3 причины почему для безопасного общения лучше использовать мессенджер Signal вместо Telegram

материал подготовлен сообществом Data Privacy Coalition, основа для статьи взята с портала Freedom of the Press Foundation - https://freedom.press/training/locking-down-signal/

3 причины почему для безопасного общения лучше использовать мессенджер Signal вместо Telegram

Signal Messenger - приложение для зашифрованного общения, стремительно набирающее популярность, ведь его можно использовать как обычный современный мессенджер для обмена сообщениями и файлами, а также для аудио и видео звонков, но при этом совершенно не сомневаясь в безопасности и конфиденциальности своей переписки.

На первый взгляд кажется, что это приложение ничем не отличается от схожих WhatsApp, Telegram или Viber, однако эксперты по безопасности рекомендуют Signal вовсе не из-за внешней оболочки, а из-за продуманной системы шифрования, которая гарантированно защищает передаваемую информацию от несанкционированного доступа со стороны третьих лиц. Давайте попробуем разобраться, чем же мессенджер Signal отличается от других распространенных приложений со схожим функционалом?

Во-первых, главной особенностью Signal является полноценная защищенность всей пересылаемой информации с помощью сквозного шифрования (так называемое End-to-end encryption), означающее, что только участники беседы имеют доступ ко всему, что в ней происходит. При передаче информации с помощью сквозного шифрования у отправителя и получателя генерируется специальный ключ, без наличия которого невозможно расшифровать переписку, благодаря чему данные передаются по сети интернете в полной конфиденциальности. При использовании же стандартного TLS-шифрования сообщения поступают на сервера разработчика, где сначала расшифровываются и после заново шифруются и отправляются получателю (вы можете более подробно ознакомиться с технологиями шифрования в одной из наших предыдущих статей). В случае же с Signal даже сами разработчики приложения не смогут получить к ним доступ. Это было доказано в американском суде, когда сотрудники ФБР потребовали от разработчиков раскрыть переписку интересующих их лиц, однако все что те смогли им предоставить в ответ – это даты регистрации в приложении и время последнего появления онлайн. Здесь также важно отметить, что в наших краях распространено мнение, что самым защищенным и безопасным мессенджером на данный момент является Telegram, однако мало кто знает, что в действительности в этом приложении с помощью сквозного шифрования защищены только переписки в режиме «Секретного чата», а обычные чаты, которыми по привычке пользуется большинство пользователей, ничем не защищены от доступа со стороны его создателей.

Во-вторых, Signal имеет открытый исходный код, который доступен в сети для просмотра и изучения, что позволяет убедиться в отсутствии уязвимостей и неприемлемых для пользователя функций (к примеру, скрытого слежения за пользователем). Независимые специалисты провели проверку безопасности и убедились, что в приложении все работает должным образом и что доступ к информации получить невозможно (в сравнении с тем же Telegram, который не предоставлял свой код для открытого изучения, что не дает четкого понимания того, как же реально используются и хранятся переписки в этом мессенджере).

В-третьих, доказано, что в Signal не собирает метаданных о своих пользователях - данных о том, кто с кем разговаривал, когда и на какую тематику. С помощью метаданных разработчики анализируют сообщения пользователей, выделяют интересующие их тематики, интересы и пожелания. На основании этих данных потом создаётся виртуальный обезличенный портрет пользователя, данные о котором потом продаются рекламным агентствам для создания более эффективных рекламных компаний. Это особенно актуально с точки зрения сравнения приложения с мессенджерами WhatsApp и Facebook Messenger (а также с общением в социальной сети ВКонтакте), для которых, как всем известно, метаданные являются одним из основных способов монетизации платформы.

На какие же функции стоит обратить внимание, при выборе приложения для зашифрованного общения?

Как вы уже поняли, в современном мире очень важно серьезно относиться к своей информационной безопасности. И использование зашифрованного мессенджера предоставляет множество преимуществ для пользователей, которые трепетно относятся к своему цифровому следу. Давайте рассмотрим, какие опции нам предлагает Signal, чтобы лишний раз убедиться в отсутствии взлома и сетевой прослушки, а также как оградить свой мессенджер от несанкционированного доступа:

Используйте функцию проверки защищенности соединения между пользователями с помощью кода безопасности

​Функция проверки защищенности соединения между пользователями с помощью кода безопасности. Снимок экрана: сканирование QR-кода собеседника на вашем устройстве
​Функция проверки защищенности соединения между пользователями с помощью кода безопасности. Снимок экрана: сканирование QR-кода собеседника на вашем устройстве

Большинство мессенджеров не имеют опции, которая позволяла бы проверить и точно удостовериться в безопасности соединения при переписке. Однако, как мы уже писали ранее, Signal предоставляет возможность пройти дополнительную двухстороннюю верификацию сессии, чтобы лишний раз убедиться в том, что зашифрованная переписка доступна только двум участникам диалога (а не третьим лицам).

Для начала создайте диалог с вашим собеседником. После этого необходимо будет запросить и проверить его «код безопасности».

На iPhone: нажмите на имя собеседника (вверху экрана) > «Посмотреть код безопасности»

На Android: войдите в настройки (меню «…») > «Настройка беседы» > «Проверить код безопасности»

Если вы и ваш собеседник видите одинаковый QR-код и код безопасности, это означает, что ваша беседа защищена. Для пущей безопасности, вы можете так же продублировать эти коды между собой в нескольких других сетях, где вы уверены, что общаетесь с нужным человеком (например, по телефону, или в сообщении в Twitter, Facebook или ВКонтакте), а лучше просто обменяться кодами лично с человеком, нажав «Сканировать код» и отсканировав QR-код с помощью камеры. Если ваши коды совпадают, нажмите «Подтвердить» (в тех редких случаях, когда ваши коды могут не совпасть, вам стоит задуматься о безопасности той сети, в которой вы общаетесь, и немедленно прекратить общение с собеседником).

После подтверждения проводить данную операцию более не потребуется (однако учтите, что если вы начнете использовать приложение на новом телефоне, то ваши старые коды безопасности уже будут не актуальны).

Вы автоматически получите уведомление, если по какой-либо причине ваши с собеседником коды изменились. В таком случае так же используйте другой канал связи, чтобы еще раз убедиться и в том, что ваша переписка защищена.

Используйте дополнительный номер телефона для регистрации

Для мессенджера Signal ваш номер телефона и является вашим «именем пользователя». Но что делать, если вы не хотите «засвечивать» свой настоящий номер телефона? Например, многие журналисты при общении со своими источниками стараются не разглашать свои номера телефонов.

Есть решение: приложение Signal можно зарегистрировать любой номер телефона, к которому у вас есть доступ (если этот номер ранее не был заблокирован и зарезервирован за кем-то другим). Например, в России и странах СНГ доступно большое количество онлайн-сервисов, предоставляющих временные номера в аренду (такие, как Onlinesim.ru и ему подобные), которые так же можно использовать для регистрации в мессенджере.

Если же вы или пользуетесь VPN с возможностью выбора IP-адреса (или проживаете в США), то такой номер можно сгенерировать с помощью Google Voice. Для этого перейдите на voice.google.com и войдите в систему с учетной записью Google.

Снимок экрана: Google Voice принимает код регистрации для Signal. Сообщение о регистрации в Signal получено в Google Voice. Источник: OpenNews​
Снимок экрана: Google Voice принимает код регистрации для Signal. Сообщение о регистрации в Signal получено в Google Voice. Источник: OpenNews​

Ну и самым простым способом, конечно же, будет использование дополнительной SIM-карты.

Блокируйте возможность перерегистрации вашего номера за другим пользователем

Неважно, используете ли вы свой основной, или дополнительный номер телефона, важно всегда иметь к нему доступ. Но зачем? Затем, что если вы потеряете этот номер и кто-то еще перерегистрирует его на себя, то вы уже не сможете использовать его для входа в Signal.Есть и другой вариант: можно заблокировать регистрацию для своего номера в Signal, используя Блокировку регистрации.

На iPhone: нажмите «Настройки» > «Конфиденциальность» > «Блокировка регистрации»

На Android: нажмите «Настройки» > «Конфиденциальность» > «Блокировка регистрации».

Для этого придумайте PIN-код и запишите куда-нибудь, чтобы не забыть. Этот PIN-код предотвратит повторную регистрацию вашего номера на любом другом устройстве. Учтите, что приложение иногда будет просить вас ввести PIN-код, чтобы вы его не забыли.

Не храните историю переписок в iCloud

Signal позволяет дублировать историю ваших звонков из приложения в системной истории звонков в iPhone. Несмотря на то, что это очень удобно, это позволяет вашему iPhone синхронизировать историю вызовов с iCloud, включая информацию о том, с кем и когда вы разговаривали, а также продолжительность вызова.

Если вы пользуетесь iPhone, но не хотите делиться историей звонков в Signal, отключите эту функцию в разделе: «Настройки» > «Конфиденциальность» > «Показывать звонки в “Недавних”» > «Отключить».

Используйте функцию исчезающих сообщений

Signal позволяет удалять отдельные сообщения, однако они будут по-прежнему доступны всем в беседе. Функция «исчезающих сообщений» позволит автоматически удалять сообщения из беседы у всех пользователей по истечении выбранного вами количества времени.

Как включить функцию «исчезающих сообщений»?

  • Откройте беседу.

На iPhone: нажмите на имя собеседника в верхней части экрана, чтобы открыть настройки этой беседы. Нажмите «Исчезающие сообщения».

​Снимок экрана настройки "исчезающих сообщений" в iPhone
​Снимок экрана настройки "исчезающих сообщений" в iPhone

На Android: щелкните значок настроек («…») в правом верхнем углу. Нажмите «Исчезающие сообщения».

2. Переместите ползунок, чтобы установить время, в течение которого вы хотите хранить сообщения: от пяти секунд до одной недели. Это работает как для диалогов, так и для групповых чатов.

​Снимок экрана: как включить функцию "исчезающих сообщений" на Android
​Снимок экрана: как включить функцию "исчезающих сообщений" на Android

Используйте пароль или систему распознавания лица или отпечатков пальцев для входа в приложение

3 причины почему для безопасного общения лучше использовать мессенджер Signal вместо Telegram

К сожалению, никакое шифрование не поможет, если кто-то получит доступ к вашему разблокированному телефону. Например, родители очень часто дают своим детям поиграть в телефон, но они совсем не думают о том, что дети могут прочитать ваши переписки и посмотреть фотографии.Так же, никто не защищен от того, что телефон можно просто потерять, или же его украдут.

Если кто-то смог разблокировать ваш телефон, он автоматически сможет получить доступ ко всем вашим сообщениям, поэтому так важно установить пароль для входа в само приложение Signal, чтобы создать дополнительную защиту для ваших сообщений.

На iPhone: «Настройки» > «Конфиденциальность» > «Блокировка экрана»

На Android: «Настройки» > «Безопасность» > «Блокировка экрана»

Установите защиту экрана, которая поможет вам скрыть конфиденциальность ваших сообщений при пролистывании карусели.

​На снимках экрана: слева – в приложении не активирована функция «Защита экрана», справа – когда активирована «Защита экрана».
​На снимках экрана: слева – в приложении не активирована функция «Защита экрана», справа – когда активирована «Защита экрана».

Вы, наверно, спросите, а зачем защищать экран, ведь и без этого телефон уже достаточно защищен? Но погодите: как показывает практика, без этой опции можно обойтись ровно до тех пор, пока вы находитесь одни, в противном случае, возрастает вероятность того, что кто-то может увидеть что-либо, понаблюдав за вашим экраном некоторое время. Чтобы не допустить подобную неприятную ситуацию, лучше активировать функцию защиты экрана: она, словно баннером, скроет ваши последние переписки и другую видимую на экране информацию. Это еще одно преимущество Signal дает возможность запретить показ предварительного просмотра, пока Вы полностью не откроете приложение.

На iPhone: нажмите «Настройки» > «Конфиденциальность» > «Включить защиту экрана».

На Android: нажмите «Настройки» > «Конфиденциальность» > «Включить защиту экрана».

Ограничьте отображение лишней информации в push-нотификациях от приложения

Зачастую возможны случаи, когда вы бы не хотели, чтобы push-уведомления раскрывали такую информацию, как имя отправителя или само сообщение (что особенно актуально, например, на заблокированном экране). Приложение Signal позволяет настроить нотификации достаточно просто. Чтобы получать уведомления без информации об отправителе и содержания сообщений, выберите:

На iPhone: «Настройки» > «Уведомления» > «Показывать» > «Без имени или без содержания».

На Android: «Настройки» > «Устройство» > «Звук и уведомления» > «Когда устройство заблокировано» > «Скрыть конфиденциальную информацию».

Мы надеемся, что благодаря всем перечисленным советам вы сможете в полной мере воспользоваться полезными функциям, которыми может похвастаться мессенджер Signal, и у вас теперь появится новый надежный инструмент, с помощью которого вы сможете сохранить конфиденциальность и повысить безопасность своего общения.

Я пользуюсь Signal каждый день

Edward Snowden, бывший сотрудник ЦРУ и Агенства национальной безопасности (АНБ) США
77
42 комментария

Напомните, почему все мега супер защищённые мессенджеры хотят мой номер телефона?

8

1. "Главной особенностью Signal является End-to-end encryption" - эта особенность есть у любого нормального мессенджера.
2. "Независимые специалисты провели проверку безопасности и убедились, что в приложении все работает должным образом и что доступ к информации получить невозможно" - кто проверял? Надёжные источники я так полагаю? где пруфы??
3. "В сравнении с тем же Telegram, который не предоставлял свой код для открытого изучения, что не дает четкого понимания того, как же реально используются и хранятся переписки в этом мессенджере" - вам ссылку на гитхаб скинуть или сами найдете?

6

Комментарий недоступен

6

Марат, не могу с вами согласиться:

1) Сквозное шифрование (e2e) всех сессий реализовано только в мессенжераж Signal и Wire. В том же Телеграме, как и описано в статье, сквозное шифрование реализовано только в "Секретном чате". Мало кто пользуется этим режимом, кроме случаев когда ты осознано понимаешь что тебе надо что-то от кого-то скрыть. Большинство же людей при общении с друзьями, родственниками или по работе по привычке пользуются обычными чатами, не задумываясь о том, куда эта переписка позже попадает. Да, Телеграм и WhatsApp безусловно пока удобнее Сигнала в плане практичности, но если речь идет о том, каким мессенджером пользоваться и при этом быть постоянно уверенным, что твою переписку никто не прочитает по дефолту - то это Сигнал.

2) В статье оригинальной статье есть ссылки на ресурсы
https://threatpost.com/signal-audit-reveals-protocol-cryptographically-sound/121892/

Но больше по делу говорит вот это:
https://arstechnica.com/tech-policy/2016/10/fbi-demands-signal-user-data-but-theres-not-much-to-hand-over/

3) Покажите. Дуров писал в своей статье, что открыл код Телеграма, но я ни разу не встречал разбора его кода от независимых экспертом, которые бы подтвердили, что переписка в Телеграме полностью защищена сквозным шифрованием.

3

"Telegram promised since at least March 2014 that "all code will be released eventually", including all the various client applications (Android, iOS, desktop, etc.) and the server-side code. As of February 2020, Telegram still hasn't published their server-side source code. "

Источник - https://en.wikipedia.org/wiki/Telegram_(software)#Security

1

Никакой мессенджер не даст вам конфиденциальности, которой вы от него ожидаете. И все эти описания про шифрование и т.д. всего лишь маркетинг. Как описание шампуня, который якобы избавит вас от перхоти. Приложение очень сырое. Надо популярность завоёвывать каким-то важными изменениями, новыми функциями, а не тупым сравнением с другими, уже довольно популярными мессенджерами. "У них х***я а у нас всё хорошо" Что за имбицилы подобные статьи пишут...

4

Андрей, а как же Wire и Signal? 

Посмотрите любой западный обзор, там все подробно описано, в том числе и про шифрование.

https://www.youtube.com/watch?v=46ozjP-R2-E

Насчет сырости приложения готов согласиться и да, самоудаляющиеся сообщения и возможность скрыть push-уведомления есть и в Телеграме, и конечно у него есть множество других удобных функций, вроде групп, Сигналу еще есть куда расти, однако такой уровень защиты как у него большинство других приложений не дает (как и блокировку экрана при закрытом приложении или сверку безопасности сессии по QR-коду). Именно об этом статья и написана. 

2