Изучить этот вопрос меня побудил один из подписчиков. И подходил к теме я с мыслью «Да тут всё очевидно, только причесать».
Но нет.
Вообще ни разу не очевидно. Результаты меня поразили , и заставили пересмотреть свое отношение к каждому из мессенджеров, о которых здесь пойдет речь.
Сразу оговорюсь — я не программист. Соответственно, я не умею писать/читать/анализировать программный код. Но политика сервиса, которым пользуются обычные пользователи, должна быть насквозь понятна этим самым пользователям. Поэтому я проанализировал всё, что мессенджеры посчитали нужным рассказать о своей работе. При этом обзоры и сравнения других людей я не читал, чтобы не смешать в голове чужое мнение и официальные источники информации.
На сегодняшний день наиболее безопасным для облачной передачи данных считается сквозное шифрование . Этот тип шифрования предусматривает зашифровку сообщений на устройстве отправителя, а расшифровка их — на устройстве получателя. В идеале, при таком типе шифрования сообщения должны передаваться напрямую, без хранения на сервере. Однако такой способ имеет проблемы с удобством для пользователя, поэтому производители пытаются найти середину между безопасностью и комфортом. Что, кстати, в абсолюте несовместимо. И разница между распространенными сегодня мессенджерами состоит как раз в том, насколько хорошо вендор эту середину нашел.
Signal или Telegram? Какое шифрование лучше…
Кстати, помнишь ту хайповую фотографию, где Дуров отправил в РКН два железных ключа? Дескать, это единственные ключи, которые у него есть. Так вот, он лукавил. Но обо всём по порядку.
ВНИМАНИЕ
Я здесь не обсуждаю теории заговоров. По умолчанию, мы считаем, что информация с официальных сайтов мессенджеров о принципах работы их шифрования достоверна.
Viber
Тенденция последних пары лет среди пользователей, считающих себя продвинутыми — презирать Viber, унижать его в комментариях и отговаривать других людей от его использования. Признаюсь, я вел себя точно так же — просто потому, что считал Viber небезопасным мессенджером. Мысленно уровень его конфеденциальности я приравнивал к обычным звонкам и СМС. Однако…
Согласно официальному сайту Viber, в мессенджере используется сквозное шифрование. Эта фраза кое-где встречается в самом приложении, а на сайте Viber этому целиком посвящены пара страниц и целый PDF-документ. Я изучил этот документ, а также все утверждения о безопасности Viber. И вот что понял.
Сквозное шифрование в Viber работает по умолчанию у всех , кто пользуется версией приложения от 6.0.0 и выше. Работает оно в полном смысле этого слова. Согласно официальным данным, сообщения зашифровываются на устройстве отправителя, а расшифровываются — на устройстве получателя. Сейчас я расскажу проще, чем оно есть — предварительно устройства генерируют 256-битный ключ, который делят на публичную и приватную часть, и обмениваются публичными половинками друг с другом. Этим ключом впоследствии шифруется переписка.
Telegram лучше WhatsApp — 13 фактов!
Из интересного: я обратил внимание, что, если твой аккаунт подключен сразу на нескольких устройствах (например, смартфон и ПК) то Viber генерирует отдельный ключ для каждого устройства. То бишь, когда сообщение отправляется мне, устройство отправителя обменивается уникальными ключами с каждым моим устройством. Что, к слову, полностью соответствует стандартам сквозного шифрования. Viber утверждает, что сообщения хранятся на сервере только в одном случае — если получателя нет в сети. В таком случае сообщение ожидает доставки на сервере, находясь в зашифрованном состоянии (зашифрованно на устройстве отправителя).
Но ведь не может быть всё так хорошо, правда? Должно быть уязвимое место. И, в некотором смысле, оно есть.
Как я уже говорил, основная проблема сквозного шифрования для массового пользователя — переписки хранятся только на конкретном устройстве, и никак не хранится в облаке. При этом переписка теряется, если пользователь сменит устройство. В Viber эта проблема решена так: переписка с устройства пользователя в расшифрованном виде собирается в резервную копию , а сама копия помещается в облачное хранилище iCloud или Google Drive . Недостаток этого метода — по сути, переписка уязвима именно там, в резервной копии в облаке, и, теоретически, может быть выдана третьим лицам компаниями Apple или Google, либо получена оттуда при взломе аккаунта.
- То бишь, чтобы общение в Viber было полностью безопасным, необходимо отключить функцию резервного копирования в приложении Viber, а также отключить доступ приложению к облачному хранилищу смартфона. В этом случае переписка будет храниться только на твоем устройстве, и удалится, когда ты сам этого захочешь.
На самом деле, отношение к WhatsApp у вышеобозначенной категории «продвинутых» пользователей очень схоже с Viber. Зачастую их даже упоминают вместе в негативном ключе. В вину ему вменяется также реклама, обилие мошенников, общающихся в WhatsApp, и, конечно же, уязвимости. За рекламу и бандитов не поясню, а вот в отношении уязвимостей — подразобрался.
Что касается шифрования, WhatsApp также использует сквозное . Но, если Viber использовал свои небольшие доработки этой технологии, то WhatsApp использует уже готовый тип шифрования «Signal» (да-да, в честь другого мессенджера). Кроме того, WhatsApp не поддерживает использование нескольких устройств.
Подключив аккаунт на смартфон, ты не сможешь полноценно использовать WhatsApp на планшете или ПК/Mac. Что, кстати, странно — сам Signal уже давно умеет безопасно работать на нескольких устройствах. В остальном всё очень схоже — генерация ключей из двух половин, обмен публичными частями, шифрование/расшифровка на устройствах. Здесь — политика конфеденциальности мессенджера.
Из интересного — нашел на сайте WhatsApp утверждение о том, что запросы от правоохранительных органов принимаются , и выдача информации о пользователях возможна. В эту информацию может входить: имя профиля, статусы, последнее появление в сети, IP-адрес пользователя, список контактов, если у WhatsApp был доступ к контактам. Переписок там нет. И, по идее, не может быть.
Причем большую часть эти данных о себе можно удалить, либо не давать к ним доступа. Но это неудобно. Конфликт удобства и безопасности.
Кстати, об удобстве. Ситуация с резервными копиями у WhatsApp аналогична Viber-у. То бишь, копии расшифрованных бесед хранятся в облачном хранилище Apple/Google пользователя, которые, теоретически, могут быть выданы.
Получается, способ обезопасить общение в WhatsApp тот же самый — отключить резервные копии в приложении и запретить мессенджеру доступ к cloud-хранилищу.
Telegram
А теперь самое вкусное. Telegram. Лучший мессенджер по мнению молодежи и продвинутых «средневозрастных» пользователей по всем параметрам, в том числе и безопасность. И здесь действительно есть, о чем поговорить.
Прежде всего, Telegram отличается о остальных постоянным самопиаром от Павла Дурова . Ни один вендор мессенджера не сказал столько пафосных речей и не написал стольких самовлюбленных текстов, сколько это делал и продолжает делать Павел. И подобные приемы очень хорошо работают. Думаю, что не без участия Дурова Viber и WhatsApp сегодня получили в народе статус небезопасных.
Почему я начал в таком тоне? А вот смотри.
На официальном сайте Telegram можно увидеть рассуждения относительно конфликта безопасности и удобства. Команда Telegram приводит аргумент — безопасные мессенджеры вроде Signal (именно так и написано) не позволяют пользователям сохранять переписку при смене устрйоства, а потому такие сервисы никогда не выходят в топ и не становятся массовыми и популярными. Именно поэтому (ради популярности, напомню) Telegram работает иначе.
Там же, в официальном разделе поддержки, однозначно указывается , что:
- Переписки пользователей хранятся на серверах Telegram
- У команды Telegram имеются ключи для этих переписок.
Я не ошибся. Telegram утверждает, что переписки рандомно разбиваются на части, и хранятся на разных серверах в разных странах мира — то бишь, под разной юрисдикцией. То же самое происходит с ключами — они есть, они разделены на части, и эти части хранятся в разных странах. Да, Telegram принял меры для усложнения доступа к данным. Но ведь они таки-хранятся.
А теперь вспоминаем письмо в РКН и два железных ключа. Без комментариев.
Да, естесственно, диалоги зашифрованы . Однако для шифрования обычных (не «секретных») чатов Telegram использует собственный метод MTProto. Так как зашифрованная переписка может переноситься на другие устройства — напомню, для обеспечения сквозного шифрования необходима генерация ключа для каждого нового устройства — я, при своем небольшом уровне знаний, могу сделать вывод, что используется не общепринятый способ сквозного шифрования.
Метод MTProto подробно описан там же, в FAQ на сайте Telegram, и я не подвергаю его сомнению. Речь лишь о том, что, ради удобства пользователя, Telegram действительно хранит и переписки, и ключи к ним на своих серверах. А значит — при определенных обстоятельствах — теоретически может иметь возможность передать эти переписки третьим лицам.
Да, сайт утверждает, что «на сегодняшний день мы раскрыли 0 байтов пользовательских данных третьим сторонам, в том числе правительствам». Однако гарантии этого — только пламенные речи Павла на коне с голым торсом. Просто имей это в виду. Позиция Viber и WhatsApp кажется мне более прозрачной.
Классическое сквозное шифрование в Telegram тоже используется. Чтобы общаться именно с его использованием, тебе нужно создать «секретный чат» со вторым пользователем. Секретные чаты создают сквозной туннель, и строго говоря, это то самое идеальное сквозное шифрование, которое вообще исключает хранение пеерписки на сервере, пусть и в зашифрованном виде.
Дело в том, что для начала секретного чата оба пользователя должны быть в сети. То есть, сообщение не ожидает доставки на сервере — ты просто не можешь ничего отправить, пока устройство получателя не откликнется на запрос о секретном чате. Секретные чаты не дулируются на другие устройства и не переносятся с обычными облачными чатами.
То бишь, чтобы полностью обезопасить свое общение в Telegram — общайся в секретных чатах. Но в таком случае ты теряешь синхронизацию и резерв переписок
Изначально я хотел столкнуть в одной статье Viber, WhatsApp, Telegram, Signal и iMessage. Однако материал уже получился слишком длинным — думаю, что редкая птица пролетит его целиком и прочтет вот эти завершающие строки. Чтобы в голове автора и читателя не было каши — Signal и Apple iMessage я оставил на вторую часть техразбора .
Ну и, наконец, на абсолютную истину я не претендую . Все источники информации открыты и доступны для изучения — ссылки на них я приводил в теле статьи.
Подписаться на Дзен
- Подписаться на Telegram-канал
- Подписаться на паблик ВКонтакте
Олег, #jeronimos_tech
Источник: dzen.ru
Киберэксперт рассказал о преимуществах мессенджеров Telegram и WhatsApp
В России по состоянию на 30 января 2023 года только два мессенджера пользуются популярностью — Telegram и WhatsApp. Пользователи постоянно спорят, что же лучше, одни обвиняют «Ватсап» в том, что он «сливает» данные, а другие считают, что WhatsApp лучший мессенджер в мире. Киберэксперт Виталий Арбузов рассказал, у какого приложения есть преимущества. Об этом, ссылаясь на господина Арбузова, сообщает портал «Прайм».
- Что безопаснее Telegram или WhatsApp
- Функции популярных мессенджеров
Что безопаснее Telegram или WhatsApp
«Аудитория WhatsApp по всему миру составляет около двух миллиардов пользователей, в Telegram зарегистрировано более 500 млн пользователей. При этом в России Telegram по итогам 2022 года впервые обогнал WhatsApp по объему трафика: он занял 60-80 процентов от общего объема мессенджеров. Причем через данный сервис передается превалирующая доля тяжелого контента – видеоматериалов», — отметил эксперт.
Помимо того, что Telegram уже давно перестал быть просто мессенджером и трансформировался в большое медиа с рекламными площадками, инфлюенсерами, тематическими каналами и т.д., он обладает целым списком преимуществ перед главным конкурентом. «Telegram безусловно выигрывает по функциональному ряду», — отметил Арбузов.
Например, в мессенджере можно редактировать сообщение до и после его прочитывания собеседником, в WhatsApp же можно просто удалить сообщение и отправить заново корректную версию, причем факт удаления сообщения будет виден всем пользователям.
Функция «Автозагрузка медиа» доступна в обоих мессенджерах, однако в Telegram в разделе «Данные и память» можно настроить автозагрузку через мобильную сеть или Wi-Fi и установить расход трафика. Это хорошее дополнение, которое сэкономит заряд батареи и мобильный трафик интернета, особенно для тех, у кого нет безлимитного интернета.
«Отложенная отправка сообщений в WhatsApp не предусмотрена – эту опцию разработчики в мессенджер не внедрили. Сообщения можно отправлять только в режиме реального времени. В Telegram при удерживании кнопки отправки сообщения можно запланировать выбрать дату и время отправки», — рассказал собеседник агентства.
Как правило, в мессенджерах пользователи хранят большое количество приватных данных, которые не должны там храниться, например, реквизиты банковской карточки. Мессенджеры предлагают свои варианты по сохранению личных данных. Например, в WhatsApp можно скрыть диалоги от посторонних глаз, добавив их в папку «Архив».
«В Telegram есть секретные чаты, вся информация в которых защищена сквозным шифрованием. Содержимое секретных чатов не хранится на серверах Telegram — только на устройствах участников переписки. Эта опция доступна на профиле собеседника, с которым вы хотели бы пообщаться», — подсказал эксперт способ обезопасить свои данные от утечки.
Также можно установить время, по истечении которого ваши сообщения будут автоматически удаляться, а если собеседник сделает скриншот переписки — вам придет уведомление.
Если у пользователя несколько номеров телефонов и для каждого из них требуется мессенджер, то для Telegram это не станет проблемой, можно подключить сразу несколько аккаунтов. В WhatsApp такой функции пока нет.
Переслать тяжелые медиафайлы через WhatsApp может быть проблематичным. Мессенджер ограничивает загрузку или отправку видео размером более 16 МБ. Кроме того, отправка файлов документов или zip-файлов имеет ограничение в 100 МБ. В Telegram таких проблем не возникает.
Функции популярных мессенджеров
Функция добавления сообщений или файлов в папку «Избранное» позволяет отмечать и сохранять важную для пользователя информацию. Она есть в обоих мессенджерах.
В 2021 году Telegram расширил функционал чатов и сделал их безлимитными по количеству участников. Писать сообщения в них могут только администраторы, а сами пользователи будут общаться в групповом голосовом чате. До этого в групповых чатах могли участвовать до 200 тысяч пользователей. В прошлом году WhatsApp также расширил лимит участников групп с 256 до 512.
И WhatsApp, и Telegram предоставляют пользователям возможность скрывать время последнего посещения мессенджера от отдельных контактов. Отрегулировать это можно в разделе «Конфиденциальность».
Источник: pronedra.ru
Какой мессенджер самый безопасный и почему
Мессенджер – это удобный инструмент для общения с друзьями, отправки фотографий и видеороликов. В нем можно делать все то, что пару десятков лет назад нельзя было даже представить. Есть и те, кто использует подобные технологии для передачи личных и важных данных. Тут сразу возникает вопрос: «Могу ли я доверять этому приложению?». Перебрав все варианты, можно понять, что ответ неоднозначный.
Есть ли сейчас действительно безопасный мессенджер? Поговорим об этом в сегодняшней статье.
Как работает шифрование в мессенджерах
Давайте сначала разберемся, как же именно работает защита данных в популярных мессенджерах. Начать нужно с шифрования – это способ, позволяющий защитить передаваемую информацию (сообщения, фотографии и прочее) от нежелательного просмотра третьими лицами.
Чтобы шифрование работало, необходимы ключи – один у одного пользователя, другой – у другого. Если ключ будет распознан, то вся информация отправится напрямую злоумышленнику.
Отсюда вытекает еще одно определение – сквозное шифрование, end-to-end encryption (E2EE). Суть его в следующем: при работе мессенджера используется сервер, который обеспечивает доступ пользователя к своему аккаунту, личной переписке, профилю и прочему. Сервер помогает выполнять и отправку сообщений. Если передача выполняется через сквозное шифрование, то сервер не знает секретные ключи, а значит, не может получить доступ к данным.
Сейчас сквозное шифрование используется практически всеми мессенджерами, но так было не всегда. Ранее шифрование проходило напрямую через сервер – когда выполнялась передача сообщения, оно шифровалось на сервере и только потом расшифровывалось для другого пользователя. Иными словами, разработчики мессенджера могли спокойно прочитать всю переписку двух пользователей. При сквозном шифровании прочитать ее могут только те пользователи, у которых есть секретные ключи.
Стоит сразу заметить, что на словах это все выглядит отлично – сообщения шифруются, их видят только пользователи в диалоге, но на самом деле есть много нюансов. Передачу данных могут вполне легко перехватить злоумышленники. Либо они все же будут раскрыты разработчиками, например, в тех случаях, когда этого требует власть.
Комьюнити теперь в Телеграм
Подпишитесь и будьте в курсе последних IT-новостей
Сравниваем мессенджеры
Остановимся на мессенджерах, которые популярны как в странах СНГ, так и в других частях мира. Поговорим о Signal, WhatsApp, Viber, Telegram, Facebook Messenger и Wickr Me.
Signal
Малоизвестный в России мессенджер, который уже успел нашуметь и стать востребованным на рынке. Приложение вышло в 2014 году – тогда приложение называлось TextSecure. Свою популярность Signal получил благодаря сквозному протоколу шифрования OWS, которым сегодня пользуются такие мессенджеры, как WhatsApp, Google Allo, Facebook Messenger, Skype, Viber и другие.
Signal требует только номер телефона для авторизации. Все данные хранятся непосредственно в смартфонах пользователей. Однако есть одно «но» – когда сообщение отправляется человеку, которого нет в сети, оно хранится в облаке до тех пор, пока пользователь не зайдет в онлайн.
Казалось бы – вот он, мой герой, но нет. Когда вы регистрируетесь, требуется ввести код верификации, который приходит в сообщении на телефон. Так вот, сообщение поступает не от Signal, а от другой компании. Такими образом, перехват данных может быть легко выполнен другим лицом.
Если предыдущий мессенджер малоизвестен, то WhatsApp знают все – более 2 млрд человек используют его по всему миру. Говоря о безопасности, последнее время приложение несет потери. После того как основатель WhatsApp, Брайан Эктон, в 2014 году уступил свое детище Марку Цукербергу из Facebook, он заявил, что продал приватность пользователей. Не раз о WhatsApp говорил и Павел Дуров – он регулярно призывает отказаться от мессенджера, однако это больше похоже на конкуренцию, нежели на объективную точку зрения.
WhatsApp собирает такие данные, как номер телефона, данные о контактах и данные, полученные через службу поддержки. Автоматически собираются логи, данные по транзакциям и файлы cookies.
Шифрование в приложении довольно мощное – двухфакторная аутентификация со сквозным шифрованием, которое работает по умолчанию. Как я уже говорил выше, WhatsApp использует протокол шифрования от Signal, а это хороший показатель. Также сообщение автоматически удаляется с сервера после того, как его получает пользователь.
Viber
В некотором роде аналог WhatsApp, который часто можно встретить у пользователей стран СНГ. Сегодня Viber принадлежит японской корпорации Rakuten, хотя само приложение было разработано в Израиле.
Из хорошего – приложение использует сквозное шифрование, есть секретные чаты с возможностью автоматического удаления сообщений, их пересылки, защиты от копирования и прочего. Кроме того, мессенджер использует протокол шифрования от Signal – опять же только плюс.
Из плохого – сквозное шифрование не защищает сообщения в чат-ботах и дополнениях.
В отличие от Telegram, Viber использует полное шифрование для всех чатов, а не только для секретных. Но вместе с этим сами разработчики говорят, что их технологии шифрования похожи на те, что используются в Telegram.
Несмотря на все вышесказанное, Viber не следует считать полностью безопасным приложением для обмена данных. Связано это с двухфакторной аутентификацией, хранением резервных копий чатов и самой технологией шифрования.
Telegram
Вот мы и дошли до нашумевшего проекта, который многие считают полностью безопасным и неуловимым.
Одно из преимуществ Telegram – собственный протокол шифрования под названием MTProto, который использует несколько технологий:
- симметричное шифрование AES с размером блоков 256 бит,
- ассиметричное шифрование RSA с размером 2048 бит,
- классический протокол обмена ключами, который позволяет передавать по открытому каналу только публичные ключи.
В общем, Телеграм вобрал в себя все хорошее, что только возможно, но действительно ли это дает пользователю надежную защиту? Все переписки хранятся в зашифрованном виде, а ключи для их доступа находятся на разных серверах – это и есть главная особенность. Даже если злоумышленник сможет перехватить данные с переписками, он не сможет их расшифровать, так как неизвестно, где находятся ключи.
Кроме того, Телеграм может выдать данные только в том случае, если пользователь представляет особую угрозу для государства.
Facebook Messenger
Еще один популярный мессенджер, который не пользуется огромным спросом на территории СНГ, однако по всему миру он насчитывает 1,3 млрд пользователей. Несмотря на такой охват, дела у приложения от корпорации Facebook обстоят не совсем хорошо.
Из плюсов – есть секретный чат для передачи сообщений, а также функция автоматического удаления сообщений. Подобный функционал предоставляется каждому пользователю, вот только его нужно предварительно настроить. По умолчанию особой защиты данных в Facebook Messenger нет. Сообщения на смартфоне изначально не шифруются – только после самостоятельной настройки.
Также мессенджер отлично синхронизируется с учетной записью Facebook и использует ее как двухфакторную аутентификацию. Однако это может сыграть злую шутку – если кто-нибудь взломает ваш Фейсбук, то вместе с ним доступ откроется и к мессенджеру.
Что в итоге? Facebook Messenger довольно неоднозначен, в чем признался и сам Марк Цукерберг. Какие решения последуют на этот счет, пока непонятно, но будем думать о лучшем.
Wickr Me
Еще один мессенджер, о котором мало кто знает. Wickr был разработан в 2013 году для Android и iOS. Идея разработчиков заключалась в том, чтобы создать самый защищенный мессенджер в мире, который способен заменить Facebook и Skype.
Wickr me осуществляет закодированную передачу почти любой информации, включая фото, аудио, текст и видео, а также не позволяет копировать или пересылать сообщения третьим лицам и не разрешает делать скриншоты. В приложении используются стандарты шифрования AES 256, ECDH 521, RSA 4096 TLD.
Из нюансов – есть возможность поставить таймер на самоуничтожение сообщения (от 1 минуты до 6 дней), которое защищено шифрованием высокого уровня.
Из интересного – способ установки соединения: весь исходящий трафик перемешивается с помощью математического алгоритма. Разработчики назвали эту схему «соление и хеширование», суть которой заключается в следующем: информация не хранится на гаджете, и это делает полностью бессмысленным физический захват устройства и его взлом.
Беря во внимание много исследований, Wickr можно считать вполне безопасным мессенджером. Другое дело – это популярность, ведь зачем использовать приложение, если из своего круга в нем только ты.
Что в итоге
Несмотря на уйму нюансов и открытых дыр, каждый из рассмотренных мессенджеров может служить отличным приложением для переписки. Везде установлена функция двухэтапной аутентификации, благодаря которой взломать учетную запись становится практически невозможно.
Другое дело – для каких целей вам нужен мессенджер и что вы от него ожидаете. Если вы боитесь, что кто-то узнает о ваших секретных делах, то, конечно, двухэтапной аутентификацией не обойтись. В таком случае лучше выбирать то приложение, где запрашивается минимум данных. Здесь, как ни странно, выигрывает Signal – в нем используется свой алгоритм шифрования, для которого защита данных превыше всего.
Нельзя забывать и о нашумевшем Телеграме – он до сих пор на высоте и предоставляет хорошие решения для защиты данных. Также не нужно отбрасывать малоизвестный Wickr, идея которого заключалась в том, чтобы стать самым безопасным мессенджером в мире.
Источник: timeweb.com