Вопрос безопасности переписки как никогда актуален в наше время. Давно уже не является тайной, что все крупные интернет компании, сканируют сообщения своих пользователей.
Помимо этого, целый ряд условия в их политики конфиденциальности предполагает раскрытие ваших данных по требованию законодательства. Такие пункты есть в политике таких компаний как
google,
facebook и
microsoft.
Когда, мы планировали эту публикацию, у нас было желание сделать самостоятельный обзор безопасности всех популярных программ для online общения, однако нас опередили.
Поэтому, мы публикуем перевод с английского очень качественного материала на эту тему, с некоторыми нашими комментариями.
Материал взят у
Electronic Frontier Foundation — ведущей некоммерческой организации защищающей гражданские свободы в цифровом мире. Начиная с 2014 года, EFF проводит аудит интернет мессенджеров и отвечает на следующий вопрос.
Какое из приложений действительно заботиться о безопасности ваших мгновенных сообщений или какой мессенджер самый безопасный?
В своём аудите EFF структурировала информацию в виде таблицы, в которой рассматривается 7 ключевых критериев, по которым и оценивалась общая безопасность мессенджера. Вот эти критерии:
1. Зашифрованы ли сообщения при передаче
Этот пункт требует, чтобы бы все сообщения были зашифрованы в процессе передачи.
Таким образом третье лицо, например ваш провайдер или сотовый оператор, не сможет прочитать содержимое вашей переписки, если перехватит её.
2. Зашифрованы ли сообщения ключом, доступа к которому нет у компании владельца мессенджера
Вопрос предполагает наличие end-to-end шифрования. Это значит, что ключи нужные для чтения сообщений генерируются конечными устройствами. Эти ключи никуда не передаются без явного желания пользователей. Тем самым компания оператор мессенджера не в состоянии читать переписку своих клиентов.
3. Существует ли механизм независимой проверки подлинности собеседника
Этот пункт предполагает существование встроенного в приложение метода проверки подлинности абонентов и целостности канала связи. Два приемлемых решения:
- Интерфейс позволяющий проверить отпечаток (хеш) открытого ключа абонента с ранее сохраненным значением, вручную или по другому каналу связи.
- Протокол обмена ключами с сравнением короткой текстовой строки, такой как Socialist Millionaire’s* протокол.
*вопрос криптографии который рассматривает двух миллионеров которые хотят сравнить своё состояние не раскрывая данные о его количестве
Другие решения возможны, но любое из них должно удостоверять личности абонентов и целостность канала связи. Во время тестирования, определялось простое наличие подобного механизма, а не то насколько он удобен или безопасен.
4. Находятся ли ранее отправленные сообщение в безопасности, в случае утери ключа
Данный вопрос предполагает, что приложение обеспечивает конфиденциальность, при которой вся переписка шифруется недолговечными ключами, которые в последствие уничтожаются.
Крайне важно, что эти ключи не могут быть никем восстановлены, даже если получен доступ к долговременным закрытым ключам обеих сторон. Это гарантирует, что если пользователи удаляли локальную копию переписки, переписка будет окончательно удалена.
Обратите внимание, что для этого требуется выполнение условия номер 2 — end-to-end шифрования.
5. Открыт ли исходный код приложения для независимого аудита
Этот вопрос предполагает, что значительная часть исходного кода опубликована в открытом доступе и позволяет создать совместимую реализацию продукта.
Не смотря на это, нет требования, чтобы код был выпущен под какой-либо свободной лицензией. Единственно требование, чтобы код который отвечает за шифрование и связь был доступен для обзора с целью выявления ошибок, программных закладок, а так же структурных проблем.
6. Хорошо ли документирован крипто — дизайн
Этот пункт предполагает, четкое и подробное объяснение криптографии используемой в приложении.
Предпочтительно, чтобы этот документ был написан в форме понятной и предназначенной для рассмотрения профессиональными криптографами. Документ должен отвечать на следующие вопросы:
- Какие алгоритмы и параметры (размер ключа шифрования) используются в процессе шифрования и аутентификации.
- Как ключи генерируются, хранятся и передаются между пользователями
- Жизненный цикл ключей, процесс отзыва
- Четкое изложение сценариев при которых обеспечивается защита, а так же сценариев при которых использование приложения не является безопасным
7. Проводился ли независимый аудит безопасности
Проводился ли независимый аудит безопасности приложения в течении 12 месяцев до публикации этого исследования.
Такой аудит должен рассмотреть как дизайн так и реализацию приложения, а так же должен быть выполнен известной аудиторской командой которая никак не связана с разработчиками приложения.
Результаты аудита
Ответ на каждый из вопросов дает рассматриваемому приложению один бал. Далее мы опубликуем оценки наиболее распространенных программ, а так же список победителей.
Насколько безопасны популярные мессенджеры?
К сожалению EFF не проводило аудит популярных на территории СНГ Вконтакте, Одноклассников и ICQ. Впрочем, можно предположить, что их результат не будет отличаться в лучшую сторону от Viber, WhatsUp и Skype.
UPD С апреля 2016 Viber и WhatsUp стали поддерживать end-to-end шифрование
Как мы видим, наибольшую защиту обеспечивает мессенджер Telegram, правда только в режиме secret chat. Так же не беспокоиться за свою переписку могут пользователи Apple.
Победители — Самые безопасные мессенджеры
Наравне с Telegram и iMessage стоит обратить пристальное внимание на программы, целью которых с самого начала разработки было обеспечить максимальную конфиденциальность данных пользователей.
Среди них мы выдели три, которые на наш взгляд являются наиболее подходящими инструментами обеспечения безопасности коммуникаций.
бесплатное приложение с открытом исходным кодом, доступное как для android, так и для iOS. Основано на проверенной технологии XMPP и OTR шифровании. Кроме того, использует для работы сеть TOR. Отличный мессенджер и безопасное приложение, к сожалению, как и Telegram, не поддерживает голосовые звонки.
— пожалуй лучшее бесплатное решение, которое максимально защищает не только переписку, но и голосовые звонки. Сам Эдвард Сноуден рекомендовал это продукт от команды OpenWhisperSystems. Крайне рекомендуем к использованию.
— продукт Филиппа Цимермана — знаменитости в мире шифрования, создателя PGP и ZRTP. Обеспечивает полную конфиденциальность голосовых звонков и переписки. Дополнительно позволяет звонить на обычные телефонные номера более чем в 100 стран мира. Так же есть корпоративные решения. Единственный недостаток это цена — подписка стоит в районе 10 USD в месяц.
Мы постарались перевести и донести самые важные тезисы исследования. С полный текстом и списком всех программ можно ознакомиться по
Ждем ваших комментариев, отзывов и вопросов.
Безопасного вам общения.
UPD
06.04.2016
и обновил свою позицию в рейтинге
19.04.2016 viber тоже стал шифровать сообщения пользователей и добавил функционал доступный ранее в whatsup и telegram. Об этом компания
в свое официальном блоге.
03.06.2016 Ходят слухи, что и в facebook messanger появится end-to-end шифрование
08.07.2016 В facebook появилось end-to-end шифрование
Комментарии0
Оставить комментарий