что такое сквозное шифрование в вайбере и для чего он предназначен
Что такое сквозное шифрование в Viber
В одном из обновлений Viber, разработчики внедрили функцию end-to-end для защиты передаваемых данных между пользователями. В связи с этим возникает вопрос, что такое сквозное шифрование в Вайбере, как работает и существуют ли те самые ключи, за которыми гоняется Роскомнадзор. Давайте разбираться.
Как работает шифрование
Для начала нужно понять – когда вы отправляете сообщение в Вайбере, оно проходит через множество узлов. У сообщения есть адрес, куда оно должно дойти. Этот адрес — IP получателя.
Грубо говоря, когда вы дома подключаетесь к сети wi-fi — ваше сообщение сначала попадает на роутер. Он «смотрит» на него, видит адрес получателя, тот самый IP и «понимает», что сообщение не для него. Далее, отправляет его на сервер Вайбера. После этого сообщение пересылается получателю.
Сообщения не хранятся на серверах Вайбера, а только через него пересылаются адресату. Исключение составляют случаи, когда телефон абонента выключен или отсутствует интернет-подключение. Послание будет храниться на сервере пока связь на телефоне получателя не возобновиться. Это означает, что спецслужбы или хакеры могут подключиться к серверу и перехватить конфиденциальные данные. В связи с этим Viber добавил функцию сквозного шифрования для защиты пользователей и их переписки.
Это такой вид передачи сообщения, при котором только пользователи, участвующие в общении, имеют к нему доступ.
То есть если вы со своего смартфона отправляете сообщение, скажем, вашему другу, оно на вашем телефоне шифруется специальным ключом. В зашифрованном виде отправляется на сервер. Оттуда отправляется вашему другу, и он уже на своём телефоне с помощью такого же секретного ключа расшифровывает сообщение и читает его. В обратную сторону, соответственно, происходит то же самое.
Проще говоря, если злоумышленник получит доступ к серверам Вайбера и каким-то образом сможет перехватить сообщение, вместо слова «Привет», которое мы отправим, он увидит набор бессмысленных символов. И расшифровать этот набор символов может только получатель.
Типы шифрования
Вроде бы всё хорошо, но есть одно маленькое, но! Как вы уже поняли, чтобы зашифровать и расшифровать сообщение понадобится секретный ключ. Но мы же не можем передать секретный ключ по открытому каналу?! В таком случае его перехватят злоумышленники и могут читать нашу переписку.
Отсюда у нас появляется два варианта:
Вариант номер один – мы можем лично встретиться с нашим другом и договориться, какой ключ будем использовать. При этом секретный ключ у нас будет одинаковый. Мы с его помощью будем шифровать сообщения, а наш друг расшифровывать. Такой алгоритм шифрования называется симметричным. Он считается самым безопасным, но имеет существенный недостаток – для передачи кода нам необходимо встретиться с другом лично.
Вариант номер два – для шифрования сообщений в Вайбере при передаче информации другу, который живёт на другом континенте используется асимметричный способ шифрования. Весь фокус в том, что у нас будет не один код на двоих, уже два ключа. Первый называется публичный. В принципе, мы его можем передать кому угодно и, соответственно, переслать по незащищённому каналу связи. С помощью него мы будем шифровать наши сообщения. Второй ключ называется частный – с помощью него мы будем расшифровывать письма.
Публичные и частные ключи по своему принципу разные, но они подходят друг другу. Здесь можно провести аналогию с замком и ключом. Публичный ключ – это замок, а частный код, это, собственно, ключ, открывающий этот замок.
При создании чата вы с другом обмениваетесь публичными ключами.
В момент отправки сообщения вы шифруете сообщение публичным ключом вашего друга. Это сообщение поступает на сервер. При этом сервер не сохраняет его, а всего лишь отправляет абоненту. Получатель с помощью своего частного ключа расшифровывает ваше сообщение. И вуаля — он видит не абракадабру, а обычный, понятный текст. Весь это процесс происходит мгновенно. Если бы не оповещение в начале чата — «Сообщения, которые вы отправляете в этот чат защищены шифрованием Viber» вы бы и не узнали о такой функции.
Можно ли взломать ключи шифрования
В связи с трагическими событиями, связанными с террористическими актами по всему миру, Роскомнадзор и провайдеры, выполняя соглашение «Яровой», в этом случае могут только перехватить и сохранить зашифрованное сообщение. Но его не сможет расшифровать даже суперкомпьютер за всё время существования вселенной.
Перехват такого публичного кода хакером ничего не даст. Каждый такой ключ содержит в себе 2048 бит информации. Чтобы вы понимали, во вселенной звёзд меньше, чем вариантов подбора комбинаций.
Благодаря тому, что Viber не хранит на своих серверах сообщения пользователей, их никаким образом невозможно взломать.
Исключение составляет резервное копирование и хранение копий на облачных сервисах iCloud и Google диск. Политика конфиденциальности и защита пользователя от взлома на хранение копии не распространяется.
Со стороны Вайбера вы можете не переживать за конфиденциальность вашей переписки.
С другой стороны, если вас интересует, как убрать сквозное шифрование в Вайбере. Хотим вас разочаровать. Эта функция встроена по умолчанию. Если вы не хотите использовать функцию шифрования вам стоит перейти на другой канал связи.
Заключение
На самом деле принцип шифрования немного сложнее, чем мы попытались объяснить в этой статье. Если бы всё было настолько просто наша переписка уже давно стала бы достоянием общественности. И кто угодно мог бы взламывать чаты и читать сообщения. Но даже если Вайбер гарантирует безопасность конфиденциальность данных, за операторов сотовой связи он не отвечает. Специалисты утверждают, что пока мессенджер привязан к номеру мобильного телефона, это довольно бесполезно. Дело в том что перехватить смс для регистрации и авторизации гораздо проще на сегодняшний день, чем взламывать шифрование.
Что такое сквозное шифрование?
Что такое сквозное шифрование простыми словами
Сквозное шифрование — это когда звонки, сообщения, видео, аудио, изображения, документы и другие данные доступны только собеседникам, то есть защищены от попадания в третьи руки.
Ключи шифрования есть также только у них. С помощью этих ключей можно разблокировать и прочитать сообщения.
У каждого чата есть свой код безопасности, который используется для подтверждения сквозного шифрования сообщений. Его можно найти в разделе «Данные контакта» во вкладке «Шифрование» в виде QR-кода или 60-значного номера.
Код безопасности — это видимая версия специального ключа. Полная версия ключа держится в секрете. Кроме того, каждое отправленное сообщение имеет индивидуальный замок и ключ. Все это происходит автоматически — вам не надо ничего настраивать.
Как и когда оно появилось?
Популярность сквозного шифрования выросла в 2013 году, после того как Эдвард Сноуден опубликовал документы, доказывающие, что правительство США отслеживает каждый звонок и отправленное сообщение. После этого технологические гиганты, такие как Apple и Facebook, предпочли обезопасить частную жизнь своих пользователей и ввели сквозное шифрование.
Как работает сквозное шифрование?
По словам Александра Огнева, разработчика курса Skillbox по информационной безопасности, существует два основных способа шифровки данных.
«Симметричные криптосистемы подразумевают, что для шифрования и дешифровки применяется один и тот же криптографический ключ. Чтобы обеспечить стойкость криптосистемы от взлома, к данным применяются алгоритмы, необходимые для защиты. Иными словами, самого ключа недостаточно, необходимо перемешать данные таким образом, чтобы обеспечить надежность. Однако при наличии достаточно больших производительных мощностей ключ можно подобрать. Чтобы решить эту проблему, специалисты безопасности увеличивают такие параметры, как длина ключа, сложность и число раундов преобразования», — отмечает эксперт.
Второй подход к шифровке данных — асимметричное шифрование. Для защиты данных используются два ключа — открытый и закрытый. Открытый нужен для зашифровки данных, но вот для расшифровки он совершенно бесполезен. По этой причине он доступен всем, кто хочет общаться с хранителем закрытого ключа. Только с помощью последнего можно расшифровать данные.
«Сквозное шифрование может комбинировать эти два метода. В случае с мессенджерами ключи локализованы каналом связи и известны только общающимися между собой клиентами. Защищенный канал позволяет исключить атаки методом «человека посередине». Таким образом данные, которые он перехватит, будут бесполезны», — объясняет Огнев.
Если все мессенджеры используют сквозное шифрование, значит ли, что они одинаково безопасны?
Ключевой характеристикой мессенджеров, использующих сквозное шифрование, являются приватность и анонимность. «Под приватностью подразумевается, что никакие данные не доступны третьим лицам. У самых популярных мессенджеров есть определенные наработки в этом направлении. К примеру, Telegram имеет функцию самоуничтожения аккаунта в случае отсутствия активности пользователя. Это решение предоставляет «право на забвение». То, что вы опубликовали несколько лет назад, может стать «незаконным контентом» с возможностью привлечения к ответственности», — рассказывает Александр Огнев.
По словам Огнева, анонимность мессенджеров выражается в том, что связь устанавливается через сервера компании, и мы не знаем IP-адрес удаленного пользователя, а он в свою очередь не знает наш. Но технологии связи, реализованные в клиентах, могут иметь свои недостатки. К примеру, в WhatsApp при интернет-звонках была возможность раскрытия реального IP-адреса пользователя даже без установленного сеанса связи.
Недостаток всех мессенджеров — авторизация по номеру сотового телефона. Спецслужбы многих стран имеют доступ к сотовым провайдерам связи и могут отправлять СМС с вашего номера без каких-либо уведомлений и сообщений. Вы об этом даже не узнаете. «Для защиты от этого вектора во многих мессенджерах предусмотрена функция оповещения об активности пользователя с другого устройства. Кроме того, список используемых клиентов доступен в настройках», — отмечает эксперт.
Могут ли спецслужбы получить доступ к сообщениям, защищенным сквозным шифрованием?
В 2016 году ФБР пыталось заставить Apple раскрыть данные, хранящиеся в телефоне одного из преступников, открывших массовую стрельбу годом ранее в Сан-Бернардино. Гендиректор Apple Тим Кук заявил, что не собирается выполнять просьбу ФБР: это развяжет правительству руки, и оно почувствует, что может вести агрессивную политику касательно вмешательства в частную жизнь граждан [1].
Уже в сентябре 2019 года по соглашению между Лондоном и Вашингтоном американские социальные медиаплатформы, в том числе Facebook и WhatsApp, обязали передавать зашифрованные сообщения пользователей полиции Великобритании для оказания помощи при расследованиях в отношении лиц, подозреваемых в серьезных преступлениях [2].
В конце ноября 2019 года Минюст США заявил, что собирается начать масштабное расследование в отношении технологических гигантов из-за того, что те не предоставляют правительству и силовым ведомствам доступ к переписке пользователей [3]. В декабре 2019-го Facebook отклонил просьбу властей США отказаться от сквозного шифрования, благодаря которому перехватить сообщения стало невозможно [4].
Именно этим воспользовались власти Гонконга для деанонимизации протестующих. Как утверждает Александр Огнев, тогда были созданы специальные группы, которые методом перебора добавляли протестующих в свои контакты и сопоставляли их с реальными людьми. Этот метод требует больших ресурсов.
Как мессенджеры обходят блокировки контента?
Современные политические реалии добавили новый критерий к арсеналу мессенджеров. Многие страны принялись регулировать контент, размещенный в глобальной Сети. Китай построил великий файрвол, в России принят закон Яровой, в других государствах также принимаются региональные методы изоляции трафика и контроля контента. Ввиду этого провайдеры вынуждены находить способы блокировки контента.
«Чтобы ее обойти, Telegram замаскировал свое соединение под трафик сетевого оборудования, а сервисы были размещены на серверах известных вендоров. При блокировке такого типа трафика может пострадать значительная часть интернет-соединений, не относящихся к самому мессенджеру, что и произошло в России несколько лет назад. В числе пострадавших оказались несколько секторов экономики, так или иначе связанных с интернетом. Их трафик был заблокирован, и многие компании понесли серьезный ущерб. Подобные действия могут дорого обойтись экономике государства», — замечает Александр Огнев. В июне 2020 года Роскомнадзор сообщил, что снял требование о блокировке Telegram в России.
Telegram остается самым доступным мессенджером в условиях изоляции трафика. К примеру, во время последних протестов в Белоруссии он оставался единственным работающим мессенджером.
«Вышеперечисленным критериям могут соответствовать и другие, менее известные решения. Одним из таких примеров является мессенджер Briar, ключевыми особенностями которого являются возможность соединения через Bluetooth, WI-FI, напрямую между устройствами, а также через сеть Tor. Помимо этого соединение возможно без централизованных серверов, а соответствующий контент хранится в зашифрованном виде на устройствах участников», — добавляет Огнев.
Как телефоны следят за нами и что значит сквозное шифрование — поясняет топ-менеджер Viber
Как телефоны следят за нами? Что значит сквозное шифрование? И можно ли перехватить переписку в защищенном мессенджере? На эти и другие вопросы нам ответила директор по глобальному развитию бизнеса Rakuten Viber Анна Знаменская.
Фото: Ян ЯКОВЧИК, Intex-press
Как смартфон следит за нами (и зачем поисковики и соцсети собирают о нас данные)?
— Правильно будет сказать, что сервисы и приложения, которые мы устанавливаем и используем на своих гаджетах, хранят некоторую информацию о нас, — рассказала директор по глобальному развитию бизнеса Rakuten Viber Анна Знаменская. — Например, поисковые системы хранят запросы пользователей, приложения такси помнят наши передвижения по городу. Цель сбора таких данных — оптимизировать работу сервиса с этим конкретным пользователем и сделать его опыт взаимодействия удобнее и проще. Например, облегчить ему поиск нужного маршрута, предложив точки из истории поездок, показывать релевантную для пользователя рекламу и так далее. Эта информация не хранится в общедоступном месте, и кто угодно завладеть этими данными, конечно же, не сможет.
Некоторые данные предоставляются самим пользователем на этапе регистрации в сервисах и приложениях, некоторые — в процессе их использования. Важно понимать, что сбор данных — не запрещенная и тайная процедура, которую совершают компании за спиной пользователя, эта информация не собирается нелегально. При регистрации в системе, если мы сейчас говорим про компании, которые ведут свою деятельность официально и согласно букве закона, человеку всегда предлагают ознакомиться с пользовательским соглашением. В нем можно найти пункт об использовании персональных данных, в частности про сбор, обработку, хранение, передачу и так далее. У разных компаний объем и цели использования данных могут различаться, но, как правило, незначительно. Согласно этому договору у двух сторон есть определенные права, есть и обязанности. Человек всегда может отказаться от использования сервисов компании, если не согласен с этими условиями.
Если говорить про Viber, на нашем сайте для всех пользователей доступна «Политика конфиденциальности» — раздел, в котором подробно описано, какая информация собирается и для каких целей. Тут важно сказать, что мы не собираем информацию о личных переписках и звонках пользователя и даже не имеем к ним доступа, а также не храним эти данные на своих серверах после их доставки по назначению. Если по какой-то причине сообщение не было доставлено получателю в течение 2 недель, оно будет удалено с наших серверов в любом случае. Технология сквозного (end-to-end) шифрования, которая используется в мессенджере Viber, работает так, что сообщение шифруется на устройстве отправителя, а расшифровывается только на устройстве получателя, так как только на этих двух устройствах хранятся ключи дешифрования.
Согласно нашей политике конфиденциальности, мы собираем только те минимальные данные, которые позволяют предоставлять услуги связи через Viber на самом высоком уровне. Например, имя и фото, которые сам пользователь решает показать или нет, будут видны другим пользователям — участникам групповых чатов. Viber может отправлять вашим контактам уведомления о вашем дне рождения, но опять же у пользователя есть возможность отключить эту функцию в настройках мессенджера. Чтобы обеспечить самый высокий уровень безопасности для лиц младше 16 лет, мы также спрашиваем возраст наших пользователей при регистрации.
Как шифруются данные в мессенджерах и что такое сквозное шифрование?
— Мессенджеры используют разные механизмы защиты данных, — продолжает специалист. — Я бы рекомендовала использовать те приложения для общения, где включена технология сквозного шифрования по умолчанию.
Сквозное (end-to-end) шифрование — это такой способ защиты данных, при котором доступ к ним имеют только отправитель и получатель. На устройстве отправителя сообщение шифруется, передается как набор символов и знаков, а на устройстве получателя расшифровывается. Даже если такое сообщение будет «перехвачено» каким-то образом, третья сторона не сможет его расшифровать. При этом важно, чтобы в мессенджере технология была включена «по умолчанию», то есть для активации такой защиты пользователю не нужно предпринимать дополнительные действия, эта опция уже активна. Такой уровень безопасности является самым высоким из существующих сегодня.
Анна добавляет, что не так давно IT-компания Artezio (входит в группу компаний ЛАНИТ) составила рейтинг самых безопасных мессенджеров в мире — по сути это шорт-лист приложений для общения, которые могут обеспечить высокий уровень приватности. В чек-лист тестирования вошло более 30 мессенджеров, которые ранжировались по пятидесяти критериям. В итоговый раунд тестирования прошли только мессенджеры с end-to-end encryption, которые способны обеспечить действительно высокий уровень защиты передаваемых данных. В итоге в тройку самых безопасных мессенджеров по версии Artezio вошли Signal, Wickr и Viber, который опередил Telegram.
Если шифрование сквозное, то могут ли взломать переписку со стороны?
— Сквозное шифрование подразумевает, что доступ к контенту имеют только пользователи, участвующие в общении, — поясняет Анна. — Вся информация передается в зашифрованном виде, и для третьей стороны выглядит как несвязный набор символов. Более того, при использовании сквозного шифрования передаваемая информация недоступна даже сотрудникам приложения, которое вы используете. Например, мы используем технологию сквозного шифрования, и это значит, что никто, даже сам Viber, не имеет доступ к сообщениям и звонкам.
В этом отличие сквозного шифрования: получить доступ к перепискам пользователя можно, только физически имея доступ к устройству, незащищенному паролем. Поэтому в этом вопросе также важен человеческий фактор: внимательное отношение к своим гаджетам, цифровая гигиена и так далее. Хотя некоторые приложения для общения пытаются решить и эту проблему и предлагают дополнительные способы защиты для своих пользователей: скрытые чаты, которые находятся под отдельным паролем, самоудаляющиеся сообщения, дополнительные пароли для компьютерных версий приложений могут оказаться полезны в том случае, когда к вашему личному или рабочему компьютеру могут иметь доступ ваши близкие или коллеги.
Возможно, получить доступ к аккаунту можно, перехватив СМС-сообщение? Анна говорит, что «гипотетически такая проблема может возникнуть».
— В этом случае злоумышленник в теории сможет активировать приложение на своем устройстве с помощью телефонного номера пользователя. Это очень маловероятный сценарий, но если такое все же произойдет, Viber будет деактивирован на устройстве пользователя — владельца аккаунта, что предупредит его об атаке. Пользователь сразу сможет принять соответствующие действия. Кроме того, злоумышленники никак не смогут получить доступ к предыдущей истории сообщений пользователя, если они не имеют доступа к учетной записи Google/Apple, в которой хранится резервная копия истории сообщений (и если человек делал бэкап).
Как телефоны следят за нами и что значит сквозное шифрование — поясняет топ-менеджер Viber
Как смартфон следит за нами (и зачем поисковики и соцсети собирают о нас данные)?
Анна Знаменская директор по глобальному развитию бизнеса Rakuten Viber
«Сбор данных — не запрещенная и тайная процедура, которую совершают компании за спиной пользователя»
Некоторые данные предоставляются самим пользователем на этапе регистрации в сервисах и приложениях, некоторые — в процессе их использования. Важно понимать, что сбор данных — не запрещенная и тайная процедура, которую совершают компании за спиной пользователя, эта информация не собирается нелегально. При регистрации в системе, если мы сейчас говорим про компании, которые ведут свою деятельность официально и согласно букве закона, человеку всегда предлагают ознакомиться с пользовательским соглашением. В нем можно найти пункт об использовании персональных данных, в частности про сбор, обработку, хранение, передачу и так далее. У разных компаний объем и цели использования данных могут различаться, но, как правило, незначительно. Согласно этому договору у двух сторон есть определенные права, есть и обязанности. Человек всегда может отказаться от использования сервисов компании, если не согласен с этими условиями.
Согласно нашей политике конфиденциальности, мы собираем только те минимальные данные, которые позволяют предоставлять услуги связи через Viber на самом высоком уровне. Например, имя и фото, которые сам пользователь решает показать или нет, будут видны другим пользователям — участникам групповых чатов. Viber может отправлять вашим контактам уведомления о вашем дне рождения, но опять же у пользователя есть возможность отключить эту функцию в настройках мессенджера. Чтобы обеспечить самый высокий уровень безопасности для лиц младше 16 лет, мы также спрашиваем возраст наших пользователей при регистрации.
Как шифруются данные в мессенджерах и что такое сквозное шифрование?
— Мессенджеры используют разные механизмы защиты данных, — продолжает специалист. — Я бы рекомендовала использовать те приложения для общения, где включена технология сквозного шифрования по умолчанию.
Сквозное (end-to-end) шифрование — это такой способ защиты данных, при котором доступ к ним имеют только отправитель и получатель. На устройстве отправителя сообщение шифруется, передается как набор символов и знаков, а на устройстве получателя расшифровывается. Даже если такое сообщение будет «перехвачено» каким-то образом, третья сторона не сможет его расшифровать. При этом важно, чтобы в мессенджере технология была включена «по умолчанию», то есть для активации такой защиты пользователю не нужно предпринимать дополнительные действия, эта опция уже активна. Такой уровень безопасности является самым высоким из существующих сегодня.
Если шифрование сквозное, то могут ли взломать переписку со стороны?
«Получить доступ к перепискам пользователя можно, только физически имея доступ к устройству, не защищенному паролем»
В этом отличие сквозного шифрования: получить доступ к перепискам пользователя можно, только физически имея доступ к устройству, незащищенному паролем. Поэтому в этом вопросе также важен человеческий фактор: внимательное отношение к своим гаджетам, цифровая гигиена и так далее. Хотя некоторые приложения для общения пытаются решить и эту проблему и предлагают дополнительные способы защиты для своих пользователей: скрытые чаты, которые находятся под отдельным паролем, самоудаляющиеся сообщения, дополнительные пароли для компьютерных версий приложений могут оказаться полезны в том случае, когда к вашему личному или рабочему компьютеру могут иметь доступ ваши близкие или коллеги.
Возможно, получить доступ к аккаунту можно,перехвативСМС-сообщение? Анна говорит, что «гипотетически такая проблема может возникнуть».
— В этом случае злоумышленник в теории сможет активировать приложение на своем устройстве с помощью телефонного номера пользователя. Это очень маловероятный сценарий, но если такое все же произойдет, Viber будет деактивирован на устройстве пользователя — владельца аккаунта, что предупредит его об атаке. Пользователь сразу сможет принять соответствующие действия. Кроме того, злоумышленники никак не смогут получить доступ к предыдущей истории сообщений пользователя, если они не имеют доступа к учетной записи Google/Apple, в которой хранится резервная копия истории сообщений (и если человек делал бэкап).