c8370c56df1e097a6c63de00fa558bdf.png

Изучить этот вопрос меня побудил один из подписчиков. И подходил к теме я с мыслью «Да тут всё очевидно, только причесать».
Но нет.
Вообще ни разу не очевидно. Результаты меня поразили, и заставили пересмотреть свое отношение к каждому из мессенджеров, о которых здесь пойдет речь.
  • Сразу оговорюсь - я не программист. Соответственно, я не умею писать/читать/анализировать программный код. Но политика сервиса, которым пользуются обычные пользователи, должна быть насквозь понятна этим самым пользователям. Поэтому я проанализировал всё, что мессенджеры посчитали нужным рассказать о своей работе. При этом обзоры и сравнения других людей я не читал, чтобы не смешать в голове чужое мнение и официальные источники информации. Выводы по теме ты сделаешь самостоятельно.
8c8aafd1089ceb42ff3b201046ac3896.JPG

На сегодняшний день наиболее безопасным для облачной передачи данных считается сквозное шифрование. Этот тип шифрования предусматривает зашифровку сообщений на устройстве отправителя, а расшифровку их - на устройстве получателя. В идеале, при таком типе шифрования сообщения должны передаваться напрямую, без хранения на сервере. Однако такой способ имеет проблемы с удобством для пользователя, поэтому производители пытаются найти середину между безопасностью и комфортом. Что, кстати, в абсолюте несовместимо. И разница между распространенными сегодня мессенджерами состоит как раз в том, насколько хорошо вендор эту середину нашел.

Кстати, помнишь ту хайповую фотографию, где Дуров отправил в РКН два железных ключа? Дескать, это единственные ключи, которые у него есть. Так вот, он лукавил. Но обо всём по порядку.

ВНИМАНИЕ
Я здесь не обсуждаю теории заговоров. По умолчанию, мы считаем, что информация с официальных сайтов мессенджеров о принципах работы их шифрования достоверна


~~~
Viber

Тенденция последней пары лет среди пользователей, считающих себя продвинутыми - презирать Viber, унижать его в комментариях и отговаривать других людей от его использования. Признаюсь, я вел себя точно так же - просто потому, что считал Viber небезопасным мессенджером. Мысленно уровень его конфеденциальности я приравнивал к обычным звонкам и СМС. Однако…


Согласно официальному сайту Viber, в мессенджере используется сквозное шифрование. Эта фраза кое-где встречается в самом приложении, а на сайте Viber этому целиком посвящены пара страниц и целый PDF-документ. Я изучил этот документ, а также все утверждения о безопасности Viber. И вот что понял.

Сквозное шифрование в Viber работает по умолчанию у всех, кто пользуется версией приложения от 6.0.0 и выше. Работает оно в полном смысле этого слова. Согласно официальным данным, сообщения зашифровываются на устройстве отправителя, а расшифровываются - на устройстве получателя. Сейчас я расскажу проще, чем оно есть - предварительно устройства генерируют 256-битный ключ, который делят на публичную и приватную часть, и обмениваются публичными половинками друг с другом. Этим ключом впоследствии шифруется переписка.


Из интересного: я обратил внимание, что, если твой аккаунт подключен сразу на нескольких устройствах (например, смартфон и ПК) то Viber генерирует отдельный ключ для каждого устройства. То бишь, когда сообщение отправляется мне, устройство отправителя обменивается уникальными ключами с каждым моим устройством. Что, к слову, полностью соответствует стандартам сквозного шифрования. Viber утверждает, что сообщения хранятся на сервере только в одном случае - если получателя нет в сети. В таком случае сообщение ожидает доставки на сервере, находясь в зашифрованном состоянии (зашифрованно на устройстве отправителя).

👍 Подписаться на блог
в Telegram → https://t.me/jeronimos_tech

Но ведь не может быть всё так хорошо, правда? Должно быть уязвимое место. И, в некотором смысле, оно есть.
Как я уже говорил, основная проблема сквозного шифрования для массового пользователя - переписки хранятся только на конкретном устройстве, и никак не хранится в облаке. При этом переписка теряется, если пользователь сменит устройство. В Viber эта проблема решена так: переписка с устройства пользователя в расшифрованном виде собирается в резервную копию, а сама копия помещается в облачное хранилище iCloud или Google Drive. Недостаток этого метода - по сути, переписка уязвима именно там, в резервной копии в облаке, и, теоретически, может быть выдана третьим лицам компаниями Apple или Google, либо получена оттуда при взломе аккаунта.
  • То бишь, чтобы общение в Viber было полностью безопасным, необходимо отключить функцию резервного копирования в приложении Viber, а также отключить доступ приложению к облачному хранилищу смартфона. В этом случае переписка будет храниться только на твоем устройстве, и удалится, когда ты сам этого захочешь.

~~~
WhatsApp

На самом деле, отношение к WhatsApp у вышеобозначенной категории «продвинутых» пользователей очень схоже с Viber. Зачастую их даже упоминают вместе в негативном ключе. В вину ему вменяется также реклама, обилие мошенников, общающихся в WhatsApp, и, конечно же, уязвимости. За рекламу и бандитов не поясню, а вот в отношении уязвимостей - подразобрался.



Что касается шифрования, WhatsApp также использует сквозное. Но, если Viber использовал свои небольшие доработки этой технологии, то WhatsApp использует уже готовый тип шифрования «Signal» (да-да, в честь другого мессенджера). Кроме того, WhatsApp не поддерживает использование нескольких устройств. Подключив аккаунт на смартфон, ты не сможешь полноценно использовать WhatsApp на планшете или ПК/Mac. Что, кстати, странно - сам Signal уже давно умеет безопасно работать на нескольких устройствах. В остальном всё очень схоже - генерация ключей из двух половин, обмен публичными частями, шифрование/расшифровка на устройствах. Здесь - политика конфеденциальности мессенджера.


Из интересного - нашел на сайте WhatsApp утверждение о том, что запросы от правоохранительных органов принимаются, и выдача информации о пользователях возможна. В эту информацию может входить: имя профиля, статусы, последнее появление в сети, IP-адрес пользователя, список контактов, если у WhatsApp был доступ к контактам. Переписок там нет. И, по идее, не может быть. Причем большую часть эти данных о себе можно удалить, либо не давать к ним доступа. Но это неудобно. Конфликт удобства и безопасности.


Кстати, об удобстве. Ситуация с резервными копиями у WhatsApp аналогична Viber-у. То бишь, копии расшифрованных бесед хранятся в облачном хранилище Apple/Google пользователя, которые, теоретически, могут быть выданы.
  • Получается, способ обезопасить общение в WhatsApp тот же самый - отключить резервные копии в приложении и запретить мессенджеру доступ к cloud-хранилищу.

~~~
Telegram

А теперь самое вкусное. Telegram. Лучший мессенджер по мнению молодежи и продвинутых «средневозрастных» пользователей по всем параметрам, в том числе и безопасность. И здесь действительно есть, о чем поговорить.


Прежде всего, Telegram отличается о остальных постоянным самопиаром от Павла Дурова. Ни один вендор мессенджера не сказал столько пафосных речей и не написал стольких самовлюбленных текстов, сколько это делал и продолжает делать Павел. И подобные приемы очень хорошо работают. Думаю, что не без участия Дурова Viber и WhatsApp сегодня получили в народе статус небезопасных. Почему я начал в таком тоне? А вот смотри.

На официальном сайте Telegram можно увидеть рассуждения относительно конфликта безопасности и удобства. Команда Telegram приводит аргумент - безопасные мессенджеры вроде Signal (именно так и написано) не позволяют пользователям сохранять переписку при смене устрйоства, а потому такие сервисы никогда не выходят в топ и не становятся массовыми и популярными. Именно поэтому (ради популярности, напомню) Telegram работает иначе.

Там же, в официальном разделе поддержки, однозначно указывается, что:
  • Переписки пользователей хранятся на серверах Telegram
  • У команды Telegram имеются ключи для этих переписок.
Я не ошибся. Telegram утверждает, что переписки рандомно разбиваются на части, и хранятся на разных серверах в разных странах мира - то бишь, под разной юрисдикцией. То же самое происходит с ключами - они есть, они разделены на части, и эти части хранятся в разных странах. Да, Telegram принял меры для усложнения доступа к данным. Но ведь они таки-хранятся. А теперь вспоминаем письмо в РКН и два железных ключа. Без комментариев.


Да, естесственно, диалоги зашифрованы. Однако для шифрования обычных (не «секретных») чатов Telegram использует собственный метод MTProto. Так как зашифрованная переписка может переноситься на другие устройства - напомню, для обеспечения сквозного шифрования необходима генерация ключа для каждого нового устройства - я, при своем небольшом уровне знаний, могу сделать вывод, что используется не общепринятый способ сквозного шифрования. Метод MTProto подробно описан там же, в FAQ на сайте Telegram, и я не подвергаю его сомнению. Речь лишь о том, что, ради удобства пользователя, Telegram действительно хранит и переписки, и ключи к ним. А значит - при определенных обстоятельствах - теоретически может иметь возможность передать эти переписки третьим лицам. Да, сайт утверждает, что «на сегодняшний день мы раскрыли 0 байтов пользовательских данных третьим сторонам, в том числе правительствам». Однако гарантии этого - только пламенные речи Павла на коне с голым торсом. Просто имей это в виду. Позиция Viber и WhatsApp кажется мне более прозрачной.

Классическое сквозное шифрование в Telegram тоже используется. Чтобы общаться именно с его использованием, тебе нужно создать «секретный чат» со вторым пользователем. Секретные чаты создают сквозной туннель, и строго говоря, это то самое идеальное сквозное шифрование, которое вообще исключает хранение пеерписки на сервере, пусть и в зашифрованном виде. Дело в том, что для начала секретного чата оба пользователя должны быть в сети. То есть, сообщение не ожидает доставки на сервере - ты просто не можешь ничего отправить, пока устройство получателя не откликнется на запрос о секретном чате. Секретные чаты не дулируются на другие устройства и не переносятся с обычными облачными чатами.
  • То бишь, чтобы полностью обезопасить свое общение в Telegram - общайся в секретных чатах. Но в таком случае ты теряешь синхронизацию и резерв переписок
~~~
Изначально я хотел столкнуть в одной статье Viber, WhatsApp, Telegram, Signal и iMessage. Однако материал уже получился слишком длинным - думаю, что редкая птица пролетит его целиком и прочтет вот эти завершающие строки. Чтобы в голове автора и читателя не было каши - Signal и Apple iMessage я оставил на следующий раз. Там же чуть больше раскрою тему звонков.

Ну и, наконец, на абсолютную истину я не претендую. Все источники информации открыты и доступны для изучения - ссылки на них я приводил в теле статьи. Если кто-то скажет, что статья рекламная - прокляну)))
Ну и лайк-подписка-репост из канала поддержат мои труды и боевой дух.
~~~
👍 Подписаться на блог:
в Telegram → https://t.me/jeronimos_tech
~