08.11.2024 13:05
kreout 6 1000 Источник

Сегодня практически каждый пользователь интернета знаком с такими терминами, как "сквозное шифрование" (E2EE) и "двухфакторная аутентификация" (2FA). Этому во многом поспособствовали маркетологи, сделав технические термины массово узнаваемыми. Почему они стали так популярны? Разбираемся в этой статье.

Каноничный пример использования E2EE и 2FA можно найти в мессенджерах, где предусмотрено сквозное шифрование для защиты сообщений. Более того, популярные мессенджеры заявляют, что используют как сквозное шифрование, так и двухфакторную аутентификацию для защиты учетных записей.

Когда вы входите в мессенджер с нового устройства, нужно ввести пароль и код из СМС — это пример двухфакторной аутентификации (2FA). Однако даже после успешного входа все сообщения, файлы и звонки остаются зашифрованными благодаря сквозному шифрованию (E2EE). Никто, кроме вас и вашего собеседника не сможет прочитать переписку. Чтобы получить доступ к ней киберпреступники используют различные методы и сценарии атак: их может интересовать не только ваша персональная информация, но и любые другие незашифрованные данные.

Универсальное защитное решение

Шифрование — это процесс обратимого (в отличие от хеширования) кодирования информации для предотвращения несанкционированного доступа. Зашифрованные данные — результат применения алгоритма для кодирования, который делает информацию недоступной для тех, кому она не предназначена. Данные могут быть декодированы в исходную форму только с помощью ключа. Причем для шифрования и дешифрования не всегда используется один и тот же ключ — здесь и лежит различие между симметричным и асимметричным шифрованием.
При этом шифрование данных — универсальное решение для защиты: оно может применяться к паролю, информации в файле или ко всем данным на носителе.

Шифрование от чужих и от своих

Сквозное шифрование гарантирует, что данные остаются конфиденциальными не только для внешних злоумышленников, но и для самих компаний, предоставляющих услуги. Например, в облачных сервисах с E2EE даже их владельцы не могут получить доступ к содержимому переписки или файлов,.
Яркий пример — https-протокол. За последние десять лет на него перешла большая часть интернета. Это произошло не только из-за желания пользователей защитить содержимое post-запросов, но и благодаря политике ранжирования сайтов поисковыми системами. Сейчас это требование присутствует практически в каждом техническом задании на создание информационной системы. Однако не всегда легко убедиться, что шифрование действительно сквозное.

Двухфакторная аутентификация

Двухфакторная аутентификация (2FA) — это процесс, который требует от клиента наличия не только пароля, но и физического устройства (например, SIM-карты). В начале 2000-х годов системы использовали лишь логин и пароль, но интернет развивался, и сейчас однофакторную авторизацию можно встретить лишь на сайтах небольших компаний, которые не работают с финансовой информацией и персональными данными.
Что такое "фактор" в данном случае? Это то, что вы знаете (например, пароль), то, что у вас есть (например, устройство), и то, что вас идентифицирует (например, биометрия).
Существуют разные виды факторов. Например, авторизация может проходить через аппаратные устройства вроде Yubikey или Rutoken, но эти технологии пока мало распространены среди массового потребителя. Зато СМС-коды и биометрия уже широко применяются. Альтернативы — это ввод кода из входящего звонка или push-уведомления.

Усиленная защита

Сквозное шифрование и двухфакторная аутентификация работают на разных уровнях, но их сочетание значительно усиливает безопасность пользователя в интернете.
Даже если сервер мессенджера подвергнется атаке, злоумышленники не смогут получить доступ к сообщениям. А если злоумышленник попытается войти в аккаунт, заполучив пароль, двухфакторная аутентификация значительно усложнит этот процесс.
Хотя некоторые пользователи могут считать такие меры избыточными для мессенджеров, в финансовом секторе они становятся критически важными.
Сегодня защита данных в финтехе становится все более актуальной. По данным компаний, специализирующихся на информационной безопасности, в первом полугодии 2024 года в России утекло 986 миллионов строк персональных данных, что на 40% больше по сравнению с аналогичным периодом 2023 года. Значительная часть этих данных была скомпрометирована в одном инциденте — утекло 500 миллионов строк. Лидерами по количеству утечек остаются интернет-ритейлеры, на которые приходится порядка 40% инцидентов.
Невозможно представить, какими бы были эти цифры без внедрения многофакторной аутентификации и шифрования данных.

Сквозное шифрование (E2EE) защищает передаваемые данные от перехвата и несанкционированного чтения, даже на стороне сервисов, а двухфакторная аутентификация (2FA) предотвращает несанкционированный доступ к учетным записям. E2EE — это ключевая технология, которая позволяет пользователям быть уверенными, что их данные, переписка и файлы защищены от посторонних глаз. Это особенно важно в условиях глобальной цифровизации, и как следствия увеличившихся киберрисков и злоупотреблений данными.

Комментарии (6)


  1. janna_melnikova
    08.11.2024 13:41
    #27530984

    Спасибо за статью простыми словами. О себе - усиленную защиту еще не пробовала, но хотелось бы


  1. Number571
    08.11.2024 13:41
    #27531220

    Сквозное шифрование гарантирует, что данные остаются конфиденциальными не только для внешних злоумышленников, но и для самих компаний, предоставляющих услуги

    ...

    Яркий пример — https-протокол

    То-есть, ВКонтакте, Одноклассники, Ozon, WB, Mail.ru и прочие - это всё примеры сервисов со сквозным шифрованием, где даже сам сервис не знает что вы отправляете, что вы покупаете, что вы просматриваете?

    Скорее всего вы просто не разобрались в теме, либо ещё проще - воспользовались нейросетью, чтобы она сказала, что есть такое сквозное (E2E) шифрование.

    При этом, я не говорю, что централизованные сервисы вовсе бесполезны в концепте E2E шифрования. Так например, я могу обменяться лично публичным ключом со своим другом, а далее использовать ВКонтакте, как платформу, для обмена шифртекстами. В этом случае у нас создаётся действительно сквозное шифрование - шифрование, при котором только истинный собеседник получает открытый текст. Все промежуточные узлы, начиная от провайдеров связи и заканчивая централизованными сервисами - получают лишь шифртекст. И как видно, HTTPS здесь вообще никакой роли не играет, даже если бы использовался голый HTTP, сквозное шифрование оставалось бы нетронутым.


    1. Aelliari
      08.11.2024 13:41
      #27531242

      То-есть, ВКонтакте, Одноклассники, Ozon, WB, Mail.ru и прочие - это всё примеры сервисов со сквозным шифрованием, где даже сам сервис не знает что вы отправляете, что вы покупаете, что вы просматриваете? 

      Яркий пример — https-протокол

      Нет, они сами являются «конечной точкой» в е2е и имеют доступ к этой информации легитимно.

      Другой вопрос если ты в условном ВК переписываешься с другом, тогда у вас есть e2e цепочка до серверов ВК, и вторая цепочка от серверов ВК до друга. Между тобой и сервером ВК, а также между сервером ВК и твоим другом есть две, вполне себе e2e зашифрованные линии. Но, между тобой и другом е2е уже нет, ибо сидит MITM в виде сервера ВК


      1. Number571
        08.11.2024 13:41
        #27531272

        Нет, они сами являются «конечной точкой» в е2е и имеют доступ к этой информации легитимно

        Легитимно - (в юридическом смысле этого слова) может быть (и то случаются натяжки), сквозное ли это шифрование - точно нет. Суть E2E шифрования в том, что оно должно протягиваться до конечных точек, в мессенджерах конечные точки - это друзья, с которыми ты общаешься, это группы, ленту которых ты просматриваешь и т.д., но точно не сам сервис. Такой же принцип с маркетплейсами, конечная точка - это продавец, а не сам сервис. Такой же принцип с электронной почтой, конечная точка - это получатель письма, а не сервис электронной почты. И т.д., и т.п. ...

        Между тобой и сервером ВК, а также между сервером ВК и твоим другом есть две, вполне себе e2e зашифрованные линии

        Это не E2E шифрование, а обычное, что ни на есть, клиент-серверное шифрование, где безопасная коммуникация строится только от клиентов к серверу, а не от клиентов к клиентам.


        1. Aelliari
          08.11.2024 13:41
          #27531330

          Это не E2E шифрование, а обычное, что ни на есть, клиент-серверное шифрование

          Извините, но в «моей картине мира», я не различаю клиент и сервер. Есть две точки и третьи лица с/без возможностью вмешаться в обмен. И шифрование клиент-сервер всё ещё остается оконечным для клиента и сервера.

          Другой вопрос, когда сервер используется для отправки сообщений кому-либо ещё, и сам по себе конечной точкой - не является, и уже в этом случае такое шифрование нельзя назвать оконечным.

          У меня претензия только к выбранной вами формулировке с выбранными вами примерами. Электронная почта, мессенджеры - ок, маркетплейсы - не ок

          где даже сам сервис не знает что вы отправляете, что вы покупаете, что вы просматриваете?

          Такой же принцип с маркетплейсами, конечная точка - это продавец, а не сам сервис

          Когда вы что-то просматриваете на озон - он является «конечной точкой» для шифрования


          1. valeravv
            08.11.2024 13:41
            #27536716

            Он или хотя бы "оно"? Когда в вашей картине мира озон стал обладать субъектностью и является помимо вас чем-то подобным вам "вторым", а коммуникацию между вами двумя надо оберегать от "третьих"? Чем он(о) отличается от почты или мессенджера, если передаст ваш заказ продавцу, отзыв покажет другим покупателям, тем, что на основе статистики просмотров, покупок другие люди будут делать выводы о вашем потребительском поведении? Может тем, что исказит информацию между вами и продавцом о том, сколько вы реально готовы заплатить за товар? Не является ли https в данном случае театром безопасности?