Шифрование в мессенджерах — ИКС Холдинг на vc.ru

Василий Шишкин, руководитель лаборатории криптографии НПК «Криптонит» отвечает на самые распространенные вопросы о шифровании в мессенджерах

Что такое сквозное шифрование? Зачем нужно шифрование в мессенджерах?

Шифрование позволяет защитить передаваемую информацию от нежелательного просмотра злоумышленниками, а использование других криптографических механизмов – обеспечить защиту от искажений или возможность отказа от авторства. Для работы алгоритму шифрования нужны ключи. Эти ключи должны быть у абонентов одинаковыми и храниться строго в секрете — тот, кто узнает ключ, тот прочтет шифрованное сообщение (хотя не всегда сможет его, например, изменить). Почему шифрование «сквозное»? Кстати, по-английски его называют end-to-end encryption (E2EE). При работе большинства мессенджеров используется сервер, который обеспечивает доступ пользователя (абонента) к своему аккаунту, проводит аутентификацию, хранит списки контактов и помогает осуществлять переписку, пересылая (ретранслируя) сообщения. Так вот, если мессенджер обеспечивает сквозное шифрование, то сервер не знает секретные ключи абонентов, и никак не участвует в шифровании сообщений пользователей друг другу. Иными словами, шифрование проходит «сквозь» сервер. Дело в том, что раньше (на заре создания мессенджеров) шифрование выполнялось от пользователя к серверу, затем сервер расшифровывал переписку и шифровал сообщения уже для другого абонента. Таким образом сервер знал все ключи и мог прочитать всю переписку. При сквозном шифровании переписку могут прочитать только пользователи, у которых есть секретные ключи. У сервера в этом случае ключей нет. Возможны и гибридные схемы, как, например, это реализовано в Telegram – обычная переписка зашифрована между сервером и клиентом, и сервер имеет к ней доступ, а «секретные чаты» защищены дополнительным end-to-end слоем шифрования и сервер доступа к содержанию таких сообщений не имеет.

Какие мессенджеры считаются самыми безопасными? Существуют ли абсолютно безопасные мессенджеры?

Рейтинги безопасности мессенджеров составляются и обновляются постоянно и выбрать самый безопасный сложно. В каждом таком рейтинге учитываются различные характеристики, такие как наличие сквозного шифрования, шифрования групповых чатов, защиты контактов пользователя, запрет на скриншоты и т. д. В лидерах подобных рейтингов, как правило, присутствуют Signal, Matrix, Wire. Популярные в России Telegram и WhatsApp в последнее время серьезно поработали над своей безопасностью и так же находятся в верхней части подобных списков. Абсолютно безопасных мессенджеров, конечно, не существует. Дело в том, что на безопасность мессенджера влияет слишком много факторов, которые пользователь не всегда может контролировать. Это прежде всего сервер мессенджера, который обычно пользователю недоступен, как и кем этот сервер был реализован, настроен и используется – в случае использования массовых мессенджеров пользователю неизвестно, и он вынуждет доверять компании, которая поддерживает сервис мессенджера. Это влечет возможность ошибок и неточностей в программных реализациях клиентов этого мессенджера и многое другое. Кроме того, часть мессенджеров полностью скрывает протоколы и особенности реализации своих продуктов, что тоже не добавляет уверенности в их безопасности.

Кому и зачем могут понадобиться данные из личных переписок пользователей?

Переписка пользователей всегда была объектом интереса различных сторон. Раньше интересовались перепиской в обычной почте, потом в электронной, сейчас объектом интереса стали мессенджеры. Какие это стороны? Это могут быть обычные жулики или преступники, которые через мессенджеры пытаются украсть информацию. Могут быть конкурирующие фирмы и компании, которые ведут нечестную игру на рынке и пытаются выведать коммерческую тайну. Ну, и конечно, специальные службы и разведки многих стран тоже не прочь почитать переписку как обычных пользователей, так и террористов, и прочих преступников.

Как максимально обезопасить свои личные данные в мессенджерах?

Как мы уже поняли идеальных мессенджеров не существует, однако почти в любом мессенджере сейчас можно сделать многое, чтобы обеспечить безопасность переписки. Прежде всего нужно включить сквозное шифрование, о котором мы говорили (не везде оно включено по умолчанию). Затем нужно убедиться, что установлены все обновления как самого мессенджера, так и операционной системы (iOS или Android). Необходимо настроить двухфакторную аутентификацию к своему аккаунту в мессенджере, чтобы обезопасить аккаунт от кражи (подбор пароля и пр.). Желательно отключить сохранение в облаке резервных копий ваших чатов, поскольку часто безопасность резервных копий не всегда обеспечивается должным образом. Очень полезно при личной встрече с вашими абонентами сверить ваши ключи переписки, сейчас это можно легко сделать, сканируя соответствующий QR код в приложении мессенджера или сравнивая последовательности эмодзи, как в Telegram.

Как проверить, прослушивается ли телефон/мессенджер, читаются сообщения?

Ответ простой – в общем случае никак! Старайтесь использовать мессенджеры от компаний с хорошей репутацией, настраивайте безопасность вашего мессенджера по максимуму, включайте сквозное шифрование, но наш совет – не отправляйте через мессенджер то, что не хотели бы показывать любым чужим глазам (документы, фотографии, подробности личной жизни). Будьте бдительны!