Whatsapp включил шифрование и стал таким же защищенным, как telegram — все про apple устройства

Как осуществляется шифрование Телеграмм и в чем его отличие от других мессенджеров

11.09.2016

Рубрика: Технологии

Несмотря на то что мессенджер Павла Дурова вышел на рынок позднее своих главных конкурентов WhatsApp и Viber, он довольно быстро приобрел репутацию одного из самых безопасных сервисов. Шифрование Телеграмм с помощью собственной разработки – протокола MTProto – позволило создать хорошо защищенный от взлома продукт, благодаря чему он стал популярен во всем мире.

Рейтинг безопасности

Безопасность виртуального общения определяется рейтингом Фонда электронных рубежей (EFF). В постоянно обновляемой таблице каждому сервису выставляется оценка от 1 до 7 в зависимости от уровня защиты информации от потенциального взлома.

Шифрование Телеграмм является самым защищенным среди других месседжеров

Секретные чаты Телеграмм, шифрование которых осуществляется по принципу end-to-end (E2E), имеют в данном рейтинге максимальный бал – 7, а стандартная переписка, используемая по умолчанию, – 4. Поскольку при обычном общении ключи сохраняются на серверах компании, считается, что потенциально они могут стать доступны третьи лицам.

До недавнего времени рейтинг WhatsApp и Viber в таблице EFF был не очень высоким и равнялся всего двум баллам. Конкуренция с Telegram заставила данные компании пересмотреть свою политику безопасности.

В связи с этим, был введен принцип оконечного шифрования, который с 2106 года стал использоваться по умолчанию, и позволил получить 6 баллов от EFF. Его суть заключается в хранении ключей, необходимых для расшифровки сообщений, только на устройстве пользователя.

Таким образом, чтобы получить доступ к информации, необходимо обладать физическим доступом к смартфону.

Возникает вопрос: если сервис Павла Дурова позиционирует себя как самый безопасный мессенджер, почему не использовать секретные чаты по умолчанию, что позволит безоговорочно возглавить рейтинг? Дело в том что E2E-шифрование имеет определенный недостаток – секретная переписка привязывается к конкретному устройству, поэтому и ее история хранится только на одном устройстве. Политика компании заключается в предоставлении пользователям права выбора, ведь стандартный режим позволяет заходить в аккаунт с любого устройства.

Шифрование Телеграмм на основе MTProto

Протокол MTProto использует два слоя шифрования – сервер-сервер и клиент-сервер. Он работает на основе следующих алгоритмов:

Алгоритм показывает как используется шифрование Телеграмм на основе MTProto

  • AES – симметричный 256-битный алгоритм, принятый правительством США в качестве стандарта.
  • RSA – криптографический алгоритм, в основе которого лежит вычислительная сложность задачи факторизации крупных целых чисел.
  • Метод Диффи-Хеллмана – позволяет получить двум и более собеседникам секретный ключ по незащищенному от прослушивания, однако защищенному от подмены каналу связи.
  • SHA-1, MD5 – хеш-алгоритмы, используемые во многих криптографических протоколах и приложениях для безопасного хеширования.В отличие от протокола Double Ratchet, который применяется WhatsApp и уже успел получить одобрение известных специалистов в области защиты информации, разработчики MTProto не спешат предоставлять свой продукт для независимого аудита. С одной стороны, это делает алгоритм потенциально уязвимым для атак, с другой – на сегодняшний день не зафиксировано ни одного успешного действия, приведшего к расшифровке сообщений.Создатели мессенджера заявляют о гарантии безопасности в отношении передачи зашифрованных данных. Для подтверждения своих слов Павел Дуров периодически организовывает конкурсы, в которых участникам предлагается расшифровать переписку двух собеседников. Призовой форд составляет 200 тыс. долларов, однако до настоящего времени ни один хакер не смог прочитать зашифрованные сообщения. Справедливости ради следует отметить, что многие эксперты довольно скептически относятся к подобным конкурсам, считая их скорее продуктами пиара, чем реальным доказательством защищенности системы.

Реален ли взлом

Даже если принять в качестве аксиомы, что MTProto действительно имеет лучшие параметры защиты среди современных мессенджеров, злоумышленники все же имеют возможность взломать аккаунт пользователя. При этом сам протокол здесь абсолютно не причем.

MTProto имеет лучшие параметры защиты среди современных мессенджеров

Уязвимость заключается в способе авторизации пользователя. Для данной процедуры используется реальный номер телефона, на который отправляется СМС-код для подтверждения входа в аккаунт.

В основе подобного метода передачи данных лежит технология SS7 (Signaling System #7), которая разрабатывалась 40 лет назад и обладает слабыми параметрами безопасности по современным меркам. Теоретически злоумышленники могут перехватить СМС с кодом и взломать аккаунт.

А поскольку в обычном режиме Telegram хранит все сообщения на своих серверах, хакеры могут получить доступ ко всей переписке конкретного пользователя.

Злоумышленники взламывают аккаунт используя перехват смс

Проблему решает общение в секретных чатах. В этом случае прочитать переписку можно только посредством реальной кражи телефона, так как сообщения не хранятся на сервере, а передаются исключительно между двумя устройствами.

Источник: https://ru.telegram-store.com/blog/shifrovanie-telegramm/

Шифрование в Whatsapp

Шифрование сообщений в Whatsapp — что это и зачем это стало нужно? Такой вопрос задают многие пользователи этого приложения, уже ставшего популярным. Об этом и о многом другом пойдет речь далее.

Зачем нужно шифрование?

Зачем владелец Ватсап включил шифрование? Доподлинно не известно, что за конфликт произошел между силовыми структурами стран, их объединений и руководством компании, но теперь Whatsapp шифрует полностью все данные, которые посылаются пользователями. Получается, что только отправителю и получателю сообщений видно их содержание. Сюда относятся:

  • Текстовое сообщение, в том числе смайлики.
  • Картинка.
  • Видео.
  • Фотография.
  • Скомпилированные (смешанные) файлы.
  • Звонок (аудиосообщение).

По сути, включить шифрование нужно было, чтобы противостоять киберпреступникам и иным пользователям, физическим и юридическим лицам, могущим иметь доступ к подобного рода данным.

Даже для самой компании переписки индивидуальных пользователей теперь полностью закрыты для просмотра.

Хотите вы этого или нет, общаясь в этой Сети с помощью групповых чатов, вы будете обмениваться данными с защитой их содержимого, которое нельзя убрать.

Ян Кум, один из владельцев Вацап, считает, что данные, посылаемые пользователями друг другу, не могут быть использованы другими лицами либо просматриваться ними. Именно поэтому нужно шифрование в Whatsapp. Оно называется «end-to-end encryption» и производится по умолчанию. Расшифровка также производится автоматически устройством получателя сообщения.

Что такое сквозное шифрование?

Что значит одна галочка в WhatsApp

Если вы используете для переговоров в Вацапе последнюю версию программы Whatsapp IOS, все сообщения, посылаемые собеседнику, в обязательном порядке шифрует специальное программное обеспечение. Это и называется “сквозное шифрование”. Факт его наличия дает стопроцентные гарантии конфиденциальности любому пользователю. Так как данный вид защиты информации активирован все время, отключить его невозможно, да и не нужно.

При каждой отправке любого по объему и содержанию сообщения оно кодируется отдельно (это значит, что вы защищены), поэтому имеет собственный ключ. Он есть только у того, кто отсылал сообщение, а также у предполагаемого получателя этой информации.

Вы сможете проверить кодировку одним из следующих способов:

  • Перепишите код из раздела информации (он состоит из шестидесяти цифр) и перешлите или иным образом сообщите своему собеседнику. Он в ручном режиме сравнит со своим таким же кодом на сообщении. Зашифрованность предполагает совпадение этих цифр. Кстати, можно также нажать “Поделиться” на экране показа QR-кода и отправить в автоматическом режиме его собеседнику.
  • Можно отсканировать QR-код, который похож чем-то на штрих-код, только он состоит не из полосочек, а из квадратиков. Его можно найти, нажав на своем гаджете “шифрование”. При удачной проверке на экране возникнет зеленая галочка. Подобные изображения означают, что информационный объект зашифрован.

Особенно просто сделать второй вариант проверки, если вы с вашим собеседником можете встретиться в реальной жизни, то есть территориально находитесь близко. В таком случае один из вас может отсканировать QR-код с устройства товарища (неважно, Android это или другое устройство), с которого он пользуется Ватсапом, либо визуально сравнить все шестьдесят цифр.

Обратите внимание на то, что даже 60 цифр QR-кода – это не вся “шифровка”, а только ее часть. Скрытие от всех части кода – это дополнительная мера, которая обеспечит безопасность общения и обмена информацией.

Если же код не совпал, это значит, что вы по ошибке просканировали код другого чата или другого пользователя. Также это может свидетельствовать об устаревшей версии программы. О том же самом говорит сообщение об отсутствии шифрования, выскакивающее при попытке узнать этот код.

Описанный выше процесс называется “Подтвердить код безопасности”, но обязательной процедурой это не является.

Источник: http://allmessengers.ru/whatsapp/shifrovanie

Криптостойкие андроиды. Почему шифрование в Signal, WhatsApp, Telegram и Viber не защитит твою переписку от взлома — «Хакер»

Содержание статьи

Сквозное (end-to-end) шифрование в мессенджерах завоевало популярность тем, что оно происходит совершенно незаметно для пользователей.

Им не надо самостоятельно генерировать пары ключей, подписывать их, распространять открытые и оберегать секретные ключи, вовремя отзывать старые и скомпрометированные — все делается автоматически, а переписка волшебным образом оказывается защищенной. Но так ли все хорошо на самом деле?

Вся информация в этой статье предоставлена исключительно в ознакомительных целях. Ни редакция, ни автор не несут ответственности за любой возможный вред, причиненный материалами данной статьи.

Еще в 2004 году наш соотечественник Никита Борисов совместно с Ианом Голдбергом разработал универсальный криптографический протокол для систем мгновенного обмена сообщениями.

Протокол получил название OTR (Off-the-Record Messaging) и начал открыто распространяться под лицензией GPL в виде готовой библиотеки. В дальнейшем OTR стал основой других популярных протоколов с дополнительными методами повышения безопасности.

В частности, протокола Signal, ранее известного как TextSecure. На базе Signal работает и большинство других современных мессенджеров.

Концептуально все криптографические способы защиты переписки должны обеспечивать как минимум два базовых свойства: конфиденциальность и целостность сообщений. Конфиденциальность подразумевает, что только собеседники могут расшифровать сообщения друг друга.

Ни интернет-провайдер, ни разработчик мессенджера, ни какая-то иная третья сторона не должны иметь технической возможности выполнять дешифровку за разумное время. Целостность обеспечивает защиту от случайных искажений и целенаправленных атак подмены.

Любое измененное при передаче сообщение будет автоматически отклонено принимающей стороной как поврежденное и утратившее доверие.

Читайте также:  5 лучших игр 2018 для iphone и ipad по версии apple. вы играли в них? - все про apple устройства

В современных протоколах обмена мгновенными сообщениями также решаются дополнительные задачи, повышающие удобство и безопасность. В протоколе Signal и его ближайших аналогах это такие свойства, как асинхронность передачи, прямая и обратная секретность.

Наверняка ты замечал, что в мессенджерах доставляются пропущенные сообщения. Они приходят даже в том случае, если ты беседовал в групповом чате и вдруг надолго отключился посреди разговора. Это и есть асинхронность: сообщения шифруются и доставляются независимо друг от друга. При этом за счет временных меток и некоторых дополнительных механизмов сохраняется их логическая последовательность.

Такое свойство, как прямая секретность, подразумевает, что при компрометации ключа шифрования текущего сообщения с его помощью нельзя будет расшифровать предыдущую переписку. Для этого у мессенджеров часто меняются сессионные ключи, каждый из которых шифрует свою небольшую порцию сообщений.

Аналогично обратная секретность обеспечивает защиту будущих сообщений при компрометации текущего ключа. Новые ключи генерируются таким образом, что их взаимосвязь с предыдущими вычислить крайне сложно.

Прямая и обратная секретность реализованы в современных механизмах управления ключами. В протоколе Signal для этого используется алгоритм «Двойной храповик» (Double ratchet, DR). Он был разработан в 2013 году консультантом по криптографии Тревором Перрином (Trevor Perrin) и основателем Open Whisper Systems Мокси Марлинспайком (Moxie Marlinspike).

Название является отсылкой к механической шифровальной машине Enigma, в которой использовались храповики — шестеренки с наклонными зубцами, двигающиеся только в одном направлении. За счет этого в шифровальной машине исключалось состояние шестеренок, повторяющее одно из недавно использованных.

По аналогии с ними «цифровой храповик» также препятствует повторному использованию прежних состояний шифрсистемы. DR часто меняет сессионные ключи, при этом не давая повторно использовать ранее сгенерированные.

Этим он как раз и обеспечивает прямую и обратную секретность, то есть дополнительную защиту отдельных сообщений.

Даже в случае удачного подбора одного сессионного ключа атакующая сторона сможет расшифровать только зашифрованные им сообщения, а это всегда малая часть переписки.

В протоколе Signal реализовано и множество других интересных механизмов, описание которых выходит за рамки статьи. С результатами его аудита можно ознакомиться здесь.

Источник: https://xakep.ru/2017/02/27/cryptodroid-messengers-encryption/

Бегом от спецслужб: Viber включил полное шифрование вслед за Telegram и WhatsApp

Viber стал безопасным

Владельцы мессенджера и VoIP-сервиса Viber объявили о внедрении функции сквозного шифрования (end-to-end encryption), которая доступна в обновлении клиентской программы (версия 6.0) на различных платформах – Android, iOS, PCs and Mac.

Первыми воспользоваться новой технологией защиты данных смогли жители Бразилии, Белоруссии, Израиля и Таиланда. В течение двух недель география будет расширена и на остальные страны присутствия Viber. По словам операционного директора Viber Майкла Шмилова (Michael Shmilov), разработка сквозного шифрования велась «в течение нескольких лет».

Как работает сквозная защита

Суть технологии end-to-end encryption заключается в том, что сообщение находится в зашифрованном виде на всем пути следования от отправителя к получателю.

Ключ, с помощью которого сообщение можно расшифровать, хранится только у адресата, поэтому владелец мессенджера не сможет передать его третьей стороне даже по требованию государственных органов. «Viber не будет предоставлять доступ к переписке ни в одной стране и ни при каких условиях.

Мы придерживаемся той же позиции, которую заняли Apple и WhatsApp. В распоряжении компании есть записи о взаимодействии различных телефонных номеров, но у нас нет доступа к содержанию сообщений или разговоров», – заявили в компании Viber.

Разработчики Viber предусмотрели несколько уровней защиты. После активации обновления с помощью QR-кода справа на экране появляется иконка в виде замка, цвет которого показывает степень безопасности.

Серый цвет обозначает полное шифрование данных, зеленый замок появляется в случае выбора опции дополнительной аутентификации пользователя при начале нового разговора.

Красный цвет предупреждает о попытке перехвата данных, однако также загорается в случае использования собеседником нового устройства.

В погоне за конкурентами

Viber заявил о реализации технологии сквозного шифрования менее, чем через месяц после того, как сквозное шифрование появилось в сервисе WhatsApp, который насчитывает около 1 млрд пользователей и является наиболее популярным мессенджером в мире.

Viber вслед за конкурентами объявил о запуске сквозного шифрования

Viber — второй по числу аккаунтов сервис для обмена мгновенными сообщениями с клиентской базой более 700 млн. Еще один распространенный мессенджер – Telegram (более 100 млн пользователей) – располагал функцией сквозного шифрования со времен своего релиза в 2013 г.

Технические подробности

Партером конкурентов из WhatsApp по внедрению новой возможности стала компания Open Whisper Systems, разработчик мобильного приложения Signal — любимого мессенджера Эдварда Сноудена (Edward Snowden), где шифрование данных базируется на протоколе Signal Protocol. Его особенность заключается в том, что для каждой сессии используются новые ключи (в отличие, например, от протокола шифрования электронной почты PGP, в котором сообщения шифруются снова и снова одним и тем же публичным ключом).

Представители Viber, в отличие от коллег из WhatsApp, не раскрывают технических подробностей о работе своего механизма сквозной защиты. В компании опровергли информацию о применении алгоритма MD5, считающегося ненадежным, и сообщили, что «технология шифрования основана на протоколе с открытым кодом, дополненным собственными (in-house) разработками».

Источник: http://safe.cnews.ru/news/top/2016-04-25_viber_zashchitil_700_mln_polzovatelej_ot_spetssluzhb

Как включить шифрование в WhatsApp — Блог веб-программиста

Как включить шифрование в WhatsApp

Подробности ноября 14, 2017 Просмотров: 2079

WhatsApp недавно обновил свой протокол шифрования, чтобы успокоить даже самых параноидальных пользователей. Так называемый сквозной протокол шифрования обещает, что «только вы и человек, с которым вы общаетесь, можете читать то, что отправлено». Никто, даже WhatsApp, не имеет доступа к вашему контенту.

Протокол безопасности описывается в блоге:

Когда вы отправляете сообщение, единственным человеком, который может его прочитать, является личный или групповой чат, на который вы отправляете это сообщение. Этого сообщения не видит никто. Не киберпреступники. Не хакеры. Не репрессивные органы. Даже мы. Сквозное шифрование помогает сделать связь через WhatsApp private — вроде как беседы лицом к лицу.

Новая функция также доступна на самых разных мобильных платформах, включая iPhone, Android, Windows и многих других. Вы даже можете использовать сквозную функцию шифрования на WhatsApp Web, платформа обмена сообщениями, предназначенная для ПК или Mac.

Кроме того, WhatsApp сообщает в разделе часто задаваемых вопросов, что функция включена всегда:

Важно: сквозное шифрование активируется, если все стороны используют последнюю версию WhatsApp. Сквозное шифрование отключить невозможно.

Обновление до сквозного шифрования

Однако вам нужно будет убедиться, что шифрование включено. Для этого: обновите WhatsApp до последней версии и попросите человека или группу, с которой вы общаетесь, сделать то же самое. Нет необходимости в дополнительном приложении или функции.

Чтобы убедиться, что функция обновлена, запустите чат и нажмите на имя своего друга или членов семьи вверху. Затем вы попадете на страницу своей контактной информации, которая отобразит, будут ли ваши сообщения зашифрованы, как вы можете видеть в выделенной части на рисунке ниже.

Если чат не зашифрован, нажмите на шифрование, чтобы просмотреть QR-код и уникальный 60-значный номер. WhatsApp говорит, что уникальный «ключ» делится только между получателями сообщений, причем каждый ключ уникален для каждого чата.

Затем вы можете делиться цифрами или кодом с друзьями или семьей. Если ваш друг или члены семьи находятся поблизости, вам повезло. Вы можете сканировать код друг друга, чтобы убедиться, что ваши чаты активированы. Если они далеко, отправьте им 60-значный код с помощью SMS, электронной почты и т. д. Через кнопку совместного доступа на вашем iPhone, Android или телефоне Windows.

Вот и все, ваши чаты теперь зашифрованы.

WhatsApp все еще сохраняет ваши данные

Будьте осторожны. Согласно WhatsApp legal, информация о дате и времени хранится на серверах WhatsApp в течение короткого периода времени:

WhatsApp может сохранять информацию о дате и времени, связанные с успешно доставленными сообщениями и номерами мобильных телефонов, участвующих в сообщениях, а также любую другую информацию, которую WhatsApp юридически вынуждена собирать.

Файлы, которые отправляются через службу WhatsApp, будут находиться на наших серверах после доставки в течение короткого периода времени, но будут удалены и лишены любой идентифицируемой информации в течение короткого периода времени в соответствии с нашими общедоступными политиками хранения.

Это означает, что ваши метаданные или информация о ваших данных потенциально уязвимы для хакеров — это одна из проблем, которая заставляет пользователей беспокоиться.

Что это значит? Это означает, что информация — например, когда было сделано изображение, когда оно было принято, и т. д. — может храниться на серверах WhatsApp в течение короткого периода времени. И хотя само изображение, скорее всего, не присутствует, информация об изображении, документе, видео и т. д. остается.

Кроме того, ваши метаданные также могут быть доступны маркетинговым группам, что соответствует другому недавнему обновлению, которое позволяет чат-приложению «общаться с бизнесом и организациями». Этот бит информации был сделан, когда приложение было объявлено бесплатным для всех пользователей мира.

WhatsApp анонсировала с обновлением, что сторонних объявлений или спама не будет, но неопределенная фраза «общение с предприятиями и организациями» по-прежнему оставляет открытые ворота интерпретации.

Читайте также:  Как отключить камеру facetime (isight) на imac и macbook: 2 способа (не скотч) - все про apple устройства

В частности, изменения были сделаны. И большинство пользователей, похоже, очень довольны обновлением, которое обещает защитить вашу информацию.

Есть ли причины для беспокойства?

Ранее голландский разработчик обнаружил, что информация о временной шкале приложения была доступна с помощью программного обеспечения под названием WhatSpy Public, что, по-видимому, может «показать хронологию онлайн-статуса отслеживаемого пользователя».

Дизайнер программного обеспечения Майкель Зверинк вызвал много беспокойства, доказав, что он может «шпионить» за пользователями с его приложением.

Пока еще не видно, может ли приложение отслеживать пользователей с последним сквозным обновлением шифрования. Но пользователи должны быть предупреждены: шифрование не является полностью надежной.

Что вы об этом думаете? Вы используете WhatsApp? Вас беспокоит безопасность данных во время использования приложения? Вы регулярно обновляете приложение? Сообщите нам об этом в комментариях ниже.

Читайте также

Источник: http://juice-health.ru/program/759-how-to-enable-encryption-in-whatsapp

WhatsApp vs Telegram: Выбираем самый безопасный мессенджер

В рамках эксперимента было установлено, как пять популярных приложений для отправки сообщений реагируют на смену ключей шифрования.

На прошлой неделе газета The Guardian опубликовала статью о «бэкдоре» в популярном мессенджере WhatsApp. Вряд ли это был именно бэкдор, то есть намеренно оставленная уязвимость, но эта история действительно вызывает некоторые неприятные вопросы к процедуре смене ключей шифрования.

Автор портала Medium, Тина Мембе, решила выяснить, как другие мессенджеры, претендующие на звание безопасных, ведут себя в этой ситуации. Объединившись с другом, она провела ряд экспериментов и обнаружила неожиданные результаты.

Взяв два телефона на Android, Тина и ее друг приготовились изображать Алису и Боба. Итак, какова была процедура?

1. Первый контакт. Боб посылает сообщение Алисе.

2. Отправка сообщения после изменения ключа. Алиса удаляет его и повторно устанавливает приложение, в ходе этой процедуры ключи Алисы меняются. Боб посылает Алисе сообщение.

3. Ключи меняются в процессе доставки сообщения. Алиса удаляет приложение, Боб посылает Алисе сообщение, а затем Алиса повторно устанавливает приложение. Именно на этом попался WhatsApp: что делать, когда сообщение уже отправлено, и тут меняются ключи?

WhatsApp

1. Первый контакт. Боб впервые связывается с Алисой, и сообщение доставляется без предупреждений и запросов пользователю. Судя по всему, так обстоит дело во всех протестированных мессенджерах, кроме Wire, где безопасность слабее, чем в других приложениях (см. ниже).

2. Отправка сообщения после изменения ключа. Алиса удалила и снова установила приложение.

Как только Алиса поставила WhatsApp обратно, Боб сразу увидел в совместном чате уведомление об изменении ключа. (См.

скриншоты, первое сообщение, что «код безопасности Алисы изменился».) Очень мило, что мессенджер сам предупреждает Боба об этом изменении. Однако из всех протестированных мессенджеров делает так делает только WhatsApp. Отлично.

3. Ключи меняются в процессе доставки сообщения. Алиса удаляет приложение, после чего Боб посылает ей сообщение. На первом скриншоте видно, что у сообщения только одна галочка — это показывает, что оно не доставлено.

Теперь Алиса снова устанавливает мессенджер, и на втором скриншоте видно, что сообщение автоматически доставляется с использованием нового ключа, и Боба никто ни о чем не спрашивает, хотя он и получает уведомление об изменении (вторая надпись «код безопасности Алисы изменился»).

4. Проверка и подтверждение. Интерфейс у программы достаточно приятный. Для шифрования сообщений между абонентами в WhatsApp используется протокол Signal — судя по всему, продуманный и спроектированный с заботой о пользователе. Отсюда же и возможность сверить ключи при личной встрече с помощью QR-кода.

Результат тестирования WhatsApp

Хорошо: Интерфейс приятный и удобный.

Хорошо: Мессенджер сам предупреждает о смене ключа. В этом вопросе WhatsApp впереди всех остальных протестированных мессенджеров.

Хорошо: Сообщения WhatsApp доставляются при таких необычных обстоятельствах.

Плохо: Автоматическое повторное шифрование сообщений, за время доставки которых сменился ключ. Конечно, пользователь получает уведомление, но, если они будут требовать еще и подтверждения, WhatsApp обгонит все остальные мессенджеры. Но вот как при этом сделать удобной работу в группах, не путая порядок сообщений — большой вопрос.

Signal

1. Первый контакт. Все выглядит нормально.

2. Отправка сообщения после изменения ключа. В отличие от WhatsApp, Signal не предупреждает Боба, что ключи Алисы изменились. Все выглядит нормально, пока Боб не пытается отправить Алисе сообщение (первый скриншот).

Однако, когда Боб предпринимает такую попытку, он получает не просто предупреждение, а блокирующее окошко, и, чтобы двигаться дальше, нужно явным образом дать согласие (второй скриншот).

Когда Боб утверждает изменение, уведомление остается в логе беседы (третий скриншот).

3. Ключи меняются в процессе доставки сообщения. Алиса удаляет приложение, Боб посылает сообщение, затем Алиса снова устанавливает мессенджер. Алиса не получает сообщение, а на стороне Боба не показывается уведомление о доставке (четвертый скриншот). Тем не менее в следующий раз, когда Боб пытается отправить Алисе сообщение, он получает уведомление, что ее ключи изменились.

У Signal нет характерной для WhatsApp уязвимости, связанной с отправкой заново зашифрованного сообщения, но и само сообщение, посланное в момент, когда у Алисы удалено приложение, доставлено не будет. Возможно, в этом нет ничего страшного, ведь это не обычный сценарий, да и сбой не ведет к угрозе безопасности переписки, но программа могла бы быть и дружелюбнее к пользователю.

Вероятно, это лучшая реализация из протестированных мессенджеров.

В Signal используется надежный протокол, есть QR-код для быстрого сличения ключей, а также некоторые удобные возможности: пользователи могут обменяться «безопасным кодом» через любой канал связи и быстро проверить его истинность с помощью буфера обмена. Программа была явно хорошо продумана и разработана с заботой о пользователе. Она оставляет хорошее впечатление.

Результат тестирования Signal

Хорошо: Как и следовало ожидать, Signal придерживается наиболее консервативной и безопасной политики.

Хорошо: Проверка ключей самая удобная из всех испытанных приложений.

Было бы неплохо добавить: Предупреждение об изменении ключей, как в WhatsApp.

Не очень хорошо: Сообщение, посланное в момент, когда у получателя удален мессенджер, теряются, и пользователю предлагается заметить это по непришедшему уведомлению о доставке. Было бы лучше, если бы Signal явным образом предупреждал об этом пользователя и предлагал еще раз отправить сообщение.

Telegram

1. Первый контакт. Очень странно, но в «тайных чатах» в Telegram нет отчета о доставке. Первые два сообщения в первом скриншоте были успешно получены и прочитаны Алисой, но Боб не сможет об этом узнать.

2. Отправка сообщения после изменения ключа. Здесь все становится очень плохо. Алиса удаляет приложение, ставит его обратно, после чего Боб посылает ей третье сообщение на первом скриншоте.

Алиса его не получит, как и все последующие сообщения от Боба, сколько бы он их ни отправлял. При этом у Боба нет ни малейшего шанса это понять, потому что сообщений о доставке нет. О смене ключей Бобу тоже не сообщают.

Тайные чаты устроены так странно, что поневоле возникает вопрос, а пользуется ли ими вообще кто-нибудь.

3. Ключи меняются в процессе доставки сообщения. Тут все тоже плохо. Боба не предупреждают о смене ключа у собеседника, а его сообщения просто не доходят.

Неизвестно, как шифруются сообщения Боба — старыми или новыми ключами, — но какая разница, если на мессенджер все равно нельзя рассчитывать? Если Боб каким-то образом узнает, что все пошло не так, ему нужно открыть новый тайный чат, но о смене ключей он так и не узнает.

Приложение выглядит так, как будто о реальных сценариях использования никто даже не задумывался.

Сравнить ключи можно с помощью некоего странного изображения — это не машиночитаемый QR-код, а картинка, которую нужно визуально сравнить с другой картинкой.

Такое сравнение в любом случае и труднее, и медленнее, чем сканирование QR-кода в WhatsApp и Signal. А текстовое отображение ключа — просто отформатированное шестнадцатеричное число, дурацкое, как и весь этот экран.

Результат тестирования Telegram

Плохо: Никакого уведомления пользователя о смене ключей нет и в помине.

Плохо: Весь процесс обмена сообщениями ненадежен.

Автор исследования не рекомендует использовать Telegram для шифрованных переговоров, но, кажется, его создатели сами позаботились о том, чтобы это было невозможно.

Wire

1. Первый контакт. Если в других исследованных мессенджерах используется схема «доверяем первому отправленному собеседником ключу», то здесь защита слабее. Приложение доверяет любому ключу, если ключ сменится, то никакого уведомления не будет. Можно только вручную сверить все ключи с ключами собеседника, но это достаточно трудоемкий процесс (см. ниже).

2. Отправка сообщения после изменения ключа. В ходе тестирования выявилось непоследовательность работы мессенджера.

Иногда ключ менялся без каких-либо предупреждений (как на скриншотах выше), а иногда выводилось предупреждение (которое, впрочем, не мешало Бобу продолжать писать Алисе).

Кроме того, судя по сообщениям пользователей, некоторым из них и вовсе встречалось блокирующее предупреждение.

В Wire пояснили, что, если Алиса и Боб верифицируют устройства друг друга, Боб при попытке послать Алисе сообщение после смены ключей увидит блокирующее уведомление. Есть некие сомнения в том, что это безопасная схема, а требование взаимной проверки выглядит странно.

Читайте также:  Трезвый взгляд на недостатки macbook pro 2016. может не все так плохо? - все про apple устройства

3. Ключи меняются в процессе доставки сообщения. Как уже выяснилось, одни мессенджеры теряют такое сообщение, другие пренебрегают требованиями безопасности. Wire теряет сообщение, и в безопасности протокола тоже нельзя быть уверенным — здесь имеет место такая же неопределенность, как и в предыдущем случае.

Некоторые протестированные мессенджеры не отличались дружелюбием к пользователю, но этот оказался откровенно враждебным. В отличие от протокола Signal, где устройства одного пользователя делят общую идентичность, здесь выбрано ужасное решение, что каждое устройство существует само по себе.

Wire также считает каждую установку приложения новым устройством, и в результате список устройств пользователя раздувается, как на скриншоте выше (например, за время этого тестирования устройств стало три, хотя телефон, конечно, использовался один).

Это значит, что пользователь с тремя физическими устройствами должен собрать их вместе, и каждый раз, когда на одном из них происходят какие-то изменения, провести шесть процедур попарной верификации, а пользователи, желающие провести верификацию друг друга, должны провести N² сравнений между своими устройствами.

Последовательность цифр для сравнения представлена в виде 64 шестнадцатеричных символов, причем они так отформатированы, что пользователь со склонностью к эпилепсии сильно рискует. Выходит, что двум пользователям с тремя устройствами для верификации пришлось бы сравнить 1152 символов.

Результат тестирования Wired

Очень плохо: Процедура уведомления о смене ключей абсолютно непредсказуема.

Очень плохо: Дизайн мессенджера в корне противоречит идее безопасной коммуникации. Даже если разработчики изменят поведение в случае со сменой ключей, выбранная ими схема работы с шифрованными сообщениями всегда будет ненадежной.

Очень плохо: В Wired используется более слабая схема, нежели «доверие первому полученному ключу». Здесь как в мессенджерах, которые требуют включить для получения уведомлений о смене ключей специальную настройку, но речь не о галочке, а о выполнении практически невыполнимой задачи (например, сверки 1152 символов) со всеми корреспондентами. Пользоваться этим невозможно.

Allo

1. Первый контакт. Пока все нормально.

2. Отправка сообщения после изменения ключа. Алиса удалила и снова установила приложение.

Опять же, в отличие от WhatsApp, Allo не предупреждает Боба о смене ключа Алисы, но, как только он посылает Алисе сообщение, уведомление о смене ключа вставляется в беседу до набранного сообщения, и отправить его не получается. Это блокирующий процесс, как у Signal, но здесь пользователю менее очевидно, что происходит.

Чтобы послать заблокированное сообщение с новым ключом, достаточно повторно на него нажать, и не факт, что пользователь сопоставит проблему с отправкой с сообщением о смене ключа, появившимся над сообщением.

3. Ключи меняются в процессе доставки сообщения. Исходящее сообщение Боба остается в состоянии ожидания, а история чата переписывается еще раз — перед исходящим сообщением Боба в нижней части второго скриншота можно увидеть еще одно уведомление, что ключ Алисы изменился.

Кажется, что все зависло. Боб пытается послать следующее сообщение, и оно тоже не отправляется. И, наконец, Алиса пытается послать сообщение Бобу (третий скриншот).

Когда оно приходит, два отложенных сообщения Боба наконец помечаются как неотправленные, и снова пользователю нужно самостоятельно сделать вывод, что это как-то связано со сменой ключей (а сообщение об этом уехало еще выше).

При нажатии на сообщения мессенджер их немедленно отправляет, а заодно перемешивает (четвертый скриншот) — оказывается, в каком порядке на них нажмешь, в таком они и отправятся.

В Allo используется протокол Signal, так что с процедурой сверки ключей здесь все в порядке, но интерфейс оставляет желать лучшего. QR-кода здесь нет, возможности поделиться кодом тоже, и в целом этот экран выглядит так, как будто разработчики не предполагали, что им кто-то будет пользоваться.

Результат тестирования Allo

Хорошо: Allo почти нормально обрабатывает каверзный случай изменения ключа, когда приложение удалено в момент отправки сообщения.

Он, как и Signal, не отсылает автоматически сообщение с новым ключом, а также, в отличие от Signal, отдельно сообщает, что сообщение доставить не удалось.

К сожалению, похоже, не обошлось без ошибок (исходящее сообщение застревает в ожидании отправки до получения сообщения от собеседника), но прорехи в безопасности тут нет. И, поскольку Allo не поддерживает шифрованные групповые чаты, проблемы с порядком сообщений здесь не так важны.

Оставляет желать лучшего: Интерфейс сверки ключей.

Оставляет желать лучшего: От пользователя требуется сначала выбрать «чат инкогнито», а потом еще найти нужную настройку, чтобы видеть предупреждения о смене ключей.

Плохо: Процесс подтверждения отправки немного примитивен — пользователю нужно еще догадаться, почему сообщение не удалось отправить, но для отправки достаточно одного касания.

Выводы

WhatsApp. Неплохо, но нужно поправить схему работы с сообщениями, посланными до новой установки мессенджера. Правильная реализация с учетом поддержки групп может оказаться непростым делом.

Signal. Самый безопасный вариант, но в вопросе функциональности можно было бы взять пример с WhatsApp.

Telegram. Очень неудобно.

Wire. Ужасно. Это пример того, как не должен быть устроен мессенджер.

Allo. Как ни удивительно, этот мессенджер выглядит перспективным. Осталось исправить некоторые ошибки, включить предупреждения по умолчанию, и можно будет считать его хорошим вариантом.

Источник: https://ru.insider.pro/technologies/2017-01-21/whatsapp-vs-telegram-vybiraem-samyj-bezopasnyj-messendzher/

Сквозное шифрование WhatsApp

Всем людям свойственны переживания о своей безопасности и конфиденциальности, поэтому приложение WhatsApp использует сквозное шифрование. Использование этой технологии гарантирует безопасность ваших личных данных и делает невозможным попадание в чужие руки сообщений, медиа-файлов, документов и звонков.

О технологии сквозного шифрования в вацапе

Для использования технологии сквозного шифрования вы и ваши собеседники должны использовать последние версии приложения WhatsApp.

Технология сквозного шифрования в WhatsApp дает гарантию, что доступ к содержимому ваших диалогов сможете получить только вы и человек, с которым вы общаетесь.

Никто другой, даже компания WhatsApp, не сможет получить доступ к этим данным, так как ваши сообщения защищает уникальный замок. Ключ к этому замку предоставляется только вам и получателю сообщений и только он может разблокировать и прочитать данные.

Для большей безопасности каждое отдельное сообщение отправляемое вами так же имеет уникальный замок шифрования и ключ к нему.

И самое главное, что это все происходит в автоматическому режиме — для использования сквозного шифрования нет необходимости разбираться в настройках приложения или же использовать отдельные секретные чаты. Защита ваших личных данных обеспечивается постоянно.

Важно! Технология сквозного шифрования активна постоянно, если каждая из сторон использует последнюю версию приложения. Отключение сквозного шифрования в WhatsApp невозможно. Использование шифрования не всегда гарантирует полную защиту данных.

Подтвердить код безопасности Вацапа?

Каждый чат в Вацапе имеет свой код безопасности, данный код используется для подтверждения шифрования отправленной вами информации: звонков, сообщений и файлов, которые вы отправляете в чат.

Важно! Данный процесс проверки не обязателен. Он используется для подтверждения шифрования отправляемых вами сообщений.

Код безопасности находится в разделе “Инфо о контакте” — это QR-код или цифровой 60-ти значный номер. Этот код является уникальным для каждого отдельного чата.

Чтобы убедиться, что ваша переписка зашифрована участники диалога могут сравнить коды безопасности. Данный код безопасности является открытой версией специального ключа безопасности между собеседниками.

Можете не переживать, код это не полная версия ключа, так как он всегда скрыт и держится в тайне.

Для подтверждения шифрования вашего чата в WhatsApp нужно произвести несложные действия:

  1. Открыть чат;

  2. Открыть экран “Инфо о контакте”, для этого нужно нажать на имя контакта;

  3. Включить шифрование нажатием на Шифровании для просмотра QR-кода и 60-ти значного номера.

В случае, если вы с собеседником находитесь рядом друг с другом, вы можете просканировать его QR код или сравнить визуально 60-ти значный цифровой номер. Подтверждением работы шифрования ваших сообщений и звонков послужит зеленая галочка при сканировании QR-кода и полное совпадение цифрового номера.

Если был просканирован код другого контакта или номера телефона, то код не будет совпадать. Также несовпадение возможно, если вы или ваш собеседник недавно переустанавливал приложение WhatsApp или произвел замену своего мобильного устройства. В таком случае потребуется обновление кода, для этого отправьте новое сообщение и просканируйте код еще раз.

Если же вы с собеседником находитесь не рядом и просканировать код проблематично, следует отправить собеседнику 60-ти значный цифровой код.

После получения этого кода он должен записать его и сравнить с кодом, который высвечивается на экране “Инфо о контакте” в разделе “Шифрование”.

На устройствах под управлением Android, iOS и Windows Phone можно использовать кнопку “Поделиться” на экране QR-кода или 60-ти значного номера и отправить его посредствам SMS, электронной почты и т.д.

Если видите, что отправленные сообщения в Вацапе не зашифрованы

Если при нажатии на “Шифрование” в разделе “Инфо о контакте/группе” появляется предупреждение о том, что ваши сообщения не зашифрованы, проблема скорее всего кроется в старой версии приложения у одной из сторон.

Пожалуйста, убедитесь, что вы и ваш собеседник используете последнюю версию, если это не так, то обновите WhatsApp и повторите процедуру.

Если все сделано верно, в чате должно появится уведомление о том, что ваши сообщения зашифрованы. 

Источник: http://AllMessangers.ru/publ/tips_tricks/whatsapp/skvoznoe_shifrovanie_whatsapp/92-1-0-55

Ссылка на основную публикацию