Меню
ГлавнаяIos

Криптостойкие андроиды. Почему шифрование в Signal, WhatsApp, Telegram и Viber не защитит твою переписку от взлома. Секретный чат в вайбере

25.04.2016, ПН, 09:32, Мск, Текст: Павел Лебедев

Мессенджер Viber вслед за конкурентами объявил о запуске сквозного шифрования для сообщений и телефонных разговоров своих клиентов.


Viber стал безопасным

Владельцы мессенджера и VoIP-сервиса Viber объявили о внедрении функции сквозного шифрования (end-to-end encryption), которая доступна в обновлении клиентской программы (версия 6.0) на различных платформах – Android, iOS, PCs and Mac.

Первыми воспользоваться новой технологией защиты данных смогли жители Бразилии, Белоруссии, Израиля и Таиланда. В течение двух недель география будет расширена и на остальные страны присутствия Viber. По словам операционного директора Viber Майкла Шмилова (Michael Shmilov), разработка сквозного шифрования велась «в течение нескольких лет».

Как работает сквозная защита

Суть технологии end-to-end encryption заключается в том, что сообщение находится в зашифрованном виде на всем пути следования от отправителя к получателю. Ключ, с помощью которого сообщение можно расшифровать, хранится только у адресата, поэтому владелец мессенджера не сможет передать его третьей стороне даже по требованию государственных органов. «Viber не будет предоставлять доступ к переписке ни в одной стране и ни при каких условиях. Мы придерживаемся той же позиции, которую заняли Apple и WhatsApp. В распоряжении компании есть записи о взаимодействии различных телефонных номеров, но у нас нет доступа к содержанию сообщений или разговоров», – заявили в компании Viber.

Разработчики Viber предусмотрели несколько уровней защиты. После активации обновления с помощью QR-кода справа на экране появляется иконка в виде замка, цвет которого показывает степень безопасности. Серый цвет обозначает полное шифрование данных, зеленый замок появляется в случае выбора опции дополнительной аутентификации пользователя при начале нового разговора. Красный цвет предупреждает о попытке перехвата данных, однако также загорается в случае использования собеседником нового устройства.

В погоне за конкурентами

Viber заявил о реализации технологии сквозного шифрования менее, чем через месяц после того, как сквозное шифрование появилось в сервисе WhatsApp, который насчитывает около 1 млрд пользователей и является наиболее популярным мессенджером в мире.

Viber вслед за конкурентами объявил о запуске сквозного шифрования

Viber - второй по числу аккаунтов сервис для обмена мгновенными сообщениями с клиентской базой более 700 млн. Еще один распространенный мессенджер – Telegram (более 100 млн пользователей) – располагал функцией сквозного шифрования со времен своего релиза в 2013 г.

Технические подробности

Партером конкурентов из WhatsApp по внедрению новой возможности стала компания Open Whisper Systems, разработчик мобильного приложения Signal - любимого мессенджера Эдварда Сноудена (Edward Snowden), где шифрование данных базируется на протоколе Signal Protocol. Его особенность заключается в том, что для каждой сессии используются новые ключи (в отличие, например, от протокола шифрования электронной почты PGP, в котором сообщения шифруются снова и снова одним и тем же публичным ключом).

Представители Viber, в отличие от коллег из WhatsApp, не раскрывают технических подробностей о работе своего механизма сквозной защиты. В компании опровергли информацию о применении алгоритма MD5, считающегося ненадежным, и сообщили, что «технология шифрования основана на протоколе с открытым кодом, дополненным собственными (in-house) разработками».

Конкуренты Вайбера, давно уже модифицировали свои приложения, добавив в них возможность анонимного общения. Такая функция существенно повышает популярность продукта у пользователей, так как даёт им большую защищенность. Наконец-то такую возможность добавили в Viber. Теперь можно не беспокоиться о своей переписке и её доступности для широкого круга лиц.

Как именно функционирует секретный чат

С виду, закрытые чаты выглядят так же, как и обычные. Но имеют значок замка, рядом с собой, который указывает на то, что эти сообщения были переданы с помощью зашифрованного соединения. Но это не все возможности.

Для таких типов диалогов, можно установить любой временной промежуток, после которого сообщения в автоматическом режиме удалятся. Поэтому, даже если кто-то получит несанкционированный доступ к вашему устройству – его ждет разочарование. Теперь вы знаете, что это – секретный чат в Вайбере.

Создание секретного чата

Можно перейти прямо из обычного диалога

Как видите, такой способ значительно быстрее первого.

Настройка автоудаления

Архитектура анонимности предусмотрена системой сквозного шифрования. В ней, для прочтения информации, нужен ключ доступа. Который выдается только отправителю и получателю. Даже при получении несанкционированного доступа, злоумышленник, не сможет прочесть сообщения.

Сквозное (end-to-end) шифрование в мессенджерах завоевало популярность тем, что оно происходит совершенно незаметно для пользователей. Им не надо самостоятельно генерировать пары ключей, подписывать их, распространять открытые и оберегать секретные ключи, вовремя отзывать старые и скомпрометированные - все делается автоматически, а переписка волшебным образом оказывается защищенной. Но так ли все хорошо на самом деле?

WARNING

Вся информация в этой статье предоставлена исключительно в ознакомительных целях. Ни редакция, ни автор не несут ответственности за любой возможный вред, причиненный материалами данной статьи.

Еще в 2004 году наш соотечественник Никита Борисов совместно с Ианом Голдбергом разработал универсальный криптографический протокол для систем мгновенного обмена сообщениями. Протокол получил название OTR (Off-the-Record Messaging) и начал открыто распространяться под лицензией GPL в виде готовой библиотеки. В дальнейшем OTR стал основой других популярных протоколов с дополнительными методами повышения безопасности. В частности, протокола Signal, ранее известного как TextSecure. На базе Signal работает и большинство других современных мессенджеров.

Принципы шифрования переписки

Концептуально все криптографические способы защиты переписки должны обеспечивать как минимум два базовых свойства: конфиденциальность и целостность сообщений. Конфиденциальность подразумевает, что только собеседники могут расшифровать сообщения друг друга. Ни интернет-провайдер, ни разработчик мессенджера, ни какая-то иная третья сторона не должны иметь технической возможности выполнять дешифровку за разумное время. Целостность обеспечивает защиту от случайных искажений и целенаправленных атак подмены. Любое измененное при передаче сообщение будет автоматически отклонено принимающей стороной как поврежденное и утратившее доверие.

В современных протоколах обмена мгновенными сообщениями также решаются дополнительные задачи, повышающие удобство и безопасность. В протоколе Signal и его ближайших аналогах это такие свойства, как асинхронность передачи, прямая и обратная секретность.

Наверняка ты замечал, что в мессенджерах доставляются пропущенные сообщения. Они приходят даже в том случае, если ты беседовал в групповом чате и вдруг надолго отключился посреди разговора. Это и есть асинхронность: сообщения шифруются и доставляются независимо друг от друга. При этом за счет временных меток и некоторых дополнительных механизмов сохраняется их логическая последовательность.

Такое свойство, как прямая секретность , подразумевает, что при компрометации ключа шифрования текущего сообщения с его помощью нельзя будет расшифровать предыдущую переписку. Для этого у мессенджеров часто меняются сессионные ключи, каждый из которых шифрует свою небольшую порцию сообщений.

Аналогично обратная секретность обеспечивает защиту будущих сообщений при компрометации текущего ключа. Новые ключи генерируются таким образом, что их взаимосвязь с предыдущими вычислить крайне сложно.

Прямая и обратная секретность реализованы в современных механизмах управления ключами. В протоколе Signal для этого используется алгоритм «Двойной храповик» (Double ratchet, DR). Он был разработан в 2013 году консультантом по криптографии Тревором Перрином (Trevor Perrin) и основателем Open Whisper Systems Мокси Марлинспайком (Moxie Marlinspike).

Название является отсылкой к механической шифровальной машине Enigma, в которой использовались храповики - шестеренки с наклонными зубцами, двигающиеся только в одном направлении. За счет этого в шифровальной машине исключалось состояние шестеренок, повторяющее одно из недавно использованных.

По аналогии с ними «цифровой храповик» также препятствует повторному использованию прежних состояний шифрсистемы. DR часто меняет сессионные ключи, при этом не давая повторно использовать ранее сгенерированные. Этим он как раз и обеспечивает прямую и обратную секретность, то есть дополнительную защиту отдельных сообщений. Даже в случае удачного подбора одного сессионного ключа атакующая сторона сможет расшифровать только зашифрованные им сообщения, а это всегда малая часть переписки.

В протоколе Signal реализовано и множество других интересных механизмов, описание которых выходит за рамки статьи. С результатами его аудита можно ознакомиться .

Signal и его аналоги

Предоставляемое Signal сквозное шифрование сегодня применяется как в одноименном мессенджере от Open Whisper Systems, так и во многих сторонних: WhatsApp, Facebook Messenger, Viber, Google Allo, G Data Secure Chat - все они используют оригинальную или слегка модифицированную версию Signal Protocol, иногда давая им собственные названия. Например, у Viber это протокол Proteus - по сути, тот же Signal с другими криптографическими примитивами.

Однако при схожей реализации сквозного шифрования приложение может компрометировать данные другими способами. Например, WhatsApp и Viber имеют функцию резервного копирования истории переписки. Вдобавок WhatsApp отправляет статистику общения на серверы Facebook. Защита у локальной и облачной копии переписки формальная, а метаданные вообще никак не шифруются - об этом открыто говорится в лицензионном соглашении.

По метаданным видно, кто с кем общается и как часто, какие устройства для этого использует, где при этом находится и так далее. Это огромный пласт косвенной информации, которую можно использовать против собеседников, считающих свой канал связи защищенным. Например, АНБ неважно, какими именно словами подозреваемый поздравил Ассанжа с оставлением Обамы в дураках и что Джулиан ему ответил. Важно то, что они переписываются.

Как уже говорилось выше, все мессенджеры периодически меняют сессионные ключи шифрования, и это нормальный процесс. Основной же ключ может смениться, если собеседник перебрался на другое устройство, надолго ушел в офлайн… или кто-то начал писать от его имени, угнав аккаунт.

В оригинальном приложении Signal всем участникам беседы в таком случае отправляется уведомление о смене ключа. В WhatsApp и других мессенджерах эта настройка по умолчанию отключена, так как она не несет большинству пользователей значимой информации. Также ключ меняется при долгом отсутствии собеседника онлайн - это и баг, и фича одновременно.


Как писал по этому поводу исследователь из Калифорнийского университета в Беркли Тобиас Бёлтер (Tobias Boelter), при атаке на сервис возможно создать новый ключ и получить сообщения вместо адресата. Более того, то же самое могут сделать и сами операторы серверов WhatsApp - например, по запросу спецслужб.

Разработчики протокола Signal опровергают выводы Бёлтера и встают на защиту WhatsApp. По их словам, подмена ключа дает доступ только к недоставленным сообщениям. Слабое утешение.

Включить уведомление о смене ключа можно в настройках, вот только на практике этот режим параноика вряд ли что-то даст. Мессенджер уведомляет о смене ключа только после повторной отправки сообщений. Считается, что так удобнее самим пользователям.

Продолжение доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все материалы на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов.

Что такое секретный чат

Секретный чат в Viber предназначен для тайного общения. Доступ к сообщениям будет закрыт, как посторонним лицам, так и серверу компании. Воспользовавшись данной функцией, вы сможете спокойно обсуждать самые важные и сокровенные вопросы, касающиеся рабочих факторов и личной жизни. Даже если ваш гаджет попадет в чужие руки, можете не волноваться, что кто-то украдет интересную идею или узнает конфиденциальную информацию, приложение удалит переписку автоматически через заданное вами время.

В Вайбере также есть понятие – это не то же, что секретный чат.

Давайте разберемся, как работает секретный чат в Вайбер. К таким диалогам применяют специальную методику кодирования и защиты. Отмечаются они иконкой с замком. Пользователь сам устанавливает время, через которое уничтожатся письма. В отличие от простых бесед, здесь нельзя удалить некоторые сообщения, переписка удаляется полностью.

Как найти секретный чат в Вайбер? Отыскать диалог можно прокручивая все беседы от начала до конца. Но искать его нет смысла, так как все сообщения удаляются, а остаются только пустые окна, которые занимают место на устройстве, и вызывают подозрения в случае их обнаружения посторонними людьми. Это является недоработкой создателей. Надеемся, в скором будущем неполадки будут устранены.

Невидимые диалоги имеют свои особенности:

  • секреты Viber доступны владельцам устройств с операционной системой и ;
  • существует возможность выставить опцию самоуничтожения сообщений, начиная с 1 минуты и до недели;
  • в случае если собеседник сделает скриншот переписки, вы получите об этом уведомление и сможете разрешить сложившуюся ситуацию;
  • тексты нельзя скопировать и переслать третьим лицам;
  • сквозное шифрование убережет секреты Вайбера на телефоне, так как расшифровать их может только тот, кто отправляет и получает.

Теперь вы знаете, что такое секретный чат в Вайбер и можете быть уверены, он умеет хранить.

Как создать секретный чат

Многие пользователи задаются вопросом: как создать секретный чат в Вайбер? Существует два способа, как это можно сделать, и все они довольно просты.

  • зайдите в приложение;
  • перейдите в раздел контактов;
  • выберите нужного человека с помощью прокрутки или через поиск и нажмите на него;
  • кликните на строку «Бесплатное сообщение»;
  • в открытом диалоговом окне выберите значок с тремя точками, расположенными вертикально;
  • нажмите «Перейти в секретный чат».
  • откройте мессенджер;
  • клацните по значку «+» в синем кружочке, который находится в правом нижнем углу монитора;
  • выберите строчку «Секретный чат»;
  • добавьте из списка собеседника;
  • отметьте «Готово».

Если же вам нужно утаить уже имеющуюся беседу, выполните такие действия:

  • зайдите в раздел диалогов;
  • остановитесь на том, который хотите сделать тайным;
  • откройте вспомогательное меню (три точки вверху дисплея);
  • нажмите на пункт «Перейти в секретный чат».

Вот и все! У вас готова скрытая переписка в Вайбере.

Удаление сообщений в секретной беседе

После обсуждения важной темы многие интересуются, как отключить защищённый чат в Viber. Это делается так:

  • перейдите в тайный разговор с изображением замка;
  • нажмите на значок с тремя вертикальными точками, которые находится в правом верхнем углу, чтобы открылась дополнительная информация;
  • перейдите в пункт «Информация и настройки»;
  • выберите строку «Перейти в обычный чат».

Таким образом, вы переводите приватный диалог в традиционный режим, который не будет удалять сообщения. Но на устройстве все равно останется два разговора: один обычный, второй с замком. Если вновь появится потребность в тайной переписке, то можно просто перейти в уже имеющуюся, для этого снова вводится пин-код.

Если вы подумываете о том, как удалить секретный чат с Вайбера вообще, в этом тоже нет ничего сложного.

  • зайдите в список бесед;
  • нажмите на ненужный разговор и удержите на нем палец;
  • в появившемся окне выберите строку «Удалить чат».

Теперь вы знаете, как убрать секретный чат в Вайбер, если пропадет необходимость в его засекречивании или существовании.

Не путайте со скрытой беседой

Некоторые пользователи ошибаются и включают скрытую беседу. Скрытая беседа от секретной отличается тем, что в ней не удаляется информация. Если вы обсудили какое-то важное событие, о котором не должны знать посторонние люди, и хотите сохранить содержимое, в таком случае вы скрываете диалог, воспользовавшись специальной опцией.

Пользователи популярного мессенджера «Вайбер» при обмене текстовыми сообщениями могут заметить рядом со строкой для введения текста значок в виде замочка, способный менять свой цвет. При нажатии на нём появляется сообщение о том, что сообщения в данном разговоре зашифрованы, а доступ к вашему разговору имеете лишь вы и ваш собеседник. Что это за сообщение, и в чём его смысл? Давайте разбираться.

Конфиденциальность и безопасность являются довольно значимыми элементами общения в сети. Разработчики популярных мессенджеров постоянно ищут и задействуют механизмы, позволяющие повысить безопасность пользовательской переписки, защитить чаты и цифровые звонки от взлома и кражи данных. Переход популярных мессенджеров «Telegram» и «WhatsApp» на шифрование «End-To End» инспирировало создателей популярного мессенджера «Вайбер» на внедрение аналогичного шифрования в функционал своего продукта.

Упомянутая технология «End-To-End encryption» («сквозное шифрование») была включена в шестую версию приложения «Viber». Суть её действия состоит в шифровании данных в момент отправки с передающего устройства, и расшифровки этих данных в момент получения на принимающем устройстве. Это гарантирует прочтение данных лишь на указанных устройствах, в пути же данные надёжно закрыты от посторонних глаз.


Технология «E2E» позволяет надёжно защитить пользовательские данные

В конкретике «Сообщения в этом разговоре зашифрованы» реализуется за счёт генерации устройством с установленным «Вайбер» различных приватных и публичных 256-битных пар ключей, называемых «ID-кеy» и «PreKeys». Приватные ключи создаются и сохраняются только на пользовательских устройствах, и сервера Вайбера (как и другие заинтересованные лица) не имеют к ним доступа. Соответственно во время передачи данных за счёт отсутствия доступа к приватным ключам ни сервера Вайбер, ни какое-либо третье лицо не способны расшифровать передаваемую устройствами личную информацию.


Данная технология работает как в приватных и публичных чатах, и касается как текстовых сообщений, так и аудио-видео звонков.

Что означает надпись «Сообщения в этом разговоре зашифрованы» в Viber

С внедрением данной технологии уровень безопасности текстового общения в Вайбере отображается в виде значка в форме замочка.

  • Замочек приобретёт красный цвет в случае атаки извне или смены собеседником основного номера телефона.
  • Серый замочек сигнализирует о том, что наши сообщения зашифрованы.
  • А альтернативный зелёный замочек – что ключ аутентификации под постоянным контролем.

Также при клике на значке замочка вы будете получать уведомление о том, что сообщения в вашем разговоре зашифрованы. Может появиться сообщение «Сообщения в этом разговоре зашифрованы» и само, при открытии окна чата с другим пользователем Вайбер.


При этом работа данной технологии обусловлена обязательным наличием на обоих устройствах шестой версии Вайбера, а также Windows 10 в случае использования приложения «Вайбер» на ПК.

В ряде случаев для задействования данной функции будет необходимо ещё раз пройти процедуру аутентификации.

Кроме того, с 6 версией Вайбера появилась возможность быстро скрывать чаты, доступ к которым будет возможен при введении соответствующего пин-кода. В таких чатах оповещение о новых сообщениях будет идти без демонстрации текста мессаджа и имени отправителя, плюс перемещение чата в категорию скрытых будет идти без уведомления об этом собеседника.