Трима

Служба обмена мгновенными сообщениями для смартфонов

Threema — платное кроссплатформенное зашифрованное приложение для обмена мгновенными сообщениями , разработанное Threema GmbH в Швейцарии и запущенное в 2012 году. Сервис работает на основе децентрализованной архитектуры и предлагает сквозное шифрование . Пользователи могут совершать голосовые и видеозвонки , отправлять фотографии, файлы и голосовые заметки, делиться местоположением и создавать группы . В отличие от многих других популярных приложений для безопасного обмена сообщениями, Threema не требует номеров телефонов или адресов электронной почты для регистрации, только единовременную покупку, которую можно оплатить через магазин приложений или анонимно с помощью биткоинов или наличных . ^[7]

Threema доступна на iOS и Android , а также имеет клиенты для Windows , macOS , Linux и HarmonyOS. Доступ к ней можно получить через веб-браузер, но для ее работы требуется мобильное приложение. ^[8]

Функции

Сервис утверждает, что он основан на принципах конфиденциальности по дизайну , не требуя номера телефона или другой персонально идентифицируемой информации . Это помогает в некоторой степени анонимизировать пользователей. ^{[9] [10]}

Threema использует идентификатор пользователя, созданный после первоначального запуска приложения случайным генератором, вместо того, чтобы требовать связанный адрес электронной почты или номер телефона для отправки сообщений. Можно найти других пользователей по номеру телефона или адресу электронной почты, если пользователь разрешит приложению синхронизировать свою адресную книгу. ^[11] Привязка номера телефона или адреса электронной почты к идентификатору Threema необязательна. Таким образом, сервис может использоваться анонимно. Пользователи могут проверить личность своих контактов Threema, отсканировав их QR-код при личной встрече. QR-код содержит открытый ключ пользователя, который криптографически привязан к идентификатору и не изменится в течение срока действия идентификатора. Используя эту функцию надежной аутентификации, пользователи могут убедиться, что у них есть правильный открытый ключ от их партнеров по чату, что обеспечивает дополнительную защиту от атаки типа «человек посередине» . Threema знает три уровня аутентификации (уровни доверия личности контакта). Уровень проверки каждого контакта отображается в приложении Threema в виде точек рядом с соответствующим контактом.

В дополнение к текстовым сообщениям пользователи могут совершать голосовые и видеозвонки, отправлять мультимедиа, местоположения, голосовые сообщения и файлы. ^[12] Веб-версия приложения Threema Web может использоваться на настольных устройствах, но только до тех пор, пока телефон с установленной Threema пользователя находится в сети. Существует бета -версия для пользователей iOS, где можно перевести телефон в автономный режим и продолжать использовать настольное приложение.

В дополнение к индивидуальным чатам Threema предлагает групповые чаты до 256 человек. Пользователи могут совершать голосовые и видеозвонки, отправлять текстовые и голосовые сообщения, мультимедиа, местоположения и файлы любого типа (до 50 МБ на файл). ^{[12] [13]} Также возможно создавать опросы в личных или групповых чатах. ^[14]

Программное обеспечение

Threema разработана швейцарской компанией Threema GmbH. ^[15] Серверы находятся в Швейцарии , а разработка ведется в Pfäffikon SZ . По состоянию на май 2021 года у Threema было 10 миллионов пользователей [ ^16] , а бизнес-версия Threema Work использовалась 2 миллионами пользователей в 5000 компаний и организаций. ^[17]

В конце июля 2021 года Threema предоставила компаниям возможность размещать мессенджер на собственном сервере, что в первую очередь предназначено для компаний, у которых существенно повышены требования к конфиденциальности. ^[18]

Клиенты

Благодаря Threema Web, клиенту для веб-браузеров , Threema можно использовать с других устройств, например, с настольных компьютеров , но только до тех пор, пока исходное устройство подключено к сети.

Threema опционально поддерживает смарт-часы Android Wear и Android Auto . ^[19] Threema запустила поддержку сквозных зашифрованных видеозвонков 10 августа 2020 года. Звонки осуществляются от одного человека к другому, групповые звонки недоступны. ^[20]

Приложение не позволяет самостоятельно удалять сообщения по истечении определенного собеседниками периода. Приложение предотвращает создание снимков экрана в разговорах, если настроено на это.

Архитектура

Вся коммуникация через Threema зашифрована сквозным шифрованием . Во время первоначальной настройки приложение генерирует пару ключей и отправляет открытый ключ на сервер, сохраняя закрытый ключ на устройстве пользователя. ^[21] Затем приложение шифрует все сообщения и файлы, отправляемые другим пользователям Threema, с помощью их соответствующих открытых ключей. ^{[9] [22]} После успешной доставки сообщения оно немедленно удаляется с серверов . ^[23]

Процесс шифрования, используемый Threema, основан на библиотеке с открытым исходным кодом NaCl . Threema использует асимметричное шифрование на основе ECC с 256-битной прочностью. Threema предлагает функцию «Validation Logging», которая позволяет подтвердить, что сообщения зашифрованы сквозным способом с использованием библиотеки NaCl Networking and Cryptography. ^[24] В августе 2015 года Threema подверглась внешнему аудиту безопасности. ^[25] Исследователи из cnlab подтвердили, что Threema допускает безопасное сквозное шифрование, и заявили, что им не удалось выявить никаких слабых мест в реализации. Исследователи Cnlab также подтвердили, что Threema обеспечивает анонимность своих пользователей и обрабатывает контакты и другие пользовательские данные, как рекламируется. ^{[26] [27]}

История

Threema была основана в декабре 2012 года Мануэлем Каспером. ^[28] Первоначально компания называлась Kasper Systems GmbH. ^[29] Мартин Блаттер и Сильван Энгелер были позже наняты для разработки приложения для Android, которое было выпущено в начале 2013 года. ^[30]

Летом 2013 года утечки Сноудена помогли вызвать интерес к Threema, увеличив число пользователей до сотен тысяч. ^[31] Когда Facebook приобрел WhatsApp в феврале 2014 года, Threema получила 200 000 новых пользователей, удвоив свою пользовательскую базу за 24 часа. ^[32] Около 80% процентов этих новых пользователей были из Германии. К марту 2014 года у Threema было 1,2 миллиона пользователей. ^[30]

Весной 2014 года операции были переданы недавно созданной компании Threema GmbH. ^{[29] [33]}

В декабре 2014 года Apple назвала Threema самым продаваемым приложением 2014 года в немецком App Store. ^[34]

В 2020 году Threema расширила возможности видеозвонков ^[20], планирует открыть исходный код своих клиентских приложений и представить их воспроизводимые сборки ^[35] , а также представить Threema Education — вариант Threema, предназначенный для образовательных учреждений.

В течение второй недели 2021 года Threema увидела четырехкратное увеличение ежедневных загрузок, вызванное спорными изменениями в конфиденциальности в службе обмена сообщениями WhatsApp. Представитель компании также подтвердил, что Threema поднялась на вершину рейтингов платных приложений в Германии, Швейцарии и Австрии. ^[36] Эта тенденция продолжилась и в третью неделю года, а руководитель отдела маркетинга и продаж подтвердил, что количество загрузок увеличилось в десять раз по сравнению с обычным количеством, что привело к «сотням тысяч новых пользователей каждый день». ^[37]

В октябре 2022 года исследователи из ETH Zurich сообщили о множественных уязвимостях, влияющих на безопасность Threema от сетевых, серверных и клиентских атак. Новый релиз, исправляющий эти проблемы, был выпущен в ноябре 2022 года, а уязвимости были публично объявлены в январе 2023 года. ^[38]

Сопутствующие товары

Threema Work: 25 мая 2016 года была выпущена Threema Work, корпоративная версия Threema. Threema Work предлагает расширенные возможности администрирования и развертывания. ^[39] Threema Work основана на модели годовой подписки. ^[40]

Threema Gateway: 20 марта 2015 года Threema выпустила шлюз для компаний. Подобно SMS-шлюзу , компании могут использовать его для отправки сообщений своим пользователям, у которых установлена ​​Threema. ^[41] Код Threema Gateway SDK открыт для разработчиков и доступен на GitHub . ^[42]

Threema Broadcast: 9 августа 2018 года Threema выпустила Threema Broadcast, инструмент для общения сверху вниз . Подобно письмам в электронных рассылках , сообщения Threema можно отправлять любому количеству подписчиков, а Threema Broadcast позволяет создавать чат-ботов .

Threema Education: 10 сентября 2020 года Threema выпустила Threema Education — версию своего мессенджера, предназначенную для образовательных учреждений. Приложение интегрирует Threema Broadcast и требует единовременной оплаты за каждое используемое устройство. Оно предназначено для использования учителями, учениками и родителями. ^[43]

Threema OnPrem: 27 июля 2021 года Threema выпустила Threema OnPrem, версию мессенджера, которую можно разместить на собственных серверах компании в целях максимальной безопасности. ^[44]

Конфиденциальность

Поскольку серверы Threema находятся в Швейцарии, они подпадают под действие швейцарского федерального закона о защите данных. Центр обработки данных сертифицирован по стандарту ISO/IEC 27001. ^[45] Привязка номера телефона и/или адреса электронной почты к идентификатору Threema необязательна; при этом на сервер отправляются только значения контрольной суммы ( SHA-256 HMAC со статическим ключом) адреса электронной почты и/или номера телефона. ^[46] Из-за небольшого количества возможных комбинаций цифр телефонного номера номер телефона, связанный с контрольной суммой, может быть определен методом подбора . Передаваемые данные защищены TLS . Данные адресной книги хранятся только в энергозависимой памяти сервера и удаляются сразу после синхронизации контактов. ^[47] Если пользователь решает привязать номер телефона или адрес электронной почты к своему идентификатору Threema, он может удалить номер телефона или адрес электронной почты в любое время. ^[48] ​​Если пользователь когда-либо потеряет свое устройство (и свой закрытый ключ), он может отозвать свой Threema ID, если для этого ID был установлен пароль отзыва. ^[49]

Группы управляются исключительно на устройствах пользователей, а групповые сообщения отправляются каждому получателю как индивидуальное сообщение, зашифрованное соответствующим открытым ключом. Таким образом, групповые композиции не подвергаются непосредственному воздействию сервера. ^[50]

Данные (включая медиафайлы), хранящиеся на устройствах пользователей, шифруются с помощью AES 256. На Android их можно дополнительно защитить с помощью парольной фразы . ^[51]

С 2016 года Threema GmbH публикует отчет о прозрачности , в котором раскрываются запросы государственных органов. ^[52]

9 марта 2017 года Threema была включена в «Реестр организаторов распространения информации в сети Интернет», который ведет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций Российской Федерации. ^[53]

В ответ представитель Threema публично заявил: «Мы работаем в соответствии со швейцарским законодательством и не имеем права и желания предоставлять какую-либо информацию о наших пользователях иностранным властям». ^[54]

29 апреля 2021 года Threema выиграла важное дело в Федеральном верховном суде Швейцарии против Федерального департамента полиции и юстиции Швейцарии , который хотел классифицировать компанию как поставщика телекоммуникационных услуг. Если бы они проиграли дело, Threema имела бы юридическое требование идентифицировать пользователей и отправлять информацию о них в правоохранительные органы. ^[55]

Начиная с января 2022 года Вооруженные силы Швейцарии предложили войскам использовать Threema вместо WhatsApp, Telegram и Signal , сославшись на то, что Threema базируется в Швейцарии и не имеет серверов в Соединенных Штатах , а значит, не подпадает под действие Закона CLOUD , а также пообещали, что солдатам будут возмещены расходы. ^[56]

Прием

В феврале 2014 года немецкая потребительская организация Stiftung Warentest оценила несколько аспектов защиты данных Threema, WhatsApp , Telegram , BlackBerry Messenger и Line . Она рассмотрела безопасность передачи данных между клиентами, условия использования сервисов , прозрачность поставщиков услуг, доступность исходного кода и общую доступность приложений. Threema было единственным приложением, оцененным как «некритическое» (unkritisch ) в отношении защиты данных и конфиденциальности, но потеряло оценки из-за своей закрытой природы исходного кода, хотя это изменилось для его клиентов frontend с конца 2020 года. ^[57]

Наряду с Cryptocat и Surespot , Threema заняла первое место в исследовании, оценивающем безопасность и удобство использования программного обеспечения для шифрования мгновенных сообщений, проведенном немецкой PSW Group в июне 2014 года. ^[58]

По состоянию на ноябрь 2015 года ^{[обновлять]}Threema имела оценку 6 из 7 баллов по ныне отозванной и устаревшей «Secure Messaging Scorecard» от Electronic Frontier Foundation . Она получила баллы за шифрование сообщений при передаче, шифрование сообщений с помощью ключей, к которым у провайдера нет доступа (т. е. наличие сквозного шифрования ), возможность для пользователей самостоятельно проверять личности своих корреспондентов, безопасность прошлых сообщений в случае кражи ключей (т. е. реализация прямой секретности ), хорошо документированную конструкцию безопасности и прохождение независимого аудита безопасности. Она потеряла балл, потому что ее исходный код не был открыт для независимой проверки (т. е. он не был с открытым исходным кодом , хотя в конце 2020 года ее frontend-приложения были с открытым исходным кодом, оставив только ее серверный компонент проприетарным). ^[59]

Смотрите также

• Сравнение клиентов мгновенного обмена сообщениями

Ссылки

1. Шуртер, Дэниел (13 декабря 2012 г.). «Die Schweizer Antwort auf WhatsApp» [Швейцарский ответ WhatsApp]. 20мин.ч (на немецком языке) . Проверено 5 июля 2014 г.
2. "Release 5.5.1". 23 сентября 2024 г. Получено 27 октября 2024 г.
3. "Что нового - Threema" . Получено 14 марта 2022 г. .
4. "Что нового - Threema" . Получено 4 апреля 2022 г. .
5. "Исходный код Threema на GitHub". GitHub .
6. «Протокол удаленного доступа к приложениям на GitHub». GitHub . 8 мая 2021 г.
7. "Поддержка – Threema". threema.ch . Получено 10 февраля 2024 г. .
8. Хаппич, Жюльен (23 сентября 2014 г.). «Конфиденциальность набирает обороты с безопасными приложениями для обмена сообщениями». Electronic Engineering Times Europe . Получено 21 декабря 2015 г.
9. "Cryptography Whitepaper" (PDF) . Получено 30 октября 2020 г. .
10. "FAQ – Защита конфиденциальности" . Получено 30 октября 2020 г. .
11. «Будут ли данные моей адресной книги отправлены на ваши серверы?». threema.ch . Получено 2 декабря 2014 г.^{[ необходим сторонний источник ]}
12. "Какие функции предлагает Threema?". threema.ch .
13. "Как отправить файл?". threema.ch .
14. Бордель, Стефан (12 января 2015 г.). «Threema integriert Umfrage-Funktion» [Threema интегрирует функцию опроса]. ком! – Das Computer-Magazin (на немецком языке) . Проверено 12 октября 2015 г.
15. Швейцарская Конфедерация. "Запись в реестре компаний Швейцарии для Threema GmbH". zefix.ch . Архивировано из оригинала 7 июля 2014 г. Получено 5 июля 2014 г.
16. Юнгфер, Мартин (28 мая 2021 г.). «Число пользователей Threema превысило 10 миллионов». digitec.ch . Получено 10 августа 2021 г. .
17. «История успеха Threema: от основания компании до сегодняшнего дня» (PDF) . Получено 11 мая 2021 г.
18. "Messenger for companies and governments: Threema offers an on-premise version". Телетрансляция Market Research . 27 июля 2021 г. Получено 10 августа 2021 г.
19. "Большое обновление для Android". threema.ch .
20. Cimpanu, Catalin (11 августа 2020 г.). «Threema присоединяется к рядам приложений для чата E2EE, которые поддерживают зашифрованные видеозвонки». ZDNet . Получено 30 октября 2020 г. .
21. «Не могли бы вы расшифровать мои сообщения?». threem.ch . Получено 5 июля 2014 г.^{[ необходим сторонний источник ]}
22. Зорц, Мирко (17 сентября 2014 г.). «Безопасный мобильный обмен сообщениями с Threema». Help Net Security .
23. "Как долго сообщения остаются в очереди на доставку?". threema.ch . Получено 20 сентября 2017 г.
24. "Threema Validation". threema.ch . Архивировано из оригинала 25 ноября 2018 г. Получено 20 сентября 2017 г.
25. "Внешний аудит". threema.ch . Получено 20 сентября 2017 г. .
26. "Обзор безопасности Threema: Заявление о безопасности" (PDF) . threema.ch . 2 ноября 2015 г. . Получено 30 октября 2020 г. .
27. Ширмахер, Деннис (3 ноября 2015 г.). «Threema-Audit abgeschlossen: «Ende-zu-Ende-Verschlüsselung ohne Schwächen»» [Threema Audit Completed: «Сквозное шифрование без слабостей»]. Heise.de (на немецком языке) . Проверено 30 октября 2020 г.
28. Мецлер, Марко (28 июня 2015 г.). «Kryptography-App Threema: Schweizer sorgen für Privatsphäre» [Приложение для шифрования Threema: швейцарцы обеспечивают конфиденциальность]. Neue Zürcher Zeitung (на немецком языке) . Проверено 8 октября 2015 г.
29. "Im Interview: Threema". Mailify (на немецком языке). 23 июля 2014 г. Архивировано из оригинала 2 августа 2014 г. Получено 11 октября 2015 г.
30. Танриверди, Хакан. «Дер Шлошерр». Дер Фрайтаг (на немецком языке). ISSN  0945-2095 . Проверено 11 октября 2015 г.
31. Прайс, Роб (18 июня 2015 г.). «Самое популярное платное приложение в Германии — это безопасный мессенджер, любимый миллионами, — теперь он покоряет США». Business Insider UK . Получено 11 октября 2015 г.
32. Диллет, Ромен (21 февраля 2014 г.). «Прощай, WhatsApp: немцы переходят на Threema из соображений конфиденциальности». TechCrunch .
33. "Threema GmbH, Pfäffikon SZ". Shabex.ch . Получено 11 октября 2015 г. .
34. "iOS-Highlights: Die besten Apps des Jahres" [Лучшие приложения года]. Focus (на немецком языке). 9 декабря 2014 г. Получено 1 марта 2016 г.
35. Cimpanu, Catalin (4 сентября 2020 г.). «Приложение чата Threema E2EE станет «полностью открытым исходным кодом» в течение нескольких месяцев». ZDNet . Получено 30 октября 2020 г. .
36. "WhatsApp-Konkurrenten verzeichnen starken Nutzeranstieg" . Die Zeit (на немецком языке). 13 января 2021 г. . Проверено 13 января 2021 г.
37. Плэдсон, Кристи (18 января 2021 г.). «Споры вокруг WhatsApp подчеркивают растущие опасения по поводу конфиденциальности данных». DW . Получено 19 января 2021 г. .
38. «Три урока от Threema: анализ безопасного мессенджера». breakingthe3ma.app . Получено 10 января 2023 г. .
39. "Мессенджер для организаций". work.threema.ch .
40. "Ценообразование Threema Work".
41. Исели, Марк (28 сентября 2015 г.). «US-Feldzug von Threema gerät ins Stocken» [Кампания Threema в США застопорилась]. Handelszeitung (на немецком языке). ISSN  1422-8971 . Проверено 12 октября 2015 г.
42. "Threema GmbH". GitHub . Получено 20 сентября 2017 г.
43. "Threema Education: Рамочный контракт с educa.ch". 10 сентября 2020 г. Получено 25 октября 2020 г.
44. "Threema OnPrem". Threema . Получено 10 августа 2021 г. .
45. «Справочный лист по конфиденциальности и безопасности» (PDF) . threema.ch . стр. 2.
46. "Threema Cryptography Whitepaper" (PDF) . threema.ch . стр. 11.
47. «Будут ли данные моей адресной книги отправлены на ваши серверы?». threema.ch .
48. «Как отвязать свой идентификатор Threema от адреса электронной почты или номера телефона?». threema.ch .
49. "Отозвать свой идентификатор". threem.ch .
50. "Threema Cryptography Whitepaper" (PDF) . threema.ch . стр. 5.
51. «Шифруются ли сообщения при хранении на моем устройстве?». threem.ch .
52. «Отчет о прозрачности». threema.ch .
53. "Threema GmbH". rublacklist.net  [ru] (на русском языке). Архивировано из оригинала 20 июня 2017 года . Получено 20 сентября 2017 года .
54. "Россия добавляет международный мессенджер Threema в официальный реестр". East-West Digital News . 16 марта 2017 г. Получено 27 января 2018 г.
55. Баннистер, Адам (28 мая 2021 г.). «Threema, европейский конкурент Signal, выигрывает решающую битву за конфиденциальность в швейцарском суде». The Daily Swig . Получено 10 августа 2021 г.
56. «Швейцарская армия поддерживает отечественный сервис обмена мгновенными сообщениями из-за проблем с конфиденциальностью». AP NEWS . 5 января 2022 г. Получено 10 января 2022 г.
57. «WhatsApp und Alternativen: Datenschutz im Test» [WhatsApp и альтернативы: защита данных проверена]. Stiftung Warentest (на немецком языке). 26 февраля 2014 года . Проверено 30 октября 2020 г.
58. Хойтгер, Кристиан (13 июня 2014 г.). «Die Ergebnisse unseres großen Messenger-Tests» [Результаты нашего великого теста мессенджера]. Группа PSW (на немецком языке) . Проверено 30 октября 2020 г.
59. «Secure Messaging Scorecard. Какие приложения и инструменты на самом деле обеспечивают безопасность ваших сообщений?». Electronic Frontier Foundation . 3 ноября 2015 г. Архивировано из оригинала 14 апреля 2016 г. Получено 30 октября 2020 г.

Внешние ссылки

• Официальный сайт
• Введение в Threema
• Предполагаемые уязвимости