Pages

Tuesday, 27 February 2018

基于Tor的通讯软件Briar:断网也能用的通信软件

Briar是一款正在研发中的基于Tor的通讯软件,开发人员称,这款应用已经通过了安全审计进入Beta阶段。应用目前已经上架Google Play Store,iOS用户可能还需要再等等。

已通过安全审计

Briar团队还公布了安全审计结论。这次的安全审计是由Cure53进行的,这个团队审计过SecureDrop, Cryptocat, Dovecot等安全服务,去年年底还曾发现了cURL中的数十个安全问题。
Cure53的审计报告,“Android版本的Briar对安全和隐私处理得比较好,”除此之外,应用中的加密代码“特别干净完善,没有发现漏洞。”
审计中发现的问题在现在发布的Beta版本中都已经修复。

去中心化的通讯服务

Briar最大的特点就是使用了去中心化的通讯方式,为记者、活动分子提供了更加安全的通讯手段。
Briar使用了点对点的系统,用户在通讯时能直接相互交流。而所有通讯都是端对端加密的,能够保证私密性,并且不会携带任何元数据。由于Briar是端对端加密方式,理论上无法封锁。
默认情况下,Briar用户之间会使用Tor网络传输消息,但是如果Tor被封锁,应用会使用附近的WiFi网络进行局域网的传输,或者使用蓝牙进行近距离传输。正因为如此在Briar官网的介绍中提到了它在断网的情况下也能使用。

不急着推出稳定版

软件开发者Torsten Grote称,稳定版的Briar推出的时间还没有确定。Briar是开源的并且没有商业资助和严格的时间点。所以不急着推出正式版。
“跟其他的自由软件项目一样,等完成项目之后就会推出正式版。”Grote说。由于在开发Briar时开发者尽可能模块化,使之后的开发变得更加方便,因此未来会推出Briar的桌面版本。
而iOS的开发则更难,“因为iOS平台相比Android更加封闭,对P2P所用到的背景服务有更多限制”,尽管如此,开发团队还是打算开发一个iOS版本。
“目前我们在收集问题以便发布第二个Beta版本,我们的测试用户主要担心两个问题:电池消耗和能否远程添加好友。“

在软件的后续开发计划中,开发者打算加入I2P支持作为Tor的替代品。通过与开发者Grote的沟通小编了解到,Briar之后还会加入WiFi Direct的通信方式,甚至还可能会用到FM无线电。
目前Briar已经获得了一定的知名度,某些注重隐私的用户把它称作“暗网信使”。

同类软件

Briar其实有几个特性,端对端、基于Tor、以及离线可用。我们总结了相关的同类软件以及他们的区别。

端对端

最近几年,注重隐私的通信和安全软件越来越多,有斯诺登推荐的Signal、俄罗斯富豪开发的Telegram。众多传统的通讯软件也加入了加密通讯的功能,比如Line、Viber、WhatsApp、Facebook旗下的Messenger等。

基于Tor

事实上,Tor项目自己也推出过基于Tor的通讯软件,名为Tor Messenger,不过这款应用只有Linux、Mac和Windows版本,没有Android版本,因此Briar与Tor Messenger可以进行互补。而事实上,Briar的团队与Tor项目开发人员还有一些联系。
“我们的开发者认识很多Tor的开发者,他们也认识我们,”Grote说,“我们会讨论减少Tor电池消耗的问题,然后一起解决”,除此之外两个团队没有什么官方的或者经济上的关联。

离线可用

实际上看到Briar使用蓝牙传输消息,小编就想起了前几年的FireChat。相比之下,FireChat的安全性较低,FireChat开发者曾经澄清过,“如果被敌对的人发现使用这个工具时的一切通讯,会对用户造成不利。” 他说:“换句话说,它不是安全或秘密的通讯工具。”
必须当面添加好友
从这个意义上说,Briar可能是FireChat的安全版,但二者的路线可能略有不同。Briar只能用于距离较近的通信,使用Briar添加好友时必须面对面扫描添加,将二维码复制转发等都无法添加。而FireChat把用户作为节点,每个人在接受消息的同时会发送给附近的用户,因此消息传输的距离更远。
对于这两个问题,Freebuf小编特意联系了Briar的开发者Torsten Grote,来听听他怎么说:
问:我记得有一款名为FireChat的应用程序。它用了蓝牙和Wi-Fi Direct(貌似Briar很快会支持)。在FireChat中每个用户实际上是一个“节点”,因此可以进行长距离的通信。 Briar会采用这样的方法吗?还是不够安全?
答:Briar希望尽可能保护元数据,所以它不会为其他人传递消息。这也节省了电池消耗。
然而,Briar所采用的P2P技术会作为自由软件库发布,并且以模块化的形式(这与Firechat不同),因此其他人可以使用这些库来构建自己的P2P应用程序,这些应用程序安全性较低,但传播信息比Briar更容易。
问:Briar的手册里说“你必须当面添加联系人”,这会减少应用程序的普及吗?
答:肯定会的。我们打算解除这一限制,但请记住,当面添加好友是防范中间人攻击的唯一途径(只有这样你才可以确定跟你你说话的人真的是那个人)。
另外Briar可以推荐联系人,推荐的联系人不需要见面就可以添加。
需要下载的读者可以访问这里
*参考来源:BleepingComputer
from http://www.freebuf.com/sectool/141482.html
-------

Darknet Messenger Releases Beta, Passes Security Audit

July 21 2017
After extensive private beta tests, the first public beta of Briar was released today. Briar is a secure messaging app for Android.
Unlike other popular apps, Briar does not require servers to work. It connects users directly using a peer-to-peer network. This makes it resistant to censorship and allows it to work even without internet access.
The app encrypts all data end-to-end and also hides metadata about who is communicating. This is the next step in the evolution of secure messaging. No communication ever enters the public internet. Everything is sent via the Tor anonymity network or local networks.
With today's beta release, the Briar team also publishes the results of an independent security audit (PDF). It was performed by Cure53 who are known for their audits of SecureDrop, Cryptocat and Dovecot. Six testers took a total of thirteen days to look for flaws in Briar's cryptographic protocols and code. In their report, they state "the quality and readability of the app’s source code was rather exceptional" and highlight "a good understanding of vulnerability patterns and threats". All the issues found by the audit have been addressed in this beta release. The report concludes that Briar "is able to offer a good level of privacy and security. In other words, the Briar secure messenger can be recommended for use."
Briar's development team is looking for feedback on today's beta release. You can submit your feedback anonymously through the app or publicly in the project's issue tracker. Before the final release, changes to the peer-to-peer protocol are expected, so users will not be able to migrate their accounts to the final version. For security reasons, their accounts and data will expire with the beta.

Media


About Briar

Briar is a messaging app designed for activists, journalists, and anyone else who needs a safe, easy and robust way to communicate. Unlike traditional messaging tools such as email, Twitter or Telegram, Briar doesn't rely on a central server - messages are synchronized directly between the users' devices. If the internet's down, Briar can sync via Bluetooth or Wi-Fi, keeping the information flowing in a crisis. If the internet's up, Briar can sync via the Tor network, protecting users and their relationships from surveillance
from https://briarproject.org/news/2017-beta-released-security-audit.html
--------

Briar 是开源的加密通信应用,与其他工具相比各有特色:去中心化,支持 Tor 网络,断网时可以通过蓝牙或 Wi-Fi 沟通,这点和 FireChat 相似。不过这款应用还在开发中,进度 75% 左右。





No comments:

Post a Comment