Sama seperti Signal dan Threema, Session (sebelumnya Loki Messenger) juga adalah layanan pesan instant yang berorientasi privasi,  dikembangkan oleh The Oxen Project (sebelumnya the Loki Project) di bawah Oxen Privacy Tech Foundation (sebelumnya Loki Foundation) yang berbasis di Victoria, Australia.

Session adalah fork dari Signal yang masuk ke dalam persaingan layanan instan berorientasi privasi dengan perbedaan yang cukup menarik, yaitu penerapan Server terdesentralisasi (tidak terpusat) yang dipadukan dengan protokol Onion Routing.

Mekanisme server terdesentralisasi Session menghubungkan pengguna melalui jaringan seperti Tor dari ribuan node, dan protokol Onion Routing melindungi pesan serta memastikan tidak ada node di jaringan yang mengetahui alamat IP pengguna.

Protokol Onion Routing berjalan di jaringan Oxen Service Node yang dioperasikan oleh komunitas yang membentuk Oxen Network, jaringan ini juga adalah bagian dari infrastruktur aset kripto $OXEN. 

Sama seperti Signal dan Threema, Session juga adalah layanan Open Source, yang berarti source code aplikasinya dibuka ke publik, sehingga pakar keamanan atau siapapun bisa dengan bebas kapan saja mengaudit atau memeriksa source code Session untuk memastikan apakah benar Session bekerja seperti yang dijelaskan.

Source Code : https://github.com/oxen-io

Banyak applikasi / perusahaan yang mengklaim bahwa layanan mereka menerapkan enkripsi dan menghormati privasi pengguna, namun tidak membuka source codenya ke publik, sehingga pengguna hanya bisa percaya buta saja berharap data dan privasi mereka benar-benar dilindungi.

Hasil Audit oleh Quarkslab : https://blog.quarkslab.com/resources/2021-05-04_audit-of-session-secure-messaging-application/20-08-Oxen-REP-v1.4.pdf

Ini adalah fitur wajib untuk layanan yang mengklaim menghormati privasi dan memprioritaskan keamanan pengguna

Secara sederhana encryption / enkripsi adalah proses pengacakan sebuah data yang tadinya dapat dibaca menjadi ciphertext yang tidak dapat dibaca, yang hanya dapat didekripsi oleh pihak yang berwenang dengan kunci kriptografi yang tepat.

Maka bisa diartikan jika end-to-end encryption adalah proses dimana data dienkripsi pada tahap perjalanannya dari satu perangkat ke perangkat lainnya, pesan dari pengirim akan dienkripsi sebelum dikirim ke server dan diteruskan ke penerima, yang artinya hanya pengirim dan penerima yang dapat mendekripsi atau membacanya (bahkan pihak Session pun tidak dapat mendekripsi atau membacanya)

Session berpandangan jika penerapan enkripsi end-to-end (E2EE) yang telah meluas memang telah berhasil meningkatkan privasi pengguna, namun sebagian besar gagal mengatasi meningkatnya penyalahgunaan metadata sebagai metode untuk melacak aktivitas pengguna.

Dalam konteks private messaging, metadata menyertakan alamat IP, nomor telfon, waktu dan jumlah pesan terkirim, dan hubungan masing-masing akun dengan akun lainnya.

Session mengatakan jika keberadaan dan analisis metadata ini semakin meningkat dan menimbulkan resiko privasi yang signifikan bagi jurnalis, demonstran, dan aktivis hak asasi manusia.

Session mengurangi pengumpulan metadata dengan beberapa cara sbb :

• Tidak bergantung pada server pusat, melainkan ribuan jaringan yang terdesentralisasi dengan insentif ekonomi untuk melakukan semua fungsi perpesanan inti. 
• Memastikan bahwa alamat IP tidak dapat ditautkan ke pesan yang dikirim / diterima oleh pengguna, yang dilakukan dengan menggunakan protokol Onion Routing yang juga disebut Onion Request.
• Tidak mewajibkan nomor telfon atau alamat email untuk membuat akun, yang sebagai gantinya menggunakan pasangan pseudonymous public-private key sebagai dasar identitas akun.

Sejak diluncurkan, saat ini Session sudah cukup memenuhi syarat fitur dasar untuk sebuah layanan pesan instan, mencakup pengiriman pesan teks, pesan suara, foto, video, dan file, serta panggilan suara dan video yang saat ini masih dalam versi beta.

Berbeda dengan pesan teks yang menggunakan Onion Routing, fitur panggilan Session saat ini menggunakan jaringan peer-to-peer, yang berarti IP akan dibagikan dengan mitra panggilan serta server, panggilan dengan Onion Routing sedang dalam proses.

Untuk mencegah spam dan melindungi privasi, pengguna hanya bisa mengirim dan menerima panggilan dengan orang yang ada di daftar kontak.

Untuk saat ini, jumlah angggota grup dibatasi untuk 100 anggota, dan batas kapasitas berbagi file dibatasi 10MB.

Jika anda memiliki pengalaman membuat wallet kripto seperti Trustwallet, Metamask, Safepal, dan sejenisnya, ini adalah proses yang serupa. dimana ketika anda melakukan pembuatan akun Session, anda akan mendapatkan ID acak seperti alamat wallet kripto, serta Recovery Phrase yang merupakan kunci akses / recovery akun.

Jika menginginkan username dan tidak berurusan dengan ID acak yang panjang dan rumit., tersedia opsi untuk membeli username dengan aset kripto $OXEN.

Sama juga seperti Signal dan Threema, saat ini Session telah tersedia untuk perangkat seluller dan dekstop dengan sistem operasi Android, iOS, Windows, Mac dan Linux.

Official Download Links :

• Android : 
• Google Play Store : https://getsession.org/android
• F-Droid : https://getsession.org/f-droid
• APK : https://getsession.org/apk
• iPhone : https://getsession.org/iphone
• Windows : https://getsession.org/windows
• macOS : https://getsession.org/mac
• Linux : https://getsession.org/linux

Session Protocol

Session Protokol mewarisi Signal Protocol dengan peningkatan anonimitas dan desentralisasi yang menjadikan Session Protokol memiliki arsitektur yang unik.

Sejak rilis pertama, Session telah menggunakan Signal Protocol untuk menerapkan enkripsi end-to-end, Signal Protocol dan Sender Keys System menyediakan properti kriptografi tertentu untuk setiap percakapan, khususnya Perfect Forward Secrecy (PFS).

Dalam beberapa skenario teoretis, properti ini memang melindungi pengguna, namun kegunaan perlindungan ini dalam skenario dunia nyata sering kali cakupannya lebih terbatas daripada yang diharapkan.

Session mempertimbangkan bahwa pengamanan ini menurunkan portabilitas akun dan batasan multi-devices, protokol ini tidak dirancang untuk dijalankan dengan jaringan terdesentralisasi.

Demi upaya pengembangan, Session beralih menggunakan protokol yang dibuat khusus dan lebih disederhanakan, demi memungkinkan Session untuk berfokus pada peningkatan keandalan, penerapan fitur seperti versi multidevices yang dapat diskalakan, pemulihan cadangan yang lebih baik, dan penyederhanaan basis kode secara besar-besaran.

Session Protokol menyelesaikan ini semua dengan mempertahankan E2EE dan mengorbankan sangat sedikit manfaat Signal Protocol.

Lebih Detail mengenai Session Protocol :

• https://getsession.org/blog/introducing-the-session-protocol
• https://getsession.org/blog/session-protocol-technical-information
• https://getsession.org/blog/session-protocol-explained

Simon Harman : salah satu pendiri dan CEO The Oxen Project, merupakan anggota senior Komunitas Blockchain Australia.

Christopher Pavlesic : salah satu direktur pendiri Oxen Privacy Tech Foundation, bagian integral dari penyiapan awal yayasan yang membantu yayasan untuk diakui sebagai organisasi nirlaba resmi, dan memberikan bantuan berkelanjutan kepada yayasan dalam operasinya. Christopher Pavlesic juga salah satu pendiri dan CEO Coinstop, penyedia hardware wallet kripto tertua dan terbesar di Australia.

Chris McCabe : salah satu pendiri dan COO dari The Oxen Project yang bertanggung jawab untuk mengelola operasi harian.

Jason Rhinelander : direktur Oxen Privacy Tech Foundation, memulai kariernya di The Oxen Project dengan berkontribusi sebagai open source developer, dan bergabung dengan tim developer Oxen secara penuh pada pertengahan 2019.

John Pasifik : penasihat kriptografi The Oxen Project , merupakan founding engineer di NuCypher Project, mengerjakan penelitian Proxy Re-encryption dan Fully Homomorphic Encryption.

Pada tahun 2018, Australia telah mengesahkan undang-undang yang melemahkan enkripsi dan keamanan data : https://www.nytimes.com/2018/12/06/world/australia/encryption-bill-nauru.html

Parlemen Australia meloloskan undang-undang enkripsi yang kontroversial untuk meminta perusahaan teknologi menyediakan lembaga penegak hukum dan keamanan dengan akses ke komunikasi terenkripsi.

Loki Foundation (sekarang Oxen Privacy Tech Foundation) membahas hal ini secara rinci pada blog resminya :

• https://loki.network/2018/12/10/lokis-response-to-the-assistance-and-access-bill-2018
• https://loki.network/2019/12/06/the-assistance-and-access-bill-one-year-later

Dibandingkan Threema, sepertinya Session memiliki protokol kriptografi dan mekanisme peningkatan anominitas yang lebih baik.

Session lebih mungkin menjadi opsi populer sebagai alternatif Signal, namun kekhawatiran berada pada kemampuan Session untuk menjaga keamanan data pengguna ditengah kondisi regulasi Australia.

Semoga bermanfaat.