Briar是一款正在研发中的基于Tor的通讯软件,开发人员称,这款应用已经通过了安全审计进入Beta阶段。应用目前已经上架Google Play Store,iOS用户可能还需要再等等。
Briar最大的特点就是使用了去中心化的通讯方式,为记者、活动分子提供了更加安全的通讯手段。
Briar使用了点对点的系统,用户在通讯时能直接相互交流。而所有通讯都是端对端加密的,能够保证私密性,并且不会携带任何元数据。由于Briar是端对端加密方式,理论上无法封锁。
默认情况下,Briar用户之间会使用Tor网络传输消息,但是如果Tor被封锁,应用会使用附近的WiFi网络进行局域网的传输,或者使用蓝牙进行近距离传输。正因为如此在Briar官网的介绍中提到了它在断网的情况下也能使用。
软件开发者Torsten Grote称,稳定版的Briar推出的时间还没有确定。Briar是开源的并且没有商业资助和严格的时间点。所以不急着推出正式版。
“跟其他的自由软件项目一样,等完成项目之后就会推出正式版。”Grote说。由于在开发Briar时开发者尽可能模块化,使之后的开发变得更加方便,因此未来会推出Briar的桌面版本。
在软件的后续开发计划中,开发者打算加入I2P支持作为Tor的替代品。通过与开发者Grote的沟通小编了解到,Briar之后还会加入WiFi Direct的通信方式,甚至还可能会用到FM无线电。
目前Briar已经获得了一定的知名度,某些注重隐私的用户把它称作“暗网信使”。
对于这两个问题,Freebuf小编特意联系了Briar的开发者Torsten Grote,来听听他怎么说:
*参考来源:BleepingComputer
from http://www.freebuf.com/sectool/141482.html
-------
Unlike other popular apps, Briar does not require servers to work. It connects users directly using a peer-to-peer network. This makes it resistant to censorship and allows it to work even without internet access.
The app encrypts all data end-to-end and also hides metadata about who is communicating. This is the next step in the evolution of secure messaging. No communication ever enters the public internet. Everything is sent via the Tor anonymity network or local networks.
With today's beta release, the Briar team also publishes the results of an independent security audit (PDF). It was performed by Cure53 who are known for their audits of SecureDrop, Cryptocat and Dovecot. Six testers took a total of thirteen days to look for flaws in Briar's cryptographic protocols and code. In their report, they state "the quality and readability of the app’s source code was rather exceptional" and highlight "a good understanding of vulnerability patterns and threats". All the issues found by the audit have been addressed in this beta release. The report concludes that Briar "is able to offer a good level of privacy and security. In other words, the Briar secure messenger can be recommended for use."
Briar's development team is looking for feedback on today's beta release. You can submit your feedback anonymously through the app or publicly in the project's issue tracker. Before the final release, changes to the peer-to-peer protocol are expected, so users will not be able to migrate their accounts to the final version. For security reasons, their accounts and data will expire with the beta.
from https://briarproject.org/news/2017-beta-released-security-audit.html
--------
Briar 是开源的加密通信应用,与其他工具相比各有特色:去中心化,支持 Tor 网络,断网时可以通过蓝牙或 Wi-Fi 沟通,这点和 FireChat 相似。不过这款应用还在开发中,进度 75% 左右。#P2P脱中央 https://code.briarproject.org/akwizgran/briar
---------------------------
P2P 消息应用 Briar@BriarApp 发布了首个 Android 稳定版。Briar 是开源项目,特点是不依赖中央服务器,不受审查和封锁,支持匿名注册,支持端对端加密,支持订阅博客或新闻的 RSS 源,支持接入 Tor 网络,即便断网也能通过蓝牙或 Wi-Fi 在有限范围内收发消息。https://briarproject.org
已通过安全审计
Briar团队还公布了安全审计结论。这次的安全审计是由Cure53进行的,这个团队审计过SecureDrop, Cryptocat, Dovecot等安全服务,去年年底还曾发现了cURL中的数十个安全问题。Cure53的审计报告称,“Android版本的Briar对安全和隐私处理得比较好,”除此之外,应用中的加密代码“特别干净完善,没有发现漏洞。”审计中发现的问题在现在发布的Beta版本中都已经修复。
去中心化的通讯服务
Briar使用了点对点的系统,用户在通讯时能直接相互交流。而所有通讯都是端对端加密的,能够保证私密性,并且不会携带任何元数据。由于Briar是端对端加密方式,理论上无法封锁。
默认情况下,Briar用户之间会使用Tor网络传输消息,但是如果Tor被封锁,应用会使用附近的WiFi网络进行局域网的传输,或者使用蓝牙进行近距离传输。正因为如此在Briar官网的介绍中提到了它在断网的情况下也能使用。
不急着推出稳定版
“跟其他的自由软件项目一样,等完成项目之后就会推出正式版。”Grote说。由于在开发Briar时开发者尽可能模块化,使之后的开发变得更加方便,因此未来会推出Briar的桌面版本。
而iOS的开发则更难,“因为iOS平台相比Android更加封闭,对P2P所用到的背景服务有更多限制”,尽管如此,开发团队还是打算开发一个iOS版本。“目前我们在收集问题以便发布第二个Beta版本,我们的测试用户主要担心两个问题:电池消耗和能否远程添加好友。“
在软件的后续开发计划中,开发者打算加入I2P支持作为Tor的替代品。通过与开发者Grote的沟通小编了解到,Briar之后还会加入WiFi Direct的通信方式,甚至还可能会用到FM无线电。
目前Briar已经获得了一定的知名度,某些注重隐私的用户把它称作“暗网信使”。
同类软件
Briar其实有几个特性,端对端、基于Tor、以及离线可用。我们总结了相关的同类软件以及他们的区别。端对端
最近几年,注重隐私的通信和安全软件越来越多,有斯诺登推荐的Signal、俄罗斯富豪开发的Telegram。众多传统的通讯软件也加入了加密通讯的功能,比如Line、Viber、WhatsApp、Facebook旗下的Messenger等。基于Tor
事实上,Tor项目自己也推出过基于Tor的通讯软件,名为Tor Messenger,不过这款应用只有Linux、Mac和Windows版本,没有Android版本,因此Briar与Tor Messenger可以进行互补。而事实上,Briar的团队与Tor项目开发人员还有一些联系。“我们的开发者认识很多Tor的开发者,他们也认识我们,”Grote说,“我们会讨论减少Tor电池消耗的问题,然后一起解决”,除此之外两个团队没有什么官方的或者经济上的关联。
离线可用
实际上看到Briar使用蓝牙传输消息,小编就想起了前几年的FireChat。相比之下,FireChat的安全性较低,FireChat开发者曾经澄清过,“如果被敌对的人发现使用这个工具时的一切通讯,会对用户造成不利。” 他说:“换句话说,它不是安全或秘密的通讯工具。”
必须当面添加好友
从这个意义上说,Briar可能是FireChat的安全版,但二者的路线可能略有不同。Briar只能用于距离较近的通信,使用Briar添加好友时必须面对面扫描添加,将二维码复制转发等都无法添加。而FireChat把用户作为节点,每个人在接受消息的同时会发送给附近的用户,因此消息传输的距离更远。对于这两个问题,Freebuf小编特意联系了Briar的开发者Torsten Grote,来听听他怎么说:
问:我记得有一款名为FireChat的应用程序。它用了蓝牙和Wi-Fi Direct(貌似Briar很快会支持)。在FireChat中每个用户实际上是一个“节点”,因此可以进行长距离的通信。 Briar会采用这样的方法吗?还是不够安全?需要下载的读者可以访问这里。
答:Briar希望尽可能保护元数据,所以它不会为其他人传递消息。这也节省了电池消耗。
然而,Briar所采用的P2P技术会作为自由软件库发布,并且以模块化的形式(这与Firechat不同),因此其他人可以使用这些库来构建自己的P2P应用程序,这些应用程序安全性较低,但传播信息比Briar更容易。
问:Briar的手册里说“你必须当面添加联系人”,这会减少应用程序的普及吗?
答:肯定会的。我们打算解除这一限制,但请记住,当面添加好友是防范中间人攻击的唯一途径(只有这样你才可以确定跟你你说话的人真的是那个人)。
另外Briar可以推荐联系人,推荐的联系人不需要见面就可以添加。
*参考来源:BleepingComputer
from http://www.freebuf.com/sectool/141482.html
-------
Darknet Messenger Releases Beta, Passes Security Audit
July 21 2017
After extensive private beta tests, the first public beta of Briar was released today. Briar is a secure messaging app for Android.Unlike other popular apps, Briar does not require servers to work. It connects users directly using a peer-to-peer network. This makes it resistant to censorship and allows it to work even without internet access.
The app encrypts all data end-to-end and also hides metadata about who is communicating. This is the next step in the evolution of secure messaging. No communication ever enters the public internet. Everything is sent via the Tor anonymity network or local networks.
With today's beta release, the Briar team also publishes the results of an independent security audit (PDF). It was performed by Cure53 who are known for their audits of SecureDrop, Cryptocat and Dovecot. Six testers took a total of thirteen days to look for flaws in Briar's cryptographic protocols and code. In their report, they state "the quality and readability of the app’s source code was rather exceptional" and highlight "a good understanding of vulnerability patterns and threats". All the issues found by the audit have been addressed in this beta release. The report concludes that Briar "is able to offer a good level of privacy and security. In other words, the Briar secure messenger can be recommended for use."
Briar's development team is looking for feedback on today's beta release. You can submit your feedback anonymously through the app or publicly in the project's issue tracker. Before the final release, changes to the peer-to-peer protocol are expected, so users will not be able to migrate their accounts to the final version. For security reasons, their accounts and data will expire with the beta.
Media
About Briar
Briar is a messaging app designed for activists, journalists, and anyone else who needs a safe, easy and robust way to communicate. Unlike traditional messaging tools such as email, Twitter or Telegram, Briar doesn't rely on a central server - messages are synchronized directly between the users' devices. If the internet's down, Briar can sync via Bluetooth or Wi-Fi, keeping the information flowing in a crisis. If the internet's up, Briar can sync via the Tor network, protecting users and their relationships from surveillancefrom https://briarproject.org/news/2017-beta-released-security-audit.html
--------
Briar 是开源的加密通信应用,与其他工具相比各有特色:去中心化,支持 Tor 网络,断网时可以通过蓝牙或 Wi-Fi 沟通,这点和 FireChat 相似。不过这款应用还在开发中,进度 75% 左右。
---------------------------
P2P 消息应用 Briar
-------------------------------
开源的安全通讯软件-Briar
Briar是一款不依赖中心服务器,防止监听的安全的开源通讯软件, 支持多语言(包括中文)。软件遵守GPL开源协议。Briar的通讯是直接两个设备的通讯,信道除了因特网,还支持蓝牙和局域WIFI, 网络被中断后,即可以通过蓝牙和 wifi继续通讯,如果Internet恢复正常,会通过Tor网络来保障通讯的安全。
Briar添加好友机制,必须面对面添加好友。添加好友时打开软件,点击右上角的+。双方互相扫描二维码此时软件会打开蓝牙进行确认。此外还有通过好友之间发送链接的方式添加好友的方式。由于加好友必须面对面添加或者通过好友介绍添加,保证了不会出现水军或者机器人账号,每一个账号都对应真实的真人, 并防范了中间人攻击。 Briar还支持群聊(Private Groups),以及论坛(Forums), 博客(Blogs)功能。 群聊,论坛都需要群主邀请加入。 如果群主退群,群组会解散。论坛建立者退出了不会影响论坛,但是如果论坛中所有人都退出了论坛就会消失。
官网:https://briarproject.org/
-----------------------------------
相关帖子:https://briteming.blogspot.com/2015/02/briar.html
Briar是一款不依赖中心服务器,防止监听的安全的开源通讯软件, 支持多语言(包括中文)。软件遵守GPL开源协议。Briar的通讯是直接两个设备的通讯,信道除了因特网,还支持蓝牙和局域WIFI, 网络被中断后,即可以通过蓝牙和 wifi继续通讯,如果Internet恢复正常,会通过Tor网络来保障通讯的安全。
Briar添加好友机制,必须面对面添加好友。添加好友时打开软件,点击右上角的+。双方互相扫描二维码此时软件会打开蓝牙进行确认。此外还有通过好友之间发送链接的方式添加好友的方式。由于加好友必须面对面添加或者通过好友介绍添加,保证了不会出现水军或者机器人账号,每一个账号都对应真实的真人, 并防范了中间人攻击。 Briar还支持群聊(Private Groups),以及论坛(Forums), 博客(Blogs)功能。 群聊,论坛都需要群主邀请加入。 如果群主退群,群组会解散。论坛建立者退出了不会影响论坛,但是如果论坛中所有人都退出了论坛就会消失。
官网:https://briarproject.org/
-----------------------------------
相关帖子:https://briteming.blogspot.com/2015/02/briar.html
No comments:
Post a Comment