Сквозное ДЕ-шифрование | alexmdv

Сквозное ДЕ-шифрование

После истории со Сноуденом большая часть сочувствующих параноиков с новой силой ударилась в тему шифрования передаваемых через интернет данных. Серьезные дяди и до этого шифровали всё что нужно, поэтому эта тема их обошла стороной. Однако, как выяснилось, простого шифрования недостаточно. Нужно обеспечить так называемое сквозное шифрование.

messangers

Особенно уязвимыми оказались всеми любимые мессенджеры, где сообщения или не шифровались вовсе, или шифровались способом, который я сейчас опишу. Есть один ключ шифрования, которым управляет разработчик мессенджера. Ваше сообщение зашифровывается с помощью этого ключа и отправляется на сервер мессенджера, там расшифровывается, сообщение записывается в историю, снова зашифровывается, отправляется вашему собеседнику и там расшифровывается. Такая схема шифрования не является сквозной и спасает только от злоумышленников между вами и сервером мессенджера. Например, если вы сидите где-нибудь в кафе на бесплатном Wi-Fi, то перехватывать ваш трафик бесполезно т.к. он зашифрован, а ключ для расшифровки злоумышленники не знают. Главный недостаток такой схемы — вся ваша история сообщений доступна спецслужбам практически в любой момент времени по запросу. В цивилизованном мире вы не представляете никакого интереса для спецслужб: у них и без вас работы хватает. А в не очень цивилизованном мире спецслужбы могут и злоупотребить своим положением, например, помочь «своим» узнать про вас нужное.

spec

Зашифроваться окончательно призвано помочь сквозное шифрование. В этом случае ключ шифрования знаете только вы и ваш собеседник. Ваше сообщение шифруется этим ключом, отправляется на сервер мессенджера, там оно не не может быть расшифровано потому что сервер не знает ваш ключ. Сообщение транзитом уходит вашему собеседнику в неизменном виде и расшифровывается уже у него. Недостаток схемы — история сообщений хранится только локально в приложении. При переустановке приложения история теряется.

Пару лет назад со сквозным шифрованием был разве что Signal и, может быть, еще Wire. Все остальные мессенжеры (Viber, Skype, WhatsApp, iMessage) были в большей или меньшей степени небезопасными. Конечно, нельзя было отставать от тренда. Сначала сквозное шифрование появилось в Вайбере, а затем в ВотсАпп. К этим двум добавился еще Телеграм.

Скайп принадлежит Майкрософт, которая в свою очередь никогда не отказывает спецслужбам, и ничего дополнительного они внедрять не стали. Несколько лучше картина с айМессадж, который принадлежит Эппл.

Организация Electronic Frontier Foundation (EFF) составила и периодически обновляет рейтинг безопасности мессенджеров. Так, например, условно безопасными из числа популярных болталок можно признать WhatsApp и Telegram.

eff_messagers

Условность заключается в том, что популярные мессенджеры являются коммерческими продуктами с закрытым исходным кодом, а значит никто не сможет проверить  наличие или отсутствие специально предусмотренных лазеек. Поэтому, если вы ждете здесь хороший уровень безопасности, то вам нужно слепо доверять разработчикам этих мессенджеров. Как недавно выяснилось — напрасно.

Разработчики принадлежащего Facebook мессенджера WhatsApp, уверявшие в невозможности чтения переписки пользователей посторонними лицами, на самом деле предусмотрели лазейку, позволяющую перехватывать любые сообщения. Как сообщил независимый эксперт по криптографии Тобиас Белтер из Калифорнийского университета в Беркли, такую возможность предусматривает собственная имплементация WhatsApp шифровального протокола.

Система шифрования в WhatsApp основана на генерации уникальных ключей безопасности. Подлинность ключей проверяется на стороне пользователей, что гарантирует невозможность перехвата сообщений третьими лицами. Тем не менее, разработчики мессенджера предусмотрели бэкдор, который позволяет принудительно создать новый ключ, заново зашифровать и отправить послание. Благодаря механизму повторного шифрования и ретрансляции, сказал Белтер, WhatsApp может перехватывать и читать сообщения, без ведома получателя и отправителя. По словам Белтера, он уведомил Facebook о бэкдоре еще весной 2016 года, однако представители компании сообщили, что это не ошибка, а так было задумано.

Источники: Вести Hi-Tech, The Guardian

Прекрасный пример того, что все эти сквозные шифрования не более чем модный тренд.

Если вам нужно шифрование на деле, а не на словах — нужно пользоваться некоммерческими мессенджерами с открытым исходным кодом. Например, Signal или Pidgin. Да, они не такие удобные как Viber или WhatsApp, да интерфейс немного несуразен и кривоват. Но зато безопасно.

1 комментарий

  1. Василий:

    Вполне ожидаемо. А скоро еще в Европах закон примут, который обяжет все вайберы, вотсаппы и других операторов расшифровывать переписку…

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*