Вибираємо захищений IM для Android

Технології

Вирішив я пошукати якийсь захищений месенджер, подивитися, що зробили люди за весь цей час. Протестував понад 20 месенджерів різного ступеня готовності. Цікавили тільки месенджери зі «своїм» протоколом, оскільки в XMPP-світі все нормально і очікувано.

Мене, в основному, цікавили месенджери для текстового спілкування з шифруванням в будь-якому його вигляді. Пошук проводився в Google Play за фразами: «secure chat», «secure IM», «secure communication», «secure messaging».

Тестував тільки безкоштовні рішення.

tl;dr: заміни Skype все ще немає.

Власне, ось всі мої знахідки:

1. TextSecure

  • Працює як через інтернет, так і за СМС. Використовує шифрування без перевірки автентичності співрозмовника, немає навіть фінгерпринту. Потрібно стежити за значком ключа в повідомленнях. Не сповіщає про плейнтекст
  • Для реєстрації потрібен номер телефону. Реєстрація не обов'язкова (але працює тільки через СМС)
  • Тільки повідомлення
  • Android-only
  • OpenSource

2. TigerText

  • Більше enterprise-варіант. Може працювати по інтернету як з номером телефону, так і з поштою (режим «для домену»)
  • Все надіслане і надіслане самознищується максимум через 30 днів (за замовчуванням 5)
  • Немає перевірки співрозмовника, навіть зліпка ключа
  • Повідомлення, фотографії, аудіозаписи
  • Для реєстрації потрібен або номер телефону, або пошта
  • Android / iOS

3. Chiffry

  • Ключі створюються під час першого запуску. Приємний інтерфейс
  • Є фінгерпринти ключів
  • Повідомлення, дзвінки, надсилання файлів і контактів. Групові чати
  • Для реєстрації потрібен номер телефону
  • Опис на Google Play каже, що використовується AES256-CGM + 512-бітні (?) Ключі ECDH
  • Android / BlackBerry

4. Vipole

  • Зав'язаний на сервіси Vipole. Щоб згенерувати ключ, потрібно водити пальцем. Не тільки IM, але ще й інші сервіси VIPole - нотатки, менеджер паролів
  • Вимагає гроші для багато чого, наприклад, для шифрування локальної історії
  • Ви можете вказати пароль для акаунта та пароль для ключа. Ви можете вказати фейковий пароль для ключа, який або буде фарбувати програму, або пофарбувати та видаляти дані
  • Немає перевірки фінгерпринтів
  • Для реєстрації потрібна пошта
  • Повідомлення, дзвінки, відеодзвінки, передавання файлів, групові чати і дзвінки
  • Схоже, відмінне рішення для бізнесу
  • AES-256, RSA-3072
  • Android / Windows / MacOS / Linux

5. Unseen

  • Немає перевірки співрозмовника, немає стампа ключа
  • Повідомлення/аудіовідеозвонки/групові аудіовідвідки/файли
  • Безкоштовний акаунт дозволяє робити аудіоконференції до 5 осіб. Відеоконференцій у безкоштовній версії відсутні
  • Реєстрація на основі логіну
  • 4096-bit NTRU
  • Android / MacOS / Linux / Windows

6. Sicher

  • IM від творців IM +
  • Повідомлення, групові чати і файли
  • Повідомлення самознищуються
  • Немає перевірки співрозмовника, навіть фінгерпринту ключа
  • Реєстрація за телефоном
  • Android / iOS / WinPhone

7. Whistle.im

  • Тільки повідомлення. Для реєстрації не потрібно ні телефон, ні пошта, тільки логін і пароль. Підтвердження користувача за стампом ключа
  • Android / Browser
  • Доступний початковий код бібліотек шифрування

8. Surespot

  • Реєстрація тільки з використанням логіна/пароля. Використовується PGP і свій keyserver
  • Фінгерпринти не перевіряються
  • Повідомлення, голосові повідомлення (платно), картинки
  • 521-bit ECDH + AES256-GCM
  • Клієнт і сервер OpenSource
  • На вебсайті описано шифрування
  • Android / iOS

9. Wickr

  • Фінгерпринти не перевіряються.
  • Повідомлення самознищуються максимум протягом 6 днів.
  • Повідомлення, фотографії, аудіозаписи.
  • Для реєстрації потрібно тільки придумати логін. Немає пошти.
  • AES256, ECDH521 TLS
  • Android / iOS

10. Antox

  • Ну, про Tox ви і так все знаєте, напевно. Десь не пробився NAT і комунікація взагалі не вдалася. У цьому і полягає найбільша біда P2P-комунікацій без сервера
  • OpenSource
  • Cross Platform

11. Seecrypt SC3

  • AES 256 & RC4 384
  • Повідомлення/аудіозвонки/файли
  • Android only

12. Telegram

  • Досить зручний месенджер з візуальним фінгерпринтом. Перевірки фінгерпринту немає. Два режими роботи: захищені і незахищені чати.
  • AES-IGE + SHA1
  • Повідомлення/файли
  • Відкритий протокол, OpenSource клієнт, але не сервер
  • Android / iOS / Windows / MacOS / Linux / Browser

Висновки

Все дещо сумно. Порадував Chiffry, але він ще сирий і пропріетарний; Surespot порадував описом і відкритістю, дещо зацікавив Vipole. Але всім іншим користуватися незручно або неприємно. Продовжуємо користуватися XMPP + OTR/SIP + ZRTP.