Hlavní navigace

Komunikační služby v roce 2017: hodně novinek, žádná dokonalá

Jiří Eischmann

Vypadá to, že letošní rok bude v oblasti instant messagingu ještě zajímavější než ten předchozí. Začal docela zostra hned několika zásadními zprávami o bezpečnosti. Přitom vznikají další a další sítě.

Jaká je současná nabídka moderních komunikačních služeb pohledem obyčejného linuxáka?

Jabber

Ještě tak v roce 2008 jsem si myslel, že je Jabber, respektive XMPP budoucností IM. Otevřený, standardizovaný protokol, který podporuje federalizaci. Všechny ty uzavřené služby jako ICQ se přece musí na něčem sjednotit a to něco bude XMPP. Jednu dobu to tak i vypadalo. Google začal používat pro svůj Google Talk XMPP, stejně tak Facebook pro svůj chat. Uplynulo pár roků a Jabber je prakticky mrtvý. Mám pořád svůj účet, ale vždy ho po krátké době vypnu, protože si nemám s kým psát.

Svět se vydal přesně opačným směrem – řadou nekompatibilních sítí, které ale mohou rychle inovovat, protože se nemusí domlouvat s nikým na společném standardu. Zdlouhavý proces schvalování nových rozšíření je to, na co XMPP dojelo. Dodnes není schválené ani Jingle, které řeší hlasové a video přenosy a které bylo vytvořeno před více než 10 lety. XMPP prostě funkčně nestíhá držet krok s konkurencí.

Další věcí je bezpečnost. Jabber má sice tu výhodu, že můžete provozovat vlastní server a mít vše pod kontrolou, ale to opravdu není řešení pro běžné uživatele. Ti raději sáhnou po nějaké službě. A jak se ukazuje, žádný poskytovatel nedosahuje takové velikosti, aby mohl nabídnout opravdu profesionální a bezpečné služby. Jabbim.cz před dvěma lety někdo ukradl hesla všech uživatelů a teď se přiznali i k tomu, že nedávno unikla i historie chatů VIP uživatelů. To jsou takové bezpečnostní mega průšvihy, že stát se něco takového velkým IM sítím, které jsou často tak kritizované za soukromí uživatelů, tak je to z pohledu reputace položí.

Telegram

To je IM, který používám primárně už asi dva roky. Považuji to za takový dobrý kompromis mezi popularitou (tedy možností mít s kým komunikovat) a bezpečnostní a soukromím. Telegram je často kritizovaný za vlastní krypto. Nejnověji také za používání SHA-1. Jeho autoři nicméně tvrdí, že SHA-1 je používáno tak, že kolizemi nelze ničeho dosáhnout. Fakt je ten, že i přes tuto kritiku není dosud znám žádný průlom Telegramu. A to autoři jednu dobu útočníky motivovali tučnou odměnou. Veškeré „průniky“ do služby proběhly přes ověřování skrze sms přes děravý protokol gsm, čemuž se dá vyhnout nastavením dvoufaktorové autenzitace.

Jednou z priorit Telegramu je ochrana dat uživatelů a fungování služby je tomu do značné míry podřízeno. Nikde se nechlubí, kde jejich právní entita sídlí, a prý je obtížné je vůbec v případě požadavku na zpřístupnění dat uživatelů vůbec kontaktovat. Navíc klíče potřebné k rozšiřování dat jsou uložené v různých jurisdikcích po celém světě, takže by byl potřeba koordinovaný požadavek od několika států naráz. Telegram se chlubí tím, že dosud nikomu nevydal ani byte dat uživatelů. Je to ale pouze o důvěře, protože prakticky ověřit to nelze.

Serverová část je sice closed source, což je škoda, ale pokud nemáte přístup přímo k serverům, tak stejně nezjistíte, jestli tam běží ten samý software, který se nachází ve zveřejněných zdrojácích, takže ke zvýšení důvěry by to asi příliš nepřispělo. Na rozdíl od serverové části protokol, API a klienti jsou open source, takže si člověk může napsat vlastního klienta, případně si ověřit, že ti existující dělají to, co mají dělat. K dispozici jsou taky sestavení od třetích stran, třeba z distribucí (já třeba ve Fedoře spravuji plugin pro Telegram do Pidginu) nebo F-droidu, kde je klient pro Android. Výsledkem tohoto přístupu je, že má dnes Telegram nejlepší nabídku nativních klientů pro různé platformy mezi všemi dnes populárními službami.

Určitou nevýhodou je, že je registrace vázaná na číslo. Já osobně s tím nemám problém, ale přece jen to nenabízí plnou anonymitu vzhledem k tomu, že bez ověření totožnosti si v mnoha zemích simku už nekoupíte.

WhatsApp

Taky nedávno způsobil pozdvižení, když se zjistilo, že může vyměňovat klíče v konverzacích bez vědomí uživatele, čímž se dostane k obsahu konverzace. WhatsApp loni oznámil, že přechází na end-to-end šifrování, ale nabízí takové výchozí volby, že jej prakticky zneefektivní. Nejen tím, že může ve výchozím nastavení bez vědomí uživatele vyměnit klíče šifrující konverzaci a udělat tak man-in-the-midde útok, ale notifikacemi uživatele doslova dotlačí k tomu, aby si obsah chatu zálohoval u třetí strany (v případně Androidu v Google Drive, v případě iOS v iCloudu) nezašifrovaně!

Klidně si můžete zálohování vypnout nebo jej vůbec nezapínat, ale vůbec nemůžete tušit, kdo z těch na druhé straně konverzací jej má zapnuté. Zajistit u WhatsAppu to, k čemu end-to-end šifrování slouží, tedy zpřístupnění obsahu chatu jen oběma stranám konverzace, prostě univerzálně nejde. Navíc klienti nejsou open source, takže člověk vlastně netuší, co ve skutečnosti dělají. To, že musíte explicitně zakázat, aby WhatsApp nesdílel vaše osobní údaje jako třeba čísla kontaktů s Facebookem, je jen třešinka na nepříliš voňavém dortu.

Signal

Ač je považován za etalon bezpečnosti a soukromí, ještě donedávna jsem měl k němu docela velké výhrady. Samotný Signal Protocol je jistě kvalitní a přebírají ho i další služby včetně WhatsAppu a Messengeru, ale na straně klientů to nebyla žádná sláva. Ti oficiální jsou sice open source, ale třeba ten pro Android dlouho závisel na Google Play Services. To se změnilo v únoru 2017. Nyní jsou k dispozici i sestavení třetími stranami. Např. v repozitáři F-Droid jej sestavuje Čech Michal Křenek. Z pohledu soukromí se dá Signalu vytknout snad jen to, že jeho servery jsou v USA. Jak se v minulosti ukázalo, občané jiných států tam nemají příliš mnoho práv na ochranu svých dat. Signal sice používá end-to-end šifrování, ale pořád může být vyzvaný k odevzdávání metadat (kdo, s kým, kdy,…).

Přijde mi, že Signal za Telegramem nebo WhatsAppem přece jenom trochu pokulhává, co se týče množství funkcí. Jedná se spíše o jednoduššího kecálka. Multiplatformnost není také ideální. Nabízí pouze aplikace pro Android a iOS a webový klient. Vzniku aplikací třetích stran se dost vehementně brání.

Wire

Ten se mi jakožto IM bez kompromisů v bezpečnosti a soukromí líbí přece jen více než Signal. Nevyžaduje k registraci telefonní číslo (jak už jsem psal, tento požadavek by mi tak nevadil, ale když bez kompromisů, tak bez kompromisů), klient pro Android nikdy nezávisel na binárním blobu Googlu, nemá problém s klienty třetích stran a sídlí ve Švýcarsku, jehož zákony respektují práva cizinců na ochranu dat přece jenom víc než ty americké.

I po funkční stránce mi přijdou klienti povedenější než ty pro Signal. Nicméně jestli je Signal používaný malým množstvím lidí, o Wire to platí dvojnásob. Z mých kontaktů jej používá zatím jen velmi málo lidí, ale situace se postupně zlepšuje.

Messenger

Bývalý Facebook Chat používám pro občasné psaní s ostatními. V Telegramu mám sice přes 100 kontaktů, ale všechno to jsou lidi z práce, open-source komunit nebo rodiny. Všechny ostatní člověk najde na Facebooku. Nicméně přistupuji k němu jen přes webové rozhraní Facebooku. Aplikace mi do mobilu nesmí. Facebook sice nedávno začal nabízet také možnost end-to-end šifrovaných chatů, ale když vidím, jakým způsobem k tomu přistupuje WhatsApp, který Facebooku patří, tak k tomu moc velkou důvěru nemám.

Facebook a soukromí snad ani nepatří do jedné věty a i v případě Messengeru vymýšlí nejrůznější způsoby, jak dostat zprávy od inzerentů přímo k vám a jak pro ně sesbírat co nejvíc informací o vás. To jsou všechny důvody, proč se snažím držet chatování v Messengeru na minimu.

Hangouts/Allo/Duo

Google a instant messaging je v poslední době docela smutná podívaná. Google víceméně zahodil na XMPP postavený Google Talk a začal prosazovat zcela uzavřené Hangouts. Na chat jsou docela mizerné, ale na skupinové video konference naopak povedené. Nicméně nyní podle všeho končí taky Hangouts a místo nich tu máme Allo a Duo, které nikdo nepoužívá, protože oproti zavedené konkurenci prostě nic navíc nenabízejí. Jen doufám, že tu smutnou podívanou nebudou zhoršovat ještě tím, že ty aplikace budou vnucovat všem jako předinstalované na Androidu.

Skype

Tato služba jde v posledních letech mimo mě. Dřív jsem ji používal na volání ze zahraničí do ČR. Naposledy jsem se s ní setkal, když mi slečna z marketingu Microsoftu nabídla, že bychom mohli „zaskypovat“, což jsem s díky odmítl, a zavolal na telefon. Zcela uzavřená služba jak na straně klientů, tak serveru. Nelze nijak ověřit, zda a jak je komunikace zabezpečená. Nemá nic, co by mě k ní táhlo nazpátek.

IRC

Ano, Internet Relay Chat, který vznikl v roce 1988. Ten nás ještě přežije všechny. Sice v open-source komunitách v poslední době dost roste Telegram, IRC je ale stále nezastupitelnou formou komunikace v mnoha projektech. Používáme ho i v práci. Nejlépe to nedávno vystihl komiks xkcd.

Matrix

Jestli má něco potenciál nahradit IRC, je to asi Matrix. Je primárně určený na skupinové chaty, ale lze jej použít i na soukromé. Je federalizovaný, čímž se podobá také Jabberu. Nejznámější službou (serverem), používající Matrix, je Riot, který poskytuje i stejnojmenné klienty.

Velkou výhodou je propracované propojení s IRC, které vám umožňuje přejít na Matrix a přitom být i nadále připojený k IRC serveru a komunikovat na něm. To výrazně usnadňuje přechod open-source projektům. Matrix momentálně testuje GNOME a chystá se jej používat i Fedora.

Nevýhodou Matrixu je, že UI klientů je pořád takové hodně inženýrské. Od vývojářů pro vývojáře. Což asi nebude vadit v případě snahy o nahrazení IRC, ale zcela určitě to neosloví širší masy.

Anketa

Na jakých IM jste k zastižení?

To jsou IM služby, s kterými mám nějakou zkušenost. Samozřejmě jich existuje mnohem více a každou chvíli přibývá další. Ale to by vydalo na seriál, který by předčil i ty nejdelší od Pavla Tišnovského.

Našli jste v článku chybu?
15. 3. 2017 2:22

Tak mě bys teda fakt nekontaktoval. Možná svoje "bezpečí" na internetu beru už nějak moc vážně, faktem ale je, že se mi žádná z tvých oblíbených služeb nelíbí a tudíž by jsem je nechtěl používat.

15. 3. 2017 2:33
Pravej Ja (neregistrovaný)

Pouzivam jen Jabber, mam tam vsechny lidi co potrebuju. Bezpecnost tam je na uplne jinem levelu nez u ostatnich zminovanych sluzeb, takze nemam jediny duvod prechazet kamkoliv jinam, uz vubec ne nekam, kde to po mne chce telefonni cislo, nebo kde bych si na to musel instalovat nejakej binarni balast.

Vlastne vubec nechapu ty ostatni veci, je to jak kdybych musel kvuli odesilani emailu na jiny server se tam zaregistrovat, stahnout si jejich klienta a pak teprv mohl email odeslat.

V praci jedem …