Auteur/autrice : VPN Coaching

This is our review of Silent Circle which touts itself as an enterprise privacy platform. It sells not only an encrypted communications service, but the hardware, software, and technology necessary to implement it.  Recent additions to their platform include the Silent Store, Silent Meetings, Silent Manager, and the rebranded Silent World (formerly Out-of-Circle Calling).  The Silent Circle team is a unique mix of world-renowned cryptographers, Silicon Valley software engineers, VoIP engineers, system analysts, and former US Navy SEALs & British Special Air Service (SAS) security experts.  They state, ” Silent Circle’s Enterprise Privacy Platform was built upon the company’s original founding purpose: to offer privacy in the face of widespread data surveillance and collection.”  Their ultimate goal is to let users conduct business without fear of having their communications hijacked by competitors, governments, or other malicious sources.

Silent Circle started in 2011 when Mike Janke, a former Navy SEAL and security specialist joined forces with Phil Zimmermann, a cryptography expert, and Jon Callas, a computer security engineer and programmer to create an encrypted communications service with easy-to-use tools available to anyone who appreciates a little control over who has access to their conversations.  Silent Circle officially launched its secure communications service in October 2012.  The original software app was simple to setup and use.  You simply installed the apps (Silent Phone, Silent Text, Silent Eyes, and Silent Mail) on any smartphone or tablet and dialed, texted, or sent video or email.  Thereafter, any communication was encrypted in a way that neither governments, hackers, or government-backed hackers could break.

On August 8, 2013, the US government ordered encrryted email provider Lavabit to turn over its Secure Sockets Layer (SSL) private keys.  Lavabit owner, Ladar Levison shut down his service rather than “become complicit in crimes against the American people” by allowing the NSA to spy on his customers.  An example of Silent Circle’s commitment to privacy came just hours later.  They explained that email services need to interoperate with other email providers.  That makes end-to-end encryption impractical and creates a danger that the company could be compelled to hand over information to the government.  Email as we know it with SMTP, POP3, and IMAP cannot be secure.  Although they had not yet been told to provide data to the government, they saw the writing on the wall.  Consequently, Silent Circle informed customers that it had killed off Silent Mail rather than risk their privacy.  They made the decision therefore to remove employee data from the servers and immediately completely wipe them.

In October of 2013, Lavabit founder Ladar Levison and Silent Circle started the Dark Mail initiative to develop a secure end-to-end encrypted protocol and service.   Ladar Levison, Dark Mail project lead, dedicated the project to the NSA when he released the Dark Internet Mail Environment – Architecture and Specification in March of this year.  His dedication follows:

Silent Circle Hardware

In January 2014, SGP Technologies, a co-venture between Silent Circle and GeeksPhone designed a new model of smartphone called Blackphone.  Designed in the wake of Edward Snowden’s 2013 mass surveillance revelations, the Android-based device was said to be “the first NSA-proof” smartphone.  The original Blackphone which launched in June of 2014 has the following specifications:

• OS platform PrivatOS based on Android 4.4 (KitKat)
• Screen 4.7″ IPS HD display (1280*720) with pulse-width modulation (PWD) for screen dimming
• Touch Capacitive >4 point multi-touch
• Camera 8MP AF rear (Flash LED) + 5MP FF front
• SIM slot Single micro-SIM slot
• Bluetooth 4.0 LE
• Wi-Fi 802.11b/g/n
• MicroSD support Yes, up to 128GB microSDXC
• Connectors 3.5mm audio jack (TRRS:CTIA/AHJ), micro USB
• Battery capacity 2000 mAh lithium polymer (user replaceable)

The Blackphone today uses a modified version of the Android OS, now called PrivatOS 1.1 or Silent OS which has been designed with security and privacy in mind.  It also includes their privacy apps along with some 3rd party privacy apps that have been preinstalled.  It provides private web browsing by default, a VPN which prevents eavesdropping over cellular networks, and private cloud storage for files.  Features include private encrypted voice and video calls and text messaging with attachments, the Kismet Smarter Wi-Fi Manager which prevents wi-fi hotspots from capturing information or tracking users’ locations or activities, and a comprehensive security center and remote wipe and protect functionality.  The new PrivatOS 1.1 also includes Spaces which allows the user to create up to four virtual phones.  The Blackphone was named one of Time Magazine’s top 25 inventions of 2014.  The Blackphone is sold unlocked and will work with any compatible GSM carrier and will not work with CDMA carriers.  In the US GSM carriers include T-Mobile and AT&T but not Verizon or Sprint.

Silent Circle will be releasing their next generation privacy phone, Blackphone 2 in September of 2015.  It has the following specifications:

• LTE and Worldwide 3G/HSPA+ connectivity
  
• 5.5″ FullHD Gorilla Glass display; Resolution 720p (1280 x 720 pixels) to 1080p (1920 x 1080 pixels).
  
• 1.7 GHz Qualcomm Snapdragon Octa-Core Processor
• 3GB RAM & 32GB internal storage
• microSD card slot supports additional 128GB
• 13 MP BSI Camera Sensor (5 MP front)
  
• 3060 mAh Battery with Quick Charge 2

As you can see the Blackphone 2 has had quite an upgrade in hardware from its predecessor.   In addition to having Silent OS 2.0 and the Silent Suite of software, the new phone will offer the much requested Google services.  Therefore, you will now get all the same Google apps that Android users are familiar with like Chrome, YouTube, Maps, and the Google Play store.  The integration of the Google services into their Spaces technology shows that Silent Circle is dedicated to combining technical capabilities with ease of use for their customers.  As with previous versions of Silent Circle products, every app installed (including those downloaded through the Play Store) is monitored by the Security Center and will only have access to the data that you agree to share so you do not have to compromise your privacy or security.  No price has yet been released for the Blackphone 2 but its expected to be about the same as the original.

The new Blackphone 2 also makes it easier for enterprises to integrate it with existing enterprise mobility management (EMM)/mobile device management (MDM) solutions like Citrix, Soti and Good Technology by providing out of the box access to widely used productivity apps.  Furthermore, their continued commitment to the Android for Work provides even more features that can be leveraged both by employees and their IT departments.  This allows enterprises to increase their productivity and ensure a smooth transition when switching devices.

Silent Circle Software

The original PrivatOS was an Android-based operating system that was created by Silent Circle to address modern privacy concerns. It had no bloatware, no hooks to carriers, and no leaky data.  It was the first OS specifically designed to put privacy in the hands of mobile users without sacrificing their productivity.

Recently, PrivatOS 1.1 or Silent OS the first major upgrade to their OS was released.  At the heart of their new upgrade are Spaces and Security Center.  Together these form an OS-level virtualization and management solution which puts privacy settings at the user’s fingertips.  This allows Blackphone and new Blackphone 2 users to control all aspects of their mobile life, personal and professional.  Geared specifically for the enterprise, it allows users to keep enterprise and personal apps completely separate from each other.

Spaces allows users to create multiple, separate virtual phones on one device.   This lets them keep their personal and professional life securely compartmentalized.  Spaces has the following features:

• Create – create up to four separate spaces that act like virtual phones on your device; enterprise, personal, gaming, etc.
  • Each Space consumes about 70MB of additional memory when running
  • Each new Space requires approximately 3MB of additional storage
  • When apps are shared across Spaces, then there is no additional app storage needed beyond the initial copy
  • Each app may consume additional app data storage in each Space
• Customize – each space can be customized any way you like; different lockscreens, apps, homescreens, security settings, etc.
• Secure – keeps your apps and data secure
  • Spaces are isolated from each using Android and Linux process isolation technologies (containers and SE Android) so that apps and data in one Space cannot gain access to the apps and data in another Space
  • The file system for Managed Spaces is encrypted and other Android capabilities such as debugging can be disabled to prevent off-line or recovery partition based attacks in the event your device is lost or stolen
• Data – no data is shared between spaces; shared apps between spaces have independent data
• Enterprise – capacity for IT administrators to create, lock, administer, and wipe enterprise managed spaces.
• Integration – Partnerships with MDM solution providers like Citrix, Soti, and Good Technology

The second major part of the Silent OS is the Security Center which lets users control all their privacy settings with just a few taps.  Security Center has the following features:

• Configure – users can easily configure settings for individual spaces
• Manage – users can determine which apps live in each space
• Fine tune – set individual app permissions which allows the user to control the level of data access each app receives

The Blackphone also comes preinstalled with Silent Suite, Silent Circle’s core set of applications that enable private, encrypted communication.  It provides peer-to-peer key negotiation, verification, and management.  Silent Suite sets the standard for secure mobile communication and can be installed on PrivatOS (Blackphone), as well as, standard iOS and Android devices.  Silent Suite consists of the following:

• Silent Phone –  allows users to make private voice and video calls in HD clarity over 3G/4G and WiFi networks
  • Peer-to-peer encrypted VoIP service (secure Skype functionality)
  • It is an easy-to-use app that works using the ZRTP encryption protocol
• Silent Text – an unlimited encrypted text service with the capability to transfer files
  • Only supported between other Silent Text users
  • Silent Text also offers secure file transfers of up to 100MB and voice memo functionality.
  • Burn Notice provides the functionality to destroy selected messages automatically after a preset period of time.
  • SCIMP is the Silent Circle Instant Message Protocol which makes Silent Text’s secure device-to-device texting possible
  • Peer-to-peer encryption keys stay on the device and not on the Silent Network servers so only you and the person you are texting can decrypt and read the information.
  • The Secure Authentication String (SAS) for each text is unique and used only once which provides forward secrecy
• Silent Contacts – An automatically encrypted address book
  • Password protect the encrypted address book to lock it so that only you can access it
  • Import and encrypt your existing contacts from other sources.

In November 2014, Silent Phone and Silent Text both received top scores (7/7) on the Electronic Frontier Foundation’s secure messaging scorecard.  They received points for having communications encrypted in transit, having end-to-end encryption, making it possible for users to independently verify their correspondent’s identities, supporting forward secrecy, having their code open to independent review, having their security designs well-documented, and having recent independent code audits.

Silent Meeting is their latest software app which provides a secure conference calling system. It allows up to 50 participants.  Silent Circle says the system means you will no longer have to remember access codes.  It has a visual interface which will simplify scheduling, inviting and monitoring conference attendees.   Silent Circle Blackphones also come with other preinstalled third-party apps that they have vetted for privacy and security like the Kismet Wireless Wi-Fi Manager which helps you avoid risks from insecure WiFi networks and Remote Wipe.

Silent Circle Services

Our review found that Silent Circle now offers a variety of services that they are gearing more towards enterprise solutions.  These services include:

• Silent Store – Silent Store is installed on all Blackphone devices, the world’s first privacy-focused app store features apps from the developer community vetted by Silent Circle
• Silent Manager – Silent Manager gives enterprises a simple and secure web-based solution for managing in place plans, users, groups, and devices
• Silent World – An encrypted calling plan that lets users communicate privately with those who don’t have Silent Phone.
  • Subscription plan – Four subscription plans that include both Silent Suite and Silent World (formerly Out-of-Circle Calling) all plans include unlimited receive calls, unlimited member to member, and 120 calling destinations
    •  Starter – 100 out of circle minutes; $12.95/month
    •  Intermediate – 250 out of circle minutes; $19.95/month
    •  Best Value – 500 out of circle minutes; $24.95/month
    •  Power User – 1000 out of circle minutes; $39.95/month
  • Silent World coverage area – countries Silent Circle users can call anyone within privately, with no roaming charges or extra fees.
    • North America United States, Canada, Mexico, Guadaloupe
    • Caribbean Dominican Republic, Martinique, Puerto Rico, US Virgin Islands, Bermuda
    • Central America Costa Rica, Panama
    • South America Argentina, Brazil, Chile, Colombia, French, Guiana, Paraguay, Peru, Venezuela
    • Africa Morocco, Reunion Island, South Africa
    • Europe Andorra, Austria, Bulgaria, Belgium, Croatia, Cyprus, Czech Republic, Denmark, Estonia, France, Gibraltar, Germany, Greece, Hungary, Iceland, Ireland, Italy, Latvia, Lithuania, Luxembourg, Malta, Netherlands, Norway, Poland, Portugal, Romania, San Marino, Slovakia, Slovenia, Spain, Sweden, Switzerland, United Kingdom
    • Central Asia Kazakhstan, Uzbekistan
    • Eastern Asia China, Hong Kong, Japan, Russia, South Korea, Mongolia, Taiwan
    • South-Eastern Asia Brunei, Laos, Malaysia, Singapore, Thailand
    • Southern Asia Bangladesh, India
    • Western Asia Bahrain, Georgia, Israel, Kuwait, Turkey
    • Pacific American Samoa, Australia, Guam, Mariana Islands, New Zealand
    • Miscellaneous Voxbone – SA, Voxbone – UN

Also among the enterprise services they offer is business integration formed by their partnerships with MDM solution providers like Citrix, Soti and Good Technology.   This helps pave the way for its increasing roll outs within businesses worldwide.

They also have one of the fasted vulnerability management systems.  Critical vulnerabilities in their Silent OS are patched within 72 hours of detection or reporting.  They are able to accomplish this because updates come directly from Silent Circle with no carrier delays or waiting periods.  Additionally, they have an open source philosophy and to aid in the quick detection of bugs in both their Silent OS software and Blackphone by they sponsoring bug bounty programs for each.

Silent Circle Technology

Silent Circle’s Enterprise Privacy Platform is born from a strong set of beliefs in private and secure communications and built on the fundamentally different philosophy of mobile-first architecture.  It is designed by some of the best minds in mobile technology, encryption, security and privacy.  Security in their network is handled using the Zimmermann Real-time Transport Protocol (ZRTP) designed by Silent Circle co-founder Phil Zimmermann.  In accordance with encryption best practices, Silent Circle does not hold or have access to the keys that encrypt your private communications.   Accordingly, their communications products use peer-to-peer encryption which means the keys are kept on the sender and recipients machines not the Silent Circle network.   Any conversation, video, text, or video teleconference is encrypted from the sender’s device to the other party’s.

A communication using the ZRTP looks something like this:

1. The protocol detects when the call starts
2. It initiates a cryptographic key agreement between the two callers
3. It allows the detection of man-in-the-middle (MiTM) attacks by displaying a short authentication string for the users to verbally compare over the phone
4. It then proceeds to encrypt and decrypt the voice and data packets on the fly.

Key negotiations are purely peer-to-peer through the media stream.  Keys are unique and are destroyed at the end of each call.  The ZRTP protocol also optionally supports Public Key Infrastructure (PKI) if the other VoIP client does not support ZRTP.

Silent Circle Review: Conclusion

Silent Circle is a paid subscription mobile privacy solution that has been designed from the ground up with security and privacy in mind.  They provide not only the service, but also the hardware, software, and technology used to implement it which allows them to better meet their users privacy needs.  It was originally geared toward individuals who had mobile privacy concerns but has morphed into a global contender to Blackberry in providing a secure mobile enterprise platform for business.

Their hardware includes the original Blackphone, the soon to be released Blackphone 2, with a Blackphone+ tablet to be released in the future.  Their original mobile software Silent Suite, consists of Silent Phone, Silent Text, and Silent Contacts.  These provide a secure peer-to-peer encrypted solution for VoIP, video, and text.  They have developed two new software applications with the enterprise in mind. The first of these, Silent Meetings provides a visual interface for secure video conferencing which simplifies the scheduling, inviting, and monitoring of conference attendees.  The second, Silent Manager along with partnerships with major MDM solution providers like Citrix, Soti, and Good Technology provides enterprise managers a secure web-based solution for managing their in-place plans, users, groups, and devices.  All of this, plus the introduction of enterprise managed spaces in PrivatOS 1.1, a Silent Store for privacy vetted apps, and the rebranding of their Out-of-Circle Calling service as Silent World makes Silent Circle a serious contender in the mobile enterprise privacy space.

             

En el momento de esta revisión, Golden Frog ofrece Cyphr aplicaciones para dispositivos móviles Android e iOS, pero dice que las aplicaciones para Windows, Mac e Internet estarán disponibles próximamente. La aplicación iOS requiere iOS 7.0 o posterior. Es compatible con iPhone, iPad y iPod touch y está optimizado para iPhone 5. La aplicación de Android requiere Android 4.0.3 y superior. Al igual que con su servicio VPN, Golden Frog posee los servidores, escribe el código y administra la red para entregar todos sus mensajes para que ningún tercero tenga acceso a ellos. Los servidores de Cyphr se encuentran en Suiza para la máxima privacidad y protección del usuario.

 

 

SMS (Servicio de mensajes cortos) y MMS (Servicio de mensajes multimedia) se utilizan en teléfonos móviles para comunicaciones que no son de voz. Para comprender cómo funciona un servicio de mensajería seguro, primero considere que cuando usa una aplicación de mensajería regular o mensajes SMS / MMS tradicionales, está enviando sus mensajes a un buzón al que todos pueden acceder, lo que significa que muchas personas tienen la oportunidad de leerlos, ya sea por accidente o por razones más maliciosas. Además, los rastreadores de paquetes wi-fi y los rastreadores de paquetes profundos ISP pueden interceptar sus mensajes en tránsito y, dado que no están encriptados, pueden leerse o modificarse sin su conocimiento.

 

Los servicios de mensajería cifrada funcionan mediante la generación de claves matemáticas de los siguientes tipos:

 

• Clave simétrica – El remitente y el destinatario tienen la misma clave.

 

• Clave pública – Esta es la parte pública del par de claves pública – privada.
   
  • El remitente utiliza la clave pública del destinatario para garantizar que solo el destinatario pueda acceder al mensaje.

   

  • La clave pública y la clave privada están matemáticamente relacionadas, por lo que la clave pública del remitente se puede utilizar para verificar la identidad del remitente del mensaje.

   

 

• Clave privada – Esta es la parte privada del par de claves pública – privada.
   
  • El remitente puede usar su clave privada para firmar el mensaje para que el destinatario pueda verificar que lo envió.

   

  • El destinatario usa su clave privada para abrir el mensaje, ya que fue sellado con su clave pública y solo él puede abrirlo.

   

 

Un servicio de mensajería encriptada podría proteger su mensaje contra todas estas trampas al permitirle firmar digitalmente su mensaje con su clave privada y encriptarlo utilizando la clave pública del destinatario. Luego, el servicio deberá transmitir el mensaje cifrado utilizando la Capa de sockets seguros / Seguridad de la capa de transporte (SSL / TLS) para que los metadatos también se cifren al destinatario del mensaje. Finalmente, el destinatario usa su clave privada personal para abrir el mensaje. Luego usan la clave pública del remitente para verificar la firma digital y descifrar el mensaje original usando su clave privada.

 

Dado que el mensaje está firmado y cifrado en la máquina local del remitente antes de enviarlo al destinatario, todo destinatario no autorizado (sniffer en línea o empleado descontento) verá un muro de texto llamado « hash » del mensaje original. Además, dado que el mensaje resultante se transmite utilizando SSL / TLS, los metadatos también son ilegibles. Finalmente, si el mensaje se envía a otra persona que no sea el destinatario previsto, no podrán abrirlo ni leerlo porque no tienen la clave privada necesaria para hacerlo. Si el mensaje se manipula de alguna manera, el hash no coincidirá y el destinatario podrá saberlo. Esto garantiza que el mensaje original solo llegue al destinatario previsto.

 

Cyphr proporciona una solución de mensajería cifrada de extremo a extremo. A continuación se muestra un esquema del proceso de Cyphr como se muestra en su sitio web.

 

 

Para aquellos que tienen interés, aquí hay una revisión más técnica de alto nivel del proceso que utiliza su servicio. Primero, el mensaje se cifra en el dispositivo del remitente y no se puede descifrar hasta que llegue al dispositivo del destinatario. Los pasos que utiliza el remitente para crear el mensaje cifrado según lo descrito por Cyphr son los siguientes:

 

1. El remitente crea el mensaje que desea enviar al destinatario.

 

2. El remitente firma el mensaje con su clave privada para que el destinatario pueda verificar que envió el mensaje utilizando la clave pública del remitente.

 

3. El remitente crea una clave desechable que solo sirve para este mensaje.

 

4. El remitente cifra tanto el mensaje como la firma con la clave de un solo uso.

 

5. El remitente busca la clave pública del destinatario.

 

6. El remitente encripta la clave de un solo uso con la clave pública del destinatario.

 

7. El remitente firma la clave cifrada de un solo uso con la clave privada del remitente para que el destinatario sepa que la creó.

 

8. El remitente envía la clave cifrada y el mensaje cifrado al destinatario a través de los servidores Cyphr de Golden Frog.

 

Dado que todo esto se hace en el dispositivo del remitente, nadie, incluido Golden Frog, tiene acceso al mensaje original hasta que llega a su destino y el destinatario lo descifra. Además, debido a que el mensaje está encriptado por una clave simétrica que está encriptada por la clave pública del destinatario, solo la clave privada del destinatario puede acceder a la clave necesaria para descifrar el mensaje. Todo lo que se almacena en los servidores Cyphr es el mensaje cifrado, el destinatario del mensaje y una marca de tiempo que muestra cuándo se recibió el mensaje. No es necesario almacenar ninguna información sobre el remitente.

 

Para recibir y leer el mensaje:

 

1. El destinatario descarga la clave cifrada y el mensaje cifrado de los servidores Golden Frog Cyphr.

 

2. El destinatario usa su clave privada para descifrar la clave simétrica cifrada.

 

3. El destinatario usa la clave simétrica para descifrar el mensaje cifrado.

 

4. El destinatario busca la clave pública del remitente.

 

5. El destinatario utiliza la clave pública para verificar el mensaje y el remitente envió la clave simétrica cifrada.

 

Dado que la clave privada solo existe en el dispositivo del destinatario, solo él puede leer el mensaje siempre que el dispositivo esté asegurado correctamente. Una vez que el mensaje se ha recibido con éxito, los datos almacenados para él se eliminan de los servidores de Cyphr. El servicio utiliza el algoritmo RSA para el cifrado y la verificación de clave pública, el cifrado AES de 256 bits para el cifrado de mensajes simétricos y TLS para la transmisión segura hacia y desde los servidores Cyphr que se encuentran en Zurich, Suiza. Cyphr es un servicio gratuito y todo lo que necesita hacer es descargar la aplicación, crear una cuenta y generar su par de claves pública y privada para comenzar a usarla.

         

             

Comencemos nuestra revisión de TextSecure observando por qué todos necesitamos un servicio de texto encriptado para nuestra vida cotidiana. Como muchos de ustedes probablemente saben, los mensajes de texto que enviamos desde nuestro teléfono no son seguros. Los teléfonos inteligentes envían comunicaciones que no son de voz (texto, video, audio, etc.) utilizando SMS y MMS ( Servicio de mensajes cortos ) y ( Servicio de mensajería multimedia ). SMS se utiliza para mensajes de un máximo de 160 caracteres. MMS se utiliza para mensajes más grandes que este con el máximo establecido por el proveedor e incluye archivos de texto, fotografías, video y audio.

 

 

En general, estos mensajes en dispositivos Android se envían utilizando un cifrado inferior o simplemente texto simple, y cualquier persona que tenga acceso a ellos puede leerlos. Estos mensajes generalmente se envían a un centro de mensajería del operador y luego se envían al destinatario si utiliza el mismo operador. Si el destinatario no utiliza el mismo operador que el remitente, se envían a través de Internet al operador del destinatario que luego lo reenvía al destinatario. A veces, estos mensajes se almacenan para enviar si el destinatario no está disponible.

 

Como puede ver, existe una amplia oportunidad para que alguien intercepte cualquier texto enviado desde su dispositivo móvil. SMS y MMS siempre han tenido problemas con spam y falsificación porque no se requiere autenticación de identidad para enviarlos y recibirlos. Además, estos mensajes se almacenan en texto sin formato en su dispositivo para que cualquier persona que tenga acceso a su teléfono pueda leerlos. TextSecure puede ayudar a resolver muchos de estos problemas.

 

Todos estos problemas existían incluso antes de que se revelara que NSA te estaba espiando. Por lo tanto, como puede ver si desea mantener la privacidad de su texto con compañeros de trabajo, amigos o familiares, debe cifrar los datos y poder autenticar al destinatario. Esto es exactamente por qué Whisper Systems se fundó para proporcionar mensajes de texto privados y seguros para todos.

 

Whisper Systems fue una pequeña empresa de seguridad cofundada por Moxie Marlinspike (seudónimo) y Stuart Anderson en 2010. Lanzó una aplicación de mensajería de texto llamada TextSecure Private Messenger para enviar y recibir mensajes de texto cifrados en mayo de 2010. En noviembre de 2010. 2011, Whisper Systems y sus dos fundadores talentosos fueron adquiridos por Twitter para reforzar su equipo de seguridad. En consecuencia, TextSecure se desconectó. En diciembre de 2011, Twitter lanzó TextSecure como una aplicación gratuita y de código abierto bajo la versión 3 de licencia pública general (GPLv3).

 

 

En junio de 2014, Tarjeta de puntuación de mensajería segura , un proyecto de la Electronic Frontier Foundation (EFF) otorgó a la aplicación móvil TextSecure para Android de Open Whisper Systems 7 de 7 comprobaciones. Recibieron cheques por estar encriptados en tránsito, encriptados para que el proveedor no pudiera leerlos, proporcionando una forma de verificar las identidades de los contactos, manteniendo el secreto de las comunicaciones pasadas si las claves están en peligro, es el código abierto a revisión independiente, teniendo el diseño de seguridad debidamente documentado y su código auditado recientemente. La aplicación TextSecure es gratuita y de código abierto.

 

 

Texto seguro con TextSecure para Android

 

Ahora comencemos nuestra revisión de la aplicación móvil TextSecure de Open Whisper Systems. TextSecure se ha implementado en el popular sistema operativo Android alternativo CyanogenMod . Todos los dispositivos Android con CyanogenMod instalado son compatibles con la aplicación TextSecure. Los usuarios de CyanogenMod pueden usar cualquier aplicación de SMS y aún así beneficiarse de la seguridad y privacidad adicionales que brinda TextSecure. CyanogenMod tiene una base de usuarios confirmada de 10 millones con hasta 20 millones de usuarios estimados en la naturaleza (los usuarios no están obligados a registrar el sistema operativo). TextSecure también se ha implementado con WhatsApp de Facebook, pero de tal manera que no es compatible con los usuarios de TextSecure y el cifrado no se puede verificar porque el código es de código cerrado.

 

TextSecure es una aplicación de mensajería cifrada gratuita y de código abierto para Android publicada bajo la licencia GPLv3. TextSecure permite a los usuarios enviar mensajes de texto cifrados de extremo a extremo, mensajes de audio, fotos, videos, información de contacto y una amplia selección de emoticones a través de una conexión de datos entre usuarios de TextSecure. Los mensajes de TextSecure también son compatibles con los enviados desde Signal para iOS. Esto permite que las personas con TextSecure en Android intercambien mensajes cifrados de forma segura con usuarios que ejecutan la aplicación Signal en sus teléfonos inteligentes y tabletas iOS. TextSecure también se puede utilizar para enviar y recibir SMS y MMS sin cifrar , con usuarios que no tienen instalada la aplicación TexSecure o Signal. Utiliza cifrado de extremo a extremo y proporciona confidencialidad directa, confidencialidad futura y autenticación denegable para proteger todos los mensajes instantáneos a los usuarios de TextSecure y Signal. También le permite usar una contraseña para cifrar los mensajes en su dispositivo. Actualmente, TextSecure no es compatible con tabletas Android.

 

El protocolo de mensajería cifrada TextSecure es un protocolo cifrado de extremo a extremo con garantías de negabilidad y secreto de reenvío a nivel de mensaje, similar a Off the Record (OTR). Utiliza una clave efímera Curve25519, cifrado AES-256 bit y una autenticación hash HMAC-SHA256 como primitivas criptográficas de bajo nivel. El protocolo TextSecure es un derivado de OTR cuya principal diferencia es que utiliza claves de criptografía de curva elíptica (ECC). El protocolo OTR utiliza claves DSA aprobadas por el Instituto Nacional de Estándares y Tecnología (NIST). Ha habido cierta controversia acerca de que la NSA tiene puertas traseras a las teclas NIST pero aún no se ha demostrado definitivamente. La gestión de claves está a cargo de Axolotl , un trinquete criptográfico desarrollado por Moxie Marlinspike y Trevor Perrin. Esto proporciona un grado de « secreto futuro » para sus mensajes. La versión 2 de TextSecure utiliza una variación sin teclas de encabezado de los registros de trinquete axila y protobuf.

 

Instalar la aplicación TextSecure en su teléfono Android es fácil:

 

• Paso 1 – Descargue la aplicación TextSecure de la tienda Google Play e instálela
   
  • Toque « Instalar » y acepte los Términos de servicio (permisos de la aplicación) seleccionando « Aceptar ».

   

  • La aplicación se descargará e instalará automáticamente.

   

  • Nota: si no acepta los permisos de la aplicación, la instalación se cancelará.

   

 

• Paso 2 – Configuración y configuración inicial
   
  • Registre su teléfono: ingrese su país (donde se compró la tarjeta SIM) y el número de teléfono y presione registrar (opcional)
     
    • Recibirá un mensaje SMS con un código de 6 dígitos para verificar su registro

     

    • Si no se recibe ningún SMS, puede seleccionar escuchar un código de voz automatizado de 6 dígitos.

     

    • Verifique su registro

     

   

 

• Importar mensajes SMS actuales en la base de datos cifrada

 

• Convierta TextSecure en su aplicación de mensajería predeterminada

 

• Crea una frase de contraseña para cifrar tus datos locales
   
  • Esto encripta sus datos localmente en su dispositivo, así como en tránsito.

   

  • Nota: si omite este paso, sus mensajes seguirán cifrados en tránsito pero en su dispositivo local

   

  • Haga que TextSecure se bloquee automáticamente después de un período de inactividad que establezca

   

 

A continuación se muestran algunas capturas de pantalla de la aplicación TextSecure en acción. La última captura de pantalla muestra la creación de un grupo usando la aplicación.

 

 

Ahora puede comenzar a enviar mensajes de forma segura a sus amigos y familiares seleccionándolos de su lista de contactos. Si tanto usted como su amigo están utilizando TextSecure para Android o Signal para iOS, los mensajes se enviarán encriptados automáticamente a través de Internet. De lo contrario, si su destinatario no tiene TextSecure o Signal, el mensaje se enviará sin cifrar por SMS. Los mensajes de TextSecure enviados de forma segura a través de Internet tienen un fondo azul y los enviados a través de SMS tienen un fondo verde. Al presionar y mantener presionado el botón azul de envío, aparecerá una pantalla de opciones que le permitirá elegir cómo enviar su mensaje. TextSecure 2.7.0 y superior solo admitirá el cifrado a través del transporte TextSecure o SMS / MMS de texto sin formato. Los servidores del sistema Open Whisper nunca tienen acceso ya que las claves se guardan localmente en su máquina y no almacenan sus datos.

 

Entre las otras características que tiene la aplicación está la capacidad de crear grupos a partir de sus contactos para enviar mensajes grupales. De manera similar al envío de mensajes individuales, si alguien en su grupo no tiene TextSecure o Signal, el mensaje se enviará usando MMS. De lo contrario, el mensaje se envía a todos los miembros del grupo encriptados a través de Internet. TextSecure le permite enviar imágenes, videos y archivos de audio a sus contactos. Finalmente, puede verificar la identidad de sus destinatarios utilizando su tecnología de huellas digitales.

 

Revisión de TextSecure: Conclusión

 

Open Whisper Systems es un proyecto comunitario voluntario y de financiación privada que ha surgido de la necesidad de aplicaciones de privacidad seguras y fáciles de usar para las masas. Uno de los proyectos que actualmente admite es TextSecure Private Messenger para Android. Este programa ofrece a los usuarios de Android una forma de garantizar que todos sus mensajes de texto sean privados y seguros. Permite a los usuarios de TextSecure enviar mensajes cifrados a otros TextSecure para usuarios de Andriod o Signal para usuarios de iOS. También les permite autenticar la identidad del destinatario del mensaje utilizando su tecnología de huellas digitales. Por lo tanto, cualquiera que tenga cualquiera de las aplicaciones mencionadas anteriormente puede enviar mensajes de texto, imágenes, videos o archivos de audio seguros y encriptados mediante Wi-Fi o datos a través de Internet a otras personas que también usan las aplicaciones. Esto les permite ahorrar dinero porque evitan posibles cargos por SMS y MMS.

 

La aplicación TextSecure se integra aparentemente con la lista de contactos de Andriod para que cualquiera pueda usarla fácilmente. Todos los mensajes de texto entre aquellos que tienen cualquiera de las aplicaciones mencionadas anteriormente se cifran de manera predeterminada antes de enviarse a su destinatario. Dado que este cifrado se produce en el dispositivo local, incluso los servidores de Open Whisper Systems no pueden ver el mensaje y no almacenan sus datos, por lo que puede estar seguro de que su comunicación es privada y segura. Si el destinatario no tiene instalada una de las aplicaciones mencionadas anteriormente, el mensaje se enviará utilizando SMS o MMS sin cifrar. Esto lo hace adecuado como una aplicación de reemplazo para la aplicación de mensajería regular de Android. TextSecure es gratuito y de código abierto bajo la licencia pública general versión 3 (GPLv3). Open Whisper Systems está trabajando actualmente para desarrollar una extensión de navegador TextSecure. Si tiene un teléfono Android, le recomendamos que pruebe la aplicación por sí mismo y recupere la privacidad que una vez tuvo cuando envió mensajes de texto con familiares y amigos.