Perguntas e respostas: como a sessão planeja superar o Signal e o Telegram

Só para avisar, se você comprar algo por meio de nossos links, poderemos receber uma pequena parte da venda. É uma das maneiras de mantermos as luzes acesas aqui. Clique aqui para mais informações.

No início desta semana, descobrimos o Session, o aplicativo de mensagens que não se importa com quem você é – literalmente. Sem números de telefone, sem servidores centrais e roteamento de cebola integrado, a Big Tech não reconheceria você se tentasse.

Ah, já mencionei como eles já conquistaram mais de um milhão de usuários sem gastar um único centavo em publicidade? Aparentemente, as pessoas valorizam a sua privacidade e querem um produto que cumpra essa promessa. Quem diria, certo?

Agora, levamos a conversa mais longe. Em nossas perguntas e respostas exclusivas, conversamos com o cofundador da Session, Kee Jefferys, para descobrir a inspiração por trás do aplicativo, a tecnologia que o impulsiona e os desafios que eles enfrentaram.

Desde detalhes de criptografia até a navegação nas regulamentações globais, esta entrevista cobre tudo.

As mensagens que priorizam a privacidade são o futuro? Leia as perguntas e respostas completas para ver como o Session lidera e as atualizações planejadas para usuários com foco na privacidade.

Comece a ler agora

A sessão começou como uma prova de conceito construída sobre uma rede descentralizada chamada Loki Service Node Network. Naquela época, era conhecido como “Loki Messenger” (mais tarde renomeado para Session).

A ideia era simples: queríamos mostrar aos desenvolvedores o que era possível na rede descentralizada. Um aplicativo de mensagens parecia o exemplo perfeito porque se pudéssemos mostrar às pessoas como armazenar e passar mensagens, isso poderia ser generalizado para outros aplicativos e inspirar a criatividade dos desenvolvedores para construir seus próprios projetos.

O que não esperávamos era a rapidez com que a comunidade se apegaria ao Loki Messenger.

Quase desde o momento em que lançamos, as pessoas pediram melhorias e novos recursos. Eles viram o que nós vimos: o Loki Messenger tinha algo especial, algo que outros aplicativos de mensagens não ofereciam.

Havia três coisas principais que o diferenciavam:

• Sem números de telefone : você não precisava de um número de telefone para se inscrever. Essa simples mudança tornou as mensagens mais privadas e anônimas.
• Sem servidores centralizados : ao rodar em uma rede descentralizada, não havia nenhum servidor coletando seus dados ou criando um honeypot para hackers.
• Roteamento Onion integrado : O roteamento Onion ocultou os endereços IP dos usuários e aumentou ainda mais a privacidade.

Tudo isso foi empacotado em um aplicativo multiplataforma fácil de usar, tornando a privacidade acessível a qualquer pessoa.

Desde o início, o Session manteve-se focado nesses princípios e recentemente ultrapassou 1 milhão de usuários ativos mensais.

O que começou como uma prova de conceito se transformou em uma plataforma de mensagens que prioriza a privacidade, que está realmente fazendo a diferença e é algo em que tenho orgulho de ter participado.

A sessão usa múltiplas camadas de criptografia ao enviar e receber mensagens. Quando um usuário cria uma conta de sessão, ele gera um par de chaves pública-privada Ed25519 aleatória.

A chave pública se torna o ID da conta do usuário, que pode ser compartilhado fora da banda por meio de um código QR ou de uma sequência de números e letras de 66 caracteres. Depois de obter o ID da conta de alguém, você poderá assinar e criptografar mensagens desse usuário específico.

Para enviar uma mensagem válida em um bate-papo individual, o remetente começa criando a mensagem. A mensagem é assinada utilizando a chave privada Ed25519 do remetente, seguindo o algoritmo de assinatura Ed25519.

Esta etapa garante a autenticidade da mensagem. A chave pública Ed25519 do remetente e a assinatura digital são então anexadas à mensagem.

Em seguida, o remetente gera um par de chaves X25519 efêmero. Este par de chaves temporário, juntamente com a chave pública X25519 do destinatário, é usado para criar uma chave de criptografia simétrica compartilhada.

Utilizando esta chave, a mensagem é criptografada com o algoritmo XSalsa20-Poly1305, garantindo confidencialidade e integridade.

A mensagem criptografada e os metadados relacionados, como a chave pública X25519 do destinatário e a chave pública efêmera X25519 do remetente, são embalados em um envelope. Este envelope é então criptografado novamente para entrega segura usando o protocolo de roteamento cebola da Session, Onion Requests.

O processo de roteamento cebola envolve criptografar o envelope três vezes – uma para cada salto no caminho da rede. Cada camada de criptografia é baseada em chaves simétricas derivadas das chaves Ed25519 de cada salto e criptografadas com AES ou XChaCha20-Poly1305.

O envelope criptografado triplamente é enviado para o primeiro salto, e cada salto subsequente remove uma camada de criptografia, revelando o próximo destino até que o envelope chegue ao enxame do destinatário. Assim que o envelope chega ao enxame do destinatário, o destinatário o busca e descriptografa para recuperar a mensagem.

O protocolo de criptografia da sessão fornece criptografia ponta a ponta e um alto nível de privacidade de metadados para cada mensagem enviada.

Apesar da tecnologia sofisticada nos bastidores, os usuários não precisam se preocupar com a complexidade. Eles podem simplesmente enviar e receber mensagens como fariam com qualquer outro aplicativo, ao mesmo tempo que se beneficiam do alto nível de privacidade e segurança do Session.

A sessão é totalmente de código aberto. Isso inclui todos os aplicativos clientes, incluindo Session iOS, Android e Desktop, bem como todo o software que alimenta a rede descentralizada de nós que armazena e roteia mensagens.

O código-fonte está disponível publicamente no GitHub em https://github.com/session-foundation

Para implementar um backdoor no aplicativo, os desenvolvedores mal-intencionados precisariam enviar alterações de código para esses repositórios e criar uma nova versão. Tais mudanças não passariam despercebidas pela comunidade da Session ou pelos seus colaboradores.

Se isso acontecesse, os repositórios poderiam ser facilmente removidos do desenvolvedor mal-intencionado e o aplicativo poderia ser reimplantado sem o código prejudicial.

A Session também passou por auditorias independentes de terceiros para garantir sua segurança e integridade. Uma dessas auditorias foi conduzida pela Quarkslab, e as suas conclusões foram disponibilizadas publicamente. Você pode revisar o relatório deles aqui:

Essa abertura e transparência tornam difícil para um backdoor ou vulnerabilidade se tornar um lançamento.

O modelo de longo prazo para o desenvolvimento sustentável da Session envolve a monetização através de uma versão premium da Session, chamada Session Pro.

O Session Pro será um serviço de assinatura projetado para usuários avançados, oferecendo recursos adicionais de maneira semelhante à forma como o Telegram Premium aprimora a experiência dos usuários do Telegram.

Todas as assinaturas do Session Pro retornam para o ecossistema do Session. Esses pagamentos ajudarão a sustentar e aumentar a rede do Session Node, garantindo sua escalabilidade e confiabilidade à medida que a base de usuários do Session continua a se expandir.

É importante ressaltar que a Session manterá sempre uma versão gratuita que garante o mesmo alto nível de privacidade para todos os usuários. Este compromisso com as mensagens que priorizam a privacidade continua sendo fundamental para a missão da Session.

Todo o crescimento da Session até agora tem sido inteiramente orgânico, impulsionado em grande parte por recomendações de influentes especialistas em privacidade. Acredito que esse crescimento irá acelerar à medida que o Session continuar a se posicionar como uma alternativa mais segura ao WhatsApp, Telegram e Signal. As equipes

que trabalham no Session têm conexões profundas no espaço das ONGs e entre líderes de pensamento sobre privacidade, que continuarão defendendo o Session à medida que o aplicativo cresce e melhora seus recursos subjacentes.

Ainda há trabalho a ser feito no lado técnico para melhorar a retenção de usuários.

Nos próximos 6 a 12 meses, o foco estará em áreas-chave, como melhorar a funcionalidade do grupo, aumentar a velocidade e a confiabilidade e tornar a integração o mais simples possível. Isso inclui garantir que os usuários possam se conectar facilmente com amigos e familiares e convidar novas pessoas para ingressar no aplicativo.

Ao enfrentar esses desafios técnicos e ao mesmo tempo manter uma forte defesa no espaço de privacidade, a Session está bem posicionada para continuar sua trajetória ascendente como plataforma líder de mensagens com foco na privacidade.

O panorama regulamentar em torno das mensagens privadas ainda está a emergir e diferentes países estão a adotar abordagens diferentes para regular a encriptação de ponta a ponta e a privacidade dos dados.

A Session anunciou recentemente que a administração do projeto seria transferida para fora da Austrália, do administrador original do projeto (o OPTF) para a Session Technology Foundation, uma fundação com sede na Suíça dedicada à promoção da inovação digital e dos direitos digitais.

Esta medida foi em grande parte uma resposta à legislação recente e à pressão dos reguladores australianos, que tornaram cada vez mais difícil para a Session operar fora da Austrália, mantendo ao mesmo tempo as garantias de privacidade e segurança que oferece aos seus utilizadores.

Ao contrário da Austrália, a Suíça tem fortes proteções constitucionais que preservam a privacidade e um longo histórico de apoio a aplicações pró-privacidade como ProtonMail, Threema e Nym.

Por definição, as empresas e indivíduos envolvidos no desenvolvimento da Sessão não têm acesso privilegiado aos dados do usuário.

Mensagens criptografadas de ponta a ponta são armazenadas e roteadas através de uma rede de mais de 2.100 nós operados pela comunidade. Esta abordagem é fundamentalmente diferente de outras plataformas de mensagens.

Historicamente, esse design significou que, quando as solicitações de dados são recebidas, não há informações disponíveis para serem compartilhadas com a parte solicitante. O OPTF, o anterior administrador do projeto Sessão, publicou relatórios regulares de transparência para apoiar este facto, que podem ser visualizados aqui.

À medida que a Session Technology Foundation assumir a administração, ela continuará esta tradição, com relatórios de transparência publicados aqui: https://session.foundation/transparency-reports

Nenhuma das empresas ou indivíduos envolvidos no desenvolvimento do Session recebeu solicitações para implementar backdoors no aplicativo.

A transferência da administração para a Session Technology Foundation, com sede na Suíça, é um passo proativo para garantir que a Session possa continuar a proteger a privacidade e a segurança dos seus utilizadores.

O roteiro atual da sessão concentra-se na revisão dos principais recursos para aumentar a confiabilidade e a usabilidade em todo o aplicativo. Aqui estão as principais áreas de foco:

Grupos : desde seu lançamento em 2022, os grupos enfrentaram diversos desafios.

Os usuários relataram perda ocasional de acesso a grupos quando as chaves de criptografia subjacentes são alternadas, o que ocorre quando os membros são removidos de um grupo.

Além disso, as mensagens podem ser perdidas quando os usuários ingressam em um grupo ou permanecem off-line por mais de 14 dias. Para resolver esses problemas, a arquitetura dos grupos está sendo totalmente redesenhada para torná-los mais persistentes na rede de nós e melhorar a confiabilidade durante as rotações de chaves de criptografia.

Como parte desta revisão, várias melhorias de usabilidade também estão sendo implementadas, incluindo suporte para vários administradores em grupos, um novo sistema de convite de grupo e suporte aprimorado a notificações push.

Essas mudanças visam tornar os grupos mais confiáveis ​​e fáceis de usar.

Integração : usuários não técnicos às vezes têm dificuldades com o processo de integração do Session.

Historicamente, a Session introduziu conceitos complexos de gerenciamento de chaves privadas, como frases-semente mnemônicas, no início da experiência de integração. Essa complexidade muitas vezes levou à frustração e ao abandono durante a inscrição.

Uma atualização recente simplificou o processo de integração, adiando esses conceitos avançados até após a criação da conta. Essa mudança melhorou a retenção durante a integração.

No entanto, ainda há espaço para melhorias.

Os planos futuros provavelmente envolverão a integração de chaves de acesso para reduzir ainda mais as barreiras de entrada e simplificar o processo de convite de novos usuários, aproveitando links diretos.

Onion Routing : Logo após o lançamento da Session, os Onion Requests foram introduzidos como uma implementação simplificada de um protocolo Onion Routing.

Embora eficazes para necessidades básicas, os Onion Requests são protocolos baseados em HTTP sem streaming e são inerentemente mais lentos e menos capazes do que protocolos mais avançados.

As mensagens normalmente levam de 1 a 3 segundos para serem enviadas, enquanto os uploads e downloads de arquivos podem levar muito mais tempo. Além disso, as solicitações Onion impõem um limite de 10 MB aos arquivos, limitando a funcionalidade da sessão para transferências de arquivos maiores.

Para superar essas limitações, a equipe da Session vem desenvolvendo o Lokinet, um protocolo de roteamento cebola mais avançado. Lokinet oferece suporte a conexões baseadas em fluxo e é baseado em UDP, permitindo um desempenho mais rápido e flexível.

Lokinet está atualmente passando por uma refatoração completa e está se aproximando da maturidade. Testes internos mostram que o Lokinet é de 3 a 10 vezes mais rápido que o Onion Requests, o que significa que os tempos de entrega de mensagens e transferência de arquivos podem ser drasticamente melhorados depois de implementado. Além disso, o Lokinet não impõe as mesmas limitações de tamanho de arquivo, abrindo caminho para uploads de arquivos muito maiores na Session.

Um grande obrigado ao cofundador da Session, Kee Jefferys, e ao restante da equipe por dedicarem seu tempo para abrir a cortina sobre o que faz seu aplicativo funcionar - e por que a privacidade é mais importante do que nunca.

Se você estiver pronto para levar seu jogo de mensagens a um nível (ou dez), poderá baixar o Session gratuitamente na App Store ou no Google Play, e também está disponível para PC, Mac e Linux. Dê uma olhada e veja como é a verdadeira privacidade.

O que você acha das possíveis atualizações e desenvolvimentos mencionados pelo cofundador da Session? Compartilhe suas idéias nos comentários abaixo .