隱私和數據安全已迅速成為世界上最熱門的話題之一,並且不斷出現試圖填補消費者所需的隱私利基市場的公司。
更重要的是,隨著比特幣創下歷史新高,越來越多的人選擇投資加密貨幣——這些消費者渴望能夠在移動設備上享受安全的錢包集成。
Status.im 注意到了市場的差距,並希望通過提供以下服務來吸引隱私倡導者使用其服務:私人瀏覽、消息傳遞和存放山寨幣的地方——所有這些都在一個引擎蓋下。
概述
Status.im 於 2020 年推出,是一個涉及全球開發人員的項目的成果。儘管該項目具有協作性質,但 Status 的正式總部設在瑞士——一個在隱私方面被認為有利的地方。
Status 應用程序適用於 iOS 和 Android 設備。它提供點對點即時通訊工具、加密錢包和 Web3 瀏覽器。該應用程序使用了一個分叉耳語協議稱為 Waku – 啟用加密的 P2P 通信。據其開發人員稱,以太坊 P2P 協議的這種定制分叉使其資源佔用更少,更適合移動設備。
狀態應用程序是開源 並在 GitHub 上提供,這意味著其源代碼可以由第三方密碼學專家驗證。然而,該應用程序仍處於起步階段,它可能存在尚未通過此類審核暴露的漏洞。
好消息是該公司曾兩次付費聘請第三方審計。第一個表演者是似曾相識的西雅圖安全在 2018 年 Status 測試版發布之前。 Trail of Bits 在生產 v1 發布之前進行了另一次審計。因此,該公司尋求盡可能多地驗證其工作。
這些審計發現的問題已經得到修復,這很棒。當然,可能存在更多漏洞,但毫無疑問,Status 正在努力開源所有內容,並與專業審計人員合作,以檢查一切是否盡可能無懈可擊。
去中心化
Status 的有趣之處在於它提供完全去中心化的消息傳遞。當它完全啟動並運行時(還沒有),它不需要依賴任何中央服務器在用戶之間傳遞消息(儘管它暫時使用這種性質的服務器)。
相反,它以點對點的方式連接用戶,這樣就不會有中心故障點,也不會有政府窺探者搜索數據的地方。而且,由於這種去中心化的性質,即使 Status 作為一家公司(以目前的形式)消失了,理論上該服務仍然可以繼續使用。
定價
Status 是一款免費應用程序,您無需支付一毛錢即可下載並開始使用。事實上,作為部署 Status 節點的社區成員,您將成為利益相關者,並可以獲得 SNT 代幣(一種 ERC-20 代幣,用於訪問和支持 Status 網絡和應用程序中的去中心化服務)。這意味著您實際上可以通過使用該服務賺取硬幣。
在本文後面,我們介紹了 SNT 代幣的一些用例。但是,請記住其中一些功能(致敬談話和節點激勵)仍在進行中,尚未提供給用戶。因此,它們目前只是 Status 目標路線圖的一部分。儘管如此,它們仍然是非常有趣的功能,非常值得仔細研究。
SNT 代幣為網絡成員提供激勵,並鼓勵用戶部署在 Status 託管的集群出現故障時可用的網絡節點。這樣做的用戶會因存儲加密消息並在他們重新上線後將其轉發給預期收件人而獲得報酬。
此外,用戶還可以參與原創設計貼紙的創作和購買/銷售。這些貼紙可用於在消息內進行交互,並為 SNT 代幣的生成和流通創造另一種方式。
特徵
- 點對點消息傳遞這消除了第三方窺探的可能性。
- 端到端加密默認情況下,消息具有完美前向保密(利用雙棘輪算法)。
- 的潛力完全去中心化的消息傳遞無需公司運行的服務器。
- 發送能力私人聊天、群聊或公共頻道用於與 Status 用戶社區進行交流。
- 加密密鑰作為帳戶標識符增強隱私並啟用假名。
- 能夠在應用程序內向全球範圍內發送付款(避免匯率、費用,並促進快速的跨境價值流動性)。
- 發送並賺取 SNT通過創建貼紙或部署節點來獲取代幣。
- 完全私人的帳戶創建無需提供姓名、電子郵件地址、電話號碼或付款信息。
- 一個與數據無關的網絡對審查制度有彈性通過設計。
- 一個完全開源平台任何人都可以審計。
- 一個非託管加密錢包可用於安全發送和存儲所有 ERC20 代幣(包括 ETH、SNT、DAI)和 ERC721 代幣;收藏品和不可替代代幣(NFT)。
通過設計過濾垃圾郵件
SNT 令牌的另一個有用用途是通過設計減少垃圾郵件消息的可能性。在傳統的電子消息傳遞環境中,垃圾郵件發送者受到以下事實的激勵:消息傳遞是免費的,並且提供了聯繫大量人員的機會,從而可以以某種方式欺騙或欺騙消息接收者。
在這種傳統的消息傳遞模型中,垃圾郵件發送者的努力只需通過玩數字遊戲即可得到獎勵。 Status 通過允許用戶要求 SNT 付款來接收來自其網絡之外的人的消息,從而扭轉了這種潛力。
通過要求用戶付款才能發送消息,Status 通過確保發送消息的人有向該用戶發送該消息的實際理由來創造價值。這不僅使垃圾郵件在經濟上變得不可行,而且還允許網絡用戶通過接收消息的過程賺取 SNT。
想像一下這樣一個世界:人們只有在真正需要時才相互發送消息,並且人們可以根據自己對社區的重要性設置溝通進入壁壘,然後您就會開始了解這種基於經濟學的消息傳遞模型的好處。
該功能尚未推出,但已成為未來路線圖的一部分。
狀態令牌
Status 的好處之一是 ERC20 Status 代幣本身。這將使通過充當節點為網絡做出貢獻的人們獲得獎勵,並通過設計創造預防垃圾郵件的潛力。
理論上,這允許每個用戶通過參與獲得報酬,並且通過理論上允許 P2P 網絡變得去中心化,增加了 P2P 網絡長壽的潛力。
然而,要實現這一點,Status 代幣兌換成另一種資產(例如法定貨幣)時的價值必須足以使完成這些任務變得值得。如果代幣的價值不夠高,代幣的交換將無法提供支持生態系統所需的價值。
該平台是否能吸引足夠多的用戶,使代幣升值,從而可以合法地用於這些目的,還有待觀察。
SNT 還用於去中心化自治組織 (DAO) 內部的治理,允許用戶支付 SNT 來對平台未來發展的提案做出決策。
也許用戶在 SNT 和 Status 方面可能遇到的唯一潛在挫折是,如果他們想選擇自己的用戶名(而不是使用 Status 提供的隨機用戶名),他們將需要將一些法定貨幣或加密資金更改為 SNT 才能獲得他們的用戶名。自定義 ENS 用戶名。
這是一個小問題,但它可能會惹惱一些確實想要自定義名稱但又不想交換為 SNT 的用戶。定制 ENS 的費用為 10 SNT。一年後,您可以繼續使用該名稱,也可以解除合同並收回這些資金。因此,使用 SNT 獲取 Status Messenger 的自定義身份實際上不會造成任何損失。
如前所述,其中一些 SNT(Tribute to Talk 和節點激勵)用例尚未推出。因此,它們仍然是未來路線圖的一部分,您需要密切關注信使,以了解這些功能最終何時推出。
易於使用
在 Android 或 iOS 設備上獲取 Status 非常簡單。只需訪問其網站,即可鏈接到該應用程序,以便從 Apple 或 Google Play 商店下載。安裝應用程序後,系統會提示您“獲取密鑰”。為此,請點擊“生成密鑰”按鈕。這需要幾秒鐘。
創建的密鑰之一用於聊天,這需要您選擇聊天名稱。遺憾的是,您無法自己選擇此聊天名稱。相反,您有五個選擇。
正如你所看到的,我們的分別是:Floralwhite Quirky Goldenmantledgroundsquirrel、Square Smoggy Brownbutterfly、Orderly Quick Herring、Even Shy Adouri 和 Guilty Oily Kangaroo。
接下來,您需要選擇一個密碼來保護您的密鑰,並且需要解鎖 Status。接下來,只需選擇您的通知設置並啟動應用程序即可。此過程大約需要 2 分鐘,這無疑使設置 Status 既快速又簡單。
您預定義的聊天名稱附加到聊天鍵,這是您可以發送給其他用戶以開始聊天的代碼。這是使用公鑰(非對稱)加密的 E2EE 加密的公鑰部分。
到開始聊天,您可以通過單擊應用程序底部導航欄中的“個人資料”,然後單擊頂部您的姓名來共享您的公鑰。
打開共享屏幕,然後單擊分享鏈接。這可以通過電子郵件、其他通訊工具、社交媒體、雲存儲服務,甚至使用空投發送。您還可以將其保存在本地作為測試文件以便稍後共享。
第一次打開錢包時,您會看到您的簽名短語。這是一個三字組合,可讓您在簽署每筆交易之前驗證一切是否安全。 Status 會提醒您在簽署交易之前檢查此三字驗證碼,如果您看到不同的組合 – 取消交易並退出。
從那時起,您就可以訪問您的以太坊錢包,這帶有以太坊地址您可以共享以接收 Ether、SNT 或任何其他 ERC20 代幣。您可以添加輔助賬戶以隨時接收資金。
對於那些多年來一直將硬幣存儲在其他硬件、軟件和紙錢包中的人來說,這個內置錢包的可用性暫時可能看起來像巫術。當然很容易理解為什麼這種即時訪問(以及安全信使)很有趣。
錢包不僅可以智能地向您顯示您存儲了多少 ETH 和 SNT,還可以顯示其存儲量總價值(美元),這很有用。我們使用錢包地址將像徵性金額的 ETH 轉入錢包,以確保一切正常運行。如您所見,我們的帳戶餘額已正確更新且沒有問題:
我們還喜歡該錢包讓您通過連接到第三方錢包來檢查您的收藏品。授權 DApp 可以讓它檢索您的錢包地址並啟用 Web3(JavaScript 庫的集合,允許您使用 HTTP、IPC 或 WebSocket 與以太坊節點交互)。
如果您想從 Status 內部跟踪收藏品,則需要啟用這些權限。請記住,第三方錢包仍會存儲您的數字收藏品和其他山寨幣,您只需從 Status 錢包中跟踪它們即可。
除了存儲和共享加密資產以及直接與朋友聊天之外,您還可以加入公共論壇來開始聊天並結識新朋友。要加入這些聊天之一,只需單擊主題標籤這會激起您的興趣並開始與其他搞笑(自動命名)的用戶聊天。
安全
Status 是一個開源項目,在 Github 上發布其代碼。這意味著任何人都可以審核該平台以確保其安全運行。也就是說,Status 尚未經過獨立、專業的第三方審計公司的審計——因此很難保證該平台 100% 安全。
也就是說,消息傳遞平台所源自的加密原語是開源的,並且被認為是高度穩健的。這應該意味著 Status Messenger 實現的端到端加密是值得信任的——儘管它仍然是一項相對較新的服務。
點對點消息網絡實際上是如何工作的?
對於傳輸隱私,Status 利用了以太坊 Whisper 協議的一個分支,稱為 Waku。 Waku 是 Status 開發的一種協議,可在智能手機等資源受限的設備上提供更好的可用性。
下面,我們列出了 Status.im Messenger 使用的加密原語的列表:
耳語
- AES-256-GCM
- KECCAK-256
X3DH
- 橢圓曲線 Diffie-Hellman 密鑰交換 (secp256k1)
- KECCAK-256
- 電子CDSA
- 歐洲經濟學院
雙棘輪
- HMAC-SHA-256 作為 MAC
- 橢圓曲線 Diffie-Hellman 密鑰交換 (Curve25519)
- AES-256-CTR 與 HMAC-SHA-256 和 IV 以及加密密鑰一起派生
- 密鑰派生是使用 HKDF 完成的
這些加密原語從根本上來說是健全的,並且由於實施了完美前向保密的雙棘輪方法,E2EE 看起來非常穩健,並且面向未來。
雖然這從表面上看是非常棒的,但如果沒有看到 Waku 協議本身的完整第三方審計,我們就不可能 100% 保證 Status 實施其加密。因此,儘管從我們從白皮書中看到的情況看來是安全的,但 Status 仍然是新的,並且在可靠性方面相對未經證實(就像幾年前首次出現在 VPN 領域時的 WireGuard 一樣)。
Status 的獨特之處(與 Signal 或 WhatsApp 等通訊工具相比)是專為分散的點對點連接而設計不需要客戶端與公司控制的中央服務器通信即可將消息傳遞給收件人。相反,Status 可以利用用戶提供的節點網絡向其他用戶(處於安全加密狀態)點對點發送消息。
在擁有支持這一框架的用戶群之前,Status 將提供服務器來代替節點,以確保用戶始終可以相互發送消息,而不需要這些用戶提供的節點。
然而,隨著時間的推移(只要該項目得到公眾的認可)對這些公司擁有的服務器的需求就會消失。這意味著即使該公司消失,理論上用戶仍然可以繼續使用該服務通過去中心化節點社區發送安全的 P2P 消息。
種子短語
安裝並設置 Status.im 帳戶後,您會注意到應用程序的隱私部分中有一條通知。此提醒要求您記下並存儲由 12 個不同單詞組成的助記詞。
該助記詞可以隨時使用證明加密錢包是您的,如果您無法訪問手機或因某種原因需要重新安裝應用程序,它可以為您提供一種恢復資金的方法。
重要的是要記住,您只會看到這個助記詞一次,因此您必須將其寫下來並將其存儲在極其安全的地方,否則在出現問題時您將無法訪問您的錢包資金。
存儲助記詞後,Status 會要求您輸入一些單詞,以確保您正確認識它們。至此,這一步就完成了。
簽名短語
除了需要記住種子短語之外,您還必須記住三個單詞的簽名短語。每次您使用 Status 錢包發送資金時,這三個詞都會出現。
作為用戶,您只需記住這三個詞即可確保在進行交易時它們是正確的。這是為了防止網絡釣魚攻擊,因此請務必查找簽名短語,如果單詞不熟悉(或根本沒有簽名短語),請立即退出 Status 並向 Status 報告安全問題。
請記住,Status 永遠不會詢問您的密碼或助記詞,並且它始終會在發送交易時向您顯示您的簽名短語。
隱私
端到端加密
當您創建 Status 帳戶時,它會生成一個加密密鑰對來加密您的消息。該密鑰對存儲在您的設備本地。
當您在 Status 中添加消息聯繫人時,您可以交換公鑰,以便可以通過網絡安全地交換消息。因此,Status 使用此類信使中常見的普通非對稱加密方法。
由狀態實現的非對稱加密包括所有消息的完美前向保密(PFS)。這通過提供一種機制來防止任何人將來能夠讀取消息,即使他們洩露了公鑰,也確保了消息的安全性是面向未來的。
Status 使用以下方式實現 PFSX3DH和雙棘輪由 Open Whisper Systems(製造 Signal 的公司)開發的規範。然而,它建立在這些規範的基礎上,以適應 Status 的去中心化消息交換系統。
隱私政策
與往常一樣,當我們審查產品和服務時,我們會查看隱私政策,以確保沒有任何問題。
該政策顯示,當用戶訪問網站時,會自動收集用戶的 IP 地址等數據。該公司將這些數據用於分析目的。 Status.im 還告知用戶,他們的電子郵件地址以及他們在網站上自願提供的任何詳細信息也將被收集。
該政策還規定,該網站還使用跟踪 cookie 來提供服務。它還建議 Status 出於各種原因與第三方服務提供商合作(包括適用單獨隱私政策的 Shopify)。
這些第三方包括技術服務提供商、郵件運營商、託管提供商、IT 公司、通信機構等。該政策解釋說,這些第三方可能會接收和提供有關 Status 網站訪問者的信息。這一切都不是特別不尋常。
此外,該政策還提供了有關數據收集的法律依據的明確定義,並提供了有關提交數據請求和行使刪除權的信息。因此,該政策符合 GDPR,這很好。
在包含服務本身的地方,用戶無需提供詳細信息即可註冊,並且保留對其資產以及消息和資產本身的密鑰的控制權,這意味著 Status 無法訪問任何敏感數據。
結論
Status Messenger 非常有趣,將創新帶入其服務的最前沿,並為其用戶提供了很多好處。它將創建一個完全不可阻擋的私人消息生態系統,並消除政府乾預的可能性。
的概念具有強大 E2EE 功能的 P2P 信使永遠是贏家,集成 ETH 錢包真的很酷。 SNT 代幣將獎勵在網絡中充當節點的用戶,它的創新之處不僅在於它可以提供垃圾郵件威懾等好處,還因為它激勵用戶選擇這個信使而不是其他信使。
也就是說,可以公平地說這項服務是仍處於起步階段並且仍然擁有相對較小的用戶群。因此,在更多人加入並且社區不斷發展之前,很難判斷開源項目到底有多成功。
但總的來說,我們真的很喜歡使用該應用程序,它使 Android 和 iOS 用戶都可以輕鬆發送和接收加密消息以及存儲和交易加密貨幣資金。
從我們所看到的來看,該平台用於提供安全和隱私的基本原理是健全的,當平台獲得一些動力時,看看更廣泛的社區對平台有何反應將會很有趣。
總而言之,我們對 Status Messenger 豎起大拇指。一個非常有趣的應用程序,絕對值得關注。