Мессенджер Session

Ты бы хоть ссылки оставил

А с серверной частью что? А оплачивает работу серверов бескорыстный бескорыстник совершенно точно не связанный ни с ЦРУ, ни с Гуглом?

Ты бы хоть ссылки оставил

https://github.com/session-foundation

Там 2 репозитария - для андроида и для десктопа
Звезд с неба вроде не хватают

В AppStore кто-то написал в отзывах, что в России сервера Session заблокированы.

В AppStore кто-то написал в отзывах, что в России сервера Session заблокированы.

Да, на форумах пишут, что для России нужен квн для того, чтобы им пользоваться
Получается, блокируют все, что только может шевелиться
Причем втихушку

Мессенджера без телефона не существует, да и не нужно.

Мессенджера без телефона не существует, да и не нужно.

Да ладно

Во-первых забанен в блинолопатной. Во-вторых,

https://soatok.blog/2025/01/14/dont-use-session-signal-fork/

https://soatok.blog/2025/01/20/session-round-2/

Вижу вы следите за темой.
Коротенько можете рассказать как сейчас обстоят дела с месенжерами? Чем, например, не устроил Jabber, как у него дела с шифрованием?

Что именно интересует?

Signal - золотой стандарт.

Session - обсудили выше.

SimpleX chat - без идентификаторв вообще. Тоже забанен.

Это три стандартных варианта.

TeleGuard - из более новых тоже, декларирует e2e, нне забанен, но кода его не нашел (и не особо искал). Не требует номера.

Чем, например, не устроил Jabber

https://soatok.blog/2024/08/04/against-xmppomemo/

См также https://www.privacyguides.org/en/real-time-communication/

Да, это интересная дискуссия
Суть в том, что разработчики Session клонировали Сигнал
И какой-то сторонний чувак обнаружил, что при этом они якобы сломали криптографию
В Сигнале она работает таким образом, что если гипотетически кто-то ломает ключ, то это позволяет расшифровать только текущее сообщение и не позволяет получить все предыдущие
В Session раработчики выкинули из криптографии некий функционал, который позволяет якобы вообще прочитать всю историю

Разработчики мессенджера Session использовали код Signal Protocol (криптографическую основу Signal) в своей реализации, но внесли ряд изменений, которые вызвали критику со стороны экспертов в области криптографии.
Основные проблемы:

1. Удаление номеров одноразовых сессий (session IDs):
В Signal каждый сеанс шифрования имеет уникальный идентификатор, который помогает предотвратить атаки повторного воспроизведения (replay attacks).
В Session эти идентификаторы были удалены, что теоретически делает протокол уязвимым к replay-атакам.

2. Изменение механизма пропущенных сообщений (ratchet):
Signal использует двойной ratchet (Double Ratchet Algorithm), который обеспечивает постоянное обновление ключей даже при потере сообщений.
В Session упростили этот механизм, что потенциально снижает стойкость к компрометации долгосрочных ключей (хотя разработчики утверждают, что их модификация безопасна).

3. Самописная криптография в части onion-маршрутизации:
Session использует onion-маршрутизацию (аналогично Tor) для анонимности, но их реализация не была так тщательно проверена, как Signal Protocol.
В Signal маршрутизация сообщений не является частью криптографии, а в Session она интегрирована, что добавляет новые векторы атак.

Получается, что Session - это не просто форк Signal — это отдельный мессенджер с модификациями, которые могут снижать криптографическую стойкость.
Session - это другое, он делает ставку на анонимность через onion-маршрутизацию и отсутствие привязки к номеру телефона, о чем я писал в самом начале.