Как это работает
Session при первом запуске локально генерирует 66-символьный Account ID — эта строка является единственной идентичностью, привязанной к вашим сообщениям. Исходящие сообщения упаковываются в три слоя шифрования и отправляются по onion-маршрутам через сеть service nodes Session, децентрализованную инфраструктуру, унаследованную от проекта Oxen. Пока получатель не выйдет в сеть, шифротекст лежит на swarm из нескольких service nodes, ни один из которых не видит одновременно содержимое, отправителя и получателя. Клиенты для desktop, iOS и Android — официальные сборки; доступны также путь через F-Droid и самостоятельно собранный APK. Сквозное шифрование использует Session Protocol — производный от Signal Protocol, лишённый постоянного идентификатора в виде номера телефона и переработанный для работы поверх децентрализованной сети отложенной доставки Фонда.
KYC и конфиденциальность
При создании аккаунта не запрашивается ничего. Нет формы регистрации, нет проверки e-mail, нет SMS-кода — устройство генерирует пару ключей, открытая половина становится вашим Account ID, закрытая остаётся на устройстве. Нет центрального сервера, которому можно вручить повестку, потому что центрального сервера попросту нет: сообщения проходят через ротацию service nodes, а клиент использует onion requests, так что ни один узел не видит обоих концов разговора. Клиенты выпускаются под GPLv3 с фрагментами под BSD/MIT, а исходное дерево публично проверяется на GitHub. Quarkslab проверял Session в 2020–2021 годах на desktop, iOS и Android, зафиксировав 16 замечаний; лишь одно было оценено как серьёзное (брешь в проверке TLS при поиске service nodes на Android), и все были устранены в рамках окна аудита.
Сильные стороны и ограничения
Главная сильная сторона структурна: нет номера телефона, который можно было бы слить, нет e-mail для корреляции, нет оператора, которого можно принудить выдать таблицу пользователей, поскольку этой таблицы не существует. Управление тоже играет роль. Когда австралийская федеральная полиция начала стучать в двери, а местный e-Safety Commissioner продавливал отраслевые правила хранения, OPTF ушёл в октябре 2024 года, и Session Technology Foundation перенял проект из Швейцарии. Ограничения вполне реальны. 66-символьный Account ID — это плата за удобство: его невозможно запомнить, и им приходится делиться через QR-код или внешний канал; минимизация метаданных у Session обходится в функциональность: push-уведомления на iOS бывают нестабильны, голосовые и видеозвонки ещё дозревают, а аудит Quarkslab уже четырёхлетней давности без публичного продолжения. Криптовалюта, которой стимулируются service nodes, — OXEN; её курсовые колебания не связаны напрямую с гарантиями приватности мессенджера, но о них стоит знать.
Вердикт
К Session обращаются, когда не хочется, чтобы номер телефона лежал в чьей-то базе. Это не самый гладкий чат — Signal по-прежнему лидирует по качеству звонков и надёжности, — но по той метрике, которую проект выбрал сам, утечке метаданных, он даёт самый тщательно сконструированный ответ среди массовых клиентов. Оценка: A- (8,9/10). Доверие: LEGIT.
К Session обращаются, когда не хочется, чтобы номер телефона лежал в чьей-то базе. Это не самый гладкий чат, но по утечке метаданных он даёт самый тщательно сконструированный ответ среди массовых клиентов. Оценка: A- (8,9/10). Доверие: LEGIT.
