Шифрование позволяет защитить передаваемую информацию от нежелательного просмотра злоумышленниками, а использование других криптографических механизмов – обеспечить защиту от искажений или возможность отказа от авторства. Для работы алгоритму шифрования нужны ключи.
Эти ключи должны быть у абонентов одинаковыми и храниться строго в секрете — тот, кто узнает ключ, тот прочтет шифрованное сообщение (хотя не всегда сможет его, например, изменить). Почему шифрование «сквозное»? Кстати, по-английски его называют end-to-end encryption (E2EE).
При работе большинства мессенджеров используется сервер, который обеспечивает доступ пользователя (абонента) к своему аккаунту, проводит аутентификацию, хранит списки контактов и помогает осуществлять переписку, пересылая (ретранслируя) сообщения. Так вот, если мессенджер обеспечивает сквозное шифрование, то сервер не знает секретные ключи абонентов, и никак не участвует в шифровании сообщений пользователей друг другу.
Иными словами, шифрование проходит «сквозь» сервер. Дело в том, что раньше (на заре создания мессенджеров) шифрование выполнялось от пользователя к серверу, затем сервер расшифровывал переписку и шифровал сообщения уже для другого абонента. Таким образом сервер знал все ключи и мог прочитать всю переписку.
Ключи шифрования. Может ли телеграм их передать ФСБ? Чуть-Чуть о Науке #Наука
При сквозном шифровании переписку могут прочитать только пользователи, у которых есть секретные ключи. У сервера в этом случае ключей нет. Возможны и гибридные схемы, как, например, это реализовано в Telegram – обычная переписка зашифрована между сервером и клиентом, и сервер имеет к ней доступ, а «секретные чаты» защищены дополнительным end-to-end слоем шифрования и сервер доступа к содержанию таких сообщений не имеет.
Какие мессенджеры считаются самыми безопасными? Существуют ли абсолютно безопасные мессенджеры?
Рейтинги безопасности мессенджеров составляются и обновляются постоянно и выбрать самый безопасный сложно. В каждом таком рейтинге учитываются различные характеристики, такие как наличие сквозного шифрования, шифрования групповых чатов, защиты контактов пользователя, запрет на скриншоты и т. д. В лидерах подобных рейтингов, как правило, присутствуют Signal, Matrix, Wire.
Популярные в России Telegram и WhatsApp в последнее время серьезно поработали над своей безопасностью и так же находятся в верхней части подобных списков. Абсолютно безопасных мессенджеров, конечно, не существует. Дело в том, что на безопасность мессенджера влияет слишком много факторов, которые пользователь не всегда может контролировать.
Это прежде всего сервер мессенджера, который обычно пользователю недоступен, как и кем этот сервер был реализован, настроен и используется – в случае использования массовых мессенджеров пользователю неизвестно, и он вынуждет доверять компании, которая поддерживает сервис мессенджера. Это влечет возможность ошибок и неточностей в программных реализациях клиентов этого мессенджера и многое другое. Кроме того, часть мессенджеров полностью скрывает протоколы и особенности реализации своих продуктов, что тоже не добавляет уверенности в их безопасности.
Кому и зачем могут понадобиться данные из личных переписок пользователей?
Переписка пользователей всегда была объектом интереса различных сторон. Раньше интересовались перепиской в обычной почте, потом в электронной, сейчас объектом интереса стали мессенджеры. Какие это стороны? Это могут быть обычные жулики или преступники, которые через мессенджеры пытаются украсть информацию.
Могут быть конкурирующие фирмы и компании, которые ведут нечестную игру на рынке и пытаются выведать коммерческую тайну. Ну, и конечно, специальные службы и разведки многих стран тоже не прочь почитать переписку как обычных пользователей, так и террористов, и прочих преступников.
Как максимально обезопасить свои личные данные в мессенджерах?
Как мы уже поняли идеальных мессенджеров не существует, однако почти в любом мессенджере сейчас можно сделать многое, чтобы обеспечить безопасность переписки. Прежде всего нужно включить сквозное шифрование, о котором мы говорили (не везде оно включено по умолчанию).
Затем нужно убедиться, что установлены все обновления как самого мессенджера, так и операционной системы (iOS или Android). Необходимо настроить двухфакторную аутентификацию к своему аккаунту в мессенджере, чтобы обезопасить аккаунт от кражи (подбор пароля и пр.). Желательно отключить сохранение в облаке резервных копий ваших чатов, поскольку часто безопасность резервных копий не всегда обеспечивается должным образом. Очень полезно при личной встрече с вашими абонентами сверить ваши ключи переписки, сейчас это можно легко сделать, сканируя соответствующий QR код в приложении мессенджера или сравнивая последовательности эмодзи, как в Telegram.
Как проверить, прослушивается ли телефон/мессенджер, читаются сообщения?
Ответ простой – в общем случае никак! Старайтесь использовать мессенджеры от компаний с хорошей репутацией, настраивайте безопасность вашего мессенджера по максимуму, включайте сквозное шифрование, но наш совет – не отправляйте через мессенджер то, что не хотели бы показывать любым чужим глазам (документы, фотографии, подробности личной жизни). Будьте бдительны!
Источник: vc.ru
«Принцип асимметричной криптографии»: почему в Telegram отрицают возможность предоставить ФСБ ключи шифрования
Telegram пока не предоставил официального ответа на уведомление о необходимости передать ФСБ ключи шифрования. Об этом сообщили в Роскомнадзоре. В компании утверждают, что не могут выполнить заявленные требования по техническим причинам. Представители мессенджера обязаны ответить до 4 апреля, в противном случае ведомство обратится в суд, по решению которого ресурс на территории России могут заблокировать. О том, чем обусловлены сложности при передаче ключей шифрования и возможно ли полное закрытие доступа к Telegram, — в материале RT.
- РИА Новости
Роскомнадзор не получал ответа от Telegram на уведомление о необходимости предоставить ФСБ ключи шифрования. Об этом сообщает РИА Новости со ссылкой на пресс-службу ведомства.
«По данным на 13:00 2 апреля, Роскомнадзор не получал официального ответа на уведомление о необходимости исполнения обязанностей организатора распространения информации, которое было направлено 20 марта в адрес Telegram Messenger Limited», — заявил представитель ведомства.
Он также подчеркнул, что от владельцев, администраторов или представителей Telegram не поступало никакой информации ни по обычной, ни по электронной почте.
Между тем 20 марта ведомство пообещало направить иск в суд с требованием ограничить доступ к Telegram на территории России в случае, если представители мессенджера не предоставят ФСБ информацию, «необходимую для декодирования принимаемых, передаваемых доставляемых и (или) обрабатываемых электронных сообщений». Отведённый на ответ 15-дневный срок истекает 4 апреля.
При этом юристы, представляющие интересы Telegram, утверждают, что выполнить требования ФСБ невозможно по техническим причинам.
Также по теме
Подобрать ключик: Telegram должен в течение 15 дней предоставить ФСБ инструмент дешифрования сообщений
Роскомнадзор направил мессенджеру Telegram уведомление о необходимости передать ФСБ ключи для расшифровки пользовательских сообщений.
«Администратор сервиса в существующей архитектуре ни при каких условиях не имеет доступа к информации, дающей возможность декодирования принимаемых, передаваемых, доставляемых и обрабатываемых с его помощью электронных сообщений», — цитирует РИА Новости адвоката Дмитрия Динзе.
Как пояснил Динзе, в мессенджере пользователи могут общаться с помощью облачных и секретных чатов. При этом сообщения, передаваемые через секретные чаты, на серверах не сохраняются, а переписка в облачных чатах хранится в зашифрованном виде и распределяется между различными подсистемами, которые находятся в нескольких государствах.
Сейчас у Telegram нет технических возможностей предоставить ключи шифрования, подтвердил в беседе с RT ведущий аналитик Российской ассоциации электронных коммуникаций Карен Казарян.
«Смысл заключается в том, что два клиента мессенджера в приложении перед установлением связи обмениваются ключами: открытыми и закрытыми. Существует пара ключей, один из которых хранится только на устройстве пользователя и используется для расшифровки сообщения, тогда как открытый ключ может передаваться по защищённому каналу, а его использует другой клиент. Сообщение, зашифрованное открытым ключом, можно расшифровать закрытым ключом — базовый принцип асимметричной криптографии», — пояснил эксперт.
По его словам, ни в какой момент времени ключи, которые используются для шифровки сообщений, не попадают на серверы Telegram. Как отметил директор информационно-аналитического агентства Telecomdaily Денис Кусков, выполнить требования Роскомнадзора можно только путём изменения технологии передачи информации, причём это касается не только Telegram, но и других мессенджеров.
«Большинство мессенджеров не используют криптоключи, которые где-то хранятся, а используют шифрование end-to-end. Поэтому нельзя передать ключи, можно передать только алгоритмы шифрования. Если захотят, то и Telegram, Viber, WhatsApp и другие мессенджеры будут работать на территории России», — сказал в беседе с RT эксперт в области безопасности Александр Власов.
Ранее министр связи и массовых коммуникаций России Николай Никифоров заявил, что в части соблюдения российского законодательства возникает гораздо больше вопросов к Facebook и WhatsApp, чем к Telegram, при этом претензии возникают по поводу статуса организатора распространения информации и взаимодействия с правоохранительными органами.
«Гораздо больше вопросов возникает к сервисам, к примеру к компании Facebook, к WhatsApp, другим мессенджерам. Мы почему-то всё время из контекста выдёргиваем именно историю с Telegram», — цитирует министра РИА Новости.
Отказ от сотрудничества
Напомним, что 20 марта Верховный суд России отклонил иск Telegram, в котором компания просила признать недействительным приказ ФСБ от 19 июля 2016 года №432, устанавливающий порядок предоставления организаторами распространения информации данных, необходимых для декодирования.
После этого Роскомнадзор направил уведомление, в котором напомнил, что в октябре 2017 года суд обвинил мессенджер в «неисполнении обязанности предоставлять информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений». За отказ передать информацию для расшифровки переписки обвиняемых по делу о теракте в Санкт-Петербурге Telegram также был оштрафован на 800 тыс. рублей.
При этом основатель Telegram Павел Дуров считает, что попытки заблокировать мессенджер бесполезны.
«Угрозы блокировать Telegram, если он не предоставит частные данные своих пользователей, не принесут плодов. Telegram будет выступать за свободу и неприкосновенность частной жизни», — написал он в своём Twitter.
По мнению Казаряна, теоретически Роскомнадзор может серьёзно нарушить работу сервиса и ограничить возможность скачивания мессенджера для новых пользователей.
«Но это (полную блокировку. — RT) сложно выполнить без попутного ущерба для всех других сервисов в интернете», — подчеркнул эксперт.
При этом председатель экспертной группы Торгово-промышленной палаты по криптовалюте, альтернативным механизмам инвестирования и технологиям Герман Клименко считает, что технически заблокировать мессенджер возможно.
«Техника в этом плане всё позволяет, а дальше — желание Роскомнадзора», — заявил Клименко.
Источник: russian.rt.com
«Как ПИН-код». ВВС спросил депутатов, что такое ключи шифрования Telegram, и получил неожиданные ответы
Корреспонденты BBC Russia попросили депутатов Госдумы ответить на вопрос, что такое ключи шифрования, которые Роскомнадзор требует от мессенджера Telegram. Несмотря на то, что депутаты голосовали за закон, на основании которого мессенджеры должны предоставить доступ к своей переписке, немногие из них смогли объяснить, что такое ключи шифрования, а некоторые ответы законодателей были совсем неожиданными.
После теракта в Петербурге весной прошлого года ФСБ и федеральные каналы всерьёз взялись за мессенджер Telegram, которым владеет Павел Дуров. Они официально заявляли, что переписку в мессенджере ведут террористы и наркоторговцы.
Спустя несколько месяцев после теракта был принят пакет законов депутата Госдумы от «Единой России» Ирины Анатольевны Яровой, который обязывал все мессенджеры хранить переписку пользователей до полугода и предоставлять её спецслужбам по запросу. А чтобы спецслужбы могли её прочитать, мессенджеры должны предоставить так называемые ключи шифрования, которые позволят декодировать сообщения. Это требование распространялось и на Telegram.
Ещё тогда, летом 2017-го, Дуров объяснил, что передать ключи шифрования невозможно по техническим причинам, но Роскомнадзор продолжал настаивать на своём требовании и осенью оштрафовал мессенджер на восемьсот тысяч рублей за отказ передать ключи. 20 марта Роскомназдор отправил Telegram предупреждение, а 6 апреля подал в суд на мессенджер, пишет «Интерфакс».
Пока же суд только рассматривает иск Роскомнадзора, корреспонденты BBC решили спросить у депутатов, знают ли они, что такое ключи шифрования. Ведь именно они голосовали за закон Яровой летом прошлого года, по которому Telegram обязан предоставить эти самые ключи.
Корреспонденты попросили семерых депутатов объяснить простым языком, что такое ключи шифрования. Почти все затруднились с ответом. Вот как, например, начал свою речь депутат Сергей Боярский.
Четверо из депутатов не смогли дать никакого определения этому понятию, а своё незнание оправдывали по-разному.
Депутат Евгений Ревенко сказал, что он не технический работник, а законодатель, поэтому не знает, возможна ли передача ключей. Но при этом требования законодателей всё равно должны исполняться.
Необходимо садиться экспертам и внимательно смотреть, что такое ключи шифрования. Возможны они? Возможна их передача или нет? Этот уровень дискуссий — он не на уровне законодателей. Законодатель установил норму — её нужно выполнять.
Тогда корреспонденты BBC подошли к эксперту интернет-отрасли Сергею Гребенникову. Но он тоже не смог ответить на вопрос, потому что боялся, что над ним начнут смеяться.
Депутат Раиса Карамзина, голосовавшая за закон Яровой в трёх чтениях, тоже не знала, что такое ключи шифрования. Она объяснила это тем, что за закон о них Дума ещё не голосовала.
Я не могу вам объяснить, потому что за него-то [закон] мы ещё не голосовали. Ко второму чтению, конечно, мы разберёмся. Просто меня эта тема волнует.
Выкрутиться из ситуации постарался вице-спикер Думы Пётр Толстой:
Ключи шифрования — это, прежде всего, желание соблюсти закон, который действует в стране.
Но трое депутатов постарались рассказать, что такое ключи шифрования. Очень просто это объяснил Владимир Жириновский.
Глава комитета Госдумы по связи Леонид Левин назвал ключи шифрования определённой математической программой, а депутат Сергей Боярский — необходимым инструментом, который позволит спецслужбам получать доступ к любой переписке.
Вот видео полностью. В конце него корреспондент BBC всё же даёт правильное определение ключу шифрования.
С требованиями Роскомнадзора спорит руководство Telegram. Ключ шифрования сам по себе, как не один раз уже заявлял Дуров и юристы Telegram, не даст возможности прочитать переписку. А главное, их нельзя никому передать.
Администратор сервиса в существующей архитектуре ни при каких условиях не имеет доступ к информации, дающей возможность декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых с его помощью электронных сообщений, — говорилось в письме руководства Telegram Роскомнадзору, отправленном ведомству в марте.
Дело в том, что в Telegram используется сквозное или оконечное шифрование (end-to-end encryption), при котором создаются два ключа — открытый и закрытый. Закрытый ключ хранится на устройстве пользователя, и узнать его не может никто. Вот как можно представить это схематично, согласно сайту First SSL:
- Боб отправляет Алисе замок, ключ от которого есть только у него. Замок здесь — публичный ключ.
- Алиса закрывает замком Боба ящик с секретом и посылает обратно. Так же браузер (или мессенджер) шифрует сообщение с помощью публичного ключа и передаёт на сервер. Открыть ящик не сможет никто: ни сама Алиса, ни сотрудники почты. Мошенник точно так же не может расшифровать сообщение браузера (мессенджера) без закрытого ключа.
- Боб получает ящик, открывает своим единственным ключом и узнаёт секрет. Сервер расшифровывает сообщение закрытым ключом, который есть только у него.
Кроме того, ключи шифрования регулярно обновляются, а неактуальные уничтожаются. Переписка секретных чатов вообще не хранится на серверах Telegram, а облачных — хранится в разных местах и шифруется вышеописанным способом.
Таким образом, даже имея ключи, ФСБ не сможет прочитать переписку. Для того, чтобы у спецслужб был доступ к сообщениям в Telegram, мессенджеру необходимо поменять алгоритмы своего шифрования, говорит руководство Telegram.
Павел Дуров уже указывал в своём твиттере и на странице во «ВКонтакте», что Telegram — за свободу переписки и частной жизни, а заблокировать мессенджер у Роскомназора не получится.
Потенциальная блокировка Telegram никак не усложнит задачи террористов и наркодилеров — в их распоряжении останутся десятки других мессенджеров, построенных на оконечном шифровании (+VPN). Ни в одной стране мира не заблокированы все подобные мессенджеры или все сервисы VPN. Чтобы победить терроризм через блокировки, придётся заблокировать интернет.
Несмотря на слова Дурова, председатель экспертной группы Торгово-промышленной палаты по криптовалюте и технологиям Герман Клименко считает, что заблокировать Telegram всё-таки можно.
Техника в этом плане всё позволяет, а дальше — желание Роскомнадзора.
В случае, если Telegram всё же заблокируют, Medialeaks уже подобрал несколько современных способов настроить VPN на телефоне и всё такое, чтобы вам не пришлось сидеть в ICQ.
Источник: medialeaks.ru