У спецслужб многих стран новая головная боль — шифруются как голосовые, так и текстовые сообщения, изображения и видео



Сегодня стало известно о том, что мессенджер WhatsApp (сейчас принадлежит Facebook) вводит полное шифрование всех своих сервисов для всех пользователей. Нововведение актуально для последней версии приложения. Это означает, что мессенджер шифрует все — сообщения, телефонные звонки, фото, видео, которые передают пользователи друг другу. И неважно, общается 2 человека или 10 — шифрование в новой версии мессенджера действительно полное. Теперь даже сотрудники WhatsApp не смогут расшифровать данные, передаваемые пользователями.

Естественно, нововведение представляет собой головную боль для спецслужб разных стран. До сих пор не закончились «бои» между ФБР и Apple по делу о залоченном смартфоне iPhone 5c террориста, убившего несколько человек. ФБР пыталась в судебном порядке заставить корпорацию своими руками сделать нечто вроде бэкдора для разлочки телефона. А здесь — новая проблема для полиции и спецслужб, еще более сложная, чем ситуация с iPhone.


Мокси Марлинспайк, автор мессенджера Signal (использовать мессенджер советовал еще Сноуден) работал вместе с основателями мессенджера над системой шифрования данных пользователей WhatsApp (Источник фото: Wired)

Насколько можно судить, теперь переписка миллиарда пользователей WhatsApp становится недоступной для правительственных органов. И сама компания не сможет расшифровать данные пользователей по запросу полиции, если даже и захочет это сделать (например, по решению суда).


Система шифрования данных пользователей WhatsApp (шифрование открытым ключом). Для того, чтобы отправить сообщение пользователю В, пользователь А запрашивает у сервера мессенджера открытый ключ для пользователя В. Затем пользователь А использует этот открытый ключ для шифрования сообщения. После этого пользователь В использует личный ключ, доступный только на его устройстве, для расшифровки полученного сообщения (Источник: Wired)

При этом компания будет добиваться, чтобы пользователи ставили новую версию с шифрованием. К примеру, если общается несколько пользователей, и один из них использует старую версию WhatsApp, остальные увидят, какой именно собеседник работает без шифрования, и смогут уведомить его об этом. Описание протокола шифрования доступно по этой ссылке (pdf).


Количество пользователей различных мессенджеров и социальных сетей. WhatsApp отстает только от Facebook

Мессенджер стал вводить шифрование по умолчанию для некоторых типов сообщений еще в 2014 году. Но это работало только для телефонов определенных моделей и работало в определенных ситуациях. При этом пользователи не знали, что шифруется, и шифруется ли. В течение 18 месяцев разработчики расширяли возможности шифрования данных пользователей, и теперь ввели в полном объеме.

Что теперь?

Целый миллиард пользователей, общающихся в закрытом режиме, представляют собой грандиозную проблему для правительств многих стран. Под вопросом теперь легальность работы WhatsApp в различных странах, где правительство требует полного доступа к данным пользователей.

К примеру, в России некоторые представители власти уже давно выказывают недовольство относительно шифрования данных пользователей Telegram. Но у этого мессенджера в 10 раз меньше пользователей, чем у WhatsApp.

А в США это будет проблемой для ФБР — в свете случившегося взаимоотношения с Apple и их отказом предоставлять бэкдор для разлочки своего телефона отходят на второй план.

Что же, будем ждать развития событий.

Комментарии (142)


  1. Scratch
    05.04.2016 19:50
    +15

    У них закрыты сорцы, поэтому утверждать что там всё чики-пуки довольно опрометчиво. Вот wire прошел аудит, а тут просто «новость»


    1. iChaos
      05.04.2016 21:14
      +8

      Абсолютно согласен! Любая система шифрования не может считаться безопасной до тех пор, пока ее исходный код не будет открыт.
      Ждем открытие исходного кода клиента, в случае настоящего end-to-end шифрования, этого будет достаточно…


      1. Randl
        05.04.2016 22:27
        +3

        Предлагаю зайти еще дальше — никакая система не может считаться безопасной, пока вы лично не проведете её аудит.

        Открытый код сам по себе ничего не дает, если его не читать. И паранойя из серии «кто-то провел аудит закрытого кода но вдруг они врут?» ничем не отличается от «кто-то провел аудит открытого кода но вдруг они врут?». Открытие кода больших проектов с точки зрения безопасности очень переоценено — кроме разработчиков их практически никто не читает.


        1. iChaos
          06.04.2016 06:22

          О переоценке ситуации я с вами соглашусь, однако главное отличие открытых исходников от закрытых в том, что «Нельзя просто так взять и провести аудит закрытого исходного кода».
          Посмотрите, к примеру, блог компании PVS-Studio на Хабре: они уже провели кучу проверок таких продуктов как Linux, FreeBSD, Virtualbox и др. Но вот подобных статей о проверках продуктов с закрытым исходным кодом, я не встречал…


          1. nochkin
            06.04.2016 06:58
            +2

            PVS-Studio — это неплохой анализатор кода, но более-менее нормальную закладку или ошибку в реализации алгоритма он не найдёт. У PVS цели другие.


          1. lubezniy
            06.04.2016 07:03

            И что в принципе для криптографии может показать аудит от PVS Studio? Неоптимальный код, конечно, не есть хорошо. Но речь о проблемах безопасности.


            1. iChaos
              06.04.2016 07:14
              +2

              Я имел в виду не сам аудит, а принципиальную возможность его проведения, в случае открытости исходников…


          1. Randl
            06.04.2016 15:37

            Чутье подсказывает, что ситуация «платим кучу денег крутому аудитору, чтобы пользователи нам верили» встречается чаще, чем «крутой аудитор тратит свое дорогущее время, чтобы спасти пользователей от бекдоров».


        1. EndUser
          06.04.2016 10:28
          +1

          Предлагаю зайти ещё дальше — никакая система не может считаться безопасной когда бы то ни было.
          Только «временно не имеющей найденных дыр».
          При этом closed source дополнительно «без возможности обнаружить пользователями дыры прозрачным, легальным путём и своевременно».


        1. vsergey
          07.04.2016 11:06

          Вы правы, действительно исходники будут читать только заинтересованные. Но согласитесь, в данной ситуации продукт с открытым исходным кодом смотрится более выигрышно.
          Есть еще способы замотивировать людей провести аудит кода. Как например сделал Telegram, устроив конкурс на расшифровку с большим призовым фондом. Все это лично у меня вызывает больше доверия чем продукт с закрытым кодом декларирующий свою безопасность.


          1. Randl
            08.04.2016 12:01

            У опенсорса, если отложить в сторону идеологию, есть как плюсы так минусы. Например, законтрибьютить может любой, что обычно подается как плюс. Кто угодно может вставить бекдор в вашу криптобиблиотеку. Шикарный плюс.
            Опять таки, отлавливать месяцами редкий, но критичный баг, когда тебе за это не платят — мао кто на такое пойдет. QA в проекте, который я пилю вечерами? Да нафиг надо, это скучно. И т.д.

            Потому имхо, оптимальная форма разработки — это корпоративный опенсорс, когда есть люди, получающие деньги за разработку, поддержку, качество сторонних коммитов и т.д., но при этом почитать/пулл-реквестнуть/собрать можно самостоятельно. Пусть даже не по открытой лицензии. Короче, что-то типа UE.


            1. vlivyur
              08.04.2016 12:04

              Кто угодно может вставить бекдор в вашу криптобиблиотеку.
              А зачем вы принимали такой коммит?


              1. Randl
                08.04.2016 14:24

                Вашу == которой вы пользуетесь, а не которую вы пишете.
                Коммит может быть принят или по невнимательности, или из-за изощренности бекдора.


      1. deadvip
        06.04.2016 14:38
        +1

        Даже если это так, где гарантии что вы исполюзуете бинарник собраный из этих исходников? Где гарантии что в компиляторе не было бэкдора? И тд.


        1. Sadler
          06.04.2016 14:47

          Соберите из исходников сами. Дизассемблируйте да посмотрите, наконец. Либо количество приложений с бэкдорами, искусно скрывающими правду, должно быть очень большим, либо это приступ паранойи, и решать эту проблему надо другими методами.


          1. iChaos
            07.04.2016 07:08

            К сожалению, сомнения относительно бэкдора в компиляторе действительно оправданны. Достаточно вспомнить нашумевшую историю с вирусом поражающим Delphi:
            www.gunsmoker.ru/2009/08/viruswin32induca.html
            habrahabr.ru/company/eset/blog/67692
            habrahabr.ru/post/136841
            Вирус не замечали достаточно длительное время, и множество программ было заражено. Возможно и сейчас существуют вирусы/бэкдоры, подобные этому, и так же возможно, что о них никто не знает…


            1. Sadler
              07.04.2016 11:11

              Потому и надо проверять результирующий код, свой и чужой. Просто программист и юзер пошёл ленивый, в листинг совсем не заглядывает.


      1. MikalaiR
        07.04.2016 18:47

        Там для шифрования используется axolotl. Но вот как генерируются ключи — известно только разработчикам.


    1. GamePad64
      06.04.2016 17:02
      +1

      Действительно, что мешает клиенту скрытно отправить закрытый ключ на сервер WhatsApp?


  1. Otard
    05.04.2016 19:51
    +2

    Последние терракты показывают, что террористы используют обычные сотовые телефоны и СМС. И тем не менее как то спецслужбам это мало помогает. Может спецслужбам пересмотреть свои методы борьбы с террористами.


    1. Zerotto
      05.04.2016 20:11
      +2

      Запретить «обычные сотовые телефоны и СМС»?


      1. Zibx
        05.04.2016 20:39
        +2

        Стоит начать с наличных денег — они чаще всего используются для покупки оружия, наркотиков и взрывчатых веществ.


        1. Giriia
          05.04.2016 20:54
          +2

          Тащемта расплатиться за к примеру нелегальное оружие не представляет труда. Можно биткоины использовать, можно любые иные электронные платежи а можно вообще золотом как в старые добрые времена.

          Почему-то все борцы с наркотиками и нелегальным оружием, при запрете или усложнении каких либо способов оплаты, забывают о главном: не важно каким образом произошёл расчёт. Важно то, что ГРЁБАННЫЙ ТЕРРОРИСТ УЖЕ КУПИЛ ЭТОТ АВТОМАТ. А купил ли он его за наличные или вообще бартером, это уже дело десятое.


        1. Goodkat
          05.04.2016 21:04
          -3

          Да скорей бы их запретили — не вижу никакого смысла в наличке, всюду стараюсь платить картами, но не везде их принимают, к сожалению.

          А на покупку оружия и наркотиков запрет наличности не повлияет, разве что цены чуть вырастут, если покупка нелегальная.


          1. FlameStorm
            05.04.2016 21:41
            +12

            Ага, привет из противоположного лагеря олдфагов-параноиков, использующих карты практически только для того, чтобы снять наличку в банкомате и пользоваться уже ей.


            1. hudson
              05.04.2016 23:25
              +4

              У тру-олдфагов-параноиков не может быть карт, так как обналичка — это транзакция и она отслеживается через банки. Только кэш (или его эквиваленты).


              1. nochkin
                06.04.2016 06:59
                +2

                Только золотые слитки или куски от них.


                1. Roseluck
                  06.04.2016 22:47

                  Забираю с завода то, что сам же делаю.))


                1. Vjatcheslav3345
                  08.04.2016 16:37

                  Карта может уничтожить такую вещь как «серая зарплата». Но это не значит, что работодатель будет платить больше своим теневым работникам, просто у бывших «серых» начнутся проблемы с кредитами, содержанием семьи и т. д.


            1. sptor
              06.04.2016 09:05

              На самом деле государства потихоньку идут по этому пути, например, практически прямо запрещая сделки с суммами выше определенной границы при помощи наличных — все должно идти через банк — хотя казалось бы декларируется что налиные деньги это законное средство платежа и может быть использовано при оплате и прочее бла-бла. Но с другой стороны полностью циркуляцию наличных они гникак не запретят, и потому даже такое в общем обходится, например в документах занижается сумма сделки и часть, которая легализуется платят через банк, а остальное наличностью. То есть государство хочет иметь максимальный контроль за движением всех средства граждан, а наличность фактически не дает им реализовать такие схемы. Отсюда же кстати, растут и ноги у ограничения хождения/запрета криптовалют или там желанием государства чтобы граждане декларировали все свои электронные счета, при помощи которых даже теоретически может быть получен доход — это у нас недавно хотели принять, но после того как народ начал спрашивать, а надо ли во всяких онлайн игрушках счета декларировать или как быть если когда то сделал например пэйпэловский акк, а потом забыл про него? При этом за недекларацию, даже если дохода там не было полагались солидные штрафные санкции от 500 до 1500 евро кажется.


              1. alsii
                06.04.2016 17:04

                А в чем проблема с полной отменой наличных? Технически очень просто…


                1. sptor
                  07.04.2016 08:36

                  Ну как бы это нужно перетряхивать вообще всю финансовую систему. И не факт что это поулчится, скорее всего возникнет некий суррогат наличности все равно, при этом с большой долей верлоятности он будет даже не в серой, а черной зоне. Расцветет тот же бартер, или люди просто станут между собой рассчитываться в наличной валюте соседней страны, где она не будет отменена. То есть по факту будут расчеты по черному в неких у.е. которые не будут проводиться официально.
                  Плюс это очень сильный удар по всяким мелким предпринимателям. Плюс отсутствие резервных путей если «что-то пошло не так» типа например нет связи или еще что. Наличные деньги в определенных случаях много удобней чем безналичный расчет. На самом деле очень многие мелкие точки сейчас устанавливают нижний лимит на сумму покупки до которого оплату карточкой не принимают. Раньше, кстати, такого не было — либо изменились условия, либо же стали лучше считать приход/расход и выяснилось что до определенных сумм комиссия больше чем доход от такой транзакции.


                  1. alsii
                    07.04.2016 10:35

                    Многое из описанного вполне справедливо, с одной оговоркой. И бартер, и денежные суррогаты, и расчеты в иностранной валюте расцветают когда у людей нет возможности расплатиться законными средствами. В нормальной ситуации люди будут предпочитать законные средства платежа. Удар по мелким предпринимателям? Когда мобильный платежный терминал доступен менее чем за €100? Например недавно узнал, что в моем родном городе кондукторы в общественном траспорте стали принимать оплату проезда по карточкам.
                    Ну а удобство — это очень относительное понятие. Например одно время мы с друзьями любили вечером посидеть компанией в ресторане. Отмечали практически все дни рождения, праздники, а иногда и без повода собирались. Обычно кто-то расплачивался за всех с карточки, а на следующий день по чеку я делал расчет и все переводили ему деньги через клиент-банк. Куда проще, чем когда каждый приходит с одной купюрой и хочет получить сдачу. Вообще, очень часто люди путают «удобное» и «привычное».
                    Для мелких транзакций есть бесконтактная оплата и и электронные кошельки. Для «нет связи» — оффлайновые транзакции и такая редчайшая сегодня вещь как эмбоссер. Лимиты на минимальный платеж — это всего лишь издержки существующих тарифов, которые несложно скорректировать. Я уже не говорю о том, что затраты на организацию оборота наличных просто колоссальные. Вы, например, знаете, сколько в среднем «живет» бумажная купюра?


                    1. sptor
                      07.04.2016 11:22

                      Когда мобильный платежный терминал доступен менее чем за €100?
                      Только вот за транзакцию по карточке берется процент (сколько-то там от сделки но не менее чем). Именно поэтому многие и устанавливают нижний лимит оплаты карточкой.
                      все переводили ему деньги через клиент-банк
                      Тоже не бесплатная вещь — особенно межбанк, да даже внутри «своего» банка переводы бесплатны между своими счетами чаще всего, а если кому-то еще в том же банке то уже платно. Плюс она зачастую не «мнгновенна» Я активно пользуюсь интернет банкингом, но тем не менее, в ряде случаев намного удобней оперировать наличными.
                      Для «нет связи» — оффлайновые транзакции и такая редчайшая сегодня вещь как эмбоссер.
                      Только тут вероятность мошенничества растет многократно, с современными технологиями. Наличные деньги все же сложнее подделать, чем эмбоссированую пластиковую карту. Не зря же сейчас стараются перейти на он-лайн авторизацию.
                      Для мелких транзакций есть бесконтактная оплата и и электронные кошельки.

                      Я не уверен, что это так уж удобно в результате. Этих кошельков и систем есть целый зоопарк, кто-то принимает одни, кто-то другие и так далее. Наличные деньги же универсальны — их принимают все, без всяких оговорок (до последнего времени)

                      Ну и опять же, наличие системы оборота наличных денег позволяет гражданам быть в общем, как минимум, частично свободными от влияния коммерческих банков. Сейчас если банки начинаю применять отрицательный процент всегда есть возможность пойти и просто забрать свою наличность и пользоваться ей, в случае с отменой наличного оборота такой возможности не будет. Перейти в другой банк? Так они как правило вырабатывают общую политику, и условия отличаются незначительно.


                      1. alsii
                        07.04.2016 12:02

                        В том и проблема, что часто не процент, а фиксированная сумма. Понятно, что это отсекает все транзакции которые ниже даже не этой суммы, а существенно большей. Особенно в точках с низким «средним чеком». Если перейти на схему "%, но не больше чем", проблема решится.
                        В России да, переводы часто не бесплатны, но вот в Европе, например, переводы внутри SEPA на одинаковых условиях. На некоторых счетах комиссия за переводы вообще не взымается. К тому же, то что вы «не видите» издержки от оборота наличных, это не значит. что вы их не оплачиваете. Банки берут плату за инкуассацию, розниуа включает их в наценку. «Бесплатных обедов не бывает».
                        Оффлайн-платеж по карте как правило предусматривает проверку документов, удостоверяющих личность, плюс получение подписи плательщика, что вообще говоря дает некие шансы его найти. Фальшивая купюра практически исключает такую возможность. Насчет простоты… Мне случалось держать в руках довольно много фальшивок, изъятых из оборота. Поверьте, большинство из них делаются, что называется «на коленке». Ну и многие предназначены для обмана купюроприемных автоматов. Эти вообще достаточно просто делаются.
                        Любой зоопарк в конечном итоге стремится к консолидации и тем быстрее. чем больше оборот. Еще раз говорю, технических проблем по отказу от наличности нет. Примерные шаги: 1. Оменяем обязательность приема наличных во все платежи. 2. Поднимаем тарифы на инкассацию. 3. Постепенно изымаем из оборота купюры крупных номиналов, скажем по одному номиналу в год. Через пять лет на человека имеющего наличные начинают нездорово коситься. Кстати, купюря в обороте живет 10 месяцев в среднем.


                        1. sptor
                          07.04.2016 12:28

                          В России да, переводы часто не бесплатны, но вот в Европе, например, переводы внутри SEPA на одинаковых условиях.

                          В том то и дело, что я тоже внутри ЕС живу :). И как бы в курсе что переводы не бесплатны, в общем и целом. Фокус в том, что розничный рынок для банков зачастую если не убыточен то бесприбылен, отчасти как раз потому, что многие предпочитают наличность. Например Danske Bank у нас уходит с розничного рынка, именно по причине озвученой подобным образом. А вот если закрутить гайки с наличностью, то можно и тарифы поднять, выводя эту деятельность в доходные, деваться то уже особо некуда будет, на наличность не соскочить.
                          Банки берут плату за инкуассацию, розниуа включает их в наценку. «Бесплатных обедов не бывает».

                          И про это я знаю тоже. Но тем не менее, собственно банки и продавливают через плату за инкассацию, повышение комиссии за операции с наличными и так далее и стремятся уменьшить оборот наличных. То есть эти факторы не оказывали долгое время существенного влияния, они существовали условно говоря всегда, но резко начали оказывать как только возникло желание ограничить наличный оборот.


                          1. alsii
                            07.04.2016 13:33

                            Мне кажется тут просто совпадение интересов многих сторон. Государству наличка не выгодна, т.к. фактически не контролируется. Центробанкам не выгодна, т.к. те несут немалые затраты по ее выпуску и обращению. Коммерческим банкам не выгодна, т.к. также увеличивает издержки. Рознице не выгодна по этим же причинам + риски пострадать от фальшивомонетчиков. Потребителям, которые пользуются карточками, не выгодна потому, что консервирует места, где карточки не применяются. Под таким четырехсторониим давлением сфера применения безналичных расчетов быстро расширяется.
                            Еще лет 5 назад во многих немецких магазинах принимали только EC Card, да кое-где Maestro. Теперь даже Penny принимает кредитки :-). Кстати, по моим ощущениям, проникновение расчетов по картам в ритейл в России куда выше. С другой стороны [практически] у каждого жителя ЕС есть счет в банке. Я вот за наличку только иногда Doner покупаю, когда хочется экзотики. А так уж и не помню, когда в последний раз наличкой платил…


                            1. sptor
                              07.04.2016 13:47

                              А так уж и не помню, когда в последний раз наличкой платил…

                              Ну так тоже бывает, но далеко не все любят электронные деньги. Я тоже чаще плачу карточкой, но наличность вещь полезная. Например в автобусе карточкой не особо за билет расплатишься если вдруг ехать нужно, а киоска под боком нет. Те самые копеечные транзакции или суммы. Плюс карточки имеют свойство выходить из строя, не читаться, то есть в кошельке нужно иметь не одну, по хорошему, даеще разных банков лучше (хотя я с одной живу), а это опять дополнительные расходы. Плюс если налички не будет, то у банков не будет ограничителя на повышение цен за свои услуги, то есть не будет бесплатных карточек без платы за обслуживание и прочих плюшек, ибо зачем, если человек так или иначе будет жестко привязан к использованию банковской системы, и даже при желании не сможет отказаться от нее.
                              На самом деле, как мне кажется, наличность невыгодна прежде всего государству, а уж остальных оно и принуждает к тому, чтобы они находили причины ее невыгодности для себя :). А для государства она невыгодна просто потому, что возможности контроля финансовых потоков в виде наличности ограничены. Безнал в этом плане удобней, можно контролировать все средства граждан и обложить их дополнительными налогами к примеру, и человек с этим ничего поделать не сможет — простой пример, если вдруг возникает какая-то задолженность перед налоговой то тебе очень быстро блокируют все счета, и в результате пока ты налоговой не заплатишь, ты сидишь и кукуешь без гроша, даже хлеба не на что купить.


          1. spellman003
            06.04.2016 00:20

            А если случится непредвиденное? Если банк уйдет в офлайн из-за взлома или неполадок? Если решит объявить себя банкротом? Или его глава окажется негодяем и сбежит с вашими деньгами? А если вы в провинции? А наличность всегда под рукой и везде принимается.


            1. Goodkat
              06.04.2016 01:16

              А если случится непредвиденное?
              А если напечатавшее вашу наличку государство перестанет существовать?

              Если банк уйдет в офлайн из-за взлома или неполадок?
              Кредитные карты расчитаны на этот сценарий.

              Если решит объявить себя банкротом?
              Вклады застрахованы. Можно оплатить другой картой.

              Или его глава окажется негодяем и сбежит с вашими деньгами?
              А если к вам в дом залезут грабители и достанут из-под матраца всю вашу наличку?

              А если вы в провинции?
              А что не так в провинции? Я в пустыне километров за сто от ближайшего города расчитывался картой.

              А наличность всегда под рукой и везде принимается.
              Банковские карты тоже всегда под рукой, а то, что они пока ещё не везде принимаются — ну так я ж и предлагаю обязать всех продавцов принимать оплаты картами. Конда карты будут у всех, они тоже будут везде приниматься.


              1. Ra-Jah
                07.04.2016 13:06

                Вы сравнили перебои в эквайринге с прекращением государства. Совершенно нетактично. Дело не в преимуществе бумажных денег, дело в недостатках безналичных расчетов.


                1. Goodkat
                  07.04.2016 13:40

                  Ну почему же нетактично? На моей памяти прекращение государств случались чаше, чем перебои в эквайринге.


                  1. Ra-Jah
                    07.04.2016 14:16

                    Государства это пример не того ранга, если уж государство «прекратилось», то там и экономике банковская карта не поможет, это из ряда вон выходящее событие, а сбои эквайринга это даже не вероятность, это случай.

                    Пример совсем из жизни, далее почти поток сознания, пусть и не очень приближенный. Небольшой магазин, обслуживающий небольшой район большого города. Не пустыня. Часто обслуживание по картам происходит медленно, не редки случаи отказов, сбоев. Что уж говорить о «материковой» России, часто бываю в гостях, где терминала не сыскать, не говоря о банкомате (ну, вы помните эпопею с установкой доступной телефонии в глухие деревни, чтобы «никто не ушел обиженным»)…

                    Пока есть наличные, есть возможность получить доступные услуги. Банкомат дублирует терминал магазина, кэш выступает медиатором. Но дело даже не в этом, как только наличные будут искоренены, за банки хакеры примутся с утроенной силой, это вызовет ответные меры, контроль усилится, рамки использования сожмутся (не хотелось бы говорить об этом здесь, но и до чипирования так недалеко). Я уже не говорю про тотальный контроль граждан и указы как им жить, без наличных денег граждане не смогут ничего, централизация убивает свободу жизни.
                    А банки? Сколько было закрыто в последнее время? Нет, все это явно не своевременно, не готовы мы пока к этому.


              1. typ6o0jiehb
                08.04.2016 16:44

                Деньги в банке — не ваши деньги. Пример Кипра, Греции ничему не научили?
                >А если напечатавшее вашу наличку государство перестанет существовать?
                В Сомали так — продолжают пользоваться тем, что было напечатано. Так же было в России до 1930 года, когда уже в СССР ходили ещё царские рубли. Деньги могут быть не только государственными, если что.

                Оплачивать с обязательными комиссиями? Переживать из-за возможного взлома? (https://xakep.ru/2013/12/23/61802/)
                Отрицательные процентные ставки? (http://bitnovosti.com/2016/02/25/dengi-pod-matrasom/)

                > А что не так в провинции? Я в пустыне километров за сто от ближайшего города расчитывался картой.
                У нас в стране хватает сёл, где нет сетей связи. там живут люди. работают. как там должны работать банковские услуги?

                Есть за, есть против. Каждый выбирает, то что считает нужно. Навязывать отсутствие выбора — я считаю не правильным.


                1. Goodkat
                  09.04.2016 00:31

                  Возражения уровня «Бензину и запчастей на ваши автомобили не напасёшься, в городе-то бензин есть, а в деревнях его может и не быть, и что, с собой бочку бензина везти? Или за сто вёрст ездить в город заправляться? То ли дело овёс — в каждой деревне можно задёшево купить, а даже если и нет овса, то пустил лошадь пастись, она и сама наестся. И ремонтировать автомобили как, если сломаются? Мастеров искать надо! А лошадь любой кузнец тебе подкуёт! Не-е, автомобили — это хорошо, конечно, но не для нас» — это ответ и на комментарий Ra-Jah, а то не могу я чаще комментарии писать.


              1. gwathedhel
                08.04.2016 16:44

                То есть вы предлагаете:
                Иметь как минимум 2 карты от совершенно независимых банков (если банки имеют между собой какую то связь, то у них могут отозвать лицензии в одно время или их финансовые операции могут обладать схожими рисками).
                Каждый месяц переводить часть денег с одной карты на вторую ( а поскольку банки независимые, то у них как правило комиссии на перевод средств в другой банк) с помощью обналички и вклада в другой банк, на свой счет

                То есть для того, чтобы избавиться от налички, нужно каждый месяц снимать в одном банкомате налич… OH SHI~~~~!


            1. alsii
              07.04.2016 10:38

              Уберите из вашего последнего предложения «везде принимается» и все сразу станет не так здорово. Наличность потому и удобна, что сейчас везде принимается. Как только она перестанет [везде] приниматься, она сразу становится очень неудобной.


          1. Cryvage
            06.04.2016 00:20
            +2

            Наличка нужна хотя бы для того, чтобы возможности банков по контролю за деньгами и денежными операциями были хоть как-то ограничены. Иначе слишком большая власть у них будет. Это потенциально гораздо большая опасность для человеческого общества, чем терроризм. Европейские банки уже давно кстати ноют, мол давайте отменим наличку, а то отрицательные ставки толком не работают. Так что ни в коем случае нельзя отменять наличные деньги.


            1. Goodkat
              06.04.2016 01:31

              Я не вижу тут опасности, тем более большей, чем терроризм.
              Вообще не вижу опасности. И не вижу существенной разницы с тем, что есть сейчас — я снимаю и ношу с собой довольно небольшую сумму денег, буквально, чтобы хватило два раза сходить на обед. Иногда неделями хожу совсем без наличности.

              Конечно, если получаешь зарплату в конверте, то наличные деньги для этого удобнее :)


              1. lubezniy
                06.04.2016 07:20

                Когда банк вводит отрицательную процентную ставку по банковскому счёту/вкладу, тогда наличные и удобнее.


                1. alsii
                  06.04.2016 17:09

                  Вы будете смеяться, но большинство счетов, которые используются для повседневных расчетов в Европе платные. Например сначала у меня был счет за который я платил €2,5 в месяц, но все операции были платные (от 10 до 30 центов). Теперь плачу €7,5 в месяц, но все остальное бесплатно. конечно это не то. что отрицательная процентная ставка, но тем не менее.


                  1. lubezniy
                    06.04.2016 19:18

                    За обслуживание обычного карточного счёта банку тоже платят. Но сумма там фиксированная. А процент, если сумма лежит большая, может оказаться существенным.


                    1. alsii
                      07.04.2016 10:44

                      Учитывая сегодняшний размер этой отрицательной процентной ставки сумма вряд ли окажется значительной. К тому же риски хранения наличных также растут с увеличением суммы, и растут, увы, нелинейно :( Ну и главный посыл отрицательных процентных ставок в конечном итоге в том, чтобы стимулировать людей тратить деньги, а не сберегать. Что, как предполагается, как раз и должно решить эту проблему с отрицательными ставками.


    1. Moog_Prodigy
      05.04.2016 20:29

      У спецслужб есть свои методы борьбы с террористами, но я думаю, что нынешнее положение вещей таково, что служба играет в свою пользу.
      Дальше писать не буду, теории заговора это уже фричество, а логика на уровне политики превращается в какую-то попытку анализировать нейросеть.


    1. stalinets
      05.04.2016 23:19
      -1

      ИМХО все эти запреты и прослушки — это симптоматическое решение проблемы, борьба с последствиями, а надо смотреть, откуда растут ноги проблемы. В случае террористов это религиозный экстремизм плюс плохие условия жизни. Полагаю, если привнести в эти страны благополучную жизнь, науку, прочие полезные для общества ценности — фанатики станут меньшинством и уйдут в историю. Вот только надо это делать как-то иначе, чем делает всем известная страна — главный борец за демократию. А если вспомнить, сколько людей погибает от терроризма и сколько от других причин — станет ясно, что прблема вообще специально раздута и заниматься надо другим.


      1. batja84
        05.04.2016 23:46
        +2

        А вы уверены, что янки за демократию борятся? Обратите внимание, что все страны, в которые они суют свой нос, обладают какими-либо природными ископаемыми (чаще всего, конечно углеводороды). Почему-то в конфликт индусов с пакистанцами за Кашмир, который длится лет 40, если не больше, они не спешат вмешиваться. А ответ прост. Во-первых, у обеих сторон конфликта есть ядерное оружие (и в случае, если америкосы сунутся, ответочка в виде МБР не заставить себя ждать), а, во-вторых, там просто нечего брать — две практически нищих страны без особых полезных ископаемых.
        На благополучии людей много денег быстро не заработаешь, а вот на страданиях очень даже. Торговля людьми, оружием и наркотиками —
        это доказывает. На последней войне в Ираке американскими фирмами было заработано свыше 300 млрд долларов, об этом писали в крупных американских газетах. Это никто не скрывает. Информация официальная.


      1. Sychuan
        05.04.2016 23:47

        Вот только надо это делать как-то иначе, чем делает всем известная страна — главный борец за демократию.

        Как сделать страну процветающей очень сложный вопрос, который исследовался историками, политф- и экономфилософами, просто философами и экономистами очень много. И на сегодняшний день можно сказать, что точного рецепта не знает никто. У главного борца за демократию при относительных неудачах в арабском мире (хотя я бы сейчас не спешил выносить суждение по тому же Ираку), есть достаточно большие успехи в Южной Корее, Тайване и в значительной степени Японии в свое время.


        1. Goodkat
          06.04.2016 01:39
          -4

          есть достаточно большие успехи в Южной Корее, Тайване и в значительной степени Японии в свое время.
          И в Западной Германии ещё.
          Но тут могут быть не столько успехи США, сколько полный провал их противника, главного борца за мировое господство, на фоне которого обычное мирное развитие покажется большим успехом.


          1. Sychuan
            06.04.2016 11:46

            Ну как сказать, есть много мирных стран, даже демократичных вроде ЮАР или Индии, которые долгие годы не показывают никакого развития (правда у Индии в последние годы стремительный рост, больше чем в Китае). Есть факторы которые работают, но не всегда так хорошо как хотелось бы, более того их внедрение часто оказывается проблемой. Вот взять Украину—это демократическая страна, одна из немногих постсоветских, которая все еще остается демократией, но ее политика и, особенно, экономика очень далеки от ЮК или Сингапура. В чем дело? Некоторые вещи очевидны, но далеко не все.


            1. NINeOneone
              06.04.2016 13:55

              В ЮАР большие проблемы с апартеидом, которые де факто не решены.


        1. anti4ek
          08.04.2016 16:38

          В Южной Корее, Тайване, Японии и ФРГ по политическим причинам было целенаправленное стремление «сделать» экономически развитые страны. Причем в случае с Южной Кореей — даже не демократическую поначалу.


    1. PocketSam
      06.04.2016 19:08

      Вот-вот, только сегодня использовал этот аргумент в обсуждении.


  1. MagoVinch
    05.04.2016 19:51
    +1

    а если у одного пользователя новая версия приложения, а у другого старая(без шифрования), что тогда произойдет?
    миллиард это много народу, и разброс версий серьезный, не случится так что переход затянется?


    1. Oroszorszag
      05.04.2016 20:04

      К примеру, если общается несколько пользователей, и один из них использует старую версию WhatsApp, остальные увидят, какой именно собеседник работает без шифрования, и смогут уведомить его об этом.


    1. dmitrytorshin
      05.04.2016 20:11

      Конечно случится. Но кому шифрование нужно, обновятся.
      Если там действительно шифрование.


    1. 9uvwyuwo6pqt
      05.04.2016 20:11

      >При этом компания будет добиваться, чтобы пользователи ставили новую версию с шифрованием. К примеру, если общается несколько пользователей, и один из них использует старую версию WhatsApp, остальные увидят, какой именно собеседник работает без шифрования, и смогут уведомить его об этом.


  1. Oroszorszag
    05.04.2016 20:05

    При этом все фотки и видео всё-также открыто лежат на карте памяти?


    1. Scratch
      05.04.2016 20:21

      И разговоры в базе тоже открытым текстом, недавно проверял


      1. Oroszorszag
        05.04.2016 20:33
        -6

        Какая прелесть, хорошо, что жёны в базу не способны заглянуть:)


    1. Goodkat
      05.04.2016 20:54
      +2

      Зашифруйте карту памяти, делов-то.


      1. Oroszorszag
        05.04.2016 23:10

        А для этого андроид зарутить нужно?


        1. yosemity
          05.04.2016 23:13
          +1

          нет


          1. Oroszorszag
            05.04.2016 23:14

            Подскажешь, чем шифруется? Спасибо!


            1. yosemity
              05.04.2016 23:18
              +4

              Так штатно, из настроек.


              1. Oroszorszag
                05.04.2016 23:25
                +2

                [тихо, тихо подбирает челюсть с пола]

                Однако! Не знал.


                1. Zzzuhell
                  06.04.2016 14:59

                  Верните челюсть на место, эта фича не во всех версиях :)


                  1. Oroszorszag
                    06.04.2016 23:50

                    Я уже понял!!!:)


                    1. yosemity
                      07.04.2016 00:05

                      У меня 4.0.4, штатный китаец Jiayu G3, штатный лаунчер. Я порой удивляюсь, насколько некоторые «бренды — уенды» портят жизнь своим пользователям. Жена и друг мучаются на своих телефонах, что нет настройки «для приложений использовать по дефолту карту памяти».


                1. dka700
                  08.04.2016 16:39

                  Вставная челюсть?


                  1. Oroszorszag
                    08.04.2016 16:43

                    Кибернетическая, от Т-800!


      1. Smittyperm
        06.04.2016 00:20

        Так оно прозрачное для программ внутри ОС. Любая программа может получить файлы с карты памяти.


        1. Goodkat
          06.04.2016 01:49

          Разве WhatsApp не умеет сохранять все эти данные внутри своей папки, к которой другие приложения не имеют доступа? Карту памяти можно отформатировать и зашифровать для использования как internal storage, так что приложения не должны иметь доступа к данным других программ.

          Никогда не использовал WhatsApp на Android, и на моём Nexus 4 не поддерживаются внешние карты памяти, поэтому я представляю это только теоретически из обзоров других аппаратов.


  1. BluVelvet
    05.04.2016 20:51
    +1

    Парад шифрования, сначала аська, теперь вацапп.


  1. qrck13
    05.04.2016 21:14
    +3

    Без независимого аудита протокола, сложно судить, насколько оно там безопасно. А то может шифрование то и надежное, а MitM можно осуществить в два счета.


    1. Nekit1234007
      06.04.2016 00:20
      +1

      Вот например: eprint.iacr.org/2014/904.pdf

      В отличие от другого месенджера, набирающего популярность, протокол Signal создавали люди, которые знают что делают.


      1. qrck13
        06.04.2016 00:49

        с Signal-ом то все понятно. Я про шифрование в WhatsApp. А то может на проверку окажется, что наоборот — из-за какого-нибудь косяка в реализации шифрования, спец-службы будут только рады, что пользователи перейдут на WhatsApp, т.к. им будет куда проще взломать.


        1. Nekit1234007
          06.04.2016 01:02

          По утверждениям Мокси, они используют всё тоже самое что и в Сигнале, 1в1.


        1. smb_z
          08.04.2016 16:42

          Цитата из pdf-ки:
          The Signal Protocol library used by WhatsApp is Open Source, available
          here: github.com/whispersystems/libsignal-protocol-java


  1. SovGVD
    05.04.2016 21:21

    Не понятно что с шифрованием. На Android устройстве говорит что клиент на blackberry без шифрования, на blackberry говорит что всё ок и зашифрованно, чтобы проверить, покажите телефону QR код, где и как его показывать — не понятно.


    1. Andrusha
      05.04.2016 23:03

      А какая версия? У меня в Play Market до сих пор болталась 2.12, поставил 2.16 вручную, код генерируется. Правда как проверить, не знаю, никого из контактов поблизости нет.


    1. m1n7
      08.04.2016 16:44

      Более того, на двух соседних телефонах стоит одинаковая версия (2.12.556), один говорит, что сообщения второму шифруются, второй говорит, что сообщения первому не шифруются, т.к. пользователю нужно обновить вацап.


  1. ZonD80
    05.04.2016 22:09

    А ну да, публичный ключ, отправляемый сервером WA, который под контролем хер знает кого. Секьюрно.


    1. Foolleren
      06.04.2016 00:18
      -1

      Самый шик когда айди пользователя равен его паблик кею, сразу становится понятно что нас начали пасти.


    1. inkelyad
      06.04.2016 00:20
      +1

      Если верить картинкам и текстам на whispersystems.org/blog/whatsapp-complete — можно fingerprint-ы у ключей сравнить. Зачитав их вслух или, если совсем паранойя мучает — при личной встрече сканировать QR-код. Там же рядом небольшая pdf-ка с примерным описанием протокола лежит.


    1. miriarder
      06.04.2016 11:22
      +2

      Э-э-э… А какие негативные последствия от того что Ваш публичный ключ оказался под контролем «хер знает кого» (С) и его теперь знает каждая собака? Есть опасность его подмены — это да. А опасности утечки PK нет. На то он и публичный, однако.


  1. Scratch
    05.04.2016 22:15
    +2

    Стоит добавить в статью документ с описанием протокола www.whatsapp.com/security/WhatsApp-Security-Whitepaper.pdf


    1. marks
      06.04.2016 00:20

      Спасибо, сейчас добавлю.


    1. Ml1ght
      06.04.2016 10:05

      Но описание протокола не позволяет утверждать о защищенности пользовательской переписки, т.к. о самой реализации ничего не известно.


  1. dark_ruby
    05.04.2016 22:31

    хмм… показывает что у меня с собеседником есть шифрование, захотел проверить валидность ключа через встроенный сканер qr — а у собеседника вообще показывает что у нас не зашифрованный чат… версия у обоих одинаково-последняя :)


    1. l0rda
      06.04.2016 00:10

      Тоже самое, иос показывает что зашифровано, а андроид нет.


      1. dark_ruby
        06.04.2016 11:29

        ну у меня вообще два андроида, с одинаковыми версиями вотсапа


  1. anmipo
    05.04.2016 23:21
    +1

    Ироничная КДПВ, учитывая, что WhatsApp прекращает поддержку BlackBerry 10


    1. mrsimba
      06.04.2016 07:00

      Symbian, они тоже прекращают поддерживать, однако версия 2,16 прилетела и предложило обновиться.
      При открытии диалога висит предупреждение- «Сообщения, которые вы отправляете в данный чат, теперь защищены шифрованием....»


  1. saboteur_kiev
    06.04.2016 02:48
    +2

    Как можно проверить, что в зашифрованном пакете ушло именно то И только то, что я написал в whatsapp, а не данные, которые «помогут нам сделать наше приложение лучше для пользователей»?


  1. Sadler
    06.04.2016 07:46

    Для борьбы с этим спецслужбы вполне могут использовать простой троянец, который будет собирать приватные ключи с устройств пользователей. А если предположить, что в некоторых девайсах уже есть бэкдоры, то ничего критичного для некоторых спецслужб не случилось.


  1. r44083
    06.04.2016 09:46

    А как обстоит дело с шифрованием конференций пользователей (если они вообще есть в WhatsApp)?

    В таком случае, смартфон должен шифровать сообщение отдельно для каждого участника конференции, у которого включено шифрование, так как у каждого пользователя свой уникальный открытй ключ.
    Интересно как это сделано.


    1. Norno
      06.04.2016 10:01

      А в чем проблема? Каждому пользователю сообщение отправляется зашифрованным на его открытом ключе.


      1. r44083
        06.04.2016 11:51

        Ну просто я всегда думал что быстро зашифровать такой объём данных не так просто на смартфоне или embedded девайсе.


        1. alsii
          06.04.2016 17:23
          +1

          Само сообщение шифруется один раз одноразовым ключом с использованием симметричного алгоритма. Потом одноразовый ключ шифруется открытыми ключами всех получателей. Зашифрованные версии одноразового ключа присоединяются к сообщению и доставляются вместе с ним. По тому же принципу делается ЭП несколькими участниками.


          1. r44083
            06.04.2016 17:53

            Я вас понял. Интересный способ. А откуда вы знаете что там это работает именно так?


            1. alsii
              06.04.2016 18:21

              Я не знаю как это работает именно в WhatsApp, но так работает например PGP.


    1. Tirael78
      08.04.2016 16:37

      почитайте документацию, ссылка на нее была выше.
      При подключении каждого нового участника создается новый общий ключ, с использованием данных от каждого пользователя.

      Если кто то покидает группу, процедура — смены ключа, на основании данных тек пользователей, кто остался.


  1. All3
    06.04.2016 11:26

    Интересен вот какой момент: как whatsup теперь будет бороться со спамом и идентифицировать спамеров? Или вместе с шифрованием они прекратили борьбу со спамом???


  1. Teaminds
    06.04.2016 11:36

    Так, а что получается:

    1. Диалог получает «ключ шифрования», который я не могу ни сбросить, ни ввести свой, ни удалить (в случае подозрения о том что этот диалог скомпрометирован).
    2. «Ключ шифрования», судя по тому как как оно сработало у меня, создается и прикрепляется к первому сообщению пользователя независимо от того онлайн он или нет (и лежит ждет его в очереди на сервере видимо, но тут точно не уверен) — не уверен я как-то что это прям безопасно
    3. Нельзя запустить незащищенный чат — т.е. облачной истории нет, и быть не может по определению, ведь они всё удаляют. А я был бы рад если бы мог днем на одно устройство получить сообщение от жены «купи как поедешь домой кефира, хлеба, молока», а по дороге открыть диалог с ней с другого устройства и прочитать еще раз что надо купить — но не могу и не смогу, ведь облачной истории нет для защиты меня от прослушки и выбора у меня нет.

    Ощущение что все это ввели что бы пропиарится на шифровании и найти оправдание «не_деланию» облачной истории

    Все-таки остаюсь я на Телеграмме:
    1. «Ключ шифрования» можно сбросить (просто создать новый секретный чат)
    2. «Ключ шифрования» судя по всему передается напрямую между устройствами, ибо нельзя создать секретный чат пока другой человек оффлайн
    3. Обычные чаты полностью синхронятся между всеми клиентами, это удобно, вся история всегда и на компе, и в браузере, и на телефоне, а для секретных переговоров есть секретные чаты
    4. Приятный бонус — я могу в секретном чате удалить сообщение (и свое и собеседника) и у него на устройстве они тоже удалятся — это важная штука в сценариях связанных с безопасностью


    1. alsii
      06.04.2016 17:27

      А чем e2e шифрование мешает хранению истории в облаке? Она там вполне может храниться в зашифрованном виде, досталяться получателям и расшифровываться ими при получении. Так что шифроваение для отсутствия облачной истории не оправдание.


      1. visput
        06.04.2016 18:57

        В основном проблема в том, что приватный ключ не покидает устройство, а это значит, что синхронизироваться на другое устройство не получится, так как на нем не будет ключа для расшифровки данных. А раз синхронизация не работает, то и облако делать нет смысла.


        1. alsii
          06.04.2016 19:14

          На самом деле «пользователь» в терминах WhatsApp, zfcrjkmrj y gjzbvf._ это и есть


        1. alsii
          06.04.2016 19:20

          Прошу прощения за недописанное предыдущее сообщение. На самом деле «пользователь» в терминах WhatsApp, насколько я понимаю, это и есть устройство. Если у меня два телефона каждый из них будет со своим телефонным номером и, соответственно, со своей учетной записью WhatsApp. И видимо поэтому у них нет desktop-клиента. Гораздо печальнее, что при таком подходе смена устройства ведет к потере истории всей переписки, т.к. секретный ключ на устройстве и оттуда [штатными средствами] не вынимается.


    1. Tirael78
      08.04.2016 17:49

      2. «Ключ шифрования» судя по всему передается напрямую между устройствами, ибо нельзя создать секретный чат пока другой человек оффлайн

      Конечно же не передаются, просто до тех пор пока второй пользователь не появился он -лайн и не сгенерил свою пару ключей и не отправил вам ответ, вы, конечно, не сможете создать общий секретный чат, а вовсе не из за того, что сообщения ходят p2p


  1. Throwable
    06.04.2016 12:31

    Мне оному так кажется, или я все неправильно понял?

    В данной схеме отсутствует важный элемент — certificate authority, который бы подтверждал, что ключ действительно от пользователя B, а не сгенеренный где-то посередине. Таким образом возможна банальная компроментация man-in-middle: отправляем пользователям A и B свои сгенерированные публичные ключи. Имея их настоящие ключи, проксируем весь треффик и наслаждаемся.

    И самое натуральное место для подобной компроментации — это сам «Watsapp Server». Неужели под видом «end-to-end» вселяют пользователям ложную уверенность. А спецслужбы одобряют.


    1. ProRunner
      06.04.2016 13:49

      Есть сверка ключей по qr-коду или цифровому отпечатку.


      1. Throwable
        06.04.2016 16:50

        И как это защищает от man-in-middle?


        1. ValdikSS
          06.04.2016 17:24

          Так и защищает. Если отпечатки расходятся, нам делают MiTM.


          1. user_097210
            07.04.2016 18:47

            Все так. Правда сейчас посмотрел механизм верификации. Контакт-> Шифрование -> Подтвердить код безопасности.
            Дальше предлагается сканировать код. Это здорово если абонент рядом, а если нет? Дальше есть цифроввой отпечаток и мы его можем сверить посредством иного защищенного канала. Сверили. Дальше нет механизма подтверждения этого цифрового отпечатка, как например в Chatsecure, где есть механизм Контрольного вопроса-Ответа на него.


  1. Animan
    06.04.2016 17:24
    -1

    Англоязычные ресурсы на днях писали что уже без помощи Эппл тот айфон взломали и Эппл теперь клянчит узнать как, а ей в ответ лукаво улыбаются.


  1. LoadSPB
    06.04.2016 17:59

    Кто-нибудь уже проверял, отключена ли теперь синхронизация истории переписки?


    1. Andrusha
      06.04.2016 20:39

      Синхронизации тут никогда не было — это как классическая аська: все сообщения в один клиент приходят, если залогиниться с другого, то у первого сессия отвалится. А настройки резервных копий на месте.


      1. alsii
        07.04.2016 10:52

        Погодите, мы ведь о WhatsApp говорим? Какой другой клиент? Клиент всегда один. Всегда. Мобильный клиент привязан к номеру телефона, а он привязан к симке. Десктопного клиента нет. Веб-клиент связывается с приложение на мобильном и показывает данные оттуда. Если в этом момент мобильник выключен или не имеет доступа к интернету — ничего не получится. Я не рассматриваю экзотический случай, когда у вас несколько симок с одним телефонным номером. Теоретически возможна перестановка симки из устройства в устройство, но и тут не получится подключить несколько клиентов одновременно. Можно завести несколько учетных записей на разные номера телефонов, но это будут разнве пользователи с точки зрения WhatsApp.


        1. Teaminds
          07.04.2016 13:36

          В стационарных точках (работа/дом) человек пользуется планшетом с бт-клавиатурой (как вариант двумя: дома домашним, на работе рабочим), а в мобильных ситуациях (дорога, улица) смартфоном (плюс еще как вариант отдельный планшет в машине). И что теперь человеку держать на разных своих устройствах разные учетки Ватсапа? Или он вообще не умеет жить на устройстве без симки? Он, что, настолько калечный!? Кто более-менее активно им пользуется, уточните пожалуйста.


          1. vlivyur
            07.04.2016 16:48

            Ага, всё так. Не пользуюсь, но тут попросили настроить, потыкался маленько. Симку вынул — нет вацапа, переткнул в другое устройство — жди смску. Из-за этого в Телеграме народ точно так же регистрируется (хотя там можно с нескольких устройств заходить по одному и тому же номеру).


          1. Itnain
            08.04.2016 16:49

            Привязка к номеру есть, но никто не мешает с любого устройства пользоваться учеткой другого номера. Для активации нужен только код из смс на зарегистрированный номер.

            Ну и есть web.whatsapp.com — сканируется QR код с привязанного устройства и всё, можно писать\читать. Веб версия показывает всю историю. Так что история хранится на сервере. Правда коллега сегодня на новый телефон перешла — у нее история в новом телефоне не показывается. Но в вебе при этом показывается.


            1. Andrusha
              13.04.2016 18:21

              Нет, она тянет историю из мобильника, который сканирует QR-код. Если мобильник выпал из сети, то и сессия в браузере завершается.


  1. titbit
    08.04.2016 16:37

    Согласен с утверждающими, что шифрование будет «липовое» или его не будет вообще.

    Во-первых, отлаживать такой протокол очень сложно, ведь на стороне сервера вы не сможете ничего понять в случае проблем, а проблем, как известно, обычно очень много, если пользователей тоже много.
    Во-вторых, «логи пишут все» (с). Не столько для каких-то там служб, сколько для себя, для внутренних разбирательств: абузы, спам, другие нарушения, дос атаки и т.п. Или теперь этого всего не будет? Вряд ли.
    В третьих, пиар на шифровании — это конечно сейчас модно, но увеличить риски для своего бизнеса в случае закрытия сервиса даже в одной какой-либо стране из-за проблем с шифрованием? Ради чего? Они ведь не благотворители, им деньги надо зарабатывать, на рекламе, например. А как же будет работать таргетирование рекламы, если не «подслушивать» о чем говорит пользователь?

    Ну и наконец, да, я тоже просто не верю. Слишком уж много «против», и почти ни одного «за».


  1. laughing_one
    08.04.2016 16:39

    Мне вся эта шумиха с криптографией и террористами кажется настолько надуманной…
    Предположим случился следующей сценарий: всеми государствами Мира введён обязательный запрет на шифрование без «бэкдора» для всех мессенджеров (несмотря на то что ООН причислила шифрование и анонимность в интернете к правам человека). Но ведь шифровать/дешифровать сообщения прекрасно можно сторонними приложениями (совсем невысокой сложности), которые будут находиться на клиенте. Причём при грамотной реализации задачи, это можно будет даже автоматизировать так, что конечные пользователи при переписке почти не заметят разницы. А дотошные любопытствующие вместо конкретных данных получат бессмысленный для них набор символов (или вообще шифровку можно встроить, скажем, в медиа файл). С чем они тогда будут бороться? Со свободным описанием криптографических алгоритмов?
    Так что «криптоанархисты» могут спать почти спокойно! (Хотя совсем уж не стоит расслабляться — вышеописанный мною сценарий, это конечно кошмар)


  1. Sat0shi
    08.04.2016 16:39

    Просто у WA начался отток пользователей…


  1. FreeNickname
    08.04.2016 16:42

    А что с историей сообщений? Приватный ключ только на устройстве. Потерял устройство – сообщениям хана? И такое поведение они включили по умолчанию для миллиарда пользователей? Не самый разумный шаг, как по мне. End-to-end шифрование «по требованию», как в Telegram, гораздо удобнее. Лично мне в 99% случаев важнее сохранение истории и беспроблемная синхронизация между устройствами, чем end-to-end шифрование.


  1. krpl
    08.04.2016 16:42

    В описании протокола не сказано, могут ли сообщения передаваться напрямую
    между пользователями. Зато сказано, что можно посылать сообщения в оффлайн,
    и есть все основания полагать, что если оба пользователя за NAT, то всё будет
    работать. Вывод: сообщения передаются через центральный сервер. Он же
    хранит открытые ключи пользователей. В протоколе не сказано, что пользователи
    должны (могут) передавать друг-другу открытые ключи мимо сервера. Следствие:
    реализация MiTM на севере — тривиальная задача.


  1. VitonZizu
    08.04.2016 16:42

    Один я наивно полагал, что у WhatsApp уже есть шифрование?
    Помню мониторил пакеты через wireshark, все красиво выглядело.


    1. 9uvwyuwo6pqt
      08.04.2016 20:12

      >Мессенджер стал вводить шифрование по умолчанию для некоторых типов сообщений еще в 2014 году


  1. IKIQ
    08.04.2016 16:42

    Не понял в чем защита от спецслужб. Почему они не могут потребовать и получить приватные ключи пользователей — они же с сервера раздаются?


    1. Quber
      09.04.2016 06:52

      На сервере хранятся только публичные ключи, а не приватные


  1. DeadFine
    08.04.2016 16:43

    На Windows 10 Mobile прилетело. Только если шифрование есть пишет сразу об этом в чате, а если нет — то только в пункте меню чата «Информация».