Сообщения, которые вы отправляете в чат, и звонки теперь защищены с помощью системы сквозного шифрования. Нажмите, чтобы узнать больше.
Одно небольшое обновление приложения вызвало бурную дискуссию в сфере ИТ. Заявление WhatsApp уверяет 1 млрд пользователей сервиса во всем мире в том, что ни WhatsApp, ни какие-либо третьи лица не смогут прослушивать или читать информацию, передаваемую между пользователями. Эта информация включает сообщения, фотографии, видео, голосовые сообщения, документы и звонки.
Для WhatsApp имеет большое значение невозможность получить доступ к данным пользователей. Существуют мнения, что технология шифрования была добавлена после разбирательств Apple и ФБР, но я не думаю, что эти вещи взаимосвязаны. Для реализации такого масштабного проекта по сквозному шифрования потребовалось бы много времени. Перед выпуском обновления требуется провести объемное тестирование и планирование, чтобы убедиться в том, что оно работает исправно.
Какое влияние новая функция сервиса окажет на пользователей?
Технологии шифрования широко используются в Интернете. Если пользователь делает онлайн-покупку или просто заходит на сайте Google.com, в браузере отображается значок замка и уведомление о поддержке протокола HTTPS, что означает, что данные, отправляемые в Интернете, зашифрованы или скрыты от злоумышленников. Компания WhatsApp придала этой технологии дальнейшее развитие. Это самое популярное кроссплатформенное приложение для обмена сообщениями, которое работает на различных устройствах, поэтому это было смелое решение со стороны разработчика. Это сквозное шифрование можно сравнить с использованием конверта при отправке письма, которое никто не сможет прочитать, даже почтальон.
Сообщение, отправленное через WhatsApp, теперь шифруется с момента, когда оно покидает устройство отправителя и до момента получения его адресатом. Никто, включая WhatsApp, не может увидеть содержимое сообщения, даже если оно перехвачено при доставке. Теперь пользователи могут быть уверены, что все их сообщения и звонки надежно защищены. Сервис работает как и раньше, поэтому пользователи даже не заменят, что в приложение интегрирована новая функция.
Почему было столько много разговоров в связи с этим обновлением?
Факт того, что даже WhatsApp не сможет просматривать сообщения или прослушивать звонки, если компания получит официальный запрос правоохранительных органов, означает, что ваши данные не будут переданы третьим лицам. Из-за того, что WhatsApp выбрала именно такой подход к шифрованию, для государственных и правоохранительных органов будет очень сложно получить доступ к данным, которые могут помочь в ходе расследования. Также будет интересно посмотреть, что произойдет после решения Европейского суда по правам человека, согласно которому, компании имеют право читать частные сообщения сотрудника, если предполагается, что политика компании нарушена. Это будет трудно сделать, учитывая то, что сообщения WhatsApp зашифрованы.
Как государство сможет среагировать
Наблюдались дебаты в отношении того, попытаются ли государственные органы запретить использование подобных технологий, но это будет очень трудно сделать. Запрет на использование технологии шифрования может привести к большому убытку для цифровой экономики. Нам необходимо шифрование, чтобы защитить свои личные данные, но мы также должны найти компромисс в отношении того, когда правоохранительные органы могут получить доступ к такого рода информации.
В настоящий момент мы находимся в очень интересной ситуации; мы очень легко относимся к своей персональной информации и размещаем ее в сети Интернет, что привлекает внимание злоумышленников. С другой стороны, мы хотим быть уверены, что нас не контролируют постоянно, и мы сохраняем свою конфиденциальность. Если другие сервисы, включая Viber, Facebook Messenger и Snapchat, пойдут по такому же пути, то мы можем стать свидетелями революции в области шифрования.
Комментарии (10)
d7s2di
21.04.2016 14:05+2Если бы задумывались о благе пользователей, то не стали бы губить XMPP ( у которого был ровно один фатальный недостаток), и создавать кучку своих несовместимых централизованных мессенджеров. Так что, как говорится, свежо питание…
Bassman1988
21.04.2016 14:05+1Viber уже как несколько дней как выпустил версию с шифрованием…
F5Networks
21.04.2016 14:07Точно! Благодарю, при написании статьи еще не было такой информации… но мы оказались правы)
T-362
22.04.2016 13:12Задумываются о конфиденциальности? Ха! Конечно нет! Просто тренд такой сейчас — надо делать защиту, иначе ЦА разбежится по другим мессенджерам. А так как разработкой рулят менеджеры — все тренды моментально ставятся первыми по приоритету. В случае с защитой это конечно хорошо, но это исключение — обычно они передирают друг у друга обязательную привязку к телефону, аватары-кружочки, облачка для текста, смайлики и другой интерфейсный мусор, из-за чего зачастую один мессенджер от другого можно отличить только по заголовку (как и меил.ру недавно постарался с редизайном аськи).
kasperos
Есть абоненты А и Б, и сервер Г. Если ключ шифрования передается напрямую между А и Б, тогда можно говорить о шифровании. Если обмен идет через сервер, то что мешает ему сохранить обменную информацию и потихоньку подбирать ключи?
ProRunner
Мешает асиметричное шифрование и наличие открытого и закрытого ключей, как я понимаю
ProstoUser
Ключи подобрать не выйдет. Это основная цель — даже имея полную запись сессии, что не проблема для спецслужб, невозможно восстановить ключи, кроме как брутфорсом.
Если весь обмен идет через сервер (например, через сервер интернет-провайдера обмен идет всегда), то север может создать виртуальную пару абонентов А" и Б" и реальному абоненту А показывать контролируемого виртуального абонента Б", а реальному абоненту Б показывать своего виртуального А". Тогда сервер сможет получать сообщения от одного абонента, перешифровывать и отправлять другому, Это классическая атака Man In The Middle.
Для спецслужб единственный минус — невозможность провести такую атаку после того как сеанс связи уже состоялся. То есть сервер должен ПОСТОЯННО записывать ВСЕ разговоры ВСЕХ абонентов, если спецслужбы хотят иметь доступ к уже состоявшимся разговорам. Или довольствоваться включением режима прослушки конкретного абонента «по запросу». А поскольку дома один провайдер, по дороге другой, на работе третий, в кафе четвертый и пятый, то должен быть способ идентифицировать конкретного абонента и начать его прослушку с помощью некого автомата по всем провайдерам сразу.
Но и от этого можно защититься, если абоненты каким-то способом подтвердят свою подлинность друг для друга и, таким образом, сделают невозможной скрытную атаку MITM. Это можно сделать с помощью стандартных сертификатов, подписанных каким-то доверенным источником, или еще лучше, при личной встрече обменяться парой файликов по NFC. Если месенджеры будут поддерживать проверку сертификата того, с кем ведется беседа, то шанса прослушать разговор не будет вообще. Опять же, если поверить, что производитель месенждера не внедрит отключалку шифрования в экземпляр программы для конкретного клиента.
Rikkitik
В Viber используется защита от MITM: аутентификация во время аудио или видео звонка. Если в канал пытались внедриться, появляется индикатор, что надо провести новую аутентификацию с новым кодом.
ProstoUser
Спасибо. Действительно интересный метод аутентификации.