Ваш IP 34.204.201.220 и вы из
ico
ico ico ico ico
Наш блог
Интересное и полезное

Выбираем самый безопасный мессенджер

Вопрос безопасности переписки как никогда актуален в наше время. Давно уже не является тайной, что все крупные интернет компании, сканируют сообщения своих пользователей. Помимо этого, целый ряд условия в их политики конфиденциальности предполагает раскрытие ваших данных по требованию законодательства. Такие пункты есть в политике таких компаний как google, facebook и microsoft. Когда, мы планировали эту публикацию, у нас было желание сделать самостоятельный обзор безопасности всех популярных программ для online общения, однако нас опередили. Поэтому, мы публикуем перевод с английского очень качественного материала на эту тему, с некоторыми нашими комментариями. Материал взят у Electronic Frontier Foundation — ведущей некоммерческой организации защищающей гражданские свободы в цифровом мире. Начиная с 2014 года, EFF проводит аудит интернет мессенджеров и отвечает на следующий вопрос.

Какое из приложений действительно заботиться о безопасности ваших мгновенных сообщений или какой мессенджер самый безопасный?

В своём аудите EFF структурировала информацию в виде таблицы, в которой рассматривается 7 ключевых критериев, по которым и оценивалась общая безопасность мессенджера. Вот эти критерии: 1. Зашифрованы ли сообщения при передаче  Этот пункт требует, чтобы бы все сообщения были зашифрованы в процессе передачи. Таким образом третье лицо, например ваш провайдер или сотовый оператор, не сможет прочитать содержимое вашей переписки, если перехватит её. 2. Зашифрованы ли сообщения ключом, доступа к которому нет у компании владельца мессенджера Вопрос предполагает наличие end-to-end шифрования. Это значит, что ключи нужные для чтения сообщений генерируются конечными устройствами. Эти ключи никуда не передаются без явного желания пользователей. Тем самым компания оператор мессенджера не в состоянии читать переписку своих клиентов. 3. Существует ли механизм независимой проверки подлинности собеседника Этот пункт предполагает существование встроенного в приложение метода проверки подлинности абонентов и целостности канала связи. Два приемлемых решения:
  • Интерфейс позволяющий проверить отпечаток (хеш) открытого ключа абонента с ранее сохраненным значением, вручную или по другому каналу связи.
  • Протокол обмена ключами с сравнением короткой текстовой строки, такой как  Socialist Millionaire’s* протокол.
*вопрос криптографии который рассматривает двух миллионеров которые хотят сравнить своё состояние не раскрывая данные о его количестве Другие решения возможны, но любое из них должно удостоверять личности абонентов и целостность канала связи. Во время тестирования, определялось простое наличие подобного механизма, а не то насколько он удобен или безопасен. 4. Находятся ли ранее отправленные сообщение в безопасности, в случае утери ключа Данный вопрос предполагает, что приложение обеспечивает конфиденциальность, при которой вся переписка шифруется недолговечными ключами, которые в последствие уничтожаются. Крайне важно, что эти ключи не могут быть никем восстановлены, даже если получен доступ к долговременным закрытым ключам обеих сторон. Это гарантирует, что если пользователи удаляли локальную копию переписки, переписка будет окончательно удалена. Обратите внимание, что для этого требуется выполнение условия номер 2 —  end-to-end шифрования. 5. Открыт ли исходный код приложения для независимого аудита Этот вопрос предполагает, что значительная часть исходного кода опубликована в открытом доступе и позволяет создать совместимую реализацию продукта. Не смотря на это, нет требования, чтобы код был выпущен под какой-либо свободной лицензией. Единственно требование, чтобы код который отвечает за шифрование и связь был доступен для обзора с целью выявления ошибок, программных закладок, а так же структурных проблем. 6. Хорошо ли документирован крипто — дизайн Этот пункт предполагает, четкое и подробное объяснение криптографии используемой в приложении. Предпочтительно, чтобы этот документ был написан в форме понятной и предназначенной для рассмотрения профессиональными криптографами. Документ должен отвечать на следующие вопросы:
  • Какие алгоритмы и параметры (размер ключа шифрования) используются в процессе шифрования и аутентификации. 
  • Как ключи генерируются, хранятся и передаются между пользователями 
  • Жизненный цикл ключей, процесс отзыва
  • Четкое изложение сценариев при которых обеспечивается защита, а так же сценариев при которых использование приложения не является безопасным
7. Проводился ли независимый аудит безопасности
Проводился ли независимый аудит безопасности приложения в течении 12 месяцев до публикации этого исследования. 
Такой аудит должен рассмотреть как дизайн так и реализацию приложения, а так же должен быть выполнен известной аудиторской командой которая никак не связана с разработчиками приложения. 
Результаты аудита 
Ответ на каждый из вопросов дает рассматриваемому приложению один бал. Далее мы опубликуем оценки наиболее распространенных программ, а так же список победителей.

Насколько безопасны популярные мессенджеры?

Шифрование при передачи End-to-end шифрование Проверка подлинности собеседника Безопасность, в случае утери ключа Открытый исходный код Документация крипто-дизайна Независимый аудит безопасности
Skype
WhatsApp
Viber
Facebook chat
Google  Hangouts
Telegram
Telegram (secret chat)
iMessage
К сожалению EFF не проводило аудит популярных на территории СНГ  Вконтакте, Одноклассников и ICQ. Впрочем, можно предположить, что их результат не будет отличаться в лучшую сторону от Viber, WhatsUp и Skype. UPD С апреля 2016 Viber и WhatsUp стали поддерживать end-to-end шифрование
Как мы видим,  наибольшую защиту обеспечивает мессенджер Telegram, правда только в режиме secret chat. Так же не беспокоиться за свою переписку могут пользователи Apple.

Победители — Самые безопасные мессенджеры

Наравне с Telegram и iMessage стоит обратить пристальное внимание на программы, целью которых с самого начала разработки было обеспечить максимальную конфиденциальность данных пользователей. Среди них мы выдели три, которые на наш взгляд являются наиболее подходящими инструментами обеспечения безопасности коммуникаций.
Шифрование при передачи End-to-end шифрование Проверка подлинности собеседника Безопасность, в случае утери ключа Открытый исходный код Документация крипто-дизайна Независимый аудит безопасности
ChatSecure
Signal
SilentPhone
ChatSecureбесплатное приложение с открытом исходным кодом, доступное как для android, так и для iOS. Основано на проверенной технологии XMPP и OTR шифровании. Кроме того, использует для работы сеть TOR. Отличный мессенджер и безопасное приложение, к сожалению, как и Telegram, не поддерживает голосовые звонки. Signal — пожалуй лучшее бесплатное решение, которое максимально защищает не только переписку, но и голосовые звонки. Сам Эдвард Сноуден рекомендовал это продукт от команды OpenWhisperSystems. Крайне рекомендуем к использованию. SilentPhone — продукт Филиппа Цимермана — знаменитости в мире шифрования, создателя PGP и ZRTP. Обеспечивает полную конфиденциальность голосовых звонков и переписки. Дополнительно позволяет звонить на обычные телефонные номера более чем в 100 стран мира. Так же есть корпоративные решения. Единственный недостаток это цена — подписка стоит в районе 10 USD в месяц. Мы постарались перевести и донести самые важные тезисы исследования. С полный текстом и списком всех программ можно ознакомиться по ссылке Ждем ваших комментариев, отзывов и вопросов. Безопасного вам общения. UPD 06.04.2016 whatsup начал поддерживать end-to-end шифрование и обновил свою позицию в рейтинге 19.04.2016 viber тоже стал шифровать сообщения пользователей и добавил функционал доступный ранее в whatsup и telegram. Об этом компания сообщила в свое официальном блоге. 03.06.2016 Ходят слухи, что и в facebook messanger появится end-to-end шифрование 08.07.2016 В facebook появилось end-to-end шифрование Читайте также Facebook и WhatsApp признаны самыми безопасными мессенджерами по версии Amnesty International

Комментарии0

Оставить комментарий