Насколько безопасны мессенджеры и что они о нас знают?

Ещё в 2004 году авторы статьи «Off-the-Record Communication or Why Not To Use PGP» описали концепцию информационной безопасности мессенджеров и предложили соответствующий криптографический протокол OTR — последовательность математических преобразований данных и обмена данными между собеседниками для защиты от посторонних.

Согласно задумке разработчиков OTR, криптографический протокол должен обеспечить выполнение всех свойств общения «тет-а-тет», а именно: пользователь должен быть уверен в том, что:

• его собеседник — именно тот, кем представился;
• сообщение не изменено при доставке;
• соблюдаются основные права и свободы человека на тайну личной переписки и возможность отказа от авторства.

Можно сказать, что OTR задал правила игры, которых придерживаются большинство современных мессенджеров с опцией сквозного шифрования (end-to-end encryption), в их числе Signal, секретные чаты Telegram, WhatsApp, Viber и многие другие.

Сквозное шифрование заключается в том, что содержание сообщения перед отправкой преобразуется в бессмысленный набор символов с помощью некоторого секретного набора данных — секретного ключа, и только на телефоне получателя есть тот же секретный ключ для обратного преобразования набора символов в обычный текст. В этом случае даже владельцы мессенджера не имеют доступа к содержанию пересылаемых через сервер сообщений.

Встречаются и приложения без сквозного шифрования, но это связано с законодательством стран. Например, китайские мессенджеры WeChat и QQ не имеют такой опции.

Значит ли это, что мессенджеры со «сквозным шифрованием» абсолютно безопасны? Безусловно, нет, и самым уязвимым звеном в системе защиты данных оказывается человек. Во-первых, приложение может содержать ошибки в программном коде, открывающие дыры в безопасности. А во-вторых, существует огромное количество способов получения доступа к аккаунту пользователя без взлома криптографической защиты — от загрузки на смартфон пользователя вредоносного стороннего приложения до банального подсматривания пароля на смартфоне. Поэтому специалисты в области информационной безопасности не рекомендуют отправлять через мессенджеры данные, которые вы не хотите показывать посторонним.

Несмотря на наличие или отсутствие сквозного шифрования, приложения имеют ещё и существенные различия в политике конфиденциальности: в количестве и характере данных, которыми пользователи соглашаются делиться, а значит, и в безопасности раскрытия своих данных в приложении.

Почти во всех мессенджерах (кроме Briar и Qtox) для обмена сообщениями используется центральный сервер. Он выполняет проверку подлинности личностей собеседников (аутентификацию), «маршрутизацию» сообщений, хранит информацию об аккаунтах пользователей, некоторые данные транзакций, выполненных через сервис мессенджера, архивы сообщений при необходимости. В этом случае вся информация, необходимая для работы приложения, будет известна серверу. Например, для доставки сообщений сервер получает информацию о том, кто, кому, во сколько и откуда отправил сообщение. Способы использования этой информации зависят от политики компании: в некоторых случаях эти данные действительно используются только внутри приложения, а в некоторых — для поиска другой значимой информации о пользователе через базы данных партнёров и сторонние сайты, составления «потребительского портрета» пользователей. Поэтому будьте внимательны при выборе своего средства коммуникации.

Подробнее о технологиях шифрования, шифровальной технике и многом другом расскажет первый в России Музей криптографии, который откроется осенью 2021 года в Москве.