplikacji. Oto główne obszary zainteresowania:

Grupy : od czasu premiery w 2022 r. grupy stanęły przed kilkoma wyzwaniami.

Użytkownicy zgłaszali sporadyczną utratę dostępu do grup w przypadku zmiany kluczy szyfrowania, co ma miejsce w przypadku usunięcia członków z grupy.

Ponadto wiadomości mogą zostać utracone, gdy użytkownik dołączy do grupy lub pozostanie offline przez ponad 14 dni. Aby rozwiązać te problemy, architektura grup jest całkowicie przeprojektowana, aby zwiększyć ich trwałość w sieci węzłów i poprawić niezawodność podczas rotacji kluczy szyfrujących.

W ramach tej zmiany wdrożono także kilka ulepszeń użyteczności, w tym obsługę wielu administratorów w grupach, nowy system zaproszeń do grup i ulepszoną obsługę powiadomień push.

Zmiany te mają na celu uczynienie grup bardziej niezawodnymi i przyjaznymi dla użytkownika.

Wdrożenie : użytkownicy nietechniczni mieli czasami problemy z procesem wdrożenia w Session.

Historycznie rzecz biorąc, Session wprowadzał złożone koncepcje zarządzania kluczami prywatnymi, takie jak mnemoniczne frazy początkowe, na wczesnym etapie wdrażania. Ta złożoność często prowadziła do frustracji i rezygnacji podczas rejestracji.

Niedawna aktualizacja uprościła proces wdrażania, odkładając te zaawansowane koncepcje do czasu utworzenia konta. Ta zmiana poprawiła retencję podczas wdrażania.

Jednak nadal jest miejsce na ulepszenia.

Plany na przyszłość będą prawdopodobnie obejmować integrację kluczy dostępu, aby jeszcze bardziej obniżyć bariery wejścia i uprościć proces zapraszania nowych użytkowników poprzez wykorzystanie głębokich linków.

Onion Routing : Krótko po wydaniu Session, Onion Requests zostały wprowadzone jako uproszczona implementacja protokołu Onion Routing.

Chociaż są skuteczne w przypadku podstawowych potrzeb, żądania cebuli nie są protokołem opartym na strumieniowym przesyłaniu strumieniowym HTTP i są z natury wolniejsze i mniej wydajne niż bardziej zaawansowane protokoły.

Wysyłanie wiadomości trwa zwykle 1–3 sekundy, natomiast przesyłanie i pobieranie plików może trwać znacznie dłużej. Ponadto żądania cebuli nakładają limit 10 MB na pliki, ograniczając funkcjonalność sesji w przypadku przesyłania większych plików.

Aby pokonać te ograniczenia, zespół Session opracował Lokinet, bardziej zaawansowany protokół routingu cebulowego. Lokinet obsługuje połączenia oparte na strumieniach i jest zbudowany na UDP, co pozwala na szybszą i bardziej elastyczną wydajność.

Lokinet przechodzi obecnie pełny refaktoryzację i zbliża się do dojrzałości. Wewnętrzne testy pokazują, że Lokinet jest 3–10 razy szybszy niż Onion Requests, co oznacza, że ​​po wdrożeniu można znacznie skrócić czas dostarczania wiadomości i przesyłania plików. Co więcej, Lokinet nie nakłada takich samych ograniczeń rozmiaru plików, torując drogę do przesyłania znacznie większych plików w sesji.

Ogromne podziękowania dla współzałożyciela Session, Kee Jefferysa, i reszty zespołu za poświęcenie czasu na odsłonięcie kurtyny i pokazanie, co sprawia, że ​​ich aplikacja działa i dlaczego prywatność jest ważniejsza niż kiedykolwiek.

Jeśli chcesz, aby Twoja gra polegała na przesyłaniu wiadomości na wyższy poziom (lub dziesięć), możesz pobrać Session za darmo ze sklepu App Store lub Google Play. Jest ona także dostępna na komputery PC, Mac i Linux. Idź, sprawdź i przekonaj się, jak wygląda prawdziwa prywatność.

Co sądzisz o potencjalnych aktualizacjach i zmianach, o których wspomniał współzałożyciel Session? Podziel się swoimi spostrzeżeniami w komentarzach poniżej .