- Опубликованы исходники швейцарского криптомессенджера Threema
- Юрисдикция — это важно
- Threema. The Secure Messenger 4+
- Secure. Anonymous. Private.
- Threema GmbH
- Screenshots
- Description
- Threema. Безопасный мессенджер 4+
- Безопасно. Анонимно. Приватно.
- Threema GmbH
- Снимки экрана
- Описание
- Threema
- оглавление
- Имя Трима
- Диапазон функций
- разработка
- безопасность
- Особенности программного обеспечения
- Уровни безопасности
- Групповой чат
- Статус онлайн
- Резервное копирование данных
- Отозвать идентификатор Threema
- Threema Web
- Изображение профиля
- Голосовые звонки
- Трима Сейф
- Видеозвонки
- защита данных
- Номера пользователей
- критика
- Решения для компаний
- Threema Gateway
- Работа Threema
- Трансляция Threema
- Форум Threema
Опубликованы исходники швейцарского криптомессенджера Threema
Архитектура веб-клиента Threema, источник
Защищённый мессенджер Threema открыл исходный код и инструкции по воспроизводимой сборке приложений. Опубликованы 12 репозиториев для клиентов Android, iOS, веб-версии, рилеев нотификаций и других компонентов. Это важнейшее событие в истории компании Threema GmbH, которая с публикацией исходников выходит на новый уровень разработки.
На фоне массового исхода пользователей WhatsApp платный мессенджер Threema стал одним из самых скачиваемых приложений в мире, вместе с Telegram, Signal и Element (децентрализованная сеть Matrix), см. также статью «Какое шифрование лучше: Signal или Telegram?».
Threema наименее известна в этой плеяде. Зато у неё есть одно преимущество перед конкурентами — швейцарская юрисдикция.
Threema — сервис для обмена сообщениями, который реализует сквозное шифрование коммуникаций (E2EE). Поддерживаются аудио- и видеозвонки, обмен файлами и другие возможности современных мессенджеров.
Есть версии для Android, iOS и веба. Отдельного десктопного приложения, в том числе под Linux, пока не разработано.
Интересно, что исходники на Github обновляются только с обновлением клиентов, то есть один коммит = один релиз. Пул-реквесты и баги в репозиториях Github не принимаются, только по почте.
Юрисдикция — это важно
Threema развивается швейцарской компанией Threema GmbH. Серверы проекта тоже в Швейцарии. Именно швейцарская юрисдикция — главное преимущество Threema перед Signal (США) и Telegram (США, Великобритания, разработка переезжает по офисам в разных странах, сейчас находится в ОАЭ, основатели и программисты преимущественно из России, инвесторы из России и других стран, кроме США).
Юрисдикция управляющей компании — вовсе не второстепенный вопрос, когда у властей возникают претензии к отдельным пользователям, клиентам сервиса. Например, в США действуют законы, по которым компания обязана секретно внедрить бэкдоры в свои продукты и сервисы и реализовать слежку за пользователями, если секретный суд примет такое решение.
Это касается и любых криптографических сервисов, даже опенсорсных и самых защищённых на архитектурном уровне. Очень важно, что компания не имеет права предупреждать пользователей о таких действиях. Фактически, в этой ситуации у неё единственный вариант защиты пользователей: закрыться и прекратить оказание услуг.
Многие помнят историю почтового сервиса Tutanota, которого немецкий суд заставил установить бэкдор для расшифровки почты определённого пользователя. Владельцы ганноверской компании тогда жалели, что не выбрали иную юрисдикцию. В одном из интервью они сказали, что рассматривают переезд в Швейцарию, хотя правовая ситуация в Германии не такая плачевная: «Правовая ситуация и конституция Германии в основном очень хорошие и защищают конфиденциальность людей. Общественная активность также помогает нам предотвратить или ослабить проблемные законы (слежку)».
В США правовая ситуация гораздо хуже, особенно после 9/11. В августе 2013 года был вынужден закрыться почтовый сервис Lavabit. Основатель и владелец сервиса Ладар Левисон (Ladar Levison) сказал, что принял это решение после долгих раздумий:
«Я бы хотел иметь легальную возможность рассказать вам о всех событиях, которые привели к такому моему решению, но я не могу. Я чувствую, что вы заслуживаете знать, что происходит. Первая поправка должна гарантировать мне свободу слова в ситуациях вроде этой. К сожалению, Конгресс принял законы, которые говорят обратное. На данном этапе я не могу поделиться событиями последних шести недель, хотя я дважды отправлял соответствующие запросы [чтобы мне разрешили это сделать]», — написал основатель Lavabit Ладар Левисон. Он не вдаётся в подробности своего дела, но обращается ко всем пользователям: «Минувшие события преподали мне один очень важный урок: до решения Конгресса или чёткого судебного прецедента я _очень_ не рекомендую кому-либо доверять персональные данные компании, которая физически привязана к США».
О правовой ситуации в странах с менее развитой судебной системой нечего и говорить. В государствах вроде РФ правовые гарантии конфиденциальности как таковые практически отсутствуют. То есть доверять приватные данные российской компании — самый огромнейший риск среди всех, которые можно представить.
В такой ситуации вопрос юрисдикции конкретного веб-сервиса становится ключевым. В мире осталось не так много мест, где права человека ценятся выше, чем права государства.
Threema GmbH — швейцарский стартап, который получил финансирование от немецко-швейцарской инвестиционной компании Afinum Management AG. Основатели компании — три программиста Мануэль Каспер (Manuel Kasper), Сильван Энгелер (Silvan Engeler) и Мартин Блаттер (Martin Blatter).
Программисты-основатели стартапа считают, что публикация исходного кода — ключевой и важнейший этап в развитии компании.
Разработчики обещают выпустить полноценный десктопный клиент, в том числе под Linux, которым можно будет пользоваться без смартфона: «Безопасность и защита приватности глубоко укоренились в ДНК Threema, поэтому наш код регулярно проходил внешний аудит (см. результаты аудита за ноябрь 2020 года). Благодаря открытым исходникам любой желающий может самостоятельно проверить безопасность Threema и убедиться, что опубликованный исходный код соответствует загруженному приложению. В будущем благодаря инновационному решению с несколькими устройствами можно будет использовать несколько устройств параллельно. В отличие от других подходов, на сервере не останется никаких следов персональных данных. Благодаря этой технологии Threema можно использовать на ПК без смартфона. В итоге, Threema станет ещё более надёжным и ещё более удобным приложением».
В отличие от Telegram, серверы Threema не хранят сообщения и файлы пользователей, поэтому здесь расходы на инфраструктуру минимальны.
Источник
Threema. The Secure Messenger 4+
Secure. Anonymous. Private.
Threema GmbH
-
- #1 in Social Networking
-
- 4.4 • 256 Ratings
-
- $3.99
Screenshots
Description
Threema is the world’s best-selling secure messenger and keeps your data out of the hands of hackers, corporations, and governments. The service can be used completely anonymously. Threema is open source, allows to make end-to-end encrypted voice and video calls, and offers every feature one would expect from a state-of-the-art instant messenger. With Threema Web, you can also use Threema from your Desktop.
PRIVACY AND ANONYMITY
Threema is designed from the ground up to generate as little data on servers as possible. Group memberships and contact lists are managed on your device only, and never stored on our servers. Messages are immediately deleted after they have been delivered. Local files are stored encrypted on your mobile phone or tablet. All this effectively prevents the collection and misuse of your personal information, including metadata. Threema is fully compliant with the European privacy legislation (GDPR).
HIGHEST ENCRYPTION STRENGTH
Threema encrypts ALL your communications END-TO-END including messages, voice and video calls, group chats, media files and even status messages. You can rest assured that only the intended recipient can read your chats, and nobody else – not even us. Threema uses the trusted open source NaCl cryptography library for encryption. The encryption keys are generated and safely stored on users’ devices to prevent backdoor access or copies.
COMPREHENSIVE FEATURES
Threema is not only an encrypted and private messenger but also versatile and feature-rich.
• Write text and send voice messages
• Make voice and video calls (requires iPhone 5s / iOS 10 or above)
• Share videos, pictures and locations
• Send any type of file (pdf, animated gif, mp3, doc, zip, etc.)
• Use Threema Web to chat from your Desktop
• Create groups
• Conduct polls with the poll feature
• Choose between a dark and a light theme
• Quickly and silently reply with the unique agree/disagree feature
• Verify the identity of a contact by scanning their personal QR code
• Use Threema as anonymous instant messaging tool
• Synchronize your contacts (optional)
SERVERS IN SWITZERLAND
All our servers are located in Switzerland, and we develop our software in-house.
FULL ANONYMITY
Each Threema user receives a random Threema ID for identification. A phone number or email address is not required to use Threema. This unique feature allows you to use Threema completely anonymously – no need to give up private information or to open an account.
OPEN SOURCE AND AUDITS
The source code of the Threema app is open for everyone to review. On top of that, renowned experts are regularly commissioned to conduct systematic security audits of Threema’s code.
NO ADS, NO TRACKERS
Threema is not financed by advertising and does not collect user data.
Источник
Threema. Безопасный мессенджер 4+
Безопасно. Анонимно. Приватно.
Threema GmbH
-
- Социальные сети: № 1 в этой категории
-
- 3,9 • Оценок: 338
-
- 379,00 ₽
Снимки экрана
Описание
Threema — это самый популярный в мире безопасный «мессенджер», который защищает ваши данные от хакеров, алчных корпораций и правительственных служб. Службу можно использовать анонимно. Threema — это приложение с открытым исходным кодом, оно позволяет совершать полностью зашифрованные голосовые и видеовызовы, а также предлагает все функции, ожидаемые от самого современного мессенджера. Веб-версия Threema также позволяет использовать Threema на компьютере.
ГАРАНТИРОВАННАЯ КОНФИДЕНЦИАЛЬНОСТЬ
Мессенджер Threema создан с целью генерировать как можно меньше данных на серверах. Управление членством в группах и списками контактов выполняется только на устройстве пользователя, т.е. данные никогда не хранятся на наших серверах. Сообщения удаляются сразу после их доставки. Локальные файлы хранятся на мобильном телефоне или планшете в зашифрованном виде. Все это предотвращает сбор вашей личной информации, в том числе мета-данных, и злоупотребление ею. Приложение Threema полностью соответствует законодательству ЕС в отношении конфиденциальных данных (GDPR).
МАКСИМАЛЬНЫЙ УРОВЕНЬ ШИФРОВАНИЯ
Threema выполняет СКВОЗНОЕ шифрование ВСЕХ данных, которыми вы обмениваетесь (сообщений, голосовых и видеовызовов, групповых чатов, файлов мультимедиа и даже «статусов»). Вы можете быть уверены, ваши сообщения читает только их адресат. Threema использует для шифрования надежную криптографическую библиотеку NaCl с открытым исходным кодом. Ключи шифрования генерируются и хранятся в защищенных папках на устройствах пользователей, что исключает возможность тайного доступа к данным или их копирования.
ПОЛНЫЙ НАБОР ФУНКЦИЙ
Threema — это мессенджер, который не только выполняет шифрование данных и обеспечивает конфиденциальность, но и предлагает своим пользователям широкий спектр гибких функций:
• отправка текстовых и голосовых сообщений;
• голосовые и видеовызовы;
• предоставление общего доступа к видео, изображениям и данным о местоположении;
• отправка файлов любого типа (pdf, анимированные gif, mp3, doc, zip и др.);
• веб-версия Threema для общения в чате Threema с компьютера;
• создание групп;
• создание опросов с помощью функции опросов;
• выбор темной или светлой темы;
• быстрый и незаметный ответ через уникальную функцию «согласиться/отказаться»;
• проверка подлинности контактов путем сканирования персонального QR-кода;
• использование Threema как анонимного мессенджера;
• синхронизация контактов (не обязательно).
СЕРВЕРЫ В ШВЕЙЦАРИИ
Все наши серверы расположены в Швейцарии, и мы разрабатываем наше ПО без привлечения внешних сотрудников.
ПОЛНАЯ АНОНИМНОСТЬ
Каждый пользователь Threema получает случайный Threema ID для идентификации. Для пользования приложением не нужен номер телефона или адрес эл. почты. Эта уникальная особенность позволяет пользоваться Threema совершенно анонимно: вам незачем разглашать личную информацию или создавать учетную запись!
ОТКРЫТЫЙ ИСХОДНЫЙ КОД И АУДИТ
Исходный код приложения Threema открыт для просмотра всеми желающими. Кроме того, регулярно привлекаются известные эксперты для проведения систематического аудита в отношении безопасности кода Threema.
ОТСУТСТВИЕ РЕКЛАМЫ И ТРЕКЕРОВ
Threema не финансируется за счет рекламы и не собирает данные пользователей.
Источник
Threema
8 июля 2021 г.
MIT (протокол связи)
проприетарный (сервер)
Threema (произношение Английский: / θɹiː.mə /) является свободным концом к концу зашифрованы Swiss обмена мгновенными сообщениями — сервис для использования на смартфонах и таблетки . Программное обеспечение предназначено для защиты данных и предотвращения их использования и, в отличие от большинства конкурирующих продуктов, не требует использования номера телефона или другой личной информации.
оглавление
Имя Трима
Название threema — это аббревиатура EEEMA , сокращение от слова « end-to-end Encrypting Messaging Application» , три E термином Three (английский язык three был заменен).
Диапазон функций
Соответствующее программное обеспечение является платным и доступно для мобильных устройств с операционными системами Android (начиная с версии 4.4 ) и iOS (начиная с версии 10 ). С июня 2020 года Threema больше нельзя использовать под Windows Phone / Windows 10 Mobile . Threema также можно использовать на настольном компьютере через веб-приложение «Threema Web», но только если также установлено приложение для смартфона.
С помощью Threema можно отправлять текстовые сообщения, изображения, видео, ваше местоположение и голосовые сообщения, а также совершать голосовые вызовы. С Android и iOS версии 2.4 можно отправлять любые файлы размером до 50 МБ . С января 2015 года также появилась возможность проводить опросы в разговоре или в групповом чате.
Threema обеспечивает поддержку Android Wear — Smart Watches (версия 2.0), Android Auto и может использоваться в семействе с семейной библиотекой Google Play , если она была приобретена после 2 июля 2016 года.
Threema Web был официально выпущен 15 февраля 2017 года . Это позволяет пользователям приложения для Android (начиная с версии 3.0) отправлять сообщения через компьютер. Все сообщения полностью синхронизируются с приложением Android. Threema Web также является бесплатным программным обеспечением. Поддержка iOS последовала в октябре 2018 года.
разработка
Компания Threema была разработана и основана швейцарцем Мануэлем Каспером с его Kasper Systems GmbH . Сервис управляется швейцарской компанией Threema GmbH . По данным Threema, все серверы сервиса находятся в Швейцарии.
В 2018 году в компании работало 15 сотрудников, около половины из которых занимались разработкой программного обеспечения или коммуникациями и маркетингом.
В сентябре 2020 года компания объявила о том, что нашла немецкого финансового инвестора Afinum, чтобы расширить свою деятельность в других странах и сферах бизнеса .
С 21 декабря 2020 года приложения Threema для Android и iOS, а также различные библиотеки и серверные компоненты теперь полностью открыты .
безопасность
Все сообщения отправляются только в сквозном шифровании . Это заявление и общая эффективность задокументированных механизмов безопасности и защиты данных были подтверждены в ходе внешних аудитов в ноябре 2015 года, марте 2019 года и октябре 2020 года. Сообщения отправляются через швейцарский сервер швейцарского производителя Threema GmbH. Связь между серверами Threema и конечным устройством также защищена транспортным шифрованием.
Threema использует программную библиотеку с открытым исходным кодом « NaCl » для связи и шифрования. Используются асимметричные ключи длиной 256 бит , которые генерируются с помощью криптографии на основе эллиптических кривых и которые, согласно NIST, сопоставимы с ключами RSA длиной 3072 бита . Этот ключ используется для получения уникального симметричного 256-битного ключа для каждого отправленного сообщения . Потоковый шифр XSalsa20 используется для окончательного шифрования сообщения . Кроме того, связь между сервером Threema и конечным устройством также зашифрована. 128-битный проверочный код и случайное количество «байтов криптографического заполнителя» добавляются к каждому сообщению, чтобы предотвратить подделку содержимого сообщения.
Threema также предлагает Perfect Forward Secrecy , но только для связи между сервером и приложением. С другой стороны, сквозное шифрование не обеспечивает идеальной прямой секретности , поскольку обе стороны должны быть одновременно подключены к сети. Производители отказываются от специальных реализаций Perfect Forward Secrecy , поскольку считают, что это повысит сложность протокола и сервера. Это повысит риск возникновения пробелов в системе безопасности и сбоев сервера.
В групповых чатах сообщение шифруется отдельно для каждого получателя и доставляется индивидуально. В результате серверы Threema не могут ни понять, какие группы есть, ни кто является членом группы. Медиа, с другой стороны, шифруются и загружаются на сервер Threema один раз. Симметричный ключ для дешифрования среды затем посылается обычное сообщение всем членам группы, которые расшифровывают их, загрузить носитель , а затем расшифровать файл.
Особенности программного обеспечения
Уровни безопасности
Цветовой код | безопасность |
---|---|
• •• | Низкий уровень безопасности, возможно, не предполагаемый контакт |
•• • | Контакт найден в адресной книге, не подтвержден с помощью QR-кода |
••• | Контакт подтвержден с помощью QR-кода |
••• | Уровень проверки Threema Work. Синие точки: внутренний контакт |
Когда Threema запускается в первый раз, пользователя просят провести пальцем по сенсорному экрану, чтобы собрать случайные данные для последующего шифрования. С февраля 2015 года движения устройства также учитываются при создании идентификатора . Затем Threema ID можно связать с вашим собственным номером телефона и адресом электронной почты. Рядом с каждым контактом указан уровень безопасности, обозначенный тремя точками. Он показывает, насколько пользователь может быть уверен в том, что сохраненный открытый ключ контакта действительно принадлежит ему. Если этот открытый ключ не проверен, нельзя исключить возможность атак «злоумышленник посередине» .
Есть три уровня безопасности:
- Идентификатор Threema и открытый ключ были переданы через сервер. Между данными и локальной адресной книгой нет совпадения, поэтому пользователь не может быть уверен, что он общается с тем, кем он или она себя называет.
- Номер телефона или адрес электронной почты контакта был найден в местной адресной книге. Пользователь может быть уверен, что общается с желаемым человеком.
- Это наивысший уровень безопасности. Идентификатор и открытый ключ были проверены путем сканирования QR-кода контакта. Таким образом, пользователь может быть очень уверен, что общается с желаемым человеком.
Групповой чат
Функция группового чата до 256 участников доступна в текущих версиях для всех операционных систем. В групповых чатах пользователь, изначально создавший группу, имеет особые права (« Администратор »). Только он может установить изображение профиля и название группы. Люди могут быть добавлены в группу (администратором) и впоследствии снова удалены из версии 2.3 для Android и iOS. В версии для Android также есть функция добавления контактов в списки рассылки.
Статус онлайн
У контактов нет онлайн-статуса, и невозможно определить личный текст статуса. Однако вы можете активировать или деактивировать статус «прочитано» сообщений в настройках. В групповых чатах нет индикатора «прочитано».
Резервное копирование данных
Поскольку все данные хранятся только локально на устройстве, ранее было невозможно перенести ваш Threema ID, историю чатов и другие данные на другое устройство без создания резервной копии ваших данных. Поэтому Threema настоятельно рекомендует сделать резервную копию, поскольку в противном случае — например, если устройство потеряно — нет возможности восстановить Threema ID (с соответствующим закрытым ключом). При удалении приложения Android, как это обычно бывает с Android, все данные удаляются из внутренней памяти, т.е. Другими словами, как Threema ID с закрытым ключом, так и оставшиеся данные, такие как история чата и мультимедиа, удаляются после удаления. Независимо от этого, Threema предлагает отдельный каталог, в котором хранятся расшифрованные носители (по запросу пользователя) и резервные копии данных.
С декабря 2018 года (начиная с версии 3.6 Android и версии 4.1 для iOS) Threema Safe предлагает собственное решение для анонимного резервного копирования. Это защищает независимый от платформы Threema ID, контакты и группы, зашифрованные на сервере Threema или, при желании, на выбранном сервере пользователя, см. Раздел «Threema Safe» .
В версии для iOS идентификатор Threema с закрытым ключом сохраняется при удалении, поскольку он включен в резервную копию iCloud. Однако ключ предварительно зашифрован уникальным ключом устройства (ключом UID), поэтому его можно восстановить только на том же устройстве. Однако при удалении контакты, сообщения и мультимедиа удаляются.
Отозвать идентификатор Threema
Идентификаторы Threema ID можно отозвать через веб-сайт провайдера. Начиная с версии 2.20 для iOS или версии 2.21 для Android, это возможно только с паролем отзыва, указанным в приложении.
Threema Web
Через веб — сайт , указанный изготовителем или автомодельному размещается экземпляр с открытым исходным кодом Threema веб — приложения, пользователи могут также использовать Threema через рабочий стол (или других устройств с браузерами , которые отвечают требованиям к системе). При сканировании специального QR-кода на веб-сайте создается так называемый сеанс, и используемый веб-браузер и приложение Threema подключаются друг к другу через WebRTC / SaltyRTC. WebRTC создает максимально прямое соединение между двумя устройствами через ICE с собственными серверами STUN и TURN компании Threema , т. Е. Другими словами, если оба устройства находятся в одной сети, обмен данными происходит только в этой сети. Благодаря специально разработанному протоколу SaltyRTC , который «строится на основе» WebRTC, передаваемые данные дополнительно шифруются из конца в конец (по сравнению с шифрованием WebRTC на основе TLS ) с помощью библиотеки шифрования NaCl. Для этой цели SaltyRTC используется в качестве протокола сигнализации, а сервер SaltyRTC, управляемый Threema, используется в качестве сервера сигнализации для обмена метаданными , необходимыми для установления соединения. В отличие от «чистого» WebRTC, этому серверу SaltyRTC не нужно доверять для установления безопасного соединения, которое реализуется с помощью соответствующего ключа (действительного для сеанса), который известен обоим устройствам через «передачу» через QR код.
После установления соединения пользователь может отправлять и получать сообщения, управлять группами и отображать контакты мобильного телефона (включая номера телефонов и адреса электронной почты) на рабочем столе. Создание опросов или участие в них в настоящее время (по состоянию на февраль 2017 г.) невозможно. Чтобы иметь возможность восстанавливать сеансы быстрее, пользователь может определить пароль перед сканированием QR-кода, с помощью которого сеанс шифруется с помощью NaCl, сохраняется локально в браузере (в локальном хранилище ) и, таким образом, расшифровывается путем ввода пароля. при следующем посещении сайт может быть восстановлен. Другой сервер Threema используется для отправки push- уведомления (с Android через Google Cloud Messaging ) в приложение Threema, которое пробуждает его и, таким образом, инициирует восстановление сеанса. Сохраненный сеанс также можно удалить в браузере (без ввода пароля).
С помощью Threema Web сообщения обрабатываются мобильным телефоном, отправляются в веб-клиент или принимаются в веб-клиенте (пользователем) и отправляются через приложение Threema. Следовательно, невозможно работать с веб-клиентом без подключенного приложения Threema.
Threema Web можно использовать с приложением Android версии 3.0 и приложением iOS версии 4.0. Текущие версии браузеров рекомендуются в качестве браузеров, хотя Safari работает только с версией приложения для iOS.
Изображение профиля
15 мая 2017 года Threema опубликовала обновления, в которых были представлены изображения профилей для всех поддерживаемых платформ, которые пользователи могут установить для своего собственного идентификатора Threema ID. Изображения профиля могут быть установлены по желанию и отправляются только в сквозном шифровании при отправке сообщений другим пользователям. Пользователь может определить, следует ли отправлять изображение профиля только выбранным контактам или не отправлять вовсе всем пользователям, которым он отправляет сообщения. Если выбрано последнее, вы можете видеть только свое изображение профиля. Как получатель изображения профиля, пользователь может также решить, следует ли отображать самостоятельно выбранные изображения профиля (соответствует настройке по умолчанию) или нет, при этом, как и раньше, используются возможно специально определенные изображения контактов.
Голосовые звонки
7 августа 2017 года компания Threema начала публичное бета-тестирование приложения для пользователей iOS и Android, которое позволяет звонить по IP- телефонии. «Обычные» сообщения Threema используются для установления соединения. Это означает, что для идентификации участников используется только Threema ID. Это означает, что номер телефона не требуется, как это принято у других провайдеров. Для кодирования звука (с кодеком Opus ) используется постоянная скорость передачи данных, чтобы злоумышленники не могли угадать содержимое из-за переменного размера потока данных (с переменной скоростью передачи данных). WebRTC используется для самого шифрования , при этом используются (D) TLS 1.2 и указанные наборы шифров . Вызовы Threema также обеспечивают секретность пересылки на сквозном уровне .
Если вызываемый и вызывающий контакт проверяется с помощью QR-кода (зеленый уровень доверия), соединение, если это возможно, также устанавливается по умолчанию напрямую от устройства к устройству ( одноранговая связь ). Поскольку IP-адрес неизбежно известен другим сторонам, это поведение можно отключить в настройках, чтобы все вызовы маршрутизировались через сервер Threema. В этом случае IP-адреса участникам звонка неизвестны.
Функцию вызова можно полностью отключить. 14 сентября 2017 г. компания Threema опубликовала последние обновления для версий приложения для iOS и Android, в которых есть эта функция.
Трима Сейф
13 декабря 2018 г. компания Threema выпустила новый вариант резервного копирования данных под названием «Threema Safe», первоначально только для версии Android. Поддержка версии для iOS была реализована 5 февраля 2019 года с версии 4.1. Это заменяет интеграцию с резервной копией системы Android, ранее использовавшейся с Android, которая, по словам Threema, не работала надежно. Новая система резервного копирования автоматически выполняет резервное копирование идентификатора Threema ID, контактов, некоторых настроек Threema и других данных один раз в день. По умолчанию резервная копия сжимается и шифруется с помощью библиотеки NaCl перед загрузкой на сервер Threema. Ключ, используемый для шифрования, генерируется как минимум из 8-значного пароля пользователя и идентификатора Threema ID с использованием scrypt . Полученный результат частично используется как имя файла, поэтому сервер (или злоумышленник, который загружает данные) не может назначить загруженную резервную копию идентификатору Threema ID. Кроме того, сервер должен ограничивать запросы к файлам, чтобы сделать атаки методом перебора, которые могут затруднить загрузку файла. Резервное копирование должно работать на разных платформах, и, например, если операционная система была изменена, восстановление из резервной копии должно быть возможно только с идентификатором Threema ID и выбранным паролем.
Кроме того, резервную копию можно сохранить на собственном сервере, поддерживающем WebDAV . Например, в настоящее время его можно использовать с OwnCloud / Nextcloud или с неофициальной серверной реализацией с открытым исходным кодом на языке программирования Rust .
Следует отметить, что резервная копия не сохраняет историю чата и мультимедийные данные и обычно имеет размер всего несколько килобайт . Сохраняется возможность локального резервного копирования данных в ZIP-файле (под Android), а также единственная резервная копия вашего собственного идентификатора.
Видеозвонки
Бета-версия видеозвонков была выпущена 9 апреля 2020 года. Последние обновления для видеозвонков с полным сквозным шифрованием были выпущены 10 августа 2020 года.
защита данных
Поскольку, по словам производителя, серверы Threema расположены исключительно в Швейцарии, компания, среди прочего, подчиняется швейцарскому федеральному закону о защите данных и Общему регламенту защиты данных . Дата-центр также сертифицирован по стандарту ISO 27001 .
Threema предлагает синхронизировать вашу адресную книгу с серверами Threema. Если номер телефона или адрес электронной почты контакта в адресной книге совпадает с базой данных Threema, идентификатор контакта автоматически добавляется в список контактов Threema. Вместо загрузки локальной адресной книги на сервер, как это делают другие службы обмена сообщениями , на сервер отправляются только значения контрольной суммы ( SHA-2 56- HMAC со статическим ключом) контактных данных (адрес электронной почты и номер телефона). . Из-за небольшого количества возможных комбинаций цифр в телефонном номере телефонный номер, принадлежащий контрольной сумме, можно легко определить с помощью грубой силы . По заявлению производителя, данные адресной книги хранятся только в основной памяти сервера и удаляются после проверки известных контактов.
Если вы дополнительно свяжете свой собственный Threema ID со своим адресом электронной почты или номером телефона, на сервере будет сохранен только SHA-256 — HMAC . С другой стороны, номера телефонов до 2017 года хранились в виде обычного текста. Причиной этого сотрудники назвали небольшую вероятность атаки методом грубой силы . Однако с 2018 года номера телефонов также хешируются при загрузке. Связь обоих данных с Threema ID также может быть удалена в любое время.
Групповые сообщения отправляются каждому получателю индивидуально, чтобы сервер не знал состав групп.
В феврале 2014 года Stiftung Warentest оценил Threema как единственное из пяти приложений для обмена сообщениями, протестированных как некритичные с точки зрения защиты данных.
Данные, хранящиеся на устройстве, хранятся в зашифрованном виде и при желании могут быть снабжены паролем на Android .
С конца 2016 года Threema GmbH публикует годовой отчет о прозрачности, в котором раскрывает запросы властей и объясняет, какие данные могут быть переданы в этих запросах.
Номера пользователей
Летом 2013 года и весной 2014 года Threema временами была одним из самых популярных платных приложений в немецкоязычных странах. В рамках программы iTunes Rewind приложение Threema было названо самым продаваемым приложением для iPhone в 2014 году. 21 февраля 2014 года Threema удвоила количество своих пользователей до 400 000 за один день. Причиной этого стало поглощение WhatsApp на Facebook . С февраля по апрель количество пользователей увеличилось в семь раз и превысило 2,8 миллиона. В декабре 2014 года это было 3,2 миллиона пользователей. К июню 2015 года Threema зарегистрировала 3,5 миллиона покупок, а в январе 2018 года около 4,5 миллиона человек использовали Threema. В январе 2020 года было уже 8 миллионов пользователей.
После того, как в январе 2021 года WhatsApp объявил, что в будущем будет передавать данные материнской компании Facebook, был предсказан массовый переход на другие приложения для обмена сообщениями. Помимо Signal , Threema также зафиксировала значительный рост новых регистраций.
По состоянию на январь 2021 года более 9 миллионов человек во всем мире используют Threema, из которых 2 миллиона являются пользователями Threema Work в более чем 5000 компаниях и учреждениях. 1 июня 2021 года Threema объявила в Твиттере, что теперь у них более 10 миллионов активных пользователей.
критика
Поскольку исходный код приложения долгое время не публиковался, информацию разработчика о функциях и безопасности программы долгое время можно было проверить только с помощью реверс-инжиниринга , который производитель явно не исключает в своих документах. лицензионных условий и которое уже выполнено. Однако в декабре 2020 года Threema стала программным обеспечением с открытым исходным кодом, так что эта точка критики устарела, и теперь каждая технически квалифицированная заинтересованная сторона может убедиться в безопасности реализации. В качестве альтернативы безопасность можно проверить, например, с помощью независимого внешнего аудита ИТ-безопасности . Поскольку такой внешний аудит ИТ-безопасности привязан к версии, его придется проводить снова для каждой новой версии. Поэтому по экономическим причинам производитель сначала отказался от процесса аудита. В конце 2015 года программа cnlab Security AG , швейцарской службы ИТ-безопасности, была проверена и признана безопасной. В 2019 году очередной аудит провела Лаборатория ИТ-безопасности Мюнстерского университета прикладных наук . В отличие от первого теста, был опубликован весь аудиторский отчет. Тестировщики обнаружили несколько некритических недостатков («низкий или средний риск») в приложениях компании для Android и iOS, но отметили, что они были быстро устранены. Кроме того, они подтвердили, что утверждения, сделанные в техническом документе и на веб-сайте Threema, верны и подтвердили, что «функции безопасности и конфиденциальности Threema не повреждены и эффективны». Исходный код, который был опубликован с конца 2020 года, даже обеспечивает отслеживаемое производство исполняемых файлов, так что безопасность может быть проверена любым профессионально опытным человеком или компанией, то есть больше не нужно доверять поставщикам аудиторских услуг в соответствии с власть аргумент. Перед публикацией исходного кода компания Threema провела еще один внешний аудит немецкой компанией Cure53 . В результате были исправлены некоторые мелкие ошибки, а Cure53 подтвердил высокое качество кода и описал «структуру проекта» как «исключительно прочную».
Благодаря функции регистрации валидации производитель также предлагает возможность проверки зашифрованных сообщений на качество их шифрования. Однако невозможно четко определить, действительно ли сообщения передаются точно таким же образом, поскольку обмен данными между участниками происходит через зашифрованное TLS соединение с сервером производителя. Таким образом, проверка только показывает, правильно ли использовалась библиотека NaCl.
В августе 2013 года стало известно, что зашифрованные сообщения, отправленные под iOS, хранятся в открытом виде в памяти устройства при условии, что используемое устройство не защищено кодовым замком. Эти данные из памяти устройства также загружаются в iCloud, когда активируется резервное копирование данных и активируется резервное копирование iCloud . Однако, по крайней мере, при резервном копировании iCloud данные также шифруются с использованием уникального идентификатора устройства (UID).
Решения для компаний
По словам провайдера, Threema «адаптирован» для частного использования. Это не исключает использования в деловых целях. Для использования в бизнесе предлагаются следующие продукты:
Threema Gateway
С 20 марта 2015 года Threema предлагает компаниям услугу «Threema Gateway». Подобно сервису шлюза SMS, его можно использовать для передачи и приема сообщений. Однако в Threema они отправляются в зашифрованном виде. Сценарии использования, по словам компании, включают, например, безопасную отправку m TAN , eTAN или OTP , сигналы тревоги для служб синего света, безопасный обмен паролями, безопасный канал новостей для внутренней связи компании или конфиденциальное общение с клиентами. Чтобы использовать шлюз, вам необходимо зарегистрироваться и получить ключ API, при этом вы можете выбирать между вариантом без сквозного шифрования и — с доплатой за установку — с сквозным шифрованием. Самостоятельно определяемый (шлюз) Threema ID включен в предложение, при этом идентификатор всегда начинается со звездочки (*) в начале идентификатора, чтобы его можно было отличить от «обычных» идентификаторов Threema. Программное обеспечение для шифрования сообщений имеет открытый исходный код и может использоваться для полного сквозного шифрования. Функцию можно интегрировать с помощью API . Для этой цели компания Threema предоставляет комплект для разработки программного обеспечения на языках PHP , Python и Java , лицензированный по лицензии MIT .
С 8 июня 2015 года вы также можете бесплатно протестировать шлюз с ограниченным количеством сообщений через веб-интерфейс и установить изображение профиля для своего собственного идентификатора Threema ID.
24 августа 2015 года была введена функция отправки изображений и других файлов (с максимальным размером 20 МБ) через шлюз.
Работа Threema
С 25 мая 2016 года Threema предлагает специальную версию приложения Threema для компаний («Threema Work»), которую можно установить в дополнение к «обычной» версии приложения, предназначенной для частных клиентов, а также распространять через MDM. системы. Эта версия приложения также доступна у торговых посредников с ноября 2016 года .
В начале 2017 года Threema объявил Twitter , что одна из крупнейших больниц в Нидерландах ( Академический медицинский центр Больница университета ) использует Threema Работа. Даже Daimler считает работу threema «безопасным решением для чата».
В начале декабря 2017 года Threema обновила веб-интерфейс управления, который теперь также позволяет администраторам настраивать Threema без специальной системы MDM. Кроме того, может отображаться основная статистика использования (версия операционной системы, количество пользователей, . ). При этом упрощен продуктовый портфель, так что, за исключением НКО и учебных заведений, есть только предложения с периодической оплатой. Вместо этого была введена бесплатная пробная версия.
3 апреля 2018 года было опубликовано Threema Education, издание Threema Work со скидкой для образовательных учреждений. Вскоре после публикации модель ценообразования была изменена так, что с Threema Education, в отличие от Threema Work, требуется только единовременный платеж и нет периодических затрат.
В начале 2019 года Threema объявила, что швейцарские федеральные власти будут использовать Threema Work для внутренней коммуникации. 13 июня 2019 года было объявлено, что Bosch использует Threema Work. С апреля 2020 года лицензии для преподавателей в земле Баден-Вюртемберг будут выдаваться бесплатно и добровольно для делового общения.
Трансляция Threema
Бета-проект «Threema Broadcast» был представлен на мероприятии Mercedes в апреле 2017 года. Это предназначено для распространения «периодической информации» среди «больших групп пользователей» и вместе с двумя другими продуктами образуют бизнес-решения Threema . Официальная презентация продукта состоялась 9 августа 2018 года.
С помощью Threema Broadcast можно создавать каналы (аналогичные публичным информационным бюллетеням), закрытые списки рассылки (для достижения фиксированной группы контактов) и чат-ботов, а также управлять и модерировать специальные (централизованные) групповые чаты. Групповой чат записывается / управляется с использованием идентификатора трансляции в групповом чате, который также представляет администратора группы. Все члены группы могут запросить, записываются ли сообщения с этим идентификатором. Предложение в основном предназначено для «нисходящего общения», например Б. для отправки информационных бюллетеней или ответов на вопросы клиентов. Администрирование осуществляется через веб-интерфейс и — по сравнению с Threema Gateway с методом SDK — не шифруется сквозным шифрованием. Вместо этого сообщения управляются и шифруются централизованно на серверах Threema. Для пользователя он работает аналогично Threema Gateway. Например, идентификаторы вещания Threema также можно распознать по звездочке (*) в начале идентификатора, при этом идентификатор продолжается с «BC» по умолчанию, но также может быть свободно выбран компанией за определенную плату. Его можно приобрести индивидуально в разных ценовых пакетах — в зависимости от количества пользователей — или использовать с Threema Work или Threema Education, в которые он включен.
Форум Threema
Помимо официального сайта поддержки, существует форум Threema на немецком языке. Официальная служба поддержки Threema также работает там с октября 2015 года.
Источник