Зачем шифровать переписку Статьи редакции
Вопросы и ответы о безопасном мессенджере Signal.
Материал подготовлен при поддержке фонда Марины Актон
End-to-end-шифрование, протокол Double Ratchet — очевидные слова для разработчиков и менее понятные рядовым пользователям.
Разбираемся, как мессенджеры защищают переписку и кому могут понадобиться данные обычных людей.
Зачем обычным людям шифровать переписку
Даже если мы не упоминаем в чатах секреты государственного масштаба или коммерческие тайны, в осознании того, что переписка может стать публичной, приятного мало.
Люди обсуждают в мессенджерах собственные страхи и проблемы, сплетничают, ругают других — если хакерам удастся получить и опубликовать подобные данные, это может стать серьёзным ударом по репутации человека.
Переписки также могут представлять интерес для обычных киберхулиганов и людей, которые продают данные на чёрном рынке для использования в коммерческих целях, мошенничества или шантажа.
Что уже придумано, чтобы защитить данные
Базовые принципы и алгоритмы защиты информации при передаче по сети были описаны ещё в 70-е годы и до сих пор актуальны. Для борьбы с перехватом пользовательской информации создаются и совершенствуются протоколы шифрования — наборы криптографических алгоритмов, описывающих преобразование данных.
Протоколы охраняют два базовых свойства: конфиденциальность и целостность информации. Первое подразумевает, что никто, кроме получателя, не сможет расшифровать данные, а второе — что данные не могут быть искажены или подменены в процессе передачи.
Есть и дополнительные принципы шифрования, которые меняются в зависимости от задач пользователя. Например, должна быть гарантия корректной доставки сообщений, когда пользователь не был в сети.
Какие есть типы шифрования и в чем между ними разница
Шифрование делится на два основных типа: симметричное и асимметричное. В первом случае используется один и тот же ключ для шифрования и чтения информации, во втором — разные ключи.
Преимущество асимметричного типа в том, что стороны обмениваются открытым ключом, который только шифрует данные, а ключи для расшифровки передавать не нужно. Для симметричного сначала нужно найти способ безопасной передачи ключа, а это не всегда возможно.
Какой из протоколов лучший
Однозначного ответа на этот вопрос не существует. Основной ценностью алгоритма шифрования является безопасность, и пока никто не найдёт способа взломать алгоритм, он будет считаться безопасным.
Cайты используют TLS (HTTPS), для некоторых мессенджеров создатели изобретают свои протоколы, но в основном мессенджеры используют Double Ratchet.
В алгоритме Double Ratchet всё происходит автоматически: пользователям не нужно самостоятельно генерировать, подписывать и передавать ключи шифрования, а также менять их по прошествии определенного времени или при компрометации.
Double Ratchet не просто защищает данные, но также препятствует повторному использованию прежних состояний системы шифрования, периодически меняя ключи сессии и блокируя возможность повторного использования ранее сгенерированных ключей.
Есть обычная переписка, а есть секретный чат, который нужно создавать специально. В чём разница
Cекретные чаты перестали быть особенностью специализированных мессенджеров. По умолчанию работает обычная переписка, при которой ключи хранятся на серверах мессенджера, а безопасный чат пользователи должны создавать специально. Получается, что высокий уровень безопасности вроде как есть, но не всегда работает.
В Signal нет деления на более или менее безопасные переписки — шифрование по протоколу Double Ratchet включено по умолчанию во всех диалогах и групповых чатах и не требует дополнительной активации со стороны пользователя.
Мессенджеров, которые защищают данные, много. В чем отличие Signal
В случае с коммерческими мессенджерами основная задача разработчика — это монетизация пользовательской базы. Для повышения коммерческой эффективности компании могут не только иметь прямой заработок (например, через магазины стикеров), но также продавать или самостоятельно использовать косвенную информацию о пользователях для рекламных целей.
Signal разрабатывает некоммерческая организация, существующая на гранты и пожертвования. Исходный код продукта находится в публичном доступе. Главная цель разработчиков — обеспечить возможность общения с гарантированной защитой всех персональных данных, а не заработать на увеличении пользовательской базы.
Список контактов пользователей Signal всегда находится локально на устройстве пользователя, а не передается на серверы. Люди защищены даже от тех случаев, когда третью сторону может интересовать сам факт общения определенных личностей, их местоположение или дата и время переписки.