3 марта 2016 г.

Выбираем самый безопасный мессенджер



Вопрос безопасности переписки как никогда актуален в наше время. Давно уже не является тайной, что все крупные интернет компании, сканируют сообщения своих пользователей.

Помимо этого, целый ряд условия в их политики конфиденциальности предполагает раскрытие ваших данных по требованию законодательства. Такие пункты есть в политике таких компаний как google, facebook и microsoft.

Когда, мы планировали эту публикацию, у нас было желание сделать самостоятельный обзор безопасности всех популярных программ для online общения, однако нас опередили.

Поэтому, мы публикуем перевод с английского очень качественного материала на эту тему, с некоторыми нашими комментариями.

Материал взят у Electronic Frontier Foundation - ведущей некоммерческой организации защищающей гражданские свободы в цифровом мире. Начиная с 2014 года, EFF проводит аудит интернет мессенджеров и отвечает на следующий вопрос.


Какое из приложений действительно заботиться о безопасности ваших мгновенных сообщений или какой мессенджер самый безопасный?


В своём аудите EFF структурировала информацию в виде таблицы, в которой рассматривается 7 ключевых критериев, по которым и оценивалась общая безопасность мессенджера. Вот эти критерии:

1. Зашифрованы ли сообщения при передаче 

Этот пункт требует, чтобы бы все сообщения были зашифрованы в процессе передачи.
Таким образом третье лицо, например ваш провайдер или сотовый оператор, не сможет прочитать содержимое вашей переписки, если перехватит её.

2. Зашифрованы ли сообщения ключом, доступа к которому нет у компании владельца мессенджера

Вопрос предполагает наличие end-to-end шифрования. Это значит, что ключи нужные для чтения сообщений генерируются конечными устройствами. Эти ключи никуда не передаются без явного желания пользователей. Тем самым компания оператор мессенджера не в состоянии читать переписку своих клиентов.

3. Существует ли механизм независимой проверки подлинности собеседника

Этот пункт предполагает существование встроенного в приложение метода проверки подлинности абонентов и целостности канала связи. Два приемлемых решения:
  • Интерфейс позволяющий проверить отпечаток (хеш) открытого ключа абонента с ранее сохраненным значением, вручную или по другому каналу связи.
  • Протокол обмена ключами с сравнением короткой текстовой строки, такой как  Socialist Millionaire's* протокол.
*вопрос криптографии который рассматривает двух миллионеров которые хотят сравнить своё состояние не раскрывая данные о его количестве

Другие решения возможны, но любое из них должно удостоверять личности абонентов и целостность канала связи. Во время тестирования, определялось простое наличие подобного механизма, а не то насколько он удобен или безопасен.

4. Находятся ли ранее отправленные сообщение в безопасности, в случае утери ключа

Данный вопрос предполагает, что приложение обеспечивает конфиденциальность, при которой вся переписка шифруется недолговечными ключами, которые в последствие уничтожаются.

Крайне важно, что эти ключи не могут быть никем восстановлены, даже если получен доступ к долговременным закрытым ключам обеих сторон. Это гарантирует, что если пользователи удаляли локальную копию переписки, переписка будет окончательно удалена.

Обратите внимание, что для этого требуется выполнение условия номер 2 -  end-to-end шифрования.

5. Открыт ли исходный код приложения для независимого аудита

Этот вопрос предполагает, что значительная часть исходного кода опубликована в открытом доступе и позволяет создать совместимую реализацию продукта.

Не смотря на это, нет требования, чтобы код был выпущен под какой-либо свободной лицензией. Единственно требование, чтобы код который отвечает за шифрование и связь был доступен для обзора с целью выявления ошибок, программных закладок, а так же структурных проблем.

6. Хорошо ли документирован крипто - дизайн

Этот пункт предполагает, четкое и подробное объяснение криптографии используемой в приложении.

Предпочтительно, чтобы этот документ был написан в форме понятной и предназначенной для рассмотрения профессиональными криптографами. Документ должен отвечать на следующие вопросы:
  • Какие алгоритмы и параметры (размер ключа шифрования) используются в процессе шифрования и аутентификации. 
  • Как ключи генерируются, хранятся и передаются между пользователями 
  • Жизненный цикл ключей, процесс отзыва
  • Четкое изложение сценариев при которых обеспечивается защита, а так же сценариев при которых использование приложения не является безопасным
7. Проводился ли независимый аудит безопасности

Проводился ли независимый аудит безопасности приложения в течении 12 месяцев до публикации этого исследования. 

Такой аудит должен рассмотреть как дизайн так и реализацию приложения, а так же должен быть выполнен известной аудиторской командой которая никак не связана с разработчиками приложения. 

Результаты аудита 

Ответ на каждый из вопросов дает рассматриваемому приложению один бал. Далее мы опубликуем оценки наиболее распространенных программ, а так же список победителей.

Насколько безопасны популярные мессенджеры?



Шифрование при передачи End-to-end шифрование Проверка подлинности собеседника Безопасность, в случае утери ключа Открытый исходный код Документация крипто-дизайна Независимый аудит безопасности
Skype
WhatsApp
Viber
Facebook
chat
Google 
Hangouts
Telegram
Telegram (secret chat)
iMessage

К сожалению EFF не проводило аудит популярных на территории СНГ  Вконтакте, Одноклассников и ICQ. Впрочем, можно предположить, что их результат не будет отличаться в лучшую сторону от Viber, WhatsUp и Skype.

UPD С апреля 2016 Viber и WhatsUp стали поддерживать end-to-end шифрование

Как мы видим,  наибольшую защиту обеспечивает мессенджер Telegram, правда только в режиме secret chat. Так же не беспокоиться за свою переписку могут пользователи Apple.


Победители - Самые безопасные мессенджеры


Наравне с Telegram и iMessage стоит обратить пристальное внимание на программы, целью которых с самого начала разработки было обеспечить максимальную конфиденциальность данных пользователей.

Среди них мы выдели три, которые на наш взгляд являются наиболее подходящими инструментами обеспечения безопасности коммуникаций.

Шифрование при передачи End-to-end шифрование Проверка подлинности собеседника Безопасность, в случае утери ключа Открытый исходный код Документация крипто-дизайна Независимый аудит безопасности
ChatSecure
Signal
SilentPhone

ChatSecure - бесплатное приложение с открытом исходным кодом, доступное как для android, так и для iOS. Основано на проверенной технологии XMPP и OTR шифровании. Кроме того, использует для работы сеть TOR. Отличный мессенджер и безопасное приложение, к сожалению, как и Telegram, не поддерживает голосовые звонки.

Signal - пожалуй лучшее бесплатное решение, которое максимально защищает не только переписку, но и голосовые звонки. Сам Эдвард Сноуден рекомендовал это продукт от команды OpenWhisperSystems. Крайне рекомендуем к использованию.

SilentPhone - продукт Филиппа Цимермана - знаменитости в мире шифрования, создателя PGP и ZRTP. Обеспечивает полную конфиденциальность голосовых звонков и переписки. Дополнительно позволяет звонить на обычные телефонные номера более чем в 100 стран мира. Так же есть корпоративные решения. Единственный недостаток это цена - подписка стоит в районе 10 USD в месяц.

Мы постарались перевести и донести самые важные тезисы исследования. С полный текстом и списком всех программ можно ознакомиться по ссылке

Ждем ваших комментариев, отзывов и вопросов.

Безопасного вам общения.

UPD

06.04.2016 whatsup начал поддерживать end-to-end шифрование и обновил свою позицию в рейтинге

19.04.2016 viber тоже стал шифровать сообщения пользователей и добавил функционал доступный ранее в whatsup и telegram. Об этом компания сообщила в свое официальном блоге.

03.06.2016 Ходят слухи, что и в facebook messanger появится end-to-end шифрование

08.07.2016 В facebook появилось end-to-end шифрование

Читайте также

Facebook и WhatsApp признаны самыми безопасными мессенджерами по версии Amnesty International

Комментариев нет:

Отправить комментарий