(privacyaffairs.com)Session Appのレビュー: 知っておくべきことのすべて

Categories
< Back
You are here:
Print

(privacyaffairs.com)Session Appのレビュー: 知っておくべきことのすべて

Session Appのレビュー: 知っておくべきことのすべて
Miklos Zoltan

2023年4月5日

Miklos Zoltan 創設者 – プライバシー問題

シャニカ・W. ファクトチェック


Session Appは、主にユーザーのプライバシーと通信の暗号化に焦点を当てた、オープンソースのプライベートメッセージングアプリケーションである。


このプラットフォームは、グローバルなルーティングネットワークに接続された分散型サーバーをベースとしており、アカウント作成時にユーザーの個人情報を要求することはない。

Oxenは、プライバシーテクノロジーに特化したオーストラリアのNGOであるLoki Foundationの支援を受け、このプラットフォームを開発した。

OxenはOxen Privacy Tech Foundation(OPTF)の開発部門であり、その中にはOxenサービスノード、Oxenブロックチェーン、そのツール、それに関連するアプリケーション全般も含まれている。

ブロックチェーンのバックグラウンドがSession Messengerにデザイン的に組み込まれている。というのもSession Messengerのプロトコルコアにこの種のテクノロジーを使用しているからだ。

Session Messengerは、ユーザーのアイデンティティのために、メタデータの厳重な暗号化とデータの最小化原則で動作する。

通信は、サーバーがメッセージの発信元や宛先、そもそもメッセージを送ったユーザーのIPを追跡できない分散型ネットワークでSignalプロトコルを使って行われる――このことは、安全な通信のための非常に興味深いプラットフォームである。

要約:Session Appは、主にユーザーのプライバシーと通信の暗号化に焦点を当てたオープンソースのプライベートメッセージングアプリケーションである。

このプラットフォームは、グローバルなルーティングネットワークに接続された分散型サーバーをベースとしており、アカウント作成時にユーザーの個人情報を一切必要としない。

Oxen は、プライバシーテクノロジーに特化したオーストラリアの非政府組織である Loki Foundation の支援を受け、このプラットフォームを開発した。

Session Messengerは、ユーザーのアイデンティティのために、メタデータの強固な暗号化とデータの最小化原則で動作する。

Session Appの基本

Session Messengerは無料で、AndroidとiOSのモバイル用として提供されている。また、Mac、Linux、Windows用のデスクトップ版もあり、公式ウェブストアやアプリケーションストアを利用してダウンロードすることができる。

ユーザーが希望する方法でプラットフォームにアクセスできるようになったら、次はプライベートアカウントを作成する番だ。このプロセスでは、ユーザーはSession IDを生成する必要があり、デフォルトでは、プロファイルを作成するために電子メールや電話番号は必要ない。

Session App ID

ユーザが設定されると、アプリケーション内で他の人々が自分を見つけられるように共有することができるSession IDが表示される。

この情報は公開されており、ONSの名前からユーザーを検索することも可能だ。モバイルアプリでは、QRコードをスキャンして素早くアクセスすることも可能だ。

ログイン後、ユーザーにはリカバリーフレーズを作成するよう案内している。Sessionプラットフォームでは、「パスワードを忘れた」オプションがないため、ユーザーはこれらのコードを使ってのみ、アカウントへのアクセス不能を回復できる。

Session App のリカバリーフレーズ

ユーザーは、新しい会話を始めることで、暗号化されたメッセージ、オーディオ、GIF、ファイル、写真を送信できる。また、セキュリティを向上させるために、消えるメッセージを開示することも可能である。

また、Sessionは、会話中の他のユーザーがメッセージを入力中、または正常に読んだことを示すビジュアルインジケータをサポートしており、ユーザーにこれらの機能を無効にするオプションも提供している。

始める Session App website

Sessionアプリの会話

Sessionアプリの特徴

Sessionが他のメッセージングアプリと大きく異なる点は、そのセキュリティ機能とエンドユーザーの保護に重点を置いている点だ。

Sessionのプラットフォームには、以下のようなものが含まれている:

Onion Routing Network(ノードと多層暗号を使用するネットワーク)をサポートし、セキュリティを向上させるために分散型の接続を提供する。

これは、ユーザーのIDがさまざまな場所でバウンスされ、接続を逆探知することが技術的に非常に困難になるように作られており、エンドユーザーのIPはSessionサーバーからも隠されている。

Session AppのIPバウンス

メッセージの有効期限(TTL):プライバシー設定のオプションで、メッセージが失効してどちらの当事者もアクセスできなくなる前に、受信者がメッセージを見ることができる時間をユーザーが選択することができる。数秒から1週間まで設定することが可能である。

メタデータの収集の最小化に重点を置いたプライバシーポリシーを徹底し、セッション自身が地理的位置やネットワーク、ユーザーからの情報を記録しないような、高度なメタデータプライバシーを内蔵している。

Session IDにより、電子メールや電話番号なしでアカウントを作成することができるため、公開鍵識別と個人データはアカウントに紐づかない。情報は分散型プラットフォームに保存され、ユーザーはリカバリーフレーズを使用してのみそのIDを回復できる。

完全に暗号化されたオープンなグループチャット。エンドツーエンドで暗号化されたグループチャットは、分散型プラットフォームを使用して最大100人のユーザーを作ることができる。ユーザーは自分のサーバーを使ってオープングループをホストすることもできるが、この場合、暗号化機能はサーバーまでのトランジットに限定される。

ローカルとサーバーのデータにはsecure clearが組み込まれており、ローカルレベルで痕跡を保護したいと考えるユーザーに、もう1つのレイヤを提供する。

Session Appのクリアデータ

Session Appのセキュリティ

Sessionは、会話のためにメタデータを保存せず、ユーザーのIPアドレスを他のユーザーやデータを保存しているサーバーにさえも公開しない ――これまで政府や司法当局にこれらのタイプの情報を公開したことはない。

そのソースコードとプロトコルは、透明性と安全性を確保するために公開されている。

Session Protocol は、エンドツーエンドの暗号化システムであるSignal Protocolと、クローズドグループ用のSender Keysシステムをベースにしている。

Signal Protocolとの違いについて、Session Protocolでは主に3つの違いが見られる: IPログ、完全前方秘匿、自己回復である。

IPログに関しては、Session Protocolで使用されているOnionルーティングは、IPコントロールを持つ中央サーバーをプラットフォームに提供しない。

これは、Signal Protocolでは、中央のサーバーにおいて、プラットフォーム上で送信される各メッセージのIPにアクセスすることが可能であるためである。

一方、Session Protocolのために開発された機能は、第三者のための、ユーザーにもう1つのプライバシーとセキュリティの層を提供する。

Perfect Forward Secrecy(PFS)は、長期的なキー情報の暴露から会話やメッセージを保護する機能である。

これは、常に新しいエフェメラル鍵ephemeral keysが共有され、新しい鍵が配信されると削除されるという方法で動作し、最新のメッセージを長期鍵の公開から保護する。

セルフヒーリングと呼ばれる短時間鍵と並行して動作するメッセージの保護も同様で、ratchet keyの漏洩から将来のメッセージ鍵が派生しないようにする機能で、この事象から将来のメッセージを保護する。

いったん鍵が公開されると、現在のratchetに関連づけられているメッセージしか読めなくなる。

このように、PFSとセルフヒーリングによってメッセージングコンテンツを保護し、古いメッセージや新しいメッセージにアクセスするには、長期鍵と短時間鍵にアクセスする必要があり、これは現在の標準では非常に安全な機能である。

それでも、onionルーティングによってIPがユーザーから保護されるため、トレースの安全性はもう一段高まる。

出典はこちら Oxen.io

Session App のプライバシー

ユーザーのプライバシーと法的な懸念に関しては、Sessionについて対応する機関はOxen Privacy Tech Foundationである。Session IDは公開されているため、財団はユーザーのデータにアクセスすることはできず、この機関はユーザーのデーターにアクセスを持たない。

また、プロトコルは分散型ネットワークに基づいているため、ユーザーのIPを追跡することはできないが、ウェブサイトやApp Store/Play Storeのアクセスログを取得することは可能である。

全体として、Sessionは、ユーザーの識別のために、電子メールや携帯電話番号のような個人情報を要求することはない。

そのプライバシーバイデフォルトポリシーは、プラットフォームがローカライズ、ジオロケーション、ネットワーク、デバイスデータを収集しないようになっている。また、ノードシステムは、ユーザーのIPを開示することを不可能にしている。

それでも、多くの法域の法的理由から、プラットフォームは第三者への情報共有について説明しなければならない:適用される法律、規制、法的手続き、政府の要求、犯罪や詐欺の特定、Sessionの権利、財産、安全を守るためである。

情報の欠如やユーザーがら得るプラットフォームが保有するメタデータは最小限であるが、Sessionは、ユーザーの情報を共有することができる。

要するに、Sessionは、実際には共有すべきユーザーデータを持っていないことを除いては、(他の企業と同様に)ユーザーデータを共有することを法的に強制されるうる。

出典 Session Appのプライバシーポリシー

Blockchain-Powered Privacy

Sessionのブロックチェーンテクノロジーは、プライバシーと分散化に焦点を当てたプライバシーツールの開発者プラットフォームであるOxenブロックチェーン上に構築されている。

OxenブロックチェーンはOPTFによって管理され、コミュニティによって運営されるノードのネットワークに基づく。

サービスノードを利用するには、インスタント匿名支払い機能を持つ同社のプライベート暗号通貨「$OXEN」を一定額保留する必要がある。

その価格は、ことで、より信頼できるシステムと健全なコミュニティを作るために信頼できるブロックチェーンノードを振興し、報酬を与える共有ノードに対して15,000~3,750 $OXENの間で変化する。

このシステムのネットワークは、Oxenサービスノードからのスケーラビリティと分散化ポリシーに基づいており、メンバーは上述の通貨をタイムロックすることを要求される。

同時に、ブロックチェーンコミュニティに参加した報酬として、ブロックの一部を受け取ることができる。

Sessionのブロックチェーンはこのネットワーク上に構築されているため、その分散性とコミュニティに対する信頼性も保留される。

ブロックチェーンコミュニティに参加するために、ユーザーがノードに割り当てられると、$OXENはタイムロックされる。このテクノロジーは、ノードが誠実に行動し、ネットワークの最低限の安全基準を提供するというポジティブなインセンティブを通じて、ユーザーに信頼できるコミュニティを提供するためのプラットフォームの中心的なポイントである。

また、この暗号通貨は、Sessionアプリに統合されているため、匿名で送金することができ、プラットフォームを通じて簡単に扱うことができる。また、プライベートで分散型の取引または通信のゲートウェイである「Oxen Wallet」を提供しており、ユーザーは$OXENを閲覧、受信、取引することができる。

通貨はデーモンを通過し、ネットワークと同期してトランザクションをスキャンする。

ユーザーとメディアの反応

Sessionは、App StoreおよびPlay Storeにおいて、技術やプライバシーに関心のあるユーザーから、その機能を代表して多くの賞賛を受けるとともに、ユーザーから適切な校閲評価を得た。

多くの安全で暗号化されたメッセージングアプリのレビューやランキングで、セッションは最も賞賛されたもの、または最も賞賛されたものの1つとして表示されている。

このプラットフォームは、プライバシーとセキュリティを第一に考え、つかいやすさを後回しにしているため、一部のユーザーは、Telegramがこれらの機能に関して入手しやすく共有しやすいポリシーを採用していることから、ステッカーなどの機能の不足が少し使いにくいと不満を述べているが、全体的には反応は良好である。

このサービスの詳細については、私たちのTelegramのレビューをチェックしてほしい。

Session Appの評価

2021年の初め、SignalとSessionは人気が急上昇し、メッセージングプラットフォームのセキュリティ問題に関するあるメディアの報道中に、Signalは数百万人の新しいユーザーを獲得した。

1月14日、Signalプラットフォームは公式コミュニケーションチャンネルで、その日、Playストアで5000万以上のダウンロードを達成したと報じた。

SessionはSignalのプロトコルに新しいセキュリティ層を追加して使用しているため、この人気上昇によりSessionは一般に知られるようになり、ニュースや専門サイトではWhatsAppやFaceTimeの良い代替品として紹介されることになった。

全体として、メディアからの評価は高く、Signalがインターネット通信のための最も安全なアプリの1つであり、今もなお成長し続ける活発なコミュニティであることが示された。しかし、Signalには一部のユーザーを悩ませるような機能性の欠如がある。

その点、SignalとTelegramの機能は、一般ユーザーにとってより適切であると思われる。

Deccan Heraldは、WhatsAppを捨ててプライバシー重視の選択肢を選ぶ主な理由の1つにSessionを挙げている。Nexpitは、Sessionを最も有望なメッセンジャーの1つであり、Telegramと一緒に使うのに最適な選択肢であると見ている。

Windows Clubは、匿名性とセキュリティの面で強力だが、エンドユーザーにとっては機能が豊富とは言えないと評価している。

2要素認証がないこと、他のアプリに比べてカスタマイズ機能の余地が小さいことなどが欠点として挙げられている。
ミクロス・ゾルタン
創業者兼CEO プライバシー・アフェアーズ

Miklos ZoltanはPrivacy Affairsの創設者であり、CEOである。Miklosはサイバーセキュリティとデータプライバシーにおいて長年の経験を持ち、侵入テスト、ネットワークセキュリティ、暗号を含むプロジェクトで10年以上にわたって国際チームと動作してきた。

Miklosは2018年にPrivacy Affairsを設立し、技術的に重く「ギーク」なトピックを理解しやすいガイドやチュートリアルに翻訳することで、通常のオーディエンスにサイバーセキュリティやデータプライバシー教育を提供する。
ミクロス・ゾルタン(Miklos Zoltan

著者とつながる:
Table of Contents