Мессенджер без SIM-карты: Утопия для параноика или реальная архитектура?⁠⁠2

Всем привет! Продолжаю серию постов о создании своего проекта — защищенного мессенджера с упором на приватность. Прошлый пост про UI вызвал много вопросов, поэтому сегодня уходим в «хардкор»: поговорим о том, как сделать регистрацию без номера телефона и почему классическое восстановление пароля — это дыра, которую я решил закрыть с помощью ИИ.

Никаких скриншотов (чтобы не сочли за рекламу) и ссылок. Только архитектура и мой личный опыт борьбы с «граблями».

1. Смерть SIM-карт как идентификаторов

Почти все мессенджеры сегодня привязаны к номеру. Это удобно для корпораций, но плохо для приватности. Номер привязан к паспорту, его можно перехватить через SMS-дубликат или подменить симку у оператора.

В моем проекте идентификация идет через асимметричное шифрование. При первом входе генерируется пара ключей. Публичный ключ — это ваш ID на сервере, приватный — хранится только в зашифрованном виде на вашем устройстве. Нет номера — нет возможности «пробить» владельца через базы операторов.

2. Aegis Gatekeeper: Умный ИИ-фильтр на страже почты

Раз мы отказались от SIM, почта становится важным звеном. Но обычный «код в письме» — это слабое место. Я внедрил систему Aegis Gatekeeper, которая работает как умный антифрод:

• Защищенные порты: Авторизация идет по кастомным протоколам, которые игнорируют стандартные попытки перехвата сессии.

• AI Link Scanner: Встроенный ИИ-агент в реальном времени анализирует все ссылки и действия. Если вы перешли по подозрительной фишинговой ссылке или ваша почта внезапно сменила адрес — код подтверждения просто не отправится.

• Блокировка угона: ИИ видит аномалии. Если кто-то пытается резко сменить ваш ID или пароль после странного редиректа, система блокирует действие и присылает уведомление: «Вас пытаются взломать». Это «умный фильтр», который понимает разницу между вами и хакером.

3. Aegis Validator: Война с «мусорными» регистрациями и ботами

Без SIM-карт мессенджер мог бы стать раем для спамеров, но я внедрил двойную защиту:

• Proof-of-Work (PoW): Смартфон должен решить математическую задачу при регистрации. Это занимает 5–10 секунд, что незаметно для человека, но делает создание миллионов ботов экономически невыгодным.

• Валидация доменов: Система автоматически отсекает сервисы «временных почт» и одноразовых доменов. Aegis Validator проверяет почту на валидность и репутацию. Если сервис подозрительный или находится в черном списке — регистрация не пройдет. Только реальные почтовые сервисы, только живые пользователи.

4. Технический стек и текущие задачи

Проект на стадии закрытой альфы. Стек: Node.js + PostgreSQL. Стараюсь использовать минимум сторонних библиотек — чем меньше чужого кода, тем меньше скрытых бэкдоров.

Сейчас борюсь с мелкими багами парсинга (иногда вместо текста сообщения в превью вылетает сырой JSON) и калибрую ИИ-агента, чтобы исключить ложные срабатывания на нормальные действия пользователя.

Вопрос к сообществу: Как вы считаете, ИИ-контроль над безопасностью — это будущее или «цифровая нянька», которая будет только мешать? Доверили бы вы нейронке решать, отправлять вам код восстановления или нет?

Буду рад конструктивной критике и советам от коллег по цеху. Ссылок не даю, пост исключительно для обмена опытом.