Выпуск Matrix-клиента Riot 1.6 с включением сквозного шифрования
7 мая 2020 года
Разработчики системы децентрализованных коммуникаций Matrix представили новые выпуски ключевых клиентских приложений Riot Web 1.6, Riot Desktop 1.6, Riot iOS 0.11.1 и RiotX Android 0.19. Riot написан с использованием web-технологий и фреймворка React (применяется обвязка React Matrix SDK). Версия для рабочего стола собирается на базе платформы Electron. Код распространяется под лицензией Apache 2.0.
Ключевым улучшением в новых версиях стало включение по умолчанию сквозного шифрования (E2EE, end-to-end encryption) для всех новых приватных чатов, вход в которые производится через отправку приглашений. Сквозное шифрование реализовано на базе собственного протокола, использующего для начального обмена ключами и обслуживания сеансовых ключей алгоритм двойного храповика (часть протокола Signal).
Для согласования ключей в чатах с несколькими участниками применяется расширение Megolm, оптимизированное для шифрования сообщений с большим числом получателей и позволяющее расшифровывать одно сообщение несколько раз. Шифротекст сообщения может быть сохранён на не заслуживающем доверия сервере, но не может быть расшифрован без сессионных ключей, хранимых на стороне клиента (каждый клиент имеет свой сессионный ключ). При шифровании для каждого сообщения на основании ключа сеанса клиента генерируется свой ключ, который аутентифицирует сообщение в привязке к автору. Перехват ключа позволяет скомпрометировать только уже отправленные сообщения, но не сообщения, которые будут отправлены в будущем. Реализация методов шифрования прошла аудит в организации NCC Group.
Вторым важным изменением является активация поддержки перекрёстного подтверждения (Cross-signing), позволяющего пользователю из уже подтверждённого сеанса верифицировать новый сеанс. Ранее при подключении к чату пользователя с нового устройства остальным участникам выводилось предупреждение, чтобы избежать подслушивания в случае доступа злоумышленника к учётной записи жертвы. Перекрёстное подтверждение позволяет пользователю при входе верифицировать другие свои устройства и подтвердить доверие к новому логину или определить, что кто-то попытался подключиться без их ведома.
Для упрощения настройки новых логинов предоставлена возможность использования QR-кодов. Запросы на верификацию и результаты теперь сохраняются в истории в виде напрямую отправленных сообщений. Вместо всплывающего модального диалога верификация теперь выполняется в боковой панели. Из сопутствующих возможностей также отмечена прослойка Pantalaimon, позволяющая подключаться к шифрованным чатам из клиентов, не поддерживающих E2EE, а также работающий на стороне клиента механизм поиска и индексации файлов в чат-комнатах с шифрованием.
Напомним, что платформа для организации децентрализованных коммуникаций Matrix развивается как проект, использующий открытые стандарты и уделяющий большое внимание обеспечению безопасности и приватности пользователей. В качестве транспорта применяется HTTPS+JSON с возможностью использования WebSockets или протокола на базе CoAP+ Noise. Система формируется как содружество серверов, которые могут взаимодействовать между собой и объединяются в общую децентрализованную сеть. Сообщения реплицируются по всем серверам, к которым подключены участники обмена сообщениями. Сообщения распространяются по серверам по аналогии с тем, как коммиты распространяются между Git-репозиториями. В случае временного отключения сервера сообщения не теряются, а передаются пользователям после возобновления работы сервера. Поддерживаются различные варианты идентификаторов пользователя, включая email, номер телефона, учётную запись в Facebook и т.п.
В сети отсутствует единая точка отказа или контроля за сообщениями. Все серверы, которые охватывает обсуждение, равноправны между собой. Любой пользователь может запустить собственный сервер и подключить его к общей сети. Возможно создание шлюзов (Архивная копия от 6 октября 2020 на Wayback Machine) для взаимодействия Matrix с системами на базе других протоколов, например, подготовлены сервисы для двусторонней отправки сообщений в IRC, Facebook, Telegram, Skype, Hangouts, Email, WhatsApp и Slack.
Помимо мгновенного обмена текстовыми сообщениями и организации чатов, система может использоваться для передачи файлов, отправки уведомлений, организации телеконференций, совершения голосовых и видео звонков. Matrix позволяет использовать поиск и неограниченный просмотр истории переписки. Поддерживаются также такие расширенные возможности как уведомление о наборе текста, оценка присутствия пользователя в online, подтверждение прочтения, push-уведомления, поиск на стороне сервера, синхронизация истории и состояния клиентов.
Источники править
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.