Шифрование и чаты

Теоретически, в наше время очень легко вести приватные разговоры через Интернет, поскольку существуют общедоступные и автоматизированные, но в то же время надежные методы шифрования.

Но на практике это не так просто, или, по крайней мере, обычно не используется широкой публикой, потому что людям дают неверную информацию, потому что они “доверяют разработчикам”, или потому что им просто все равно.

Эта статья должна помочь вам решить хотя бы одну из проблем.

Video Ссылка на заголовок

Теория Ссылка на заголовок

Простое шифрование Ссылка на заголовок

Шифрование - это способ защиты информации путем передачи ее в виде некоего секретного кода. Более простые методы шифрования могут быть расшифрованы, если вы знаете используемый метод или какой-то словарь, который помогает соотнести зашифрованную информацию.

Предупреждение
Проблемы: Методы и словари легко угадываются компьютерами и профессионалами, их трудно безопасно обменивать.

Ключи шифрования Ссылка на заголовок

Современные методы шифрования могут быть изменены с помощью так называемых ключей, обычно это строки буквенно-цифровых символов, ключи легче обмениваются и не требуют создания новых методов.

Предупреждение
Проблемы: По-прежнему требуется безопасный обмен

Открытый и приватный ключи Ссылка на заголовок

Открытый ключ может быть доступен или отправлен во время обмена. Он может быть использован только для шифрования сообщений. Секретный ключ хранится локально и может быть использован для расшифровки сообщений, зашифрованных соответствующим открытым ключом.

Необходимо обмениваться только открытыми ключами. Это позволяет обмениваться ключами по изначально незашифрованным каналам передачи данных.

Предупреждение
Проблемы: Подвержен атаке “человек посередине” (получает открытый ключ и пытается вступить в контакт независимо от первоначального получателя), поэтому используются сертификаты безопасности для проверки соединений, которые обычно включаются в методы шифрования (что само по себе открывает новые потенциальные направления атак, так что это бесконечная гонка между специалистами по безопасности и хакерами).

Шифрование от конца к концу Ссылка на заголовок

Если вы обмениваетесь сообщениями через Интернет, вы отправляете их на сервер, а сервер затем пересылает их получателю сообщения. При этом используется отдельное шифрование, и сервер имеет доступ к вашим сообщениям.

Если вы обмениваетесь ключами с человеком, с которым общаетесь, а не с сервером, проблема решается, поскольку сервер не получает незашифрованные сообщения - это называется сквозным шифрованием.

Предупреждение
Проблемы: Необходимо использовать приложения для шифрования с открытым исходным кодом и прошедшие аудит (проверенные на наличие уязвимостей и вредоносных скрытых функций), чтобы быть уверенным в том, что им можно доверять.

Список программ по шифрованию Ссылка на заголовок

Не приватные (!) Ссылка на заголовок

  • WhatsApp - сбор метаданных, закрытый источник, не доверяют сквозному шифрованию, резервные копии делаются на google drive, для регистрации требуется номер телефона

  • Viber - закрытый источник, отсутствие стороннего аудита безопасности, нет сквозного шифрования, для регистрации требуется номер телефона

  • Discord - закрытый источник, нет сквозного шифрования, нельзя просматривать публичные пространства без присоединения

  • Другие проприетарные чаты - закрытый источник, нет сквозного шифрования, для регистрации требуется номер телефона

  • Прямые сообщения популярных социальных сетей - нет сквозного шифрования, закрытый источник, сбор данных, иногда требуется номер телефона для регистрации, они даже не пытаются скрыть тот факт, что могут читать ваши сообщения.

Приватные, но не совсем Ссылка на заголовок

  • Telegram - по умолчанию нет сквозного шифрования, оно недоступно для групповых чатов и несколько скрыто (клиент может быть с открытым исходным кодом, и они заявляют, что сбора данных нет)

  • Прямые сообщения Fediverse - нет сквозного шифрования, данные отправляются как владельцу вашего экземпляра, так и владельцу экземпляра-получателя (вы можете использовать самописку, сбора данных нет)

  • IRC и Mumble - требуют самостоятельного хостинга (или, по крайней мере, публичного IP, который может соединить вас с другим человеком, самостоятельный vpn может сделать этот трюк) для приватного общения, иначе владелец сервера видит все.

  • Чаты на основе электронной почты или просто электронная почта - сквозное шифрование несложно настроить и подозрительно для владельцев серверов, популярные провайдеры представляют собой “огороженные сады”, которые могут принимать сообщения только от других популярных провайдеров

Приватные Ссылка на заголовок

  • Signal - сквозное шифрование на основе пароля, с открытым исходным кодом, но централизованное и требует использования сервисов google и входа в систему с помощью номера телефона.

  • Session - децентрализованная версия Signal, использует в качестве серверов узлы, похожие на tor (но клиент не является узлом, в отличие от tor), не требует регистрации

  • XMPP (с шифрованием ONEMO) - присутствует сквозное шифрование, децентрализованное и федеративное, но секретные ключи хранятся только локально, и есть вероятность потери зашифрованных сообщений.

  • Matrix - Присутствует сквозное шифрование, децентрализованное и федеративное, в некоторой степени позволяет восстанавливать секретные ключи и старые сообщения.

Бонус Ссылка на заголовок

  • Minecraft - версии с предварительными чат-репортажами такие же, как IRC и Mumble, но они более ресурсоемкие для хостинга

  • Любая другая игра с самостоятельно размещаемыми серверами - может содержать вредоносный шпионский код, но если серверное ПО с открытым исходным кодом и проходит аудит, оно будет таким же, как IRC и Mumble

Почему меня это должно волновать? Ссылка на заголовок

  • Хакеры могут получить доступ к вашим и чужим сообщениям, если получат доступ к серверу, что более вероятно, чем взлом вашего устройства.
  • Во многих странах правительства могут получить доступ к сообщениям на серверах, если используют для этого свои законные полномочия.
  • Когда вы переписываетесь с кем-то, не только ваши личные сообщения, но и личные сообщения вашего партнера по общению теперь не являются приватными и являются менее безопасными, обычно без их подтверждения.
  • Есть люди, которым действительно нужна конфиденциальность, о которой вы не заботитесь, и они не преступники, но поскольку они выделяются, используя шифрование, их можно заподозрить в этом в обществе или просто выделиться настолько, чтобы их можно было отследить в самой сети, когда они хотят быть анонимными. Если больше людей будут использовать в повседневной жизни шифрованные и приватные мессенджеры, это станет меньшей проблемой.