WhatsApp недавно обновил свой протокол шифрования, чтобы успокоить даже самых параноидальных пользователей. Так называемый сквозной протокол шифрования обещает, что «только вы и человек, с которым вы общаетесь, можете читать то, что отправлено». Никто, даже WhatsApp, не имеет доступа к вашему контенту.
Протокол безопасности описывается в блоге:
Когда вы отправляете сообщение, единственным человеком, который может его прочитать, является личный или групповой чат, на который вы отправляете это сообщение. Этого сообщения не видит никто. Не киберпреступники. Не хакеры. Не репрессивные органы. Даже мы. Сквозное шифрование помогает сделать связь через WhatsApp private - вроде как беседы лицом к лицу.
Новая функция также доступна на самых разных мобильных платформах, включая iPhone, Android, Windows и многих других. Вы даже можете использовать сквозную функцию шифрования на WhatsApp Web, платформа обмена сообщениями, предназначенная для ПК или Mac.
Кроме того, WhatsApp сообщает в разделе часто задаваемых вопросов, что функция включена всегда:
Важно: сквозное шифрование активируется, если все стороны используют последнюю версию WhatsApp. Сквозное шифрование отключить невозможно.
Обновление до сквозного шифрования
Однако вам нужно будет убедиться, что шифрование включено. Для этого: обновите WhatsApp до последней версии и попросите человека или группу, с которой вы общаетесь, сделать то же самое. Нет необходимости в дополнительном приложении или функции.
Чтобы убедиться, что функция обновлена, запустите чат и нажмите на имя своего друга или членов семьи вверху. Затем вы попадете на страницу своей контактной информации, которая отобразит, будут ли ваши сообщения зашифрованы, как вы можете видеть в выделенной части на рисунке ниже.
Если чат не зашифрован, нажмите на шифрование, чтобы просмотреть QR-код и уникальный 60-значный номер. WhatsApp говорит, что уникальный «ключ» делится только между получателями сообщений, причем каждый ключ уникален для каждого чата.
Затем вы можете делиться цифрами или кодом с друзьями или семьей. Если ваш друг или члены семьи находятся поблизости, вам повезло. Вы можете сканировать код друг друга, чтобы убедиться, что ваши чаты активированы. Если они далеко, отправьте им 60-значный код с помощью SMS, электронной почты и т. д. Через кнопку совместного доступа на вашем iPhone, Android или телефоне Windows.
Вот и все, ваши чаты теперь зашифрованы.
WhatsApp все еще сохраняет ваши данные
Будьте осторожны. Согласно WhatsApp legal, информация о дате и времени хранится на серверах WhatsApp в течение короткого периода времени:
WhatsApp может сохранять информацию о дате и времени, связанные с успешно доставленными сообщениями и номерами мобильных телефонов, участвующих в сообщениях, а также любую другую информацию, которую WhatsApp юридически вынуждена собирать. Файлы, которые отправляются через службу WhatsApp, будут находиться на наших серверах после доставки в течение короткого периода времени, но будут удалены и лишены любой идентифицируемой информации в течение короткого периода времени в соответствии с нашими общедоступными политиками хранения.
Это означает, что ваши метаданные или информация о ваших данных потенциально уязвимы для хакеров - это одна из проблем, которая заставляет пользователей беспокоиться.
Что это значит? Это означает, что информация - например, когда было сделано изображение, когда оно было принято, и т. д. - может храниться на серверах WhatsApp в течение короткого периода времени. И хотя само изображение, скорее всего, не присутствует, информация об изображении, документе, видео и т. д. остается.
Кроме того, ваши метаданные также могут быть доступны маркетинговым группам, что соответствует другому недавнему обновлению, которое позволяет чат-приложению «общаться с бизнесом и организациями». Этот бит информации был сделан, когда приложение было объявлено бесплатным для всех пользователей мира.
WhatsApp анонсировала с обновлением, что сторонних объявлений или спама не будет, но неопределенная фраза «общение с предприятиями и организациями» по-прежнему оставляет открытые ворота интерпретации.
В частности, изменения были сделаны. И большинство пользователей, похоже, очень довольны обновлением, которое обещает защитить вашу информацию.
Есть ли причины для беспокойства?
Ранее голландский разработчик обнаружил, что информация о временной шкале приложения была доступна с помощью программного обеспечения под названием WhatSpy Public, что, по-видимому, может «показать хронологию онлайн-статуса отслеживаемого пользователя».
Дизайнер программного обеспечения Майкель Зверинк вызвал много беспокойства, доказав, что он может «шпионить» за пользователями с его приложением.
Пока еще не видно, может ли приложение отслеживать пользователей с последним сквозным обновлением шифрования. Но пользователи должны быть предупреждены: шифрование не является полностью надежной.
Что вы об этом думаете? Вы используете WhatsApp? Вас беспокоит безопасность данных во время использования приложения? Вы регулярно обновляете приложение? Сообщите нам об этом в комментариях ниже.
Четыре совета, которым необходимо следовать всем, кто опасается утечки личных данных.
Но прежде чем вы начали распространять через WhatsApp свои планы по свержению мирового капитализма, учтите, что перехват сообщений по время их передачи – всего лишь один из способов следить за вами, причем довольно маловероятный. От шифровки самой по себе не много толку, если вы также не следуете приведенным ниже правилам.
Вы не сохраняете сообщения в телефоне
Если вы действительно хотите, чтобы ваши сообщения никто кроме вас не прочитал, удаляйте их сразу после прочтения. Если кто-то завладеет вашим телефоном (украдет, например) и сможет разблокировать его – что совсем недавно удалось ФБР с iPhone стрелка из Сан-Бернардино – он получит доступ ко всему, что хранится в памяти. Некоторые мессенджеры, например , имеют функцию «самоуничтожения», при активации которой сообщения автоматически удаляются через заданный промежуток времени. В WhatsApp такой функции пока нет. (С другой стороны, в Telegram оконечное шифрование не работает по умолчанию, нужно его включать специально.)
Вы не сохраняете сообщения в облако
WhatsApp не сохраняет вашу переписку на своих серверах. Но, к примеру, на можно сохранять резервную копию сообщений на iCloud, облачном сервисе . Как только информация попадает на облако, ее может перехватить правительство.
Signal – это приложение, популярное среди сторонников неприкосновенности личной переписки. В нем используется та же технология шифрования, что и в WhatsApp, а резервного копирования в облако не происходит.
Way to go WhatsApp, but I"m not ready to give up Signal. I fear that many of my WhatsApp friends have enabled unencrypted cloud backups.
Christopher Soghoian (@csoghoian) 5 апреля 2016 г.
Отличная работа, WhatsApp, но я пока не готов отказаться от Signal. Подозреваю, что у многих моих друзей в WhatsApp включена копирование в облако.
Кристофер Согойан (@csoghoian)
Вопрос защиты передаваемых данных в сети как нельзя актуален во время повсеместного проникновения Интернета во все сферы жизни человека. Многие злоумышленники могут воспользоваться конфиденциальной информацией в своих целях для совершения правонарушений. Современные мессенджеры и сервисы применяют шифрование сообщений и данных, которые сможет прочесть только адресат.
Немного истории
Первые намёки на шифрование появились ещё в древности. Тайную запись начали применять для сокрытия текстов, указов, переписок и рецептов. Конечно, тогда технология шифрования была много проще — буквы алфавита менялись на цифры, другие символы или же пропускались вовсе. Адресат знал обозначения всех символов и мог прочитать послание.
Активное развитие шифрование приобрело во время Великой Отечественной войны. В этот неспокойный период требовалось передавать указания между подразделениями и даже странами таким образом, чтобы противник не смог узнать о предстоящих планах и действиях. Особенно в этом преуспела Германия со своей знаменитой машиной «Энигма». До каких-то пор сообщения, созданные с её помощью, расшифровать было невозможно. Однако британским криптографам все же удалось взломать шифр, и хотя Германское командование несколько раз меняло алгоритм, до конца войны англичане читали зашифрованные с помощью машины послания.
Современность
Впервые вопрос встал в США в 1972 году. В процессе анализа и разработки алгоритма стандарт шифрования DES был признан официальным в 1977 году, и стал использоваться для передачи правительственных данных.
С тех пор было издано много новых видов и способов шифрования. Обособленно стоит метод, получивший название «сквозное шифрование». Он используется для обеспечения конфиденциальности в мессенджерах.
Сквозное шифрование
Смысл такого подхода в общих словах выражается в том, что ключ для расшифровки сообщений есть только у участников переписки. Для примера можно привести алгоритм работы с каким-либо сайтом. Наверное, многие обращали внимание, посещая интернет, что в адресной строке вместо http иногда появляется https. Это означает, что между сайтом и пользователем соединение защищено с помощью шифрованного канала, например SSL. Но тут есть один нюанс — ключ для него есть на сервере. То есть, злоумышленник, получив доступ к сайту, станет обладателем и ключа.
Сквозное шифрование позволяет исключить из цепочки посредников, имеющих доступ к средству расшифровки. То есть ключ будет только у двух участников переписки.
Бытует мнение, что первым сквозное шифрование начал применять самый популярный мессенджер WhatsApp. Однако, это не так. Первым его начал использовать мессенджер Signal. Кстати, протокол метода носит одноимённое название. Который в том или ином виде используется в других средствах отправки сообщений — WhatsApp, Facebook Messenger, Viber и других.
Свойства алгоритма
Что значит сквозное шифрование? При установлении сеанса связи между двумя пользователями на их устройствах генерируется по два ключа — закрытый и открытый. Первый применяется для расшифровки сообщений, второй — для их шифрования. Закрытый ключ никогда не покидает пределов аппарата. Зато открытый отправляется в естественном виде собеседнику. Этот процесс происходит в двухстороннем режиме, то есть у обоих участников.
Такой подход к шифрованию позволяет создавать высокий уровень безопасности сообщений. С другой стороны для реализации сквозного шифрования потребуется больше ресурсов, чем в классическом виде.
Ещё один негативный момент отмечается в том, что на серверах многих мессенджеров со сквозным шифрованием сохраняется вся служебная информация — кто с кем общается, посредством каких сервисов, клиентов, геолокация, а также все сведения о маршрутизации. Хоть это и не создаёт возможности чтения конкретного сообщения, зато позволяет установить сам факт переписки между двумя пользователями.
Применение в Whatsapp
Что такое сквозное шифрование в Ватсапе? В этом мессенджере реализован алгоритм приложения Signal, которое в свою очередь основано на шифровании Double Ratchet - "Двойного Храповика". Этот термин взят из Энигмы, в которой "храповики" обеспечивали уникальность каждого ключа при шифровании данных. А "двойной" — означает, что ключ не может повториться практически никогда.
Сквозное шифрование в Ватсапе значит, что на каждом смартфоне участников беседы формируются свои ключи и расшифровать полученные от других собеседников послания можно только с их помощью.
Развитие технологии шифрования
На сегодняшний день не было зафиксировано случаев массового взлома переписок пользователей. Хотя во многих мессенджерах и удалось реализовать подмену абонента, все же прочитать секретные чаты было невозможным. Поэтому сохранение конфиденциальности при переписке в различных сервисах все же работает.
В заключение
В статье было подробно рассмотрено, что значит "защищено сквозным шифрованием". Также были описаны алгоритмы безопасности, методы передачи ключей и история первых криптографических изысканий. Сегодня рынок программного обеспечения готов предложить пользователям огромный выбор различных мессенджеров и сервисов для обмена сообщениями.
Какие-то из них шифруют свои каналы, какие-то нет. Широкую популярность набирает мессенджер "Телеграм", обещающий самую максимальную безопасность и защищенность, и который уже успел обрасти небольшими скандалами и интригами. При этом он использует особый режим сквозного шифрования, основанный на протоколе MTProto. Насколько он эффективен - покажет время.
Что в WhatsApp была найдена проблема, которая в теории позволяет сотрудникам Facebook и другим посторонним лицам читать переписку пользователей. Хотя представители Facebook заявляют, что перехватить сообщения WhatsApp не может никто, исследователь Тобиас Бёлтер (Tobias Boelter) из калифорнийского университета в Беркли с ними не согласен.
Бёлтер рассказал журналистам Guardian, что проблема связана с имплементацией протокола для end-to-end шифрования, который использует мессенджер. Напомню, что end-to-end шифрование WhatsApp строится на протоколе Signal, созданным Open Whisper Systems. Мессенджер генерирует уникальные ключи шифрования, которые и защищают переписку пользователей. Но исследователь установил, что WhatsApp может принудительно сгенерировать новые ключи, к примеру, если пользователь долгое время не появлялся в онлайне или сменил устройство. И об этой особенности мессенджера ранее известно не было.
В итоге возникает странная ситуация: пользователь отправляет сообщение реципиенту, который долгое время находится оффлайне. Сообщение повисает как не отправленное, и за то время, что пользователь находится в оффлайне, WhatsApp успевает сменить ключ шифрования, о чем не знают ни отправитель, ни получатель. В итоге, получив повторно отправленное сообщение, реципиент вообще не узнает о случившемся, а отправитель сообщения получит уведомление о смене ключа шифрования лишь в том случае, если он заранее включил такую опцию в настойках безопасности. Более того, уведомление будет показано уже после повторной отправки сообщения.
По мнению Бёлтера – это серьёзная проблема. «Если правительственное учреждение потребует, чтобы WhatsApp раскрыл данные о переписке пользователей, по сути, доступ может быть предоставлен через смену ключей», - говорит исследователь.
Еще в апреле 2016 года специалист сообщил о найденной уязвимости представителям Facebook. Тогда исследователю ответили, что компания знает о проблеме, назвали эту особенность работы мессенджера «ожидаемым поведением» и сообщили, что исправлять баг (или лучше сказать бэкдор?) в ближайшее время не собираются.
«Имплементация протокола Signal, которую использует WhatsApp, позволяет включить опцию “Показывать уведомления безопасности” (Настройки -> Учетная запись -> Безопасность), которая уведомит вас о том, что код безопасности контакта сменился. Мы знаем, что в основном такое происходит, когда кто-то меняет телефон или переустанавливает WhatsApp. Потому что в большинстве стран мира люди часто меняют устройства и SIM-карты. В данных обстоятельствах мы хотим, чтобы сообщения доходили до получателей, а не терялись в пути.
WhatsApp не предоставляет правительствам “бэкдор” для своих систем и будет бороться с любыми правительственными запросами на создание бэкдоров», - прокомментировал Guardian представитель WhatsApp.
Стоит сказать, что мессенджер Signal, который тоже базируется на одноименном протоколе, не имеет такой проблемы. Если у реципиента сменился ключ шифрования, пока тот находился в оффлайне, отправка сообщения завершится неудачей, а отправитель получит уведомление о смене ключа. Автоматической повторной отправки сообщения Signal не предусматривает – это особенность собственной имплементации, используемой WhatsApp.
«Некоторые могут решить, что данная уязвимость позволяет перехватить только отдельные сообщения, а не все разговоры в целом. Это не так. Нужно учитывать, что сервер WhatsApp способен перенаправлять сообщения, не отображая при этом уведомления “сообщение получено реципиентом” (или двойную галочку), то есть пользователь может этого не заметить. Используя уязвимость, связанную с такой ретрансляцией, позже сервер WhatsApp может восстановить полную копию всего разговора, а не только отдельное сообщение», - объясняет Бёлтер.
Журналисты Guardian отмечают, что ИБ-эксперты и правозащитники уже назвали данную проблему «золотой жилой для силовых структур, огромным предательством доверия пользователей и угрозой свободе слова».