Выбираем защищенный IM для Android
Решил я поискать какой-нибудь защищенный мессенджер, посмотреть, что сделали люди за все это время. Протестировал более 20 мессенджеров разной степени готовности. Интересовали только мессенджеры со «своим» протоколом, т.к. в XMPP-мире все нормально и ожидаемо.Меня, в основном, интересовали мессенджеры для текстового общения с шифрованием в любом его виде. Поиск производился в Google Play по фразам: «secure chat», «secure IM», «secure communication», «secure messaging».Тестировал только бесплатные решения.tl; dr: замены Skype все еще нет.
Собственно, вот все мои находки:
1. TextSecure
Работает как через интернет, так и по СМС. Использует шифрование без проверки подлинности собеседника, нет даже фингерпринта. Нужно следить за значком ключа в сообщениях. Не оповещает о плейнтексте Для регистрации нужен номер телефона. Регистрация не обязательна (но работает только через СМС) Технических подробностей на сайте нет Только сообщения Android-only OpenSource 2. TigerText
Больше enterprise-вариант. Может работать по интернету как с номером телефона, так и с почтой (режим «для домена») Все присланное и отправленное самоуничтожается максимум через 30 дней (по умолчанию 5) Нет проверки собеседника, даже слепка ключа Сообщения, фотографии, аудиозаписи Для регистрации нужен либо номер телефона, либо почта Android / iOS 3. Chiffry
Ключи генерируются при первом запуске. Приятный интерфейс Есть фингерпринты ключей Сообщения, звонки, отправка файлов и контактов. Групповые чаты Для регистрации нужен номер телефона Описание на Google Play говорит, что используется AES256-CGM + 512-битные (?) ECDH-ключи Android / BlackBerry 4. Vipole
Завязан на сервисы Vipole. Чтобы сгенерировать ключ, нужно водить пальцем. Не только IM, но еще и другие сервисы VIPole — заметки, менеджер паролей Требует деньги для многого, например, для шифрования локальной истории Можно задать пароль для аккаунта и пароль для ключа. Можно задать фейковый пароль для ключа, который либо будет крашить программу, либо и крашить и удалять данные Нет проверки фингерпринтов Для регистрации нужна почта Сообщения, звонки, видеозвонки, передача файлов, групповые чаты и звонки Похоже, отличное решение для бизнеса AES-256, RSA-3072 Android / Windows / MacOS / Linux 5. Unseen
Нет проверки собеседника, нет стампа ключа Сообщения / аудиовидеозвонки / групповые аудиовидеозвонки / файлы Бесплатный аккаунт позволяет делать аудиоконференции до 5 человек. Видеоконференций в бесплатной версии отсутствуют Регистрация на основе логина 4096-bit NTRU Android / MacOS / Linux / Windows 6. Sicher
IM от создателей IM+ Сообщения, групповые чаты и файлы Сообщения самоуничтожаются Нет проверки собеседника, даже фингерпринта ключа Регистрация по телефону Android / iOS / WinPhone 7. Whistle.im
Только сообщения. Для регистрации не требуется ни телефон, ни почта, только логин и пароль. Подтверждение пользователя по стампу ключа Android / Browser Доступен исходный код библиотек шифрования 8. Surespot
Регистрация только с использованием логина/пароля. Используется PGP и свой keyserver Фингерпринты не проверяются Сообщения, голосовые сообщения (платно), картинки 521-bit ECDH + AES256-GCM Клиент и сервер OpenSource На вебсайте в подробностях описано шифрование Android / iOS 9. Wickr
Фингерпринты не проверяются. Сообщения самоуничтожаются максимум в течение 6 дней. Сообщения, фотографии, аудиозаписи. Для регистрации требуется только придумать логин. Нет почты. AES256, ECDH521 TLS Android / iOS 10. Antox
Ну, про Tox вы и так все знаете, наверное. Где-то не пробился NAT и коммуникация вообще не удалась. В этом и состоит самая большая беда P2P-коммуникаций без сервера OpenSource Cross Platform 11. Seecrypt SC3
AES 256 & RC4 384 Сообщения / аудиозвонки / файлы Android only ВыводыВсе несколько печально. Порадовал Chiffry, но он еще сырой и проприетарный; Surespot порадовал описанием и открытостью, несколько заинтересовал Vipole. Но всем остальным пользоваться неудобно или неприятно. Продолжаем пользоваться XMPP+OTR/SIP+ZRTP.