Open Whisper Systems
Open Whisper Systems | |
---|---|
Абревіатура | OWS |
Тип | організація |
Засновник | Моксі Марлінспайк[1] |
Засновано | 21 січня 2013[2] |
Мета | Розробка програмного забезпечення[1] |
Галузь | Вільне та відкрите програмне забезпечення, Криптографія, Мобільне програмне забезпечення |
Країна | США |
Штаб-квартира | Сан-Франциско |
Розташування | Сан-Франциско, Каліфорнія[3] |
Штат працівників | 6[4] |
Вебсайт | whispersystems.org |
Нагороди | |
Open Whisper Systems у Вікісховищі | |
Open Whisper Systems (скорочено OWS[5]) — це організація з розробки програмного забезпечення[6], що була заснована Моксі Марлінспайком в 2013 році. Головним завданням є розвиток Signal Protocol[7], а також підтримка шифрувального комунікаційного додатку під назвою Signal. Організація фінансується з пожертв та грантів, та всі її продукти опубліковані як вільне та відкрите програмне забезпечення.
Історія
Передумови
Дослідник з питань безпеки Моксі Марлінспайк та робототехнік Стюарт Андерсон в 2010 році спільно заснували стартап під назвою Whisper Systems. Компанія випускала пропрієтарне корпоративне програмне забезпечення для захисту мобільних пристроїв. Серед них — шифрувальна програма текстових повідомлень TextSecure та шифрувальна програма голосового виклику під назвою RedPhone. Вони також розробили брандмауер та інструменти для шифрування інших форм даних.
У листопаді 2011 року Whisper Systems оголосили про їх купівлю компанією Twitter. Фінансові умови угоди не розголошувалися. Придбання було проведено "в першу чергу так, щоб містер Марлінспайк міг допомогти його стартапу покращити їх безпеку".[8] Незабаром після придбання, сервіс RedPhone від Whisper Systems став недоступним. Дехто осуджував вилучення, аргументуючи це тим, що програмне забезпечення було "особливо націлене на допомогу людям під репресивними режимами" і це залишило їх подібно єгиптянам в "небезпечному становищі" під час подій революції в Єгипті в 2011 році.
Twitter випустив TextSecure як вільне та відкрите програмне забезпечення під ліцензією GPLv3 в грудні 2011 року. RedPhone також був випущений під тією ж ліцензією в липні 2012 року. Марлінспайк пізніше залишив Twitter та заснував Open Whisper Systems як спільний проект з відкритим кодом для продовження розвитку TextSecure та RedPhone.
Стан справ на 2013 рік
Марлінспайк запустив офіційний сайт Open Whisper Systems в січні 2013 року.
В лютому 2014 року Open Whisper Systems представили другу версію їхнього TextSecure Protocol (тепер Signal Protocol), котрий додав наскрізно зашифрований груповий чат та можливість обміну миттєвими повідомленнями в TextSecure.[9] Наприкінці липня 2014 року Open Whisper Systems оголосили про плани об'єднати програми RedPhone та TextSecure як Signal. Ці оголошення співпали з початком випуску Signal в якості аналогу RedPhone для iOS. Розробники повідомили, що їхні наступні кроки полягатимуть у впровадженні миттєвих повідомлень в TextSecure для iOS, об'єднанні програм RedPhone та TextSecure для Android, та запуску веб-клієнту. Signal був першим додатком для iOS, що забезпечував легкі, надійно зашифровані голосові дзвінки безкоштовно. Сумісність з TextSecure була додана до програми для iOS в березні 2015 року.
18 листопада 2014 року Open Whisper Systems оголосили про співпрацю з WhatsApp для забезпечення наскрізного шифрування шляхом впровадження Signal Protocol до кожної клієнтської платформи WhatsApp. Open Whisper Systems повідомили, що вони вже реалізували протокол в останньому клієнті WhatsApp для Android та що підтримку для інших клієнтів, групові/медіа повідомлення та перевірка ключа буде незабаром. WhatsApp підтвердив партнерство журналістам, але на офіційному вебсайті не було оголошень або документації про функцію шифрування, а подальші запити на коментар були відхилені. 5 квітня 2016 року WhatsApp та Open Whisper Systems оголосили, що вони завершили додавання наскрізного шифрування для "кожного типу комунікацій" на WhatsApp, і тепер користувачі зможуть перевіряти ключі один одного.[10][11] У вересні 2016 року Google запустив новий додаток для обміну повідомленнями, який називається Allo та має опцію «режим анонімного перегляду», який використовує Signal Protocol для наскрізного шифрування.[12][13] У жовтні 2016 року Facebook розгорнув функціональний режим під назвою "секретні розмови" в Facebook Messenger, який забезпечує наскрізне шифрування, використовуючи реалізацію Signal Protocol.[14][15][16]
В листопаді 2015 року, додатки TextSecure та RedPhone для Android були злитті в програму Signal для Android.[17] Місяць потому, Open Whisper Systems анонсували Signal Desktop — додаток для Google Chrome, який міг співпрацювати з клієнтом Signal.[18] Спочатку додаток міг працювати лише з Android версією Signal. 26 вересня 2016 року, Open Whisper Systems оголосили, що Signal Desktop тепер добре працює з iOS версією Signal.[19] 31 жовтня 2017 року Open Whisper Systems повідомили, що Chrome додаток став депрекованим. Одночасно вони оголосили про випуск самостійного клієнта для певних дистрибутивів Windows, MacOS та Linux.[20]
4 жовтня 2016 року Американська спілка захисту громадянських свобод та Open Whisper Systems опублікували низку документів, які свідчать про те, що OWS отримали повістку, в якій вимагалася інформація про два номери телефонів для федерального розслідування Великим журі в першій половині 2016 року.[21][22][23] Лише один номер був зареєстрований на Signal, і через особливості роботи сервісу, OWS лише зміг надати "час, коли користувач зареєструвався та останній час, коли він підключався до сервісу". Разом з повісткою, OWS отримали заборону на розголос, яка зобов'язувала OWS не розповідати нікому про повістку протягом року. OWS об'єдналися з АСЗГС та домоглися часткового зняття заборони після оскарження її в суді. OWS повідомили, що вони отримали повістку вперше та вони налаштовані реагувати на "будь-який майбутній запит так само".
Фінансування
Open Whisper Systems фінансуються поєднанням пожертв та грантів. В травні 2014 року, Моксі Марлінспайк розповів, що "Open Whisper Systems — це скоріше проект, а не компанія, і метою проекту не є фінансова вигода."[24] ЗМІ пізніше описали Open Whisper Systems як "некомерційну групу розробників програмного забезпечення". Проте Open Whisper Systems не зареєстровані як неприбуткова організація, тому її фінанси не оприлюднюються.
Наступна таблиця містить перелік організацій, від яких Open Whisper Systems отримали гранти:
Організація | Період | Сумма |
---|---|---|
Shuttleworth Foundation | 2013–2014 | $308,976.00 |
Knight Foundation | 2014–2015 | $416,000.00 |
Open Technology Fund | 2013–2016 | $2,955,000.00 |
Open Whisper Systems отримували пожертви через Фонд Свободи Преси,[25] який діяв як фіскальний спонсор Open Whisper Systems починаючи з грудня 2016 року.[26]
З грудня 2013 року по листопад 2017 року,[27] Open Whisper Systems використовували систему BitHub, яка належним чином розподіляла невеликі пожертвування серед учасників. Система автоматично сплачує відсоток коштів Bitcoin за кожний внесок до одного з репозиторіїв Open Whisper Systems на GitHub.
21 лютого 2018 року, Моксі Марлінспайк та співзасновник WhatsApp Брайан Ектон оголосили про створення фонду Signal, неприбуткова організація 501(c), чия місія полягає в "підтримці, розвитку і розширені місії Signal щоб зробити приватні комунікації доступними та поширеними."[28] Фонд розпочав роботу зі стартовими 50 мільйонами доларів від Ектона, який залишив Facebook (WhatsApp — дочірня компанія) у вересні 2017 року.[29] Згідно оголошення, Ектон став виконавчим головою фонду і Марлінспайк продовжив як генеральний директор. Фонд Свободи Преси погодився продовжувати приймати пожертви від імені Open Whisper Systems доки статус неприбуткової організації для Signal Foundation невирішений.
Сприймання
Колишній співробітник АНБ Едвард Сноуден неодноразово схвалював програми Open Whisper Systems. У своєму вступному слові на South by Southwest в березні 2014 року він високо оцінив TextSecure та RedPhone за легкість використання. В інтерв'ю з The New Yorker в жовтні 2014 року він рекомендував використовувати " все розроблене Моксі Марлінспайком та Open Whisper Systems". Під час віддаленого виступу на заході, влаштованому університетом Рейерсона та організацією канадських журналістів в березні 2015 року, Сноуден зазначив, що Signal "дуже корисний" та він зрозумів модель безпеки. На запитання про додаток шифрованих повідомлень в розділі Reddit AMA в травні 2015 року, він порекомендував "Signal для iOS, Redphone/TextSecure для Android". В листопаді 2015 року, Сноуден твітнув що використовує Signal "кожен день".[30]
В жовтні 2014 року, Electronic Frontier Foundation (EFF) включив TextSecure, RedPhone та Signal до свого оновленого посібника по самозахисту від стеження. В листопаді 2014 року, усі троє отримали високі оцінки на Secure Messaging Scorecard від EFF, разом з Cryptocat, Silent Phone та Silent Text. Вони отримали бали за наявність комунікацій, зашифрованих під час передачі; наявність комунікацій, зашифрованих ключами, до яких провайдери не мають доступу (наскрізне шифрування); можливість користувачам самостійно ідентифікувати автора повідомлення; можливість захистити здійснені комунікації, якщо ключі були викрадені (пряма секретність); відкритість кодів для незалежної оцінки (відкрите програмне забезпечення); гарну документованість оформлення захисту; наявність сучасних незалежних аудитів безпеки.
28 грудня 2014 року Шпіґель опублікував слайди з внутрішньої презентації АНБ, яка відбулася в червні 2012 року, на яких АНБ вважає сам RedPhone "значною загрозою" для своєї місії, а використання в поєднані з іншими інструментами конфіденційності, такими як Cspace, Tor, Tails та TrueCrypt, класифікували як "катастрофічна", що призводить до "майже повної втрати/нестачі розуміння цілей комунікацій, присутності..."
Проекти
Активні
Активні проекти Open Whisper Systems налічують:[31]
- Signal
- Додаток миттєвих повідомлень, голосових дзвінків та відео дзвінків[32] для iOS та Android. Він використовує протоколи наскрізного шифрування для захисту всіх комунікацій до інших користувачів Signal. Signal можна використовувати для надсилання наскрізно зашифрованих групових повідомлень, вкладень та медіа повідомлень до інших користувачів Signal. Всі дзвінки здійснюються через Wi-Fi або кабельний інтернет та є безкоштовними, навіть міжміські та міжнародні. Signal має вбудований механізм перевірки відсутності атаки «людина посередині». Open Whisper Systems встановили десятки серверів для обробки зашифрованих дзвінків у більш ніж 10 країнах світу, щоб мінімізувати затримку. Клієнти опубліковані під ліцензією GPLv3.
- Signal Desktop
- Автономний клієнт для певних дистрибутивів Windows, MacOS та Linux, який може співпрацювати з мобільним клієнтом Signal.[33] Раніше — додаток Chrome. Програмне забезпечення опубліковане під ліцензією GPLv3.
- Signal Protocol
- Децентралізований криптографічний протокол, який комбінує алгоритм Double Ratchet, передключі та 3-DH хендшейк.[34] Open Whisper Systems підтримує наступні бібліотеки Signal Protocol:
- libsignal-protocol-c: бібліотека написана на C та опублікована під ліцензією GPLv3 разом з додатковими дозволами для App Store.[35]
- libsignal-protocol-java: бібліотека написана на Java та опублікована під ліцензією GPLv3.[36]
- libsignal-protocol-javascript: бібліотека написана на JavaScript та опублікована під ліцензією GPLv3.[37]
- Signal Server
- Програмне забезпечення опубліковане під ліцензією AGPLv3.
- Contact Discovery Service
- Мікросервіс, що "дозволяє клієнтам виявляти, котрі з їх контактів є зареєстрованими користувачами, не розкриваючи контакти перед оператором послуг чи іншими учасниками, що може скомпрометувати сервіс." Програмне забезпечення опубліковане під ліцензією AGPLv3.[38] Станом на 26 вересня 2017, сервіс знаходився в бета-версії.[39][40]
Припинені
Припинені або поглинуті іншими проекти від Open Whisper Systems:
- BitHub
- Сервіс, який автоматично сплачує відсоток від фонду Bitcoin за кожне звернення до репозиторію GitHub.[41]
- Flock
- Служба, яка синхронізувала календар та контактну інформацію на пристроях Android. Користувачі мали можливість розмістити власний сервер. Розробник вказав на технологічні рішення, які призводять до високих витрат на сервер, як причину припинення надання послуги.[42] Flock був закритий 1 жовтня 2015 року, але вихідний код залишається доступним на GitHub під ліцензією GPLv3.
- RedPhone
- Автономний додаток для зашифрованого голосового дзвінка на Android. RedPhone інтегрований з системним номеронабирачем для здійснення викликів, але використовується ZRTP для встановлення наскрізно шифрованого каналу VoIP для поточного виклику. RedPhone був розроблений спеціально для мобільних пристроїв, використовував аудіо кодеки та буферні алгоритми, налаштовані на характеристики мобільних мереж, і користувався push-повідомленнями для збереження акумулятора пристрою, залишаючись при цьому здатним реагувати. RedPhone був злитим до TextSecure 2 листопада 2015 року. TextSecure був перейменований в Signal для Android. Вихідний код RedPhone був доступним під ліцензією GPLv3.
- TextSecure
- Самостійний додаток для шифрованих повідомлень на Android. TextSecure можна використовувати для відправки та отримання SMS, MMS та миттєвих повідомлень. Він використовує наскрізне шифрування разом з прямою секретністю та спірною аутентифікацією для захисту всіх миттєвих повідомлень до інших користувачів TextSecure. TextSecure був злитим з RedPhone для створення Signal для Android. Вихідний код викладений під ліцензією GPLv3.
Посилання
- Franceschi-Bicchierai, Lorenzo (18 листопада 2014). WhatsApp messages now have Snowden-approved encryption on Android. Mashable. Процитовано 23 січня 2015.
- A New Home. Open Whisper Systems. 21 січня 2013. Процитовано 1 березня 2014.
- Lee, Micah (22 червня 2016). Battle of the Secure Messaging Apps: How Signal Beats WhatsApp. The Intercept. First Look Media. Процитовано 17 липня 2016.
- Marlinspike, Moxie (18 вересня 2017). Інтерв'ю з Devin Coldewey. «Moxie Marlinspike: Trust No One». TechCrunch Disrupt SF 2017 (San Francisco, CA: Oath Inc.): 3:50. https://techcrunch.com/video/moxie-marlinspike-trust-no-one/59c00fe185eb426ac28d4eb4/. Процитовано 19 вересня 2017.
- Signal Privacy Policy. Open Whisper Systems. Архів оригіналу за 31 січня 2018. Процитовано 31 січня 2018.
- O'Neill, Patrick (3 січня 2017). How Tor and Signal can maintain the fight for freedom in Trump’s America. CyberScoop. Scoop News Group. Процитовано 25 січня 2017.
- Perrin, Trevor. TextSecure Protocol: Present and Future [Video]. NorthSec. Процитовано 24 вересня 2016. Подія відбулася 0:21.
- Yadron, Danny (9 липня 2015). Moxie Marlinspike: The Coder Who Encrypted Your Texts. The Wall Street Journal. Процитовано 10 липня 2015.
- Donohue, Brian (24 лютого 2014). TextSecure Sheds SMS in Latest Version. Threatpost. Процитовано 14 липня 2016.
- Metz, Cade (5 квітня 2016). Forget Apple vs. the FBI: WhatsApp Just Switched on Encryption for a Billion People. Wired. Condé Nast. Процитовано 5 квітня 2016.
- Lomas, Natasha (5 квітня 2016). WhatsApp completes end-to-end encryption rollout. TechCrunch. AOL Inc. Процитовано 5 квітня 2016.
- Greenberg, Andy (18 травня 2016). With Allo and Duo, Google Finally Encrypts Conversations End-to-End. Wired. Condé Nast. Процитовано 14 липня 2016.
- Gibbs, Samuel (21 вересня 2016). Google launches WhatsApp competitor Allo – with Google Assistant. The Guardian. Процитовано 21 вересня 2016.
- Isaac, Mike (8 липня 2016). Facebook to Add ‘Secret Conversations’ to Messenger App. The New York Times. The New York Times Company. Процитовано 14 липня 2016.
- Greenberg, Andy (8 липня 2016). ‘Secret Conversations:’ End-to-End Encryption Comes to Facebook Messenger. Wired. Condé Nast. Процитовано 14 липня 2016.
- Greenberg, Andy (4 жовтня 2016). You Can All Finally Encrypt Facebook Messenger, So Do It. Wired. Condé Nast. Процитовано 5 жовтня 2016.
- Greenberg, Andy (2 листопада 2015). Signal, the Snowden-Approved Crypto App, Comes to Android. Wired. Condé Nast. Процитовано 22 березня 2016.
- Franceschi-Bicchierai, Lorenzo (2 грудня 2015). Snowden’s Favorite Chat App Is Coming to Your Computer. Motherboard. Vice Media LLC. Процитовано 4 грудня 2015.
- Marlinspike, Moxie (26 вересня 2016). Desktop support comes to Signal for iPhone. Open Whisper Systems. Процитовано 26 вересня 2016.
- Nonnenberg, Scott (31 жовтня 2017). Standalone Signal Desktop. Open Whisper Systems. Процитовано 31 жовтня 2017.
- Perlroth, Nicole; Benner, Katie (4 жовтня 2016). Subpoenas and Gag Orders Show Government Overreach, Tech Companies Argue. The New York Times. The New York Times Company. Процитовано 4 жовтня 2016.
- Kaufman, Brett Max (4 жовтня 2016). New Documents Reveal Government Effort to Impose Secrecy on Encryption Company (Blog post). American Civil Liberties Union. Процитовано 4 жовтня 2016.
- Grand jury subpoena for Signal user data, Eastern District of Virginia. Open Whisper Systems. 4 жовтня 2016. Процитовано 4 жовтня 2016.
- Marlinspike, Moxie (6 травня 2014). What is TextSecure's business model?. Hacker News. Процитовано 4 лютого 2017.
- Kolenkina, Masha. How can I donate?. Signal Support Center. Open Whisper Systems. Архів оригіналу за 30 січня 2018. Процитовано 31 січня 2018.
- Timm, Trevor (8 грудня 2016). Freedom of the Press Foundation's new look, and our plans to protect press freedom for 2017. Freedom of the Press Foundation. Процитовано 25 січня 2017.
- Marlinspike, Moxie; Rizzio, Nicholas (11 листопада 2017). Remove the last references to BitHub and Coinbase. GitHub. Процитовано 31 січня 2018.
- Marlinspike, Moxie; Acton, Brian (21 лютого 2018). Signal Foundation. Signal.org. Процитовано 21 лютого 2018.
- Greenberg, Andy (21 лютого 2018). WhatsApp Co-Founder Puts $50M Into Signal To Supercharge Encrypted Messaging. Wired. Condé Nast. Процитовано 21 лютого 2018.
- Barrett, Brian (25 лютого 2016). Apple Hires Lead Dev of Snowden’s Favorite Messaging App. Wired. Condé Nast. Процитовано 2 березня 2016.
- Open Whisper Systems. Open Whisper Systems. GitHub. Процитовано 2 грудня 2015.
- Mott, Nathaniel (14 березня 2017). Signal's Encrypted Video Calling For iOS, Android Leaves Beta. Tom's Hardware. Purch Group, Inc. Процитовано 14 березня 2017.
- Coldewey, Devin (31 жовтня 2017). Signal escapes the confines of the browser with a standalone desktop app. TechCrunch. Oath Tech Network. Процитовано 31 жовтня 2017.
- Unger et al., 2015, p. 241
- Open Whisper Systems. libsignal-protocol-c. GitHub. Процитовано 13 червня 2016.
- Open Whisper Systems. libsignal-protocol-java. GitHub. Процитовано 6 квітня 2016.
- Open Whisper Systems. libsignal-protocol-javascript. GitHub. Процитовано 25 вересня 2016.
- Contact Discovery Service. GitHub. Open Whisper Systems. Процитовано 28 вересня 2017.
- Marlinspike, Moxie (26 вересня 2017). Technology preview: Private contact discovery for Signal. Open Whisper Systems. Процитовано 28 вересня 2017.
- Greenberg, Andy (26 вересня 2017). Signal Has a Fix for Apps' Contact-Leaking Problem. Wired. Condé Nast. Процитовано 28 вересня 2017.
- Finley, Klint (17 грудня 2013). Love Child of Bitcoin and GitHub Pays Cash for Code. Wired. Condé Nast. Процитовано 22 вересня 2015.
- rhodey (16 липня 2015). RE: Flock shutting down. GitHub Gist. Процитовано 8 вересня 2015.