美国留学

随着棱镜门、Facebook用户信息泄露事件的爆发，国外网民对信息安全空前关注。甚至网友们也在谷歌上疯狂搜索什么类型的加密软件最好。

不仅在国外，在国内，近期各项信息安全规定和法律的出台，以及“国资云”项目的启动，都预示着数据安全时代的到来。个人隐私和商业秘密逐渐成为通信软件关注的焦点。因此，网友们也前所未有地学习各种信息安全知识，以便选择更好的加密聊天软件。小编调查了13款国外通信软件，从各个安全标准和维度对它们进行了对比评价。

这13 个应用程序是：Google Messages、Apple iMessage、Facebook Messenger、Element（以前称为Riot）、Signal、Microsoft Skype、Telegram、Threema、Viber、WhatsApp、Wickr Me、Wire 和Session。 （本文主要APP的数据和信息主要来自母公司官网和不同社交媒体提供的信息（包括安全消息应用程序、汤姆指南、techradar、ZDNet、卡巴斯基、AVG））

1、基建母公司管辖：

这13款软件中，母公司大多隶属于英国、美国、澳大利亚，其中70%以上来自美国。基础设施的布局也主要在美国，辐射到世界不同地区。虽然Viber的母公司分别是日本和卢森堡，但部署地点仍然是美国。只有Threema 的母公司和基础设施位于瑞士。

2、与情报机构的合作：

尽管这些通讯软件旗下的公司不是国企，但仍有五家公司有向情报机构提供用户数据的历史（Google Messages、Apple iMessage、Facebook Messenger、微软Skype 和WhatsApp）。

3.内置监控功能：

使用软件的过程应该被定义为用户的私人领域。不幸的是，仍然有一个APP（微软Skype）在用户使用过程中监控用户的信息和习惯。

4、提供公开透明的报告：可能涉及运营模式、产品数据、专利等敏感信息。 Element（原Riot）、Telegram 和Viber 选择不提供高度透明的公共业务报告。 5、公然收集用户数据：“个人隐私数据就是免费使用的代价”。 —— 在充斥着类似概念的互联网环境下，巨头们疯狂收割网友信息，为更精准的大数据分析贡献力量。但近年来，随着公众隐私意识的觉醒，这种观点越来越站不住脚。人们宁愿使用付费模式，也不愿意让自己的碎片化信息暴露在阳光下。根据历史数据，谷歌、苹果、Facebook、微软、帕维尔·杜罗夫、亚马逊和Viber的母公司都选择公开收集用户信息。

6、APP收集用户信息并发送给母公司或第三方机构：通过收集用户数据，软件可以分析群体画像，为企业策略提供参考；另一方面，可以通过“用户信息共享”实现行业合作，在赚取不义之财的同时，巩固和扩大业务圈。不幸的是，在这种暴利趋势下，大多数应用程序都陷入了深渊。 —— Facebook Messenger、WhatsApp、Viber、Google Messages 和Apple iMessage 基本上收集用户的全维度信息，包括健康、财务、位置、搜索历史、浏览历史、数据等敏感数据。其他应用程序或多或少收集常见数据，例如联系人和位置。值得一提的是，Session作为一张白纸，没有任何证据表明其收集了用户数据，也没有任何线索表明其将用户数据移交给了母公司。 7、默认不开启加密功能：加密功能默认开启，决定了App开发者对安全通信的重视。小编经过调查发现，这13款应用中，Facebook Messenger、微软Skype和Telegram均默认关闭。 Viber 和WhatsApp 是否默认开启取决于用户的设备。

8、加密算法不安全：加密算法的复杂程度决定了产品的安全性。复杂的加密模式会大大增加破解成本。复合、多维度的加密模式将使劫持难度呈几何级数增加，从而达到最佳的安全防护。目的。这13款应用大部分采用了Curve25519、AES-256、HMAC-SHA256等主流加密算法。其中，苹果iMessage和微软Skype仍然使用极其脆弱的SHA-1（安全哈希算法1）。 SHA-1早在2005年就已经得到分析师的证实，并公布了有效的攻击方式。对于资金和计算资源相对充裕的黑客来说，SHA-1很难抵御。可见这两款App的算法还差强人意。 9、软件和服务器不开源：开源软件不受官方限制，可以通过更多渠道进行扩展和应用。客户甚至可以按照自己喜欢的方式维护和改进产品本身。开源是一种更符合互联网精神的举措。不幸的是，只有Element、Signal、Session和Wire采用完全开源的机制。 10.可重复构建（Reproducible Builds）反向验证App不支持：虽然任何人都可以检查免费开源软件的源代码是否存在恶意缺陷，但大多数软件都是预编译的，无法确认它们是否对应。因此，Reproducible Builds可以验证编译过程中是否引入了漏洞或后门，从而防止威胁和攻击。不幸的是，只有Telegram 支持IOS 和Android 上的验证，Threema 和Signal 只支持Android 上的验证，其他应用程序不允许重复构建。

11、支持匿名注册：虽然很多通讯软件都希望通过匿名注册的方式让网友提前体验产品，增加粘性。然而，匿名注册不仅会增加无效用户数量、降低进入门槛，还会使注册用户面临潜在的信息安全威胁。目前只有Element、Threema、Wickr Me 和Session 支持匿名注册。 12. 可以通过修改目录服务器来启用中间人攻击：中间人攻击（MITM）是一种拦截正常网络通信数据并进行数据篡改和嗅探的攻击方式。整个沟通过程双方都没有任何知情。令人震惊的是，除了Google Messages使用RCS而不是目录服务器之外，所有列出的应用程序都支持通过修改目录服务器进行中间人攻击。安全性可想而知。 13、指纹变化不会通知用户：指纹识别是识别用户身份的一种方式，就像登录密码一样。变更后应提醒用户，以便用户立即意识到自己账户的安全性。调查显示，苹果iMessage、Skype、WhatsApp 和Telegram 并未告知用户此事。 14、个人信息未经过哈希处理：哈希算法在密码学中的主要作用是进行消息摘要和签名，主要用于消息完整性验证。哈希算法是不可逆的，用于在密文中保存密码的签名。网站后台只保存签名值。这样，即使App中保存的信息被盗，也无法获取用户的密码，安全性更高。在这13款应用中，只有Element、Threema和Wickr Me完全使用哈希来处理用户的手机号码、联系人和其他私人信息。

综合以上14个指标，这13款通讯App中，相对安全的只有Signal、Threema和Wire。但这三款软件仍然存在不同程度的安全问题，这三款软件仍然没有摆脱信息安全——公有云存储信息的根源问题。因此，跳回国内，如果有一款通信软件能够满足私有云部署的严酷条件，基本上就可以避免上述14个标准中提到的大部分问题。从小编目前走访市场的结果来看，国产通讯软件要么追求快速获客（免费使用）而忽视安全技术加持，要么加密技术不足，要么使用场景单一，要么功能不丰富。够齐全，不然成本太高（搭建专业服务器进行私有化部署）.目前只有一款通讯软件可以满足高性价比的需求，私有化部署，顶尖的加密技术，好资料安全防护硬件，全面强大的通讯软件，那就是新源豆。小编目前正在试用中，以后会重新写一篇试用体验的文章，供关注信息安全的朋友参考。