新闻链接:http://yeyuan.baijia.baidu.com/article/37301
新闻时间:11月23日 14:28
新闻正文: 摘要 : 每天使用QQ聊天的你,知道QQ的安全评分是0吗,如果你真的需要一个100%的安全通信环境,看看这些软件吧。
自从斯诺登曝光了美国的棱镜门计划和政府的监控行为之后,人们越来越关注自己的日常通讯保密性。就像硬币的正反面一样,有人想监控就有人就想要反监控。现在通讯隐私权和政府监管已经成为了矛和盾的问题。
朱利安阿桑奇曾说过:“我们现在到了一个关键的时刻,截听任何人已经成为可能,每条短信、每封邮件、每次通话。以政府的标准来看,存储和搜索它们的费用几乎可以不计。”这个需求吸引了软件开发者,开发更加安全的即时通讯软件。
电子前沿基金会(EEF)与ProPublica、普林斯顿大学信息技术中心合作,推出了 “通讯软件安全性记分卡”项目,为几十个最流行的即时通讯应用程序进行安全性打分,包括CryptoCat、WhatsApp、AIM、Skype等等。
这次安全性打分基于7项,包括:
是否加密传输信息;是否对消息加密,从而让服务商无法读取消息;
用户是否可以验证联系人的身份;
如果用户的密钥被窃取,是否会对用户过去的通讯内容造成威胁;
是否开放代码给独立人士进行审查;
安全方面的设计是否记录在案;
代码是否经过审核;
得分最高的通讯工具之一是Cryptocat。Cryptocat是一项免费聊天应用,可以安装在网页浏览器中,它得到7分。这款应用也因被《卫报》记者格兰·格林沃德在香港与斯诺登会面时使用而名声大噪。
旧金山公司Open Whisper Systems的三款手机应用也得到了最高的7分,他们是iPhone电话通讯安全应用Signal、Android电话通讯安全应用RedPhone、Android手机短信安全应用TextSecure。这三款都是免费应用,而且相对易于使用。
苹果短信应用iMessage得到了5分,Facebook chat、Skype、WhatsApp、Google Hangouts等流行应用大都在2分。匿名社交工具 Secret 和以安全为卖点的黑莓BBM 只拿到了惨淡的 1 分。而在中国大陆最流行的即时通讯工具QQ却得了零分。
现在我们来看一下获得满分的几款应用。
网页聊天加密软件Cryptocat
Cryptocat是一款加密通讯应用,使用 OTR(off-the-record)模式,对通讯信息进行高度加密以保护用户的信息不被包括政府/NSA在内的第三方窃听。
另外值得一提的是,它的服务器存放在瑞典的一座核掩体之中,因此难以被政府轻易查封。
Cryptocat 是一个开源基于Web的即时消息聊天应用程序。与其它即时聊天工具不同之处在于,它主要关注确保通信是进行加密过和私人化的。
Cryptocat 基于PHP开发,除了静态文件(CSS, JS和图片)外,只有单独的一个PHP文件。其界面简单,而且漂亮。消息使用crypto.js library进行AES-256加密。
语音加密软件Signal和RedPhone
Signal这款应用由 Open Whisper Systems 公司开发,号称可以打密电话防止NSA窃听。和FaceTime、iMessage一样,提供端到端的加密,语音通过 Wi-Fi 或网络流量传输,不会占用套餐里的通话时间。
RedPhone提供终端到终端的加密语音,确保没有人可以到你的对话。
用普通电话号码拨打和接听电话,所以没必要再用一套号码或标号。拨打电话时使用的仍是默认的系统拨号和地址薄。在实际通话中RedPhone使用ZRTP设置一个加密的VoIP通道。RedPhone还使用了针对移动网络优化的音频编解码器和缓冲算法,并使用推送通知,以最大化地节省设备电量。
如果对方也装有RedPhone程序,RedPhone则可以升级成加密呼叫。
RedPhone对终端到终端的通话加密,但功能跟我们用惯了功能一样。 RedPhone使用WiFi或数据连接,不会用语音通话时间。而且是免费的!
短信加密软件TextSecure
TextSecure对短信加密,无论是发送过程还是存储在手机时都是加密的。与一般的短信应用程序几乎一样,而且也很容易使用。
TextSecure不是简单地把信息隐藏起来,而是采用加密技术确保信息真正的安全。
TextSecure为默认的短信应用程序提供了一个安全和隐私性能更好的的替代程序。所有消息都是在本机加密的,因此,如果您的手机丢失或被盗,消息仍是安全的。
发送到其他TextSecure用户的消息在发送过程中是经过加密的,通信中转时得到保护。TextSecure是唯一一款替代Android私人短信/彩信信使程序且同时用到同行审阅加密协议的开源软件。
Silent Circle开发的全能加密软件
著名的通讯信息加密软件开发商Silent Circle公司也推出了一款名为Silent Text的文档加密应用和一款VoIP应用Silent Phone。与传统的文档加密不同,Silent Text并不仅仅是采用对文档增加密码的方法来防止泄露,而是采用了一种类似于“阅后即焚”自动销毁的独特方式。
Silent Text应用可以让用户通过点对点(Peer-to-Peer)技术发送加密的商务文件,无论是Word、Excel、PowerPoint、Pages、Keynotes、PDF、CAD等普通文件,还是视频、图片、地图定位信息、链接还是日历邀请都可以在加密之后发送。
当文件发送给对方之后,Silent Text在确认对方收到之后,可以设置发送的文件在未来的某个时间内自动从对方的设备中删除,加密和解密的密钥都保存在用户设备上,每一条发送出去的信息都使用一次性密钥加密,移动运营商或ISP只会看到加密后的内容。如果对方想要再次查看之前的内容,就必须向发送者索要加密密匙后才能从服务器上查看。
Silent Text支持传输最大100MB大小的文件,并且自动销毁的时间可以由用户自由设定。目前Silent Text已经正式发布iOS及Android系统版本。
Silent Phone通过移动网络或者无线网络进行加密的语音和视频通话,也可以进行加密的多方电话会议。全球Silent Phone用户之间的通话完全免费。安装后到网站注册,获得激活代码后在手机上激活后即可使用。
开源解决方案ChatSecure
ChatSecure是一款开源项目程序,充分运用了Cypherpunks' Off-the-Record protocol来为XMPP(Google即时通, Jabber, 等)或Oscar(AIM)提供安全的通讯渠道确保加密式聊天服务。
ChatSecure 支持多种即时通讯软件(Google即时通, AOL即时通, XMPP) 超强加密 ChatSecure利用Off-the-Record library为加密通讯提供了坚实的基础,从而提供安全可靠的聊天模式。使用者可以通过ChatSecure与Adium或Pidgin用户聊天。
网络隐身软件Orbot
Orbot的是一个“代理应用程序”,可以让其他应用程序更安全地使用互联网。 Orbot使用Tor,基本上让数据包在世界各地一系列的计算机之间来回倒上几次,同时对互联网流量进行加密和隐藏。Orbot是Tor洋葱路由服务的Android官方版本。
与VPN和代理服务器不一样,Orbot的连接不是直接的。因此连接过程会略为长一些,但由于能提供的隐私和身份保护功能,等是值得的。
与Orweb一起用,即使对被封锁、被监视、或经过隐藏的网站,也可以用最匿名的方式访问。 Gibberbot与Orbot一起用,可以在任何地方提供免费的安全聊天。Orbot可设成透明代理,让所有的网络流量通过Tor连接到互联网上。也可以选择性的设成让几个特定的应用程序通过Tor上网。
————————
这些就是在EEF报告中的7分加密软件的基本介绍,这几款软件基本上覆盖了移动设备上的各种安全使用需求。如果您对通信的安全有特别的要求,可以试试以上的这些软件。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)