Matrix - протокол с открытым исходным кодом, обеспечивающий децентрализованное и федеративное взаимодействие. Протокол использует модель сервер-клиент, в которой пользователи взаимодействуют с серверами Matrix (часто называемыми "homeserves" – домашние сервера) для отправки и получения сообщений. Каждый пользователь в сети Matrix имеет уникальный идентификатор, называемый Matrix ID, выражаемый как "@username:domain.ltd".
Matrix поддерживает обычные и многопользовательские чаты. Он позволяет пользователям работать на нескольких устройствах и клиентах. Когда пользователь отправляет сообщение, оно сначала отправляется на его домашний сервер, который выступает в качестве доверенного посредника. Затем домашний сервер безопасно отправляет сообщение на другие соответствующие серверы, пока оно не дойдет до домашнего сервера получателя. Эта федеративная архитектура обеспечивает беспрепятственную связь между различными узлами Matrix, создавая глобальную сеть взаимосвязанных серверов.
Matrix поддерживает сквозное шифрование (E2EE), обеспечивающее конфиденциальность и безопасность пользовательских переписо . Matrix использует алгоритм Double Ratchet, основанный на Signal Protocol, для создания защищенных каналов связи между участниками. Каждое устройство, участвующее в разговоре, генерирует набор криптографических ключей, которые используются для шифрования и расшифровки сообщений. Такой подход гарантирует, что только предполагаемые получатели могут получить доступ к содержимому сообщений, даже если связь проходит через множество серверов.
Matrix имеет функцию “моста” с другими сетями. Это означает, что пользователи Matrix могут взаимодействовать с пользователями других сетей обмена сообщениями, таких как IRC, Slack, Telegram и т.д. Но эта функция требует наличия собственного Matrix-сервера, настроенного на такой сценарий использования. Я считаю, что это крайне узкоспециализированная функция и пользы от неё не очень много
Matrix включает в себя надежную систему идентификации и аутентификации для обеспечения целостности учетных записей пользователей. Домашний сервер ведет запись идентификаторов пользователей Matrix ID и связанных с ними устройств. Когда пользователь входит в систему с нового устройства, домашний сервер генерирует пару криптографических ключей для этого устройства, которые используются для аутентификации и шифрования. Такой децентрализованный подход к управлению идентификацией добавляет дополнительный уровень безопасности и снижает риск утечки данных.
Протокол Matrix разработан таким образом, чтобы быть легко расширяемым и адаптируемым к различным условиям использования. Протокол поддерживает широкий спектр возможностей и функций, включая возможность интеграции ботов, IoT-устройств и даже голосовой и видеосвязи. Экосистема Matrix имеет активное сообщество разработчиков, которые постоянно вносят свой вклад в ее развитие.
Отдельно поговорим о шифровании в Matrix
Matrix использует сквозное шифрование (E2EE) для обеспечения конфиденциальности и целостности пользовательских сообщений. E2EE означает, что только предполагаемые получатели сообщения могут расшифровать и прочитать его содержимое, в то время как посредники, включая домашние сервера и другие сервера, не могут получить доступ к открытому тексту.
Matrix полагается на алгоритм Double Ratchet, который заимствован из протокола Signal Protocol, для установления безопасных каналов связи между участниками. Алгоритм Double Ratchet обеспечивает прямую секретность, то есть даже если злоумышленник скомпрометирует закрытый ключ устройства, он не сможет расшифровать прошлые сообщения.
В алгоритме используется комбинация симметричной и асимметричной криптографии. Каждое устройство, участвующее в разговоре, генерирует набор криптографических ключей, включая пару идентификационных ключей, связку предварительных ключей и связку ключей. Пара идентификационных ключей - это ключи, используемые для аутентификации устройства, а связка предварительных ключей содержит ключи одноразового использования, которые облегчают обмен ключами при инициировании сеанса.
Для инициирования безопасной переписки протокол Matrix использует протокол Olm, основанный на алгоритме Double Ratchet. Участники обмениваются своими связками предварительных ключей, что позволяет им получить общий секрет, известный как корневой ключ. Этот корневой ключ затем используется для получения дополнительных ключей для шифрования сообщений и проверки целостности.
После того как общий секрет (корневой ключ) установлен между отправителем и получателем, сообщения шифруются с помощью симметричного алгоритма шифрования AES (Advanced Encryption Standard). Отправитель генерирует ключ сообщения для каждого сообщения и шифрует сообщение с помощью этого ключа. Затем зашифрованное сообщение вместе с необходимыми метаданными отправляется получателю.
Matrix обеспечивает целостность сообщений благодаря использованию кодов аутентификации сообщений (MAC). MAC - это криптографическая метка, которая вычисляется на основе содержимого сообщения и корневого ключа. Он позволяет получателю проверить, что сообщение не было подделано во время передачи.
Double Ratchet использует процесс, называемый храповиком ключей, для постоянного обновления криптографических ключей. С каждым новым отправленным сообщением обновляется ключ цепочки, что обеспечивает секретность передачи и предотвращает долгосрочную компрометацию сеансовых ключей.
Хотя Matrix обеспечивает сквозное шифрование, важно отметить, что домашние серверы выступают в качестве доверенных посредников в сети. Домашние серверы способствуют передаче зашифрованных сообщений между участниками, но они не могут расшифровать содержимое этих сообщений.
Matrix предоставляет пользователям механизмы для проверки личности других участников. Пользователи могут сравнивать отпечатки, которые являются уникальными для открытых ключей. Проверяя отпечатки, пользователи могут защитить себя от атак типа "человек посередине".
Данный алгоритм во многом похож на алгоритм OMEMO в XMPP
Matrix является перспективным, но пока ещё новым протоколом обмена сообщениями, во многом он удобнее, чем XMPP, но не настолько исследован и проверен, как XMPP.
Любой желающий может поднять собственный Matrix-сервер для своей организации или для себя в целях обеспечения дополнительного уровня безопасности
Matrix-клиентов есть несколько, как и в случае с XMPP, из них я бы выделил клиенты Nheko и Element.
В качестве клиента для ПК я бы рекомендовал Nheko, а в качестве мобильного - Element (за неимением более достойных альтернатив)