Прозрачность

Мы верим в честную коммуникацию о том, от чего Freedom Messenger защищает и от чего не защищает. Без маркетинга безопасности — только факты.

От чего мы защищаем

  • Массовая слежка — ваши сообщения на вашем сервере, а не в чужом облаке. Ни одна компания не может сканировать, продавать или передавать ваши данные.
  • Мониторинг сети — все режимы транспорта используют TLS. Режим VLESS делает трафик неотличимым от посещения microsoft.com, даже для DPI-систем.
  • Атаки перебором — ограничение частоты, блокировка аккаунта, Argon2id, обязательная 2FA.
  • Кража учётных данных — 2FA на основе TOTP означает, что украденный пароль сам по себе недостаточен.
  • Утечка метаданных фотографий — EXIF удаляется автоматически.
  • Блокировка домена — режим Cloudflare скрывает сервер за CDN. Режим VLESS делает сервер невидимым для цензоров.

От чего мы НЕ защищаем

Честность важна. Вот текущие ограничения:

Доступ администратора сервера

Администратор сервера может получить доступ к содержимому сообщений. Сообщения зашифрованы ключом сервера, но сервер расшифровывает их для доставки. Если вы администратор — у вас есть доступ ко всем сообщениям. Если администратор кто-то другой — у него есть доступ к вашим.

Решение: E2E-шифрование запланировано на v2.0 на базе Signal Protocol.

Компрометация сервера (доступ к диску)

Если злоумышленник получит root-доступ к серверу, он может прочитать мастер-секрет из config.toml и расшифровать все сообщения. Также возможен перехват новых сообщений в реальном времени.

Компрометация сервера (оперативная память)

Даже без доступа к диску, злоумышленник (или VPS-провайдер, или правоохранительные органы), способный сделать снимок оперативной памяти (RAM dump) работающего сервера, может извлечь ключи шифрования из памяти процесса. Шифрование в состоянии покоя не защищает от этой атаки — ключи должны быть в памяти для расшифровки сообщений при доставке.

Это фундаментальное ограничение любой системы серверного шифрования. Оно одинаково применимо ко всем серверам без E2E-шифрования (Matrix/Synapse, Mattermost, Rocket.Chat и др.).

Решение для обоих случаев: Надёжные пароли, обновления ОС, SSH только по ключам, VPS-провайдер вне юрисдикций с принудительным доступом. E2E-шифрование (v2.0) полностью устранит оба риска — ключи пользователей никогда не будут существовать на сервере.

Компрометация устройства

Если злоумышленник получит доступ к устройству пользователя, он может прочитать все видимые этому пользователю сообщения. Исчезающих сообщений пока нет.

Анализ трафика

Хотя режим VLESS скрывает содержимое трафика, наблюдатель может видеть, что вы отправляете данные на конкретный IP. Объём и время трафика теоретически могут выдать наличие разговора.

Юридическое принуждение

Если сервер в юрисдикции, где правоохранительные органы могут принудить к передаче данных, администратор может быть вынужден предоставить доступ к мастер-секрету и базе данных.

Решение: Размещайте сервер в юрисдикции с сильными законами о приватности. E2E-шифрование (v2.0) сделает содержимое нечитаемым даже при изъятии.

Наши обязательства

  • Мы всегда будем честны об ограничениях
  • Мы не будем использовать маркетинговые фразы вроде «шифрование военного уровня» или «невзламываемый»
  • Мы будем чётко помечать функции, которые запланированы, но ещё не реализованы
  • Мы документируем архитектуру безопасности детально, чтобы её можно было проверить
  • Кодовая база открыта для ревью