Сквозное шифрование whatsapp

Криптофоны

Android — сложная операционная система, а степень защиты любой системы соответствует таковой для самого слабозащищенного компонента. Поэтому на рынке появляются криптофоны — максимально защищенные смартфоны. Silent Circle выпустила две версии Blackphone. BlackBerry создала Priv, а Macate Group представила в прошлом году GATCA Elite.

Парадокс в том, что, пытаясь сделать Android надежнее, все эти компании создают его более консервативную, усложненную… и менее надежную версию. Например, в Blackphone приходится использовать старые версии приложений из проекта AOSP, в которых накапливается много известных уязвимостей. Обновлять их вручную оперативно не получится, а ставить магазин приложений — это самому создавать брешь в охранном периметре.

Доходит до абсурда: предустановленное приложение для защищенной переписки SilentText долгое время использовало библиотеку libscimp, в которой давно выявлена утечка памяти. Достаточно было отправить модифицированное сообщение, чтобы его команды выполнились от локального пользователя и предоставили удаленный доступ к содержимому Blackphone.

ICQ

Сквозное шифрование whatsapp

В 1996-м году появилась ICQ. Она была разработана израильской компанией Mirabilis. Она не была первой и единственной системой мгновенного обмена сообщениями, но благодаря своим достоинствам стала самой популярной, например, в то время разработчики IM-приложений выбирали монетизацию путем их продажи, а ICQ была бесплатной. В то время о шифровании не было и речи.

Для передачи данных использовался проприетарный протокол OSCAR. Два года спустя, Mirabilis была куплена американской компанией AOL и до 2010-го года вместе с мессенджером принадлежала ей. А, в указанном году, права на ICQ были проданы Mail.Ru Group.

После появления ICQ, как грибы после дождя стали появляться конкурирующие системы мгновенного обмена сообщениями. За время жизни ICQ, появилось многочисленное количество, как официальных модификаций, так и неофициальных клиентов, примерами тому служат QIP, Miranda и многие другие. Среди конкурирующих программ, стремящихся потеснить ICQ в 1999-м году вышел MSN Messenger от Microsoft.

Последний стремился стать заменой ICQ-клиенту, используя его протокол, но не получилось, AOL пресекали попытки путем изменения протокола.

Ни о каком шифровании в официальном мессенджере ICQ на то время не могло быть и речи, поскольку в условиях использования оговаривалась возможность использования любых передаваемых между собеседниками данных третьей стороной (компанией AOL) в любых целях. В то же время, альтернативные клиенты могли реализовывать эту возможность.

Это был ХХ век.

Что такое сквозное шифрование?

Если вы используете для переговоров в Вацапе последнюю версию программы Whatsapp IOS, все сообщения, посылаемые собеседнику, в обязательном порядке шифрует специальное программное обеспечение. Это и называется “сквозное шифрование”. Факт его наличия дает стопроцентные гарантии конфиденциальности любому пользователю. Так как данный вид защиты информации активирован все время, отключить его невозможно, да и не нужно.

При каждой отправке любого по объему и содержанию сообщения оно кодируется отдельно (это значит, что вы защищены), поэтому имеет собственный ключ. Он есть только у того, кто отсылал сообщение, а также у предполагаемого получателя этой информации.

Вы сможете проверить кодировку одним из следующих способов:

  • Перепишите код из раздела информации (он состоит из шестидесяти цифр) и перешлите или иным образом сообщите своему собеседнику. Он в ручном режиме сравнит со своим таким же кодом на сообщении. Зашифрованность предполагает совпадение этих цифр. Кстати, можно также нажать “Поделиться” на экране показа QR-кода и отправить в автоматическом режиме его собеседнику.
  • Можно отсканировать QR-код, который похож чем-то на штрих-код, только он состоит не из полосочек, а из квадратиков. Его можно найти, нажав на своем гаджете “шифрование”. При удачной проверке на экране возникнет зеленая галочка. Подобные изображения означают, что информационный объект зашифрован.

Сквозное шифрование whatsappСквозное шифрование whatsapp

Особенно просто сделать второй вариант проверки, если вы с вашим собеседником можете встретиться в реальной жизни, то есть территориально находитесь близко

В таком случае один из вас может отсканировать QR-код с устройства товарища (неважно, Android это или другое устройство), с которого он пользуется Ватсапом, либо визуально сравнить все шестьдесят цифр

Обратите внимание на то, что даже 60 цифр QR-кода – это не вся “шифровка”, а только ее часть. Скрытие от всех части кода – это дополнительная мера, которая обеспечит безопасность общения и обмена информацией.. Если же код не совпал, это значит, что вы по ошибке просканировали код другого чата или другого пользователя

Также это может свидетельствовать об устаревшей версии программы. О том же самом говорит сообщение об отсутствии шифрования, выскакивающее при попытке узнать этот код

Если же код не совпал, это значит, что вы по ошибке просканировали код другого чата или другого пользователя. Также это может свидетельствовать об устаревшей версии программы. О том же самом говорит сообщение об отсутствии шифрования, выскакивающее при попытке узнать этот код.

Сквозное шифрование whatsappСквозное шифрование whatsapp

Описанный выше процесс называется “Подтвердить код безопасности”, но обязательной процедурой это не является.

Сквозное шифрование whatsapp

Вы можете также проверить любой из чатов на соответствие этим новым стандартам безопасности. Для этого требуется зайти в нужный контакт в программе, нажать “Посмотреть контакт”, выбрать “Шифрование”. После удачного прохождения проверки можно отправлять голосовые сообщения, текстовые сообщения, содержащие смайлики и любую другую информацию. Теперь можно не беспокоиться. Любые вторжения извне при общении вам не страшны!

Сквозное шифрование whatsapp

Дешифровка резервных копий WhatsApp

Для расшифровки резервных копий используется криптографический ключ, который создается в момент, когда пользователь впервые делает копию данных в облаке. Ключ генерируется на сервере WhatsApp и не попадает в облако.

В Android-устройствах ключ находится в каталоге data/data/сom.whatsapp/files. В iOS-устройствах ключ хранится в кейчейне и не попадает в облачные и iTunes-бэкапы.

Кроме самого ключа, который хранится на устройстве, также могут находиться зашифрованные базы данных.

Для извлечения ключа шифрования необходимо выполнить физическое извлечение данных из устройства. Но это не всегда возможно из-за проблем с программным или аппаратным обеспечением некоторых мобильных устройств.

В мобильной криминалистике эксперты часто сталкиваются с проблемами, которые не позволяют им провести полноценную экспертизу устройств и получить доступ к информации, хранимой в WhatsApp, из-за следующих проблем:

  • Устройство заблокировано.
  • Невозможно снять физический образ устройства или дешифровать его.
  • Приложение удалено с устройства владельца.

Такие проблемы возможно решить с помощью опенсорсных решений или применить специализированные программы.

О технологии сквозного шифрования в Вацапе

Для использования технологии сквозного шифрования вы и ваши собеседники должны использовать последние версии приложения WhatsApp.

Технология сквозного шифрования в WhatsApp дает гарантию, что доступ к содержимому ваших диалогов сможете получить только вы и человек, с которым вы общаетесь. Никто другой, даже компания WhatsApp, не сможет получить доступ к этим данным, так как ваши сообщения защищает уникальный замок. Ключ к этому замку предоставляется только вам и получателю сообщений и только он может разблокировать и прочитать данные. Для большей безопасности каждое отдельное сообщение отправляемое вами так же имеет уникальный замок шифрования и ключ к нему. И самое главное, что это все происходит в автоматическому режиме — для использования сквозного шифрования нет необходимости разбираться в настройках приложения или же использовать отдельные секретные чаты. Защита ваших личных данных обеспечивается постоянно.

Важно! Технология сквозного шифрования активна постоянно, если каждая из сторон использует последнюю версию приложения. Отключение сквозного шифрования в WhatsApp невозможно

Использование шифрования не всегда гарантирует полную защиту данных.

Как подтвердить шифрование чата

  • Открываем нужный чат;
  • Переходим в раздел Информации о контакте, нажав на его Имя или аватарка, непосредственно в самом чате;

Сквозное шифрование whatsapp

Листаем вниз и выбираем Шифрование;

Сквозное шифрование whatsapp

  • Далее вы попадете в раздел Подтвердить код безопасности для просмотра 60-ти значного номера и QR кода, для каждого из чатов коды уникальны, в этом вы можете убедиться, если откроете другой чат и сравните с предыдущим, то заметите разницу цифр, но непосредственно между двумя абонентами одного чата они совпадают;
  • При условии, что второй собеседник и вы присутствуете рядом, то вы можете просканировать QR код, для этого откройте это окно на обоих устройствах, нажмите на Сканировать код на одном из них и наведите камеру на экран другого гаджета при совпадении которого, увидите подтверждение, если вы далеко друг от друга, то есть возможность сравнить длинный код, он тоже будет совпадать;

Сквозное шифрование whatsapp

При совпадении кода и шифра на экране увидите подтверждение в виде зеленой галочки вместо qr кода;

Сквозное шифрование whatsapp

В случае если код был изменен, либо вы решили просканировать другого абонента, то выскочит предупреждение, в котором будет сказано следующее: Вы открыли экран «Подтвердить код» для неверного номера. Откройте его для правильного номера, чтобы подтвердить (Имя абонента);

Сквозное шифрование whatsapp

  • Если контакт переустанавливал приложение или установил его на другой гаджет, то необходимо отправить ему любое сообщение и повторить попытку заново.
  • Для того чтобы поделиться 60-ти значным кодом, нажмите на иконку в верхнем правом углу и выбрать метод отправки. Доступно на Iphone, Android, Windows Phone.

Сквозное шифрование whatsapp

Использование опенсорсных решений для дешифровки резервной копии WhatsApp

Для дешифровки резервной копии, имея key-файл, можно воспользоваться опенсорсными утилитами, например WhatsApp Crypt12 Database Decrypter, который доступен на GitHub.  Для использования данной утилиты необходимо установить среду выполнения Java.

Для дешифровки необходимо переместить файлы msgstore.db.crypt12 и key в папку с файлами  decrypt12.jar и decrypt12.java.

Далее запустить командную строку из папки, в которой содержатся вышеперечисленные файлы, и выполнить следующую команду:

java -jar decrypt12.jar key msgstore.db.crypt12 msgstore.db

Рисунок 3. Результат дешифрования резервной копии

Сквозное шифрование whatsapp

Дешифрованная резервная копия сохранится в файл msgstore.db, просмотреть которую можно с помощью SQL- viewer, например DB Browser for SQLite.

Рисунок 4. Просмотр дешифрованной резервной копии с помощью DB Browser for SQLite

Сквозное шифрование whatsapp

Для упрощения дешифровки резервной копии нами разработана утилита WhatsApp Decrypter, которая упрощает данный процесс.

Рисунок 5. WhatsApp Decrypter

Сквозное шифрование whatsapp

На чем зарабатывает израильская NSO Group?

Основные заказчики Pegasus – спецслужбы Среднего Востока, США, Западной Европы и других регионов. Формально софт используют с подачи правительства, чтобы противостоять терроризму и предотвращать преступления. 

Когда о проблеме с WhatsApp стало известно всем, в NSO Group развели руками. Дескать, мы проверяем всех клиентов и расследуем случаи злоупотребления. Не мы охотимся за правозащитниками, а значит, мы ни в чем не виноваты и ничего не нарушили. 

Сколько стоит Pegasus, неизвестно. Саму NSO Group оценивают в 1 млрд долларов. 

Забавно другое: после выхода патча адвокат из Лондона заявил об атаке, похожей на использование софта  NSO Group. Он защищал саудовского диссидента и мексиканских журналистов, которых ранее также атаковали с применением того же софта.

Но получить данные со смартфона адвоката не удалось. Значит, патч всё-таки работает

Адвокат также помог жертвам атаки подать в суд на NSO Group. Он заявил, что разработчики должны разделить ответственность за взлом со своими клиентами. 

Так как NSO Group экспортировала ПО за границу, предъявило претензии и Министерство обороны Израиля. Но юристы убеждены: в министерстве и раньше знали о возможностях Pegasus, так что это показательное выступление. 

Whatsapp шифрование что это и в чем особенности?

Зашифровка сообщений в мессенджере означает, что личные данные не попадут к посторонним. Передаваемая информация закодирована с помощью особого шифра, ключ к которому есть только у переписывающихся сторон. Вотсап шифрует не только сообщения, но и звонки, поэтому пользователи могут быть уверены, что данные останутся недоступными при любом способе общения. Особенность такого вида шифрования заключается в том, что в каждом чате собеседники имеют индивидуальные ключи, это QR-код или шестидесятизначный номер, являющиеся кодом безопасности. Это только видимая часть ключа, полная версия кода никогда не является доступной.Можно ли перехватить сообщения whatsapp

Сквозное шифрование whatsapp

В связи с тем, что WhatsApp является популярным мессенджером, интерес к нему хакеров, спецслужб и просто любопытных не ослабевает. Многим интересно, возможно ли перехватить сообщения в вотсап и как это сделать. Взломать чужой whatsapp по номеру телефона невозможно, благодаря функции сквозного шифрования. Однако людское любопытство неистребимо, что привело к открытию уязвимости во время подключения к wi-fi с помощью специального софта. Для того чтобы избежать подобных ситуаций, просто не стоит скачивать сомнительные программы и подключаться к сети wi-fi в общественных местах. Так пользователь убережет свои конфиденциальные данные от различных «кибер-шпионов».

Как убрать шифрование в «Ватсапе»?

Если по каким-либо причинам пользователь хочет отменить перекодировку своих веб-данных, он задается вопросом, как отключить шифрование в WhatsApp. На данном этапе это невозможно, поскольку такое желание – удалить, выключить, снять перекодировку – в принципе не имеет логических оснований.

Если пользователю это жизненно необходимо, обновление можно просто отменить путем отката всей системы

Важно не забыть снять галочку с автообновления данной программы, чтобы история не повторилась

Как включить уведомления о безопасности?

Для этого нужно:

  • Вне зависимости от того, «Айфон» у пользователя или смартфон на «Андроиде», войти в меню (три точки в правом верхнем углу).
  • Выбирать меню «Настройки» в самом низу выпавшего окна.
  • Далее нужно перейти ко вкладке аккаунт.
  • Следующий пункт – «Безопасность» — это новое положение в меню, которое становится доступным только после обновления.
  • Далее представлен рычажок, отвечающий за уведомления. Как им пользоваться? При включенном состоянии (по умолчании оно выключено) будут присылаться специальные смс о том, что «сообщение не зашифровано», в случае неудачной перекодировки.

Итак, новое оконечное прорабатывание информации от разработчиков «Вотсапа» — отличный способ сделать свой смартфон более безопасным и защититься от web-атак, нацеленных на мониторинг личной информации.

Особенности

В классических мессенджерах следующая схема переписки между пользователями: сообщение отправляется с первого устройства на сервера разработчика, а оттуда оно доставляется до адресата. В современных приложениях, к которым относится в Ватсап , она немного изменена.

Теперь сообщение еще до отправки шифруется на смартфоне. На сервер оно приходит не в виде набранного текста, а в форме хаотичных для человека символов. Оттуда сообщение перенаправляется на смартфон или планшет адресата, где дешифруется. Ключом шифрования называется какая-то последовательность символов, определяющая «азбуку» шифра. Это некая форма алфавита. Но в случае Вацапа, ключ уникальный для каждого устройства. Вернее, их два: первый отвечает за преобразование текста при отправке, второй — при получении.

Взломать такую систему возможно только в случае знания этого ключа шифрования WhatsApp. А он записан непосредственно на устройстве пользователя. Такова современная защита в мессенджере.

Настройка сквозного шифрования

Разработчиками WhatsApp не предусмотрено отключение сквозного шифрования. Это упомянуто даже на официальном сайте приложения. Такое решение вполне логично, ведь для пользователей всегда была важна сохранность и безопасность личной информации. А если деактивировать эту функцию, то и защищенность уйдет.

Однако стоит упомянуть, что не все так категорично. Если вы ищете, как убрать сквозное шифрование в Вацапе, то такой способ есть. Достаточно установить на смартфон или планшет старую версию Ватсапа, где данная функция отсутствовала.

Но в таком случае никто не сможет гарантировать, что в ваши переписки не заберутся посторонние люди. При этом нужно учитывать, что для установки старой версий программы нужно будет отключить защиту на мобильном устройстве.

В случае с Android все просто, достаточно активировать режим «Установка с неизвестных источников» в меню настроек разработчика. А вот для iOS потребуется джейлбрейк — вариант взлома — который может привести к поломке iPhone или iPad.

Шифрование де-юре и де-факто

Использование сквозного шифрования во всех популярных мессенджерах стало стандартом де-факто. Его юридический статус в настоящее время не вполне определен. С одной стороны, свобода переписки и запрет на цензуру гарантируются конституцией во многих странах. С другой — такое шифрование противоречит новым российским законам из «пакета Яровой» и законодательным актам «антитеррористической направленности» в США. Google, Facebook и другие компании обязаны соблюдать законы тех стран, в которых работают. Если их принудят дать доступ к переписке, они будут вынуждены «сотрудничать» с правительством.

Пока отработанного механизма принуждения еще нет, стойкое шифрование в мессенджерах называют головной болью для спецслужб всего мира. Директор ФБР, министр внутренних дел Франции и многие другие высокопоставленные чиновники заявляли, что их ведомства не могут контролировать такую переписку.

На мой взгляд, это лишь игра на публику. Как говорил Братец Кролик: «Только не бросай меня в терновый куст!» Хотя используемый мессенджерами протокол защищенной передачи данных Signal и его аналоги считаются надежными (а порой и прошедшими серьезный аудит), реальная степень криптографической защиты переписки в них оказывается невысокой из-за человеческого фактора и дополнительных функций в самих приложениях. Формально архивация чатов, их дублирование в облако, перенос на другое устройство и автоматическая смена ключей создавались ради удобства… вот только чьего именно?

А как же PGP?

Первое, что обычно приходит на ум при упоминании зашифрованной переписки, — это PGP. Однако далеко не все реализации этой популярной криптосистемы с открытым ключом в равной степени безопасны. Различные методы ослабления криптостойкости официально использовались США для экспортных продуктов, а неофициально — и для всех массовых. Компания Symantec, купившая у Филиппа Циммермана права на PGP и закрывшая исходный код своих продуктов, просто обязана соблюдать действующие ограничения американского законодательства и следовать негласным «рекомендациям» своего правительства.

Поэтому сторонники приватности долгое время считали заслуживающими доверия лишь авторские версии PGP 2.x, которые использовали для шифрования сессионных ключей алгоритм RSA или IDEA. Однако после того как в 2010 году методом решета числового поля удалось за приемлемое время вычислить ключ RSA длиной 768 бит, их надежность тоже перестала считаться достаточно высокой.

Внимание современных хактивистов и прочих правозащитников переключилось на свободные реализации PGP с открытым исходным кодом. Большинство из них позволяет выбирать из нескольких алгоритмов и генерировать более длинные ключи

Однако и здесь не все так просто. Более длинный ключ еще не гарантирует большей криптостойкости системы. Для этого в ней должны отсутствовать другие недостатки, а все биты ключа быть в равной степени случайными. На практике это часто оказывается не так.

Битовую последовательность ключа всегда формирует какой-то известный генератор псевдослучайных чисел. Обычно это предустановленный в ОС или взятый из готовых библиотек ГПСЧ. Его случайное или преднамеренное ослабление — самая часто встречающаяся проблема. Некогда популярный Dual_EC_DRBG (использовавшийся и в большинстве продуктов компании RSA) непосредственно был разработан в АНБ и содержал закладку. Выяснили это спустя семь лет, уже когда Dual_EC_DRBG использовался повсеместно.

Все реализации PGP, соответствующие стандарту OpenPGP (RFC 2440 и RFC 4880), сохраняют базовую совместимость друг с другом. На смартфонах с ОС Android добавить шифрование PGP к почте можно, например, с помощью приложения OpenKeychain.

Сквозное шифрование whatsappOpenKeychain

OpenKeychain имеет открытый исходный код, проверенный компанией Cure53 на безопасность, прозрачно интегрируется с почтовым клиентом K-9 Mail, Jabber-клиентом Conversations и даже может передавать зашифрованные файлы в приложение EDS (Encrypted Data Store), о котором мы писали в прошлой статье цикла.

Зачем нужно шифрование?

Зачем владелец Ватсап включил шифрование? Доподлинно не известно, что за конфликт произошел между силовыми структурами стран, их объединений и руководством компании, но теперь Whatsapp шифрует полностью все данные, которые посылаются пользователями. Получается, что только отправителю и получателю сообщений видно их содержание. Сюда относятся:

  • Текстовое сообщение, в том числе смайлики.
  • Картинка.
  • Видео.
  • Фотография.
  • Скомпилированные (смешанные) файлы.
  • Звонок (аудиосообщение).

По сути, включить шифрование нужно было, чтобы противостоять киберпреступникам и иным пользователям, физическим и юридическим лицам, могущим иметь доступ к подобного рода данным. Даже для самой компании переписки индивидуальных пользователей теперь полностью закрыты для просмотра. Хотите вы этого или нет, общаясь в этой Сети с помощью групповых чатов, вы будете обмениваться данными с защитой их содержимого, которое нельзя убрать.

Ян Кум, один из владельцев Вацап, считает, что данные, посылаемые пользователями друг другу, не могут быть использованы другими лицами либо просматриваться ними. Именно поэтому нужно шифрование в Whatsapp. Оно называется «end-to-end encryption» и производится по умолчанию. Расшифровка также производится автоматически устройством получателя сообщения.

Шифрование в мессенджерах

Написать эту статью меня подтолкнуло исследование Obstacles to the Adoption of Secure Communication Tools (PDF). Как выяснили его авторы, «подавляющее большинство участников опроса не понимают основную концепцию сквозного шифрования». Проще говоря, люди обычно выбирают мессенджер сердцем, а не мозгом.

Начнем с того, что E2EE имеет свои особенности в каждом мессенджере. В Signal оно почти образцовое

В WhatsApp формально такое же, как в Signal, за исключением одного очень важного момента: смена основного ключа абонента WhatsApp не блокирует отправку ему сообщений. Максимум можно включить бесполезное уведомление (которое отключено в дефолтных настройках)

В Viber сквозное шифрование неактивно по умолчанию, да и появилось только в шестой версии. В Telegram E2EE также используется только в секретных чатах, причем реализованы они довольно странно.

Конфликт Роскомнадзора с Telegram вообще создал отличную рекламу последнему. Рядовые пользователи теперь считают творение Дурова настоящей занозой в спине спецслужб (или чуть пониже ее), которые ничего не могут сделать с пуленепробиваемым инновационным сервисом. Поклонники Telegram сравнивают его с Signal и утверждают о превосходстве первого.

Однако в криптографии не бывает чудес, и особенно — в прикладной. Многие математически красивые идеи оказываются безнадежно испорчены реализацией, когда удобство и подконтрольность ставят выше безопасности и приватности (а так происходит практически всегда).

Исходно в мессенджерах применялся протокол OTR (Off-the-Record). Он использует симметричное шифрование AES в режиме CTR, протокол обмена ключами DH и хеш-функцию SHA-1. Схема AES-CTR обеспечивает так называемое «спорное» (в хорошем смысле) шифрование и возможность отрицания авторства текста, если его перехватят. Всегда можно сослаться на то, что перехвативший трафик сам изменил шифротекст так, чтобы он соответствовал другому варианту расшифровки той же длины. Например, вместо «сходи за хлебом» получилось «отрави королеву» — технически это возможно, и такое свойство специально заложено в алгоритм.

Протокол OTR выполняет аутентификацию собеседников и шифрует переписку между ними. Он безопасен до тех пор, пока участники разговора регулярно проверяют отпечатки открытых ключей друг друга и противостоят атакам по другим векторам (включая социальный инжиниринг).

Главный недостаток OTR заключается в том, что после отправки нового ключа требуется дождаться подтверждения от собеседника. Если он офлайн, то связь будет временно невозможна. Одним из выходов стал алгоритм Double Ratchet (DR), разработанный пять лет назад Тревором Перрином и Мокси Марлинспайком в Open Whisper Systems. Сегодня DR используется в Signal, WhatsApp, Viber и многих других мессенджерах, поддерживающих сквозное шифрование по умолчанию или как отдельную опцию (секретные чаты).

Сквозное шифрование whatsapp 

Зачем нужно шифрование в Whatsapp

Сложно представить ситуацию, в которой пользователи были бы рады, что их переписки читаются, а звонки прослушиваются третьими лицами

Неважно, о ком идет речь – о любопытных вторых половинах, друзьях, злоумышленниках или даже правительстве. Всем нам хочется, чтобы личная жизнь оставалась личной

Производители мессенджеров также понимают это и стремятся сделать свой продукт как можно более защищенным. Система двойного шифрования помогает участникам WhatsApp чувствовать себя в безопасности. Ведь отправленные и полученная информация хранится на сервере компании, куда у рядовых любопытных точно нет доступа, а резервные копии можно хранить в местах, защищенных паролем. А в момент отправки или получения сообщения шанс прочесть его у третьего лица имеется только в том случае, когда телефон адресата находится непосредственно у него в руках. Поэтому, если вы не теряете бдительность, а ваши смартфон и ПК всегда в поле вашего зрения, вы можете не опасаться за сохранность личной информации.

Сквозное шифрование whatsapp

О шифровании

Сквозное шифрование whatsapp

Подавляющее большинство специалистов по информационной безопасности признают сквозное (end-to-end) шифрование наиболее стойким методом защиты информации. Поэтому разработчики систем IM реализуют его в своих продуктах. Кто-то уже реализовал, кто-то на пути к этому. Но со временем оно будет у всех, даже у гигантов индустрии, которые сами не прочь залезть в пользовательские данные.

При end-to-end шифровании ключи, используемые для шифровки и расшифровки информации, генерируются и сохраняются только на конечных узлах переписки, то есть, у ее участников. Серверная сторона не принимает никакого участия в создании ключей, а, следовательно, не имеет к ним доступа, в результате чего, видит только закодированные данные, передаваемые между участниками. Только последние могут раскодировать и прочитать информацию.

Как работает метод сквозного шифрования? Во время начала сеанса связи, на устройстве каждого собеседника генерируются по 2 ключа: открытый и закрытый. Последний используется для расшифровки данных, этот ключ не покидает пределы локального устройства.

Открытый ключ по открытому каналу связи передается собеседнику (одному или всем, в случае, если их несколько). С помощью открытого ключа собеседник может только зашифровать данные, а расшифровать их может только обладатель соответствующего закрытого ключа

Поэтому, не важно, кто перехватит открытый ключ. В результате этого, он сможет только передавать свои зашифрованные данные

Сгенерировав по паре ключей, собеседники обмениваются открытыми ключами, после чего начинается защищенное общение.

Текст, видео, аудио, файлы после шифровки у отправителя попадают на сервер, где хранятся, пока получатель не будет в состоянии получить данные. После этого, в зависимости от стратегии компании – обладателя сервера, данные либо уничтожаются, либо сохраняются еще на какой-то срок.

Как мы видим: end-to-end шифрование – это хорошо. Для современных средств ИКТ шифрование / расшифровка не будет непосильной задачей, даже не будет сложной задачей. В то же время, если в разговоре участвуют несколько собеседников, тогда, отправляя сообщение, для каждого надо его зашифровать, поэтому от возрастания количества собеседников в равной степени возрастает нагрузка на девайс. Для этого разработчики оптимизируют средства организации групповых разговоров.

Сквозное шифрование whatsapp

Сама идея end-to-end не нова. В 1991-м году Филом Зиммерманом было разработано программное обеспечение для шифрования сообщений и других данных PGP (Pretty Good Privacy). В последующие годы алгоритм и соответствующее ПО усовершенствовались и приобрели дополнительные механизмы.
В 1997-м году компания PGP Inc. предложила инициативу OpenPGP, а в 1999-м участниками движения свободного программного обеспечения на основе открытого стандарта была создана свободная реализация PGP – GnuPG.

Это все к тому, что, так как взлом PGP еще не был зафиксирован, на основе открытой реализации PGP (исходные коды ведь имеются) можно создавать механизмы шифрования, чем, скорее всего, и занимаются разработчики мессенджеров. Не писать ведь с нуля.

Шаг вперед к конфиденциальности личных данных

Филипп Хитри (Filip Chytry), руководитель отдела исследований мобильных угроз компании Avast, в этой связи сказал: “Просто здорово, что WhatsApp стал по умолчанию шифровать весь обмен данными в своем сервисе, последовав существующему стандарту безопасности, уже довольно давно применяемому, например, в мессенджере Тelegram. Для рядового пользователя это означает гарантию конфиденциальности личной переписки, что само по себе не может не радовать.

Благодаря шифрованию, теперь даже сам WhatsApp не может просматривать переписку своих пользователей. Справедливости ради, стоит заметить, что это пока не распространяется на мета-данные, то есть, WhatsApp по-прежнему может видеть с кем конкретно вы переписываетесь, но не содержание вашей беседы.”

Переход мессенджера WhatsApp на полное шифрование переписки пользователей произошел на фоне стремительного роста инцидентов с утечками конфиденциальных данных, увеличивающейся слежкой за пользователями со стороны правительственных структур и крупных корпораций, когда тема конфиденциальности в Интернете широко обсуждается не только профессионалами, но и в самом широком кругу рядовых пользователей. Тем знаменательнее факт, что одного обновления версии мессенджера достаточно, чтобы оградить миллиард человек от отслеживания личной переписки посторонними.

Следите за новостями Avast в сетях , , YouTube и + , где вы сможете каждый день узнавать о последних событиях в мире кибербезопасности.