С момента появления блокчейна разработчики стремятся применить его буквально во всем — от систем международных платежей до брачных контрактов. Разумеется, предлагались и идеи социальных сервисов на основе этой технологии: соцсети, блоги, мессенджеры.
Например, на платформе «Голос» реализован мессенджер, которыми могут пользоваться клиенты этого блокчейна. А разработчик Aaron Cox предложил фреймворк для создания блогов на основе блочной цепи (проект назвали Reprint).
В чем потенциал социальных блокчейн-сервисов? Заменят ли они привычные VK, Facebook, Telegram и Twitter? И если да, то что заставит пользователей выбрать именно их? IT-эксперт Вадим Андрян говорит о том, что у блокчейна гораздо больше возможностей для сохранения конфиденциальности. И сейчас, когда пользователи соцсетей все больше задумываются о защите своих персональных данных, это может стать главным козырем блокчейн-проектов.
Конфиденциальность как тренд
Годом расцвета мобильных мессенджеров считают 2014-й: именно тогда начался настоящий бум этих приложений, а число пользователей самого популярного сервиса, WhatsApp, достигла полумиллиарда.
В том же году Telegram назвали самым быстрорастущим стартапом Европы: запустившись годом ранее, он набрал аудиторию в несколько миллионов пользователей. Рекламная кампания нового проекта Павла Дурова шла под лозунгом «Taking back our right to privacy» («Возвращая наше право на приватность»).
Telegram уловил тренд — потребность пользователей в защите их данных. Он сформировался потому, что до 2013 года защита данных в мессенджерах была недостаточно надежной, и это привело к череде взломов аккаунтов.
Параллельно с тем, как Telegram с его зашифрованным протоколом завоевывал рынок, в России начали разработку еще одного защищенного мессенджера. Это был проект Вадима Андряна Crypviser — мессенджер, основанный на блокчейне и дополнительно защищенный на всех уровнях.
Сейчас команда проекта уже выпустила рабочую версию приложения и готовит релиз бизнес-платформы, основанной на тех же технологиях. Мы расскажем о том, как устроен мессенджер на блокчейне и как в нем реализована защита данных пользователя.
Сервер — это уязвимость; децентрализация — одна из ступеней защиты
Криптографические протоколы и технологии существовали и до блокчейна: это SSL, VPN, PPTP и SRTP. Но сегодня они не дают 100-процентной безопасности передаваемых данных.
Они используют модель hop-by-hop encryption с серверным шифрованием. Это значит, что шифрование и дешифровка данных происходят не на уровне клиентских приложений, а на уровне сервера. Получается, что тот, кто имеет доступ к серверу, имеет доступ и ко всем данным. Вот почему для использования в массовых коммуникациях такой механизм ненадежен.
Некоторые мессенджеры используют сквозное шифрование на стороне пользователя. В этом случае для дешифровки данных используется два ключа — открытый (который может свободно передаваться по сети) и секретный (который хранится на стороне пользователя и никогда не покидает устройство). Но и такая схема не дает полной безопасности, ведь асимметричное шифрование тоже уязвимо: прежде чем зашифровать какие-то данные, передать их по сети, необходимо получить ключ пользователя, и обмен ключей все равно идет через сервер. Поэтому сервер — основная уязвимость.
В децентрализованных моделях исключена вероятность атаки со стороны сервера. Как поясняет Вадим Андрян, в его мессенджере авторизация тоже децентрализованная и работает по принципу криптовалютного кошелька.
Однако команда Сrypviser посчитала, что этих мер недостаточно. Поэтому в мессенджер добавили также защиту на уровне локального устройства (зашифрованное независимое хранилище данных) и пользовательские функции локальной безопасности: заблокировать доступ к чату, скрыть чат из списка.
Блокчейн открыт, а данные закрыты
Вопрос, который наверняка возникнет у многих читателей этой статьи, касается прозрачности блокчейна. Как можно передавать конфиденциальные данные через систему, открытую всем? Вот как это реализовано в Сrypviser: слово Вадиму Андряну.
«На самом деле мы не используем блокчейн непосредственно для обмена данными. Они идут либо напрямую от пользователя к пользователю, либо в зашифрованном виде через прокси. А блокчейн мы используем для хранения части ключа. Сама по себе часть ключа, находящаяся в блокчейне, ничего не дает. Она служит подтверждением для пользователя, что половина ключа не скомпрометирована. В блокчейне ведь можно проверить любую криптовалютную транзакцию — так и здесь: можно в любой момент проверить целостность ключа.
Одна часть ключа хранится у пользователя, другая — в блокчейне. И для защищенной работы мы придумали криптографическую схему, в которой участвует токен CVCoin. Например, для аутентификации пользователь передает часть ключа вместе с токеном через блокчейн, где и проходит сверка со второй его половиной.
Лишь владелец секретного ключа может «потратить» токен, решив специальную криптографическую «задачу», связанную со сложными расчетами с помощью CrypID. Это означает, что CV-сервер обеспечивает действительность первой части открытого ключа пользователя, прописанного в Blockchain.
Для подтверждения и проверки первой части открытого ключа, прописанного в Blockchain на стороне пользователя, CV-сервер аналогичным образом отправляет пользователю токены для аутентификации. Приложение Crypviser выполняет аналогичные алгоритмы для проверки аутентичности записанной части своего открытого ключа. Таким образом, CV-сервер и пользователь одновременно проверяют подлинность половины первоначального открытого ключа пользователя. Безопасность частичного значения открытого ключа, записанного в реестре, обеспечивается другими узлами с помощью функции распределения данных».
Наступит ли эра криптомессенджеров?
Итак, разработчики Crypviser потратили больше трех лет, чтобы создать для защищенного мессенджера блокчейн, систему криптошифрования и сложный механизм ключей. При этом мессенджер адресован обычным людям — тем, кто обсуждает в чатах вечерний поход в бар или отправляет забавные картинки. Нужна ли им многоступенчатая система защиты?
Как показывает статистика, тренд сохраняется: люди по-прежнему выбирают мессенджер, который позиционируется как «самый безопасный». Вероятно, вскоре появятся и другие сервисы, помимо Telegram, которые используют такой аргумент в своей маркетинговой стратегии.
Елена Андреева, Сергей Карпов
Комментарии (12)
inkvizitor68sl
24.10.2017 17:19в России начали разработку еще одного защищенного мессенджера
Серьёзно?
Self_Perfection
24.10.2017 17:32Проглядел сильно по-диагонали. Создаётся впечатление, что это вроде что-то bitmessage. Думаю уместно привести сравнение.
Scratch
24.10.2017 18:32А обязательно делить открытый ключ на две половины? Он же и так как бы открытый…
Я к тому, что такие решения много говорят о компетентности разработчиков, потративших три года на такую «супер» идеюGarbus
24.10.2017 20:03Про тонкости организации общения большого количества пользователей не скажу, все же не специалист но в голову приходит просто вопрос. С чего обмен открытыми ключами между двумя клиентами стал опасным. Ведь нет никакой необходимости делиться полным ключом?
DrPass
24.10.2017 20:53В такой схеме (в её чистом виде, без дополнительных средств защиты) есть потенциальная возможность взлома методом man-in-the-middle, когда вы при обмене нежданно получаете не настоящий открытый ключ вашего контрагента, а открытый ключ нежелательного посредника. Который будет маскироваться под контрагента, принимать от вас адресованные ему сообщения, читать их, и потом перекодировать настоящим ключом, и отправлять вашему контрагенту.
И конечно же, на общем блокчейн-хайпе не могло не возникнуть чувака, которому в голову пришла идея, что проблему идентификации ключей контрагентов надо решать с помощью блокчейна. Это золотое правило современного ИТ-маркетинга — если не знаешь, какую ещё хрень прикрутить к своему проекту, чтобы его заметили, прикрути блокчейн.
nehrung
24.10.2017 21:30«Возвращая наше право на приватность»
Не устану повторять, что Дуров лишь тогда возвратит нам право на приватность, когда избавит нас от необходимости вводить свой номер мобилы при регистрации в Telegram (мы ведь до сих пор не знаем, где и с какими возможными последствиями складируются эти номера). О том, что альтернативный способ регистрации возможен, свидетельствует опыт команды, сочинившей и поддерживающей видеомессенджер Tox.
И кстати, о Токсе — он ведь тоже «децентрализованный». Почему же о нём в статье про защищённость «децентрализованных» нет ни слова, ну хотя бы в сравнительном плане?Scratch
24.10.2017 21:38Потому что статью писали маркетологи по заказу, которые ни шиша не разбираются в вопросе
DrPass
24.10.2017 22:00Не устану повторять, что Дуров лишь тогда возвратит нам право на приватность
А причем тут Дуров, собственно говоря? Ваше право на приватность реализуется не Дуровым, а лично вами. Хотите приватности — не давайте свои личные данные третьим лицам, работающим в Майкрософтах, Гуглах, Телеграммах. Если вы сами их взяли и отдали, то кто же вам виноват?
Я понимаю, что это здорово, иметь бесплатный мессенжер, который вообще нигде никак никому не принадлежит, ни от кого не зависит, и никак никому ничего гарантированно не сливает. Но у нас нет такого мессенджера. И требовать от кого-то, чтобы вам его написали и принесли на блюдечке, именно таким, как вы хотите, несколько неправильно. Даже если этот чувак и является руководителем проекта какого-то другого, неидеального мессенджера.nehrung
24.10.2017 22:22Вы отвлеклись на неточность в моих формулировках. Ну что ж, имеете право (раз уж я дал повод), но что-то подсказывает мне, что вы понимаете, о чём я завёл речь.
А насчёт "у нас нет такого мессенджера" — ну допустим, однако есть более-менее близкие к идеалу, один из них я назвал. Чтобы перевести обсуждение в конструктивное русло, прошу вас его раскритиковать — что толку в общих фразах?
Scratch
Спасибо, вы сделали мой день
Smile-Events
Поправили, спасибо.