Новые вызовы и риски для сквозного шифрования и аутентификации в мессенджерах и ПО для удалённой работы

Данная статья является первой в серии статей об информационной безопасности в мессенджерах мгновенного обмена сообщениями и корпоративном программном обеспечении для удаленной работы и обмена файлами. Не претендуя на научность или исчерпывающий характер, мы стремимся предоставить актуальный обзор методов шифрования и других подходов, используемых для защиты сообщений и файлов и современных трендов, используемых при проектировании нового ПО.

Каждый раз, когда вы отправляете сообщение через WhatsApp, Signal или Telegram, за кулисами происходит сложный криптографический балет. Ваше сообщение преобразуется из читаемого текста в непонятную строку символов, путешествует по интернету и волшебным образом снова становится читаемым только на устройстве получателя. Этот процесс, называемый сквозным шифрованием, гарантирует, что даже если кто-то перехватит ваше сообщение во время передачи (а в некоторых странах "кто то" не только обязательно перехватит, но и запишет), он не сможет прочитать его содержимое.

Но одного шифрования недостаточно. Аутентификация обеспечивает уверенность в том, что вы действительно общаетесь с тем человеком, с кем думаете, а не с самозванцем, который каким-то образом вклинился в ваш разговор. Вместе шифрование и аутентификация образуют основу безопасной цифровой коммуникации, ежедневно защищая миллиарды разговоров от подслушивания, манипуляций и мошенничества.

Симметричное шифрование использовалось ещё в древнем мире. Этот метод использует один и тот же ключ для шифрования и расшифровки сообщений, как если бы у вас были одинаковые ключи для запирания и отпирания замка шкатулки. Современным золотым стандартом является AES-256 (Advanced Encryption Standard с 256-битными ключами), который обрабатывает данные блоками по 128 бит и стал практически повсеместным в современных системах. Его российский аналог, ГОСТ Р34.12, работает с 256-битными ключами и более крупными 256-битными блоками, также предлагая надежную защиту, но с более сложными требованиями к реализации.

Эти алгоритмы превосходно справляются с потоковым шифрованием и быстрым шифрованием больших объемов данных. Когда вы отправляете фотографию или видео через мессенджер, симметричное шифрование берет на себя тяжелую работу, зашифровывая ваши объёмные медиафайлы за считанные миллисекунды.

Асимметричное шифрование решает другую фундаментальную проблему: как двум людям, которые никогда не встречались, безопасно договориться о секретном ключе для шифрования основного объёма данных? В отличие от симметричного шифрования, оно использует два математически связанных ключа — один открытый и один закрытый. Вычисление такой пары ключей - довольно медленный процесс. Наибольшее распространение получили два метод: шифрование RSA основывается на сложности факторизации больших чисел, в то время как криптография эллиптических кривых (ECC) использует проблему дискретного логарифма на эллиптических кривых.

ECC быстро завоёвывает популярность, поскольку обеспечивает эквивалентную RSA безопасность с гораздо меньшими размерами ключей. Там, где RSA должна использовать 2048-битные ключи, ECC достигает аналогичной защиты всего лишь с 256-битными ключами, что делает её быстрее и эффективнее для мобильных устройств.

Современные мессенджеры используют гибридный подход, который оптимально сочетает лучшее из обоих типов шифрования. Когда вы начинаете чат или разговор, ваше устройство выполняет SSL/TLS рукопожатие, которое работает следующим образом: сначала генерируется пара асимметричных ключей, ими шифруется и безопасно передаётся случайный симметричный ключ, затем этот симметричный ключ быстро шифрует все последующие сообщения.

Если мессенджер серьёзный, процесс рукопожатия включает в себя и важные шаги аутентификации. Цифровые сертификаты, выдаваемые центрами сертификации, подтверждают, что сервер, к которому вы подключаетесь, является легитимным. Сертификат содержит открытый ключ сервера и информацию о его идентичности, подписанную доверенным центром. Это предотвращает атаки типа "человек посередине" (MITM, "man-in-the-middle"), при которых злоумышленник притворяется вашим сервисом обмена сообщениями и/или пропускает их через себя.

История криптографии усеяна алгоритмами, которые в своё время считались не взламываемыми. Например, стандарт шифрования данных (DES), введенный в 1970-х годах с 56-битными ключами, считался безопасным, пока развитие вычислительной мощности не сделало его уязвимым для атак к концу 1990-х годов.

Аналогично, протоколы обмена версий TLS 1.0 и 1.1, широко использовавшиеся раньше, в последствии были признаны устаревшими из-за многочисленных уязвимостей. TLS 1.0, датируемый 1999 годом, страдает от атаки BEAST, которая эксплуатирует предсказуемые векторы инициализации в блочных шифрах, и полагается на теперь уже скомпрометированную хеш-функцию SHA-1 для проверки целостности. Эти протоколы были официально признаны устаревшими с 2021 года, а основные браузеры и серверы прекратили их поддержку.

Тенденция очевидна: то, что кажется безопасным сегодня, может оказаться уязвимым завтра, поскольку вычислительная мощность компьютеров растет и появляются новые методы атак.

Самая значительная угроза, нависшая над современным шифрованием, — это квантовые вычисления. В отличие от классических компьютеров, которые обрабатывают информацию последовательно, квантовые компьютеры могут выполнять определенные вычисления экспоненциально быстрее, используя квантовые явления, такие как суперпозиция и запутанность квантовых объектов.

Алгоритм Шора, разработанный ещё в 1994 году, может эффективно решать математические задачи, лежащие в основе шифрования RSA и ECC. Хотя сегодняшние квантовые компьютеры всё ещё слишком малы для взлома реального шифрования, исследователи полагают, что квантовый компьютер с 20 миллионами стабильных кубитов сможет взломать шифрование RSA-2048, а недавние исследования предполагают, что это может стать возможным и с гораздо меньшим количеством кубитов.

Временные рамки для этого "квантового апокалипсиса" варьируются, но большинство экспертов размещают его где-то между 2030 и 2035 годами. Что делает это особенно тревожным, так это феномен "собирай сейчас, расшифруй потом": изощрённые злоумышленники уже вовсю собирают наши зашифрованные данные, планируя расшифровать их, как только квантовые компьютеры станут доступными.

Между тем, симметричное шифрование, такое как AES, более устойчиво к квантовым атакам. Алгоритм Гровера может ускорить атаки против симметричных шифров, но простое удвоение размера ключа (с AES-128 до AES-256) эффективно нейтрализует это преимущество. Правда, существует конспирологическая теория, что симметричные методы шифрования (как AES-256, так и ГОСТ Р 34.12) могут содержать "не совсем случайные" элементы в своих таблицах коэффициентов, которые могут служить либо бэкдорами, либо слабыми местами, подрывающими общую надежность шифрования. Однако до сих пор не было найдено никаких реальных доказательств этого, несмотря на то, что исходный код алгоритмов открытый и каждый может испытать свои силы.

Центры сертификации представляют критическую уязвимость в цепи доверия. Когда ЦС скомпрометирован, злоумышленники могут выдавать поддельные сертификаты для любого веб-сайта или сервиса, что позволяет проводить крупномасштабные атаки типа "человек посередине".

Инцидент с DigiCert в 2024 году, когда неправильная проверка доменов затронула более 216 000 сертификатов, демонстрирует, как быстро можно подорвать доверие. У организаций было всего 24 часа на замену скомпрометированных сертификатов, иначе они столкнулись бы с перебоями в обслуживании. В целом, количество инцидентов, связанных с инфраструктурой открытых ключей (PKI), пока не очень велико, но показывает тенденцию к росту.

Так называемые "государственные" сертификаты, казалось бы, должны служить укреплению безопасности, но на практике создают новые сложные проблемы. Свежий пример: Россия требует от определенных организаций, для банковских систем (и их пользователей) установки сертификатов Минцифры. Китай внедрил всеобъемлющие требования к сертификации. Эти требования, хотя и служат "законным" регулятивным целям, сами по себе потенциально создают дополнительные угрозы и векторы атак, если (или когда) эти "государственные" сертификаты будут использованы неправильно.

Современные мессенджеры сталкиваются с изощренными атаками, несмотря на сильное шифрование. Атаки типа "человек посередине" остаются возможными, когда проверка сертификатов не срабатывает, когда пользователи игнорируют предупреждения безопасности или довольствуются базовым уровнем. Исследования показали, что большинство пользователей не всегда могут полностью правильно применять уже существующие меры безопасности, такие как сравнение "номеров безопасности" в Signal, что оставляет их устройства уязвимыми для незамеченных атак. Похожая технология применяется и в Телеграм, где с недавних пор появилась опция сквозного шифрования для групповых звонков, надежность которого можно проверить, сравнив набор эмодзи на экранах всех участников звонка. К сожалению, об этой опции мало кто знает, так же как и о том, что сквозное шифрование в Telegram работает только для "секретных" чатов.

Особенно важны протоколы безопасности для бизнеса и соответствующего программного обеспечения, и прогресс в этом отношении есть. Протокол Messaging Layer Security (MLS), недавно стандартизированный Инженерной рабочей группой интернета (Internet Engineering Task Force, IETF), представляет следующее поколение безопасного группового обмена сообщениями. В отличие от подхода, который шифрует сообщения отдельно для каждого члена группы, MLS обеспечивает более эффективное групповое шифрование с теми же гарантиями безопасности.

Однако даже продвинутые протоколы имеют ограничения. Недавние исследования выявили проблемы с конфиденциальностью в реализации WhatsApp, где злоумышленники могут определить, какое именно устройство отправило сообщение, и отслеживать активность пользователей во времени.

Криптографическое сообщество отреагировало на квантовые угрозы пост-квантовой криптографией. NIST стандартизировал несколько квантово-устойчивых алгоритмов: CRYSTALS-Kyber для обмена ключами и CRYSTALS-Dilithium для цифровых подписей. Удивительно, но эти алгоритмы часто работают быстрее своих классических аналогов, обеспечивая при этом квантовую устойчивость.

Многоуровневые схемы аутентификации становятся более сложными, сочетая традиционные пароли с биометрическими факторами, аппаратными токенами и анализом поведения. Однако эти системы должны балансировать между безопасностью и удобством использования — чрезмерно сложная аутентификация может привести к усталости пользователей и снижению безопасности.

Альтернативные методы обмена ключами также исследуются. Ученые изучают подходы, которые не полагаются на традиционную асимметричную криптографию, включая схемы, основанные на симметричной криптографии, хеш-функциях и новых математических проблемах.

В некоторых случаях, как в древние времена, используется автономная передача ключей шифрования и паролей по доверенным каналам (что при правильном использовании решает и проблему аутентификации и устраняет необходимость в асимметричном шифровании и открытых ключах).

Путь вперед требует многостороннего подхода. Организации должны начать переход к постквантовым алгоритмам сейчас, даже если квантовая угроза может проявиться через годы. Этот переход, называемый "криптографической гибкостью", включает проектирование систем, которые могут быстро заменять криптографические алгоритмы без серьезных архитектурных изменений.

Улучшенное управление сертификатами через технологии вроде Certificate Transparency помогает быстрее обнаруживать поддельные сертификаты. Некоторые организации внедряют закрепление сертификатов, где приложения жестко запрограммированы ожидать определенные сертификаты, что усложняет злоумышленникам использование поддельных.

Индустрия мессенджеров также движется к улучшению протоколов. Принятие MLS основными платформами, такими как WhatsApp, и потенциальная интеграция в RCS (Rich Communication Services) могли бы принести корпоративную безопасность в повседневный обмен сообщениями.

Криптографический ландшафт вступает в период беспрецедентных изменений. Хотя современные методы шифрования остаются безопасными против классических атак, приближающаяся квантовая эра требует проактивной подготовки. Угроза "собирай сейчас, расшифруй потом" означает, что конфиденциальные данные, зашифрованные сегодня, могут стать уязвимыми в течение следующего десятилетия.

Успех в этом переходе потребует сотрудничества между обществом, исследователями, индустрией и политиками. Криптографическое сообщество достигло замечательного прогресса в разработке постквантовых алгоритмов, которые являются одновременно безопасными и практичными. Однако реальная проблема заключается в развертывании этих решений на миллиардах устройств и приложений до того, как квантовые компьютеры созреют.

В конечном счете, цель остается той же, что и когда криптография впервые защитила древние сообщения: обеспечение того, чтобы частная коммуникация оставалась частной, аутентичная коммуникация оставалась аутентичной, а цифровое общение, которое лежат в основе нашего современного мира, оставалось защищенным от текущих и будущих угроз. Инструменты могут эволюционировать, но фундаментальная человеческая потребность в безопасном общении и обмене информацией остается неизменной.

В следующей статье мы рассмотрим некоторые несложные методы повышения секретности нашей коммуникации. Следите за обновлениями, чтобы не пропустить.