Este artigo tem como objetivo fornecer uma comparação justa e completa dos aplicativos de mensagens privadas atuais em termos de privacidade, segurança e anonimato*. No entanto, deve ficar bem claro que essa postagem foi escrita pela Status (um dos mensageiros acima). Nós o encorajamos fortemente a verificar nossas fontes, fazer sua própria diligência e nos corrigir se estivermos errados.
* Para fins de simplicidade para o leitor, o anonimato será definido como uma dissociação completa da identidade do bate-papo e de sua verdadeira identidade.
Signal
O que os servidores do Signal podem ver?
Não muito. Suas mensagens, anexos, chamadas, metadados do remetente, bate-papos em grupo e metadados de grupo são todos criptografados de ponta a ponta. No entanto, o Signal (e Amazon) pode inferir quem fala com quem com um grau razoável de precisão, analisando o tráfego da rede. Signal é a única entidade que executa os servidores do Signal, e eles hospedam todos esses servidores na Amazon Web Services. Aqui está uma análise simples de como seria o tráfego da rede se Alice (1.1.1.1) enviasse uma mensagem para Bob (2.2.2.2):
08:23:02 - Endereço IP 1.1.1.1 envia 512 bytes para o servidor do Signal.
08:23:04 - O endereço IP 2.2.2.2 recebe 512 bytes do servidor do Signal.
Isso é o que Jeff Bezos pode ver. Agora, isso, por si só, não significa necessariamente que Alice está falando com Bob. Pode ser apenas uma coincidência - Bob recebeu um pacote diferente e totalmente não relacionado dois segundos depois que Alice enviou um de tamanho igual.
No entanto, se essa coincidência acontecesse, dez, vinte ou cem vezes, com pacotes de tamanhos iguais indo e vindo de Alice e Bob, logo ficaria claro que esses dois endereços IP provavelmente estão se comunicando. Nesse ponto, basta pedir ao respectivo Provedor de Serviços de Internet (como Comcast ou AT&T) que está por trás de um determinado endereço IP para descobrir sua identidade legal.
Então, basicamente, Jeff Bezos pode saber com quem você fala no Signal com um grau razoável de precisão por meio da análise de tráfego. Isso pode ser feito mesmo sem a cooperação do Signal, já que a Amazon tem acesso direto a todo o tráfego de entrada e saída nos servidores centralizados do Signal. Na verdade, Moxie Marlinspike, o criador do Signal, reconheceu essa falha na sessão de perguntas e respostas de sua palestra 36C3, "O ecossistema está se movendo."
Se o Signal cooperasse em tais ataques de análise de tráfego, seria muito mais fácil, pois o Signal tem acesso aos metadados do destinatário (mas não aos metadados do remetente). Em outras palavras, eles podem ver para quem o envelope é endereçado, mas não de quem ele veio. Isso, além da análise de tráfego, permitiria o Signal inferir em quase todos os metadados do remetente/destinatário, além de alguns dos metadados do grupo.
O Signal é anônimo?
Não. Você deve fornecer seu número de telefone - o que, em muitas partes do mundo, é sinônimo de fornecer sua identidade emitida pelo governo. Além disso, o Signal vazará seu endereço IP para seus contatos que ligam para você por padrão (você pode alterar isso nas configurações ativando a opção "Sempre retransmitir chamadas"). O Signal também tem a capacidade técnica de associar seu endereço IP e sua conta Signal (mas provavelmente não fazem isso). Isso significa que mesmo um número/telefone descartável não é suficiente para o anonimato total se você assumir que os servidores Signal são maliciosos ou comprometidos.
É importante notar que o Signal nunca afirmou ser uma ferramenta anônima. Esses pontos não diminuem o fato de que eles se preocupam com a sua privacidade - eles estão simplesmente abordando a questão de uma maneira diferente.
O Signal é fácil de “desligar”?
Se você não tem fé no governo dos EUA, a resposta é sim. Se você fizer isso, a resposta provavelmente é não. O Signal é a única operadora dos servidores do Signal e eles estão localizados nos Estados Unidos. Não há federação e não há arquitetura ponto a ponto. Se o Signal for legalmente obrigado a desligar seus servidores, isso deverá ser feito. Ou seja, todas as formas de comunicação por meio do Signal parariam imediatamente. No entanto, a probabilidade de tal evento é discutível e será deixada para o leitor.
Seria muito difícil mover rapidamente o Signal para uma jurisdição diferente, visto que até agora eles operaram sob o pressuposto de que os EUA não os baniriam. Moxie Marlinspike mora nos Estados Unidos, assim como a grande maioria dos funcionários do Signal, e suas duas únicas pessoas jurídicas foram constituídas nos Estados Unidos. Além disso, dada a natureza centralizada de sua arquitetura de servidor, o próprio Signal poderia desligar o Signal (isso pode parecer óbvio, mas certas arquiteturas descentralizadas impedem até mesmo o criador de algo de desligá-lo, como o Bitcoin).
Telegrama
O que os servidores do Telegram podem ver?
Basicamente tudo. Eles podem ver todas as mensagens que você já enviou em um chat em grupo, a maioria de suas conversas 1:1 (não chats secretos), todos os seus contatos, sua foto de perfil e sua biografia. Eles sabem com quem você fala e a que horas (mesmo que seja um bate-papo secreto!). Eles sabem os membros, o nome e o ícone de cada grupo (incluindo os privados).
Isso pode soar completamente contrário ao que diz o Telegram. A razão é que o Telegram opera fundamentalmente em um modelo de confiança diferente. Eles presumem que você confia no Telegram, mas não no governo.
O Telegram divide suas chaves de criptografia e armazena as peças separadas em várias jurisdições diferentes. Em teoria, isso significa que todas as jurisdições usadas pelo Telegram teriam que cooperar para obter os dados do usuário. Eles afirmam que isso lhes permitiu não liberar um único byte de dados do usuário. Essas alegações, por sua própria natureza, não são verificáveis e exigem que você confie no Telegram. Se isso é bom o suficiente para você, use o Telegram.
O Telegram é anônimo?
Talvez... Se você confia no Telegram, então o Telegram pode ser anônimo, pois você tem a opção de ocultar seu número de telefone e usar um nome de usuário de sua escolha. Se você não confia no Telegram, ele não é anônimo de forma alguma, pois eles terão o seu número de telefone e poderão ver o seu endereço IP.
O Telegram é fácil de “desligar”?
Provavelmente não. O Telegram intencionalmente configurou sua estrutura legal para ser ágil e resistente a governos abusivos. Se Dubai (sua jurisdição atual) os proibir, eles provavelmente se mudarão para outra. Dubai é uma bandeira de conveniência do Telegram. No entanto, devido à natureza centralizada de sua arquitetura de servidor, o próprio Telegram poderia encerrar o Telegram.
O que os servidores WhatsApp podem ver?
Todos os metadados, mas nenhum conteúdo. Eles podem ver sua foto de perfil, com quem você fala e quando. Eles podem ver quem é membro de um determinado grupo privado, o ícone do grupo, o nome do grupo e quais membros são os administradores desse grupo. Mas suas mensagens, fotos, anexos, atualizações de status e chamadas são criptografadas de ponta a ponta.
No entanto, é muito importante observar que a criptografia de ponta a ponta das mensagens do WhatsApp foi repetidamente comprometida por meio de backups não criptografados do Google ou do iCloud. Embora esses backups sejam tecnicamente opcionais, eles são sugeridos repetidamente ao usuário com uma interface de usuário coercitiva. Mesmo se você não habilitar esses backups, há uma boa chance de seu parceiro de conversa habilitar, o que compromete a integridade da criptografia de ponta a ponta para vocês dois.
O WhatsApp é anônimo?
Não. Você deve fornecer seu número de telefone - o que, em muitas partes do mundo, é sinônimo de fornecer sua identidade emitida pelo governo. Além disso, o WhatsApp registra seu endereço IP e o associa diretamente à sua identidade de bate-papo.
O WhatsApp é fácil de “desligar”?
Na verdade, não, dada a escala do Facebook e a natureza das empresas públicas. No entanto, é muito provável que o WhatsApp possa ser forçado a incluir um backdoor em seus clientes. Não haveria maneira de contornar isso, pois os clientes são todos proprietários. Com todos os outros aplicativos de mensagens nesta lista, pode-se simplesmente baixar o código antes do backdoor, construí-lo e executar aquela versão do cliente que ainda criptografa corretamente as mensagens. Arquiteturas de mensagens descentralizadas, como Status ou Matrix, seriam ainda mais resistentes a essa coerção, pois não haveria servidores centrais para desligar.
Matrix
O que os servidores da Matrix podem ver?
Todos os metadados, mas nenhum conteúdo. Eles podem ver sua foto de perfil, os apelidos de sua sala privada, os nomes de seus dispositivos, com quem você fala e quando. Eles podem ver quem é membro de uma determinada sala privada, o ícone da sala, o nome da sala e quais membros são os administradores dessa sala. Eles podem ver quem fala e quando está em salas privadas. Mas suas mensagens, fotos e arquivos são criptografados de ponta a ponta por padrão.
Embora algumas implementações de servidores domiciliares tenham parado de armazenar esses metadados por padrão, todos os servidores domiciliares ainda têm capacidade técnica para acessá-los. Alguns desses problemas de metadados podem ser resolvidos com os desenvolvimentos mais recentes no P2P Matrix, mas não está claro se isso será ou não eficaz em relação aos metadados da sala, como associação ou privilégios de administrador.
Deve-se observar que a relativa facilidade de hospedar seu próprio servidor Matrix diminui o valor de qualquer vazamento de metadados. Se todos os seus contatos usam um servidor Matrix em que você confia (que pode ser um que você hospeda), não importa se o servidor pode ver esses metadados. No entanto, na prática, a maioria das pessoas apenas usa o servidor de outra pessoa (como o do matrix.org).
Matrix é anônima?
Talvez... Se você confia no servidor ao qual está conectado para não divulgar seu endereço IP, você é anônimo. Do contrário, você não é anônimo, pois o servidor ao qual você se conecta poderá associar diretamente sua identidade de bate-papo e IP.
Embora seja tecnicamente possível hospedar um servidor Matrix em casa, como um serviço anônimo Tor onion, é altamente impraticável fazer isso, pois o processo ainda precisa ser simplificado.
Matrix é fácil de “desligar”?
Não. Seria praticamente impossível desligar totalmente o mensageiro Matrix. A Matrix Foundation não pode desligar o Matrix. No entanto, danos significativos podem ser causados, dados os atuais pontos de centralização. Primeiro, se o servidor doméstico da matrix.org fosse encerrado, isso afetaria enormemente o ecossistema devido à grande parte de usuários que dependem dele. E, em segundo lugar, todos os servidores domésticos da Matrix atualmente dependem de domínios centralizados da ICANN. Ambos os problemas podem ser corrigidos pela matriz P2P no futuro.
Threema
O que os servidores Threema podem ver?
Alguns dos metadados e nenhum conteúdo. Eles podem ver com quem você fala e quando, e podem inferir trivialmente a associação ao grupo, pois seus servidores têm acesso aos metadados do remetente / destinatário. Mas suas mensagens, fotos, anexos, fotos de perfil e chamadas são criptografadas de ponta a ponta.
Threema é anônimo?
Talvez... Se você confia no Threema para não divulgar seu endereço IP, você é anônimo. Caso contrário, você não é anônimo, pois Threema tem a capacidade de associar diretamente sua identidade de chat e IP (mas provavelmente não fazem isso).
O Threema é fácil de “desligar”?
Se você não tem fé no governo suíço, a resposta é sim. Se você fizer isso, a resposta provavelmente é não. A Threema é a única operadora dos servidores da Threema e eles estão localizados na Suíça. Não há federação e não há arquitetura ponto a ponto. Se a Threema for legalmente obrigada a desligar seus servidores, isso deverá ser feito. Todas as formas de comunicação através do Threema parariam imediatamente. Além disso, dada a natureza centralizada de sua arquitetura de servidor, o Threema poderia desligar o Threema.
Status
O que os nós da Status podem ver?
Basicamente, nada. Suas mensagens, anexos, metadados do remetente, bate-papos em grupo e metadados de grupo são criptografados de ponta a ponta. Além disso, o Status oferece fortes proteções de metadados de rede. Todas as mensagens criptografadas são encaminhadas para todos os nós da rede. É totalmente impossível determinar quem está falando com quem ao usar um nó completo. Clientes “leves” (como os aplicativos móveis), embora menos robustos, ainda fornecem proteções de metadados de rede razoáveis, dada a natureza distribuída da rede (em comparação com servidores centralizados que podem ser monitorados trivialmente), além de ofuscar os metadados do destinatário com o uso de filtros bloom.
A Status usa uma pilha de mensagens ponto a ponto construída para um propósito, com fortes garantias de privacidade, segurança e resistência à censura. Mesmo se seu cliente se conectasse a um nó malicioso da Status, sua privacidade ainda estaria protegida. Apenas um adversário passivo global pode inferir metadados de remetente / destinatário da Status. Isso poderia ser potencialmente resolvido com o uso de mixnets e será deixado como trabalho futuro para a equipe Vac.
A Status é anônima?
Sim. Os nós da Status são totalmente incapazes de associar seu endereço IP e sua identidade de bate-papo. Além disso, nunca será solicitado um número de telefone, endereço de e-mail ou qualquer outra forma de informação pessoal identificável. Os nós da Status não sabem nada sobre você ou as mensagens que você envia.
A Status é fácil de “desligar”?
Não. Seria praticamente impossível desligar totalmente a Status. A Status não pode encerrar o app status. No entanto, danos significativos podem ser causados, dados os atuais pontos de centralização. A Status atualmente hospeda uma grande parte dos nós do Status. Se todos esses nós fossem desligados, isso provavelmente tornaria a rede instável e não confiável. Isso está sendo trabalhado ativamente.