当Facebook在2014年二月收购了WhatsApp时,人们开始对其安全特性起了疑问。对隐私权非常偏执的人一直以来都对Facebook有有微言,如今连WhatsApp也被炮轰了。
WhatsApp的安全漏洞
WhatsApp承诺会提供端对端加密功能–这是一个很棒的安全功能。可是,这个公司还是有几个漏洞需要去处理。这个服务的法律免责声明说道:“做为Facebook公司的一份子,WhatsApp会与这个公司的一份子收取及分享信息。我们能使用从他们那里收取的信息,而他们也能使用我们与他们分享的信息,以协助经营、提供、改善、了解、制定、支持及促销我们的服务以及他们所提供的功能。”
“Facebook和Facebook家族中的其他公司也可能会使用我们提供的信息来改进您的服务内容,比如提出产品建议。”
“我们不会在提供服务的正常过程中保留用户的信息。但是,如果我们确实将用户的帐户信息包含在用户的个人资料图片,个人资料名称或状态信息中,则可以将其包含在我们的帐户信息中。”
这意思就是用户的信息会被储存在WhatsApp的伺服器当总,而且能被公司是用来进行市场营销用途。
更何况就是,这些储存在他们的伺服器上的数据在“不正常的“的情况下能提供给政府使用。黑客也能侵入WhatsApp的地扶起使用电话号码及用户的帐号资料。
WhatsApp的安全替代程式
若是你正在寻求替代WhatsApp的安全程式,以下是一些顶尖的选项。1. Signal
Signal是免费的服务,他具备强大的加密功能并且能在所有的流动平台上操作。就像大多数其他的通信应用程式,Signal真的很容易使用。具备语音拨电及视讯功能,让你对WhatsApp不再留恋。Signal有自己的专属的桌面安装档案,这样你就能在计算机及手机上 同时使用这个程式了。
端对端加密
由于每一则信息都会被加密起来,所以只有两个人–发送者及收信者能阅读它。若是有黑客尝试取得使用权,由于全部信息都被加密起来他们也不会看到任何东西。
开放资源
Signal使用开放资源加密功能,这让专门人员有机会去试用它并找出开发者能修复好的bug。开放资源加密功能让这个应用程式更加的安全。
让信息消失
用户能选择让信息消失。你能选择每隔一段时间将它们自动删除。若是有人想要使用你的手机的话,这样就有助于让对话维持在保密的状态。
虽然说Signal也有很多类似于WhatsApp的功能,可是却不会引起同样的疑虑。新手们要注意的就是,WhatsApp是由Facebook所有,这家公司因会收集用户数据而臭名昭彰。你在WhatsApp进行的聊天可能会被加密起来,可是Facebook还是可以经常看到你是在和聊天。
Signal的一个问题就是他没有动画表情符号。所以如果你是表情符号的粉丝,就会觉得有点单调。
利
- 端对端加密功能
- 开放资源加密功能
- 可供所有主要平台使用
- 会让信息消失
弊
- 无动画表情符号
评分: 4.8/5
2. Threema
Threema Threem承诺会提供全面隐秘的服务,这是因为联络人清单及小组信息都会独立储存在用户的手机内。一旦发送好信息,他们就会从伺服器中删除,座椅不会有元数据会被收集起来。端对端加密
Threema 对各种信息,包括文字、语音通话、档案及小组聊天等进行端对端加密。它甚至将你的状态信息也加密起来,这样就没有人能追踪你的状态贴文。只有发送人及收信人能阅读信息。
功能丰富
就像WhatsApp那样,Threeema能在网络上使用。对话有丰富的功能,例如发送地点及档案。用户也能建立投票,这是WhatsApp没有的功能。你甚至能将特定的聊天隐藏起来及用密码保护它们。使用者也能Like/Dislike(喜欢/不喜欢)某些人在聊天发表的信息,也有能将文字格式化成粗体、斜体及中间画线的功能。
匿名性
你不需要把手机号码给你想要聊天的人,这样就能完全保持匿名性。每一个用户都会获得一组有8个数组组成的ThreemaID。这样就能让你在使用Threema的时候保持匿名。
所有的在Threema的信息都会使用各自的密钥来个别进行加密。因为它能让在不需提供手机号码的情况下加入服务,你可能会想要在将它们加入聊天的前线确认联络人的身份。它能使用二维码来让你这样做,在把他们加入聊天前确认联络人,并防止MITM袭击。
Threema is based in Switzerland where privacy laws are user-friendly making it a secure messaging app.
利
- 无需手机号码
- 可使用二维码确认联络人
- 格式化文字功能
- 密码保护聊天记录
- 这是付费使用的应用程式
评分: 4.6/5
3. Telegram
Telegram的知名度几乎与WhatsApp一样,第一眼看它和WhatsApp只有一点差别,但这两个应用程式是不同的。Telegram是以云端作为基础的,能在各种平台上操作,当某人收到信息时会使用的是双刻度系统来查看,并有端对端加密功能。另一个让Telegram脱颖而出的另一个原因是它的安全性。凭着拥有1000万名用户,Telegram肯定是个不错的选择。
端对端加密功能
除了发送人及收信人,没有人能读取通过Telegram发送的信息,就算是Telegram的工作人员也一样。
自行销毁信息
就像Signal那样,Telegram提供自动定期删除信息的功能。
开放资源
Telegram 提供不同的API以便能轻松建立使用Telegram作为界面的程式。
利:
- 开放资源软件
- 便于使用的平台
- 云端为基础以便让你绝不丢失你的资料
- 加密功能不是默认的打开,需要手动打开
- 建立了自己的标准加密功能,一直备受批评
4. Wire
凭借提供端对端加密功能,同时通过欧洲法律来保护你的数据,让Wire成为一个安全的通信应用程式,它能成为替代WhatsApp的良好应用程式。个人使用是免费的,可是商用的话就需要出钱购买服务了。通过团队计划,你能选择团队管理员并管理用户,你也能获得优先的支援。还有一个企业计划,为您提供一个自我托管的服务器以及集成API。语音及视频通话
Wire拥有清晰的语音和视频通信。它也有1对1 及小组荧幕分享功能,小组聊天能多达10个人来进行。
档案分享及同步
你能与联络人分享档案。它支援各种格式的档案,包括Doc、PDF以及Excel。Wire可供所有主要平台使用,你能经由8台同步的设备来登入自己的帐号。
格式丰富
Wire能在聊天内嵌入视频、图像、GIF动态图像及表情符号。他也让使用者将文字格式化成粗体及斜体。您还可以在聊天中创建列表,这样会比在使用WhatsApp时更丰富会话。
它能让档案进行大小最优化,以便能轻松发送出附件,就算连接很慢也能办到。你能对语音信息进行声音过滤。Wire让你能设定时间删除信息,保持聊天的隐秘性。
利
- 安全聊天
- 定时信息
- 具备同步使用8台设备的功能
- 丰富对话
- 商用计划配套是付费使用的
评分: 4.4/5
5. Riot.IM
Riot 能让你自由自在的与团队进行沟通。您可以创建具有不同成员或不同事件的单独组,并且可以使用机器人和工具与团队进行交互,并快速完成任务又或者你能开发自己的整合工具–Riot是开放资源程式。
它支援VoIP及视讯通话,信息都是进行端对端加密。Riot让你能连接至其他的应用程式。它有种语言版本你能选择自己的母语版本来拥有更舒服的使用体验。
对话室
Riot有对话室,用户能摆放任何公开的聊天室。此外他们也能凭借一个连接进入私人聊天室
匿名性
当你登入Riot的服务,就会被赋予一个用户ID。当你需要和某人聊天时,你只需要提供那个ID而不是你的手机号码。这样在你和某人聊天的同时也能帮助你的匿名性。
开放资源
Riot运行在开源软件上,虽然它有自己的机器人,但开发人员可以自行创建。 这可以让用户与软件进行交互,使其更加通用和安全。 它的开源特性使Riot更适合开发团队而不是公司团队。
此外,桌面客户端也有干净及便于使用的界面。Riot很有可能是未来的通信应用程式。
利
- 使用用户ID而不是手机号码
- 开放资源软件
- 干净的桌面客户端
- 有其中语言版本
- 加密功能不是默认打开的,需要手动打开
评分: 4.2/5
如果你认真考虑斯诺登的启示,并寻求更好更安全的沟通方式,你可能需要抛弃Whatsapp并寻找替代方案。 试试这些程式 – 它们都以其受保护的操作而闻名.
----------
riot.im简介
riot是一个开源的去中心化的聊天工具,提供了一个聊天的底线解决方案。分布式
和大部分IM工具不同,riot的用户,是属于某个特定的服务器的。我们可以对比一下Email和QQ。Email里,你可以选用不同邮箱,不同邮箱之间是可以互相发送消息的。而QQ里,你的帐号必然只能在腾讯的体系里。前者,我们认为是一个分布的系统。用户分布在多个组织里,依靠协议互相通讯。后者,我们认为是集中的,供应商掌控一切。也许你会反驳说,QQ也分布在全国多个节点。这是对的,但是这是腾讯自己的分布,而不是用户的分布。用户对这事是没有感知的,也无权选择。riot是一个用户分布式的IM系统。你需要找一个服务商,然后向他注册。就像你找一个邮箱供应商并注册一样。随后你会获得一个用户名和密码。配置用户名和密码,你就可以在各种地方登录。Windows,Mac,Linux,Android,iOS,web,我至少知道这几种客户端。登录之后,你可以找任何人聊天,哪怕他和你不在一个服务器。服务商会连接对方的服务器,并完成通话准备。如果你懒得找,riot.im官方也提供注册。你可以把他视为最大的供应商。
和印象相反,用户分布式的系统,听上去很高大上,其实是比集中式难用的。因为分布式系统依靠的是协议,而协议是很难更新的。只有大多数人跟进,一个特性才有用。就像反垃圾邮件,已经好几年了,推进仍然有限。而集中式体系则不然。只要供应商想,他们就可以不停升级协议。你现在还能用12年版的QQ协议么?不行了对吧。这样就使得一个新特性可以在很短时间内铺开。
那么分布式的好处在哪里?
分布式的用户体系,提供了一种可能性。即使在一个供应商出现种种问题的情况下,整个通讯系统依然不崩溃。你甚至可以换一家供应商,然后重新联系你原来的好友——只要你有好友的通讯录备份。这使得保持协议的同时更换供应商成为了可能——一种永远不可能在腾讯体系内实现的可能。
也许你会觉得,供应商会出什么问题?嘛,我们依然以腾讯为例。在中国,腾讯占有了很大的IM和游戏市场份额。作为腾讯的对手,你要警惕的不仅是企鹅帝国的挤压,还有,你要用什么IM作为办公工具。如果您依然认为QQ是个好选择,我只能祝愿您好运。当然,也许您会觉得,我们可以用钉钉。嘛,我也祝愿您好运。这是一个信仰问题,您开心就好。
riot的特性在此时就非常有用。你可以搭建一个自己的聊天服务器,自行维护。自然,此时就没有坑爹的国际线路问题,也没有企鹅运营问题。甚至,如果上下游的公司也选用了支持riot协议的体系,你们还能直接互相聊天。当然,在中国微信和QQ包打天下的格局下,这种情况基本是不大可能了。
类似的场景还有,如果你觉得企鹅家会在聊天记录里搞事。担心聊天记录泄密。严重洁癖甚至都不相信telegram。那么riot的纯开源自维护体系应该能让你感到满意。但是一切的一切,最关键的一点在于。只有你对聊天的供应商有选择权,供应商才会真正“听”你的话。在一个无法离开的体系里,只会变成:用户你好,我是你爸爸。
当然,使用riot要注意他的几个缺点。首先,riot的各个客户端维护的比较差。难看,功能有限,而且不稳定,修复时间长。其次,riot和现有的主流用户完全隔离,这对销售来说非常致命。
安全特性
riot的聊天是非加密的,对此你不应该感到意外。riot的安全是额外提供的,你必须手动打开。riot的加密系统非常有趣,不是基于用户的,而是基于设备。这种加密被称为E2E加密,意思是端到端。手机在选项里拉到底,可以看到把对话转换为加密对话的选项。需要注意的是,打开E2E加密后,这个对话是不能转回去的。你可以开个新对话,把所有人都加进去。但是这个已经存在的对话本身是不能转换回去的。另外就是,由于E2E加密需要端点支持,所有web原则上是很难做出E2E的。因此web版本上这个功能基本是废的。
当你用一个新的终端登录,例如一台新手机连入的时候。所有人会看到你这个新终端,并选择是否信任你。如果他们信任你,那么你可以看到他们说的话,这个都能理解。如果他们不认可你呢?默认情况下也能看到。这是因为系统里有个选项,默认发消息给所有未信任终端。关闭之后,那些你不认可的人就看不到你讲的话了。当然,在进去的同时,你也会看到里面所有的端,并选择是否信任。
当你更换了一个客户端,例如换了一台手机。默认情况下,视同一个新手机登录,所有人都要重新信任,而且所有之前讲的话都会无法浏览。注意,哪怕在同一个手机上,当登出再登录时,也视同一个新客户端。所有人都要重新信任,之前所有会话无法浏览。如果要避免这个问题,你需要在登出前先导出自己的E2E密钥,登录后导入。
这里就要说一下用法问题了。首先,请关闭“发送消息给所有未信任终端”的选项。新用户无法查看之前的消息,但是能查看新的?这个简直了。其次,一开启E2E,就要导出密钥并妥善备份。否则每次都要重新认证终端,对其他人很不友好,而且不安全。第三,不要随便认证终端,一定要确保对方是本人。你可以问一些只有你们知道的问题,或者干脆看着他互相认证也行。
E2E加密的基本原理是,每个端携带一个密钥,进入聊天时把自己公钥发送出去。如果说话的人信任你这个终端,那么他就会认可你的公钥。客户端就会使用你的公钥加密发出去的信息,你在接受到之后就可以用自己的私钥解密。如果他不用你的公钥加密发出去的消息,那么你就看不到,或者说看不懂。
透过这个机制,我们可以理解上面如此设定的机理。当初次进入聊天时,虽然你可以从服务器端同步所有历史消息。然而由于这些消息都没有用你的key加密过,所以你看不懂。当对方开始用你的key加密消息了,你就可以看懂消息了。当登出时,未保存的E2E key会被丢弃。
E2E对抗的风险,就是服务器不可靠,例如被攻陷。或者用户不可靠,例如密码泄露。即便在服务器被攻陷,或者某个用户密码的情况下。E2E机制依然能让攻击者无法看到加密的消息(注意,这里前提就是你关闭了“发送消息给所有未信任终端”)。因为加解密都在客户端做,所有服务器端看到的消息本身就是一团乱码。攻击者拿到密码后,伪装客户终端进来。然而这个终端由于没有信任,因此既看不到历史记录,也看不到新消息。能够对付E2E机制的,只有导出的密钥备份丢失而且被破解,或者直接拿到终端。或者更干脆,聊天中某个人变节,把记录全部发了出去.
Riot 更名为 Element
Riot 是/曾经是一个基于开源 Matrix 协议的去中心化即时通讯应用程序。
6 月下旬,Riot(即时通讯客户端)宣布他们将更名。 昨天,他们透露他们的新名字是 元素. 让我们看看更多关于 Riot 更名的原因以及还有哪些变化的细节。
为什么将名称从 Riot 更改为 Element?
在我们开始最新的公告之前,让我们先看看他们为什么更名:
https://element.io/blog/the-world-is-changing/
他们最初选择 Riot 这个名字是为了“唤起一些具有破坏性和活力的东西”。 他们担心人们反而认为该应用程序“专注于暴力”。 我想当前的世界事件并没有帮助这种情况。
第三,他们希望消除与 Riot 相关的众多品牌名称造成的任何混淆。 为了 example, Riot 由一家名为 New Vector 的公司创建,而 Riot 托管在 Modular 上,Modular 也是 New Vector 的产品。 他们希望简化命名系统以避免混淆潜在客户。 当人们寻找消息传递解决方案时,他们希望他们只需要寻找一个名称:Element。
元素无处不在
截至 7 月 15 日,应用名称和公司名称已更改为 Element。 他们的 Matrix 托管服务现在将称为 Element Matrix Services。 他们的公告很好地总结了这一点:
“对于那些第一次发现我们的人:Element 是分散式 Matrix 通信网络的旗舰安全协作应用程序。 Element 让您拥有自己的端到端加密聊天服务器,同时仍然可以连接到更广泛的 Matrix 网络中的其他所有人。
他们选择 Element 这个名字是因为它“反映了我们在设计 RiotX 时所追求的对简单性和清晰度的强调; 这个名字突显了我们一心一意的使命,即使 Element 成为可以想象的最优雅、最可用的主流通信应用程序”。 他们还表示,他们想要一个名字“唤起数据所有权和自我主权的想法”。 他们还认为这是一个很酷的名字。
不仅仅是更名
最近的公告还明确表示,此举不仅仅是简单的名称更改。 Element 还发布了“适用于 Android 的下一代 Matrix 客户端”。 客户端以前称为 RiotX,现在更名为 Element。 (还有什么?)它完全重写了以前的客户端,现在支持 VoIP 呼叫和小部件。 Element 也将在 iOS 上可用,并支持 iOS 13,具有“全新的推送通知支持”。
Element Web 客户端还通过 UI 更新和新的更易于阅读的字体获得了一些喜爱。 他们还“重写了房间列表控件——添加了房间预览(!!)、字母顺序、可调整大小的列表、改进的通知 UI 等等”。 他们还开始致力于改进端到端加密。
最后的想法
Element 的员工通过进行这样的重大更名,迈出了一大步。 他们可能会在短期内失去一些客户。 (这可能主要是由于不知道出于任何原因更改名称或不喜欢更改。)但从长远来看,品牌简化将有助于他们从人群中脱颖而出。
我要提到的唯一负面影响是,这是他们在应用程序历史上进行的第三次名称更改。 它最初在 2016 年发布时被命名为 Vector。 那年晚些时候更名为 Riot。 希望 Element 会继续存在。
-------------------
Element:一个跨平台的去中心化开源消息传递应用程序
有许多可用的开源消息传递应用程序,特别是如果您正在寻找 WhatsApp 台式机和移动设备上的替代品。
Element 就是其中之一,它是一种分散的私人消息传递替代方案,您可以使用它与个人、社区或企业进行交互。
元素:基于矩阵网络的隐私友好型开源信使
Matrix 是用于安全和分散通信的开放标准。 Element 是使用它的消息传递客户端。
Element 也是 Matrix.org 基金会的一部分——所以你会发现大部分相同的团队对此负责。
最初,它被称为 Riot,我们当时对此进行了介绍。 但是,在更名后,它现在被称为“元素”,它带来了改进的用户体验,并不断致力于使即时消息的去中心化通信变得普遍。
Element 不仅仅是另一个开源信使,它让你能够做很多事情。
在这里,让我重点介绍一些关键功能以及在您阅读时遵循的一些详细信息。
元素的特点
Element 更像是一个多合一的信使,而不是替代某些东西。 您可以选择它作为 Slack 的开源替代品或任何即时通讯工具的私人替代品,例如 Telegram.
您可以获得的一些选项是:
- 端到端加密聊天室
- 公共社区(可能未加密)
- 直接语音通话
- 社区电话会议
- 认识 Jitsi 集成(Zoom 的开源替代方案之一)
- 文件共享
- 表情符号和贴纸支持
- 用于管理社区的审核工具
- 广泛的反垃圾邮件选项
- 能够桥接其他服务,如 Slack, Discord、IRC 等
- 提供付费托管托管以控制您的数据
- 用于消息隐私/安全的交叉签名设备验证
- 细粒度的通知设置
- 电子邮件通知
- 能够使用加密密钥进行恢复
- 使用您的电子邮件或号码,让整个 Matrix 网络都能发现您自己
对于只想要私人消息的用户来说,Element 提供的功能听起来可能让人不知所措。
但幸运的是,除非您明确访问/配置它们,否则所有这些功能都不会妨碍它们。 所以这是一件好事。
首先,让我谈谈 Linux 的安装说明,我将向您介绍我对 Element 的体验(在 Linux 桌面和 Android 上)。
在 Linux 中安装 Element
Element 正式支持 Debian/Ubuntu 进行安装。 您可以只添加包存储库和安装元素。
用于此的命令是:
sudo apt install -y wget apt-transport-https
sudo wget -O /usr/share/keyrings/riot-im-archive-keyring.gpg https://packages.riot.im/debian/riot-im-archive-keyring.gpg
echo "deb [signed-by=/usr/share/keyrings/riot-im-archive-keyring.gpg] https://packages.riot.im/debian/ default main" | sudo tee /etc/apt/sources.list.d/riot-im.list
sudo apt update
sudo apt install element-desktop
请注意,即使在更名后,他们仍在使用 Riot.im 域名来托管包裹——所以不要与旧的 Riot 消息传递应用程序混淆。
你也可以在基于 Arch 的发行版的 AUR 中找到它——但我不太确定它的工作情况。
不幸的是,没有可用的 Flatpak 或 Snap 包。 因此,如果您使用的发行版不受 Element 官方支持,那么探索解决方案/提出问题的最佳地点将是他们的 GitHub 页面:
https://github.com/vector-im
现在,在您开始使用它之前,让我告诉您我对它的一些想法。
Linux 和 Android 上的 Element:这是您需要知道的
首先——Android 和桌面的用户体验都很棒。 我在 Linux Mint 上尝试过,它运行得很好。
您不需要手机号码即可注册。 只需创建一个用户名并向其添加一个电子邮件帐户,就完成了。
可以选择付费的家庭服务器(您自己的矩阵网络)或加入提供的免费 Matrix 家庭服务器。
记住, 如果您是免费注册,则可能无法体验所有功能,例如查看谁在线的能力。 您只能使用自己的服务器执行此操作,免费的 Matrix 服务器限制了某些功能,以便能够容纳无限数量的免费用户。
登录移动设备时,您必须通过扫描 Element 桌面应用程序上提示的二维码来验证会话。
完成后,您可以探索并加入可用的公共社区或创建自己的社区。
大多数现有的公共社区都没有启用端到端加密。 因此,在向任何公共社区发送消息之前,请确保您知道自己在做什么。
虽然 Element 支持桥接 IRC、Slack 等或向社区添加机器人,但加密社区不支持它。 因此,您需要有一个未加密的社区才能使用机器人和网桥。
一种 警告:
Element 越来越受欢迎,诈骗者/垃圾邮件发送者被该平台所吸引,因为它不需要任何有价值的个人信息即可开始。
所以 确保您不信任任何人并确保您的身份安全 不使用您的真实个人资料图片或工作电子邮件,尤其是当您加入公共社区时。
Element 不断改进,并为多个用例提供了大量功能。 我认为它是开源的没有问题 Discord 替换(以某种方式)。
它提供的通知控制级别和添加的电子邮件通知选项(默认情况下启用)给我留下了深刻的印象。 您可以根据自己感兴趣的关键字选择通知,这是多么令人兴奋的功能啊!
总的来说,Element 可能不是你现在使用的所有东西的完美替代品,但它正在成为许多专有选项的多合一替代品。
到目前为止,我对 Element 的体验很好,我对它的未来充满信心。 你怎么认为? 愿意在 Linux 上试用 Element?
No comments:
Post a Comment