Где переписываться, чтобы вас не прослушивали: последние мессенджеры с надёжным шифрованием

Сначала давайте попробуем поискать объяснение популярности Threema в тех событиях, которые произошли за последнее время в этой категории программного обеспечения. Прежде всего необходимо отметить всё усиливающуюся тревогу пользователей по поводу секретности переписки и конфиденциальности личных данных. Причиной этому послужили как политические события в разных странах, так и череда скандалов, связанных с прямым сотрудничеством крупных компаний со спецслужбами или случайных утечек пользовательских данных. В связи с этим всё меньше людей хотят доверять свою личную переписку корпорациям и уходят из Skype (Microsoft), Hangouts (Google) и WhatsApp (Facebook). Альтернативой мог бы стать Telegram, про который мы вам рассказывали недавно, но на него тень бросает непонятная связь с социальной сетью ВКонтакте.

В этих условиях появление нового мессенджера, ставящего во главу угла прежде всего безопасность и не связанного ни с какими крупными компаниями, было только вопросом времени. Тем более, что и разработчики Threema, и серверы этого сервиса физически находятся в Швейцарии — стране, являющейся своего рода символом надёжности и бережного отношения к чужим тайнам.

Установка и настройка

Приложение Threema весит чуть более 11 Мб и отдать за него вам придётся около двадцати полновесных гривен (на момент написания статьи). После скачивания и установки программы необходимо будет сделать несколько настроек. Если конкуренты в лице WhatsApp и Telegram используют для привязки аккаунта ваш номер телефона, то здесь этого не происходит, что выглядит предпочтительнее с точки зрения сохранения приватности, но несколько осложняет процесс.

При первом запуске вас попросят создать индивидуальную пару ключей. Дело в том, что Threema использует асимметричное сквозное шифрование end-to-end, при котором вся информация передаётся по каналам связи в зашифрованном виде. Для этого и понадобится обзавестись частным и публичным (открытым) ключом. Один остаётся на вашем устройстве, а второй ключ используется для расшифровки сообщения и передаётся вашим собеседникам. После этого Threema присвоит вам уникальный идентификатор, с помощью которого и будет вас определять в сети. Чтобы не пугать собеседников заковыристыми буквенно-цифровыми сочетаниями, можно присвоить себе понятный псевдоним.

Для общения с другими пользователями нужно, разумеется, добавить их в свою адресную книгу. Для этого существует несколько способв. Первый, и самый безопасный, это обмен данными при личной встрече. Сделать это можно с помощью сканирования специально созданного для этой цели QR-кода. Второй способ состоит в изучении вашей адресной книги и требует, чтобы ваш адресат предоставил вам кроме ID ещё и свой номер телефона или адрес электронной почты. И, наконец, третий способ добавления контакта — это ввод полученного идентификатора вручную, что не всегда удобно и может стать причиной ошибок.

Функции

С точки зрения функциональности Threema ничем не уступает признанным лидерам. Мессенджер умеет отправлять текстовые сообщения, фотографии и короткие видеоролики, делиться своим местоположением, записывать голосовые сообщения. Кроме индивидуального общения позволяется осуществлять групповые чаты с несколькими контактами.

Как уже упоминалось выше, основной упор при разработке приложения делался на безопасности, поэтому все пересылаемые вами данные, включая изображения, ролики, координаты, шифруются перед отправкой и не могут быть просмотрены никем, кроме вашего получателя. Более того, даже если кто-либо получит прямой доступ к устройству, то можно не допустить утечки хранящихся в Threema данных и сообщений. Для этого вы можете задать дополнительный пароль, который нужно будет вводить при запуске приложения или по истечении определённого времени. Пользоваться этой опцией нужно с осторожностью, особенно тем людям, которые постоянно забывают свои пароли, так как после десяти неудачных попыток ввода секретного слова все данные в приложении будут стёрты.

Что касается интерфейса и пресловутого юзабилити, то пользователи мессенджера Threema точно ни в чём не почувствуют себя ущемлёнными. Логика импользования программы не вызывает ни одного вопроса, а её дизайн оставляет самые приятные ощущения. Да, здесь отсутствуют сменные фоны окна сообщений и темы оформления, но это и не нужно. Threema — это спокойная программа для взрослых людей, которые беспокоятся о своей конфиденциальности, а не пересылают друг другу котиков.

Заключение

Программа Threema является еще одним достойным альтернативным мессенджером, которому вполне по силам на равных состязаться с лидерами в этой категории программного обеспечения. Он уверенно справляется со всеми основными задачами по обмену текстовыми сообщениями, видео, изображений и так далее. Причём делает это ничуть не медленнее, чем WhatsApp или Telegram.

Значит ли это, что надо бросать вашу любимую программу обмена мгновенными сообщениями и переходить на Threema? Если вы хотите обеспечить дополнительный уровень безопасности своей переписке и сохранить свою конфиденциальность, тогда да. И, судя по популярности программы в Google Play, таких людей становится с каждым днём всё больше и больше.

Главные преимущества разработанного сервиса – безопасность и качественный интерфейс. Помогают убедиться в удобстве и конфиденциальности threema отзывы тех, кто его попробовал.  О мессенджереthreema отзывы пользователей следующие.

Ольга

Как активный пользователь интернета, перепробовала много приложений. Трима понравился из-за приватности и удобства. По достоинству оценила и скорость работы. Рекомендую его к использованию.

Наталья

Недавно решила попробовать эту программу. Осталась довольна, так как она обеспечивает сохранение личных данных, и у нее красивый и лаконичный интерфейс. Так что это наиболее удобный вариант для передачи сообщений.

Екатерина

Считаю, что это лучший сервис для отправки информации. Конечно, он платный, но этот единственный недостаток окупается конфиденциальностью, что важно для тех, кто беспокоится о сохранности личной информации.

Вера

Рекомендую это приложение тем, кому важна безопасная передача уведомлений и возможность предотвратить утечку информации. За это дополнение не жалко заплатить деньги пусть и небольшие – 199 рублей.

Олег

Про мессенджер threema нашел отзывы в интернете. Ознакомившись с ними, решил его попробовать. Понравилось удобство сервиса, и возможность сохранять конфиденциальность данных. Конечно, он платный, но на безопасности не стоит экономить.

Александр

Советую эту программу тем, кому важна безопасность при передаче данных другим пользователям. Важное преимущество сервиса – отсутствие необходимости привязывать аккаунт к телефонному номеру. Со своими функциями он справляется не хуже аналогов.

Важно! Положительные комментарии клиентов лишний раз подтверждают, что threema – лучший вариант для безопасной передачи уведомлений. По функциям он не уступает своим аналогам.Читайте так же  Threema для iPhone

Nikita Artemov

</span>

Apr 13, 2018·6 min read

</span>

#hackandsecurity

Также читайте меня тут: Telegram и Вконтакте

У каждого из нас по закону есть право на неприкосновенность частной жизни (если это не переходит юридические нормы), и в этой связи уверен, что большинству хотелось бы этого и от переписки. Поэтому я решил сделать небольшой обзор четырех мессенджеров, которые, на мой взгляд, крайне неплохо справляются с этой задачей.

Цель статьи не копаться в технических характеристиках приложений, а всего лишь показать несколько возможных вариантов мессенджеров для тех, кто хочет быть уверен в том, что их переписка никуда не утечет и данные не попадут в третьи руки. По этой причине, если данный пост читают специалисты в области ИБ или IT, убедительная просьба: не цепляйтесь к формулировкам, так как я намеренно постараюсь не касаться технической стороны вопроса. По крайней мере, по большей части.

PS: Статья также будет интересна различным специалистам, чей род деятельности напрямую или косвенно связан с защитой персональных данных (например, для служб безопасности, HR, банковских работников или просто собственников бизнеса).

PSS: Вторую часть с более продвинутыми вариантами мессенджеров смотрим тут.

1. End-to-end шифрование (E2ЕE) — сквозное. Технология предполагает, что мессенджер хранит ключи шифрования только на устройстве пользователя, не отправляя их на сервер. То есть в процесс обмена информацией включено только два объекта: отправитель и получатель, без третьих лиц.

2. Надежный протокол шифрования.

3. Степень централизации. Есть три варианта: централизованный (требует отдельного сервера) — к примеру vk, telegram; федеративный (сеть из серверов) — к примеру Riot.im; децентрализованный (каждый клиент и есть отдельный сервер) — к примеру Briar.

4. Возможность анонимной регистрации и использования.

Помимо этих критериев, сюда так же можно отнести следующее: открытый исходный код, запрет на скриншот экрана в секретных чатах, наличие групповых Е2ЕЕ чатов и прочее.

Данный бесплатный мессенджер, по мнению Эдварда Сноудена, является одним из самых защищенных на сегодняшний день. Приложение обладает открытым кодом, что позволило специалистам со всего мира потестить его реальную безопасность. Мессенджер использует криптографический протокол ZRTP и алгоритм AES с длиной ключа 128 бит. Как в теории, так и на практике, данную защиту обойти практически нереально даже с помощью группы подготовленных людей с хорошим оборудованием. Есть версия и для IOS, и для Android.

Помимо всего прочего, в Signal также надежно можно общаться с помощью аудиовызова, и там есть куча интересных фишек для усиления безопасности. К примеру, одна из таких: по умолчанию в приложении нельзя сделать скриншот экрана (данную функцию можно отключить в настройках).

Так же вы можете подтвердить личность людей, с которыми общаетесь, чтобы убедиться, что их ключ шифрования не был изменён во время загрузки на ключ шифрования другого лица. Верификацию необходимо проводить в живую с вашим собеседником.

Единственный минус, который я вижу — это то, что при регистрации Signal запрашивает ваш номер телефона и список контактов, чтобы определить, с кем из вашего списка контактов вы можете вести переписку (проще говоря, у кого он тоже установлен). То-есть он не является полностью анонимным, хотя протоколы защиты очень серьезные.

PS: В Signal была найдена уязвимость, которая затрагивает все версии приложения до 2.23.1.1. При определенной последовательности действий проблема позволяет обойти защиту паролем и TouchID. Сейчас, вроде как, все устранили и ничего страшного не произошло, но лучше всего обновиться до последней версии, чтобы точно не было никаких проблем.

Данный мессенджер возник так же, как и Signal, после заявления об утечке данных АНБ. Дата основания — 2013 год. В то время был вообще пик возникновения приложений с качественным шифрованием.

Разработчики Wickr с самого начала заявляли, что это самый защищенный мессенджер в мире, хотя код приложения закрытый и его нельзя потестить разным специалистам, как в случае с Signal. Wickr осуществляет закодированную передачу почти любой информации, включая фото, аудио, текст и видео. Оно не позволяет копировать или пересылать сообщения или контент третьим лицам, и там тоже нельзя сделать скриншот. В приложении используются стандарты шифрования AES 256, ECDH 521, RSA 4096 TLD. Большой его плюс, что при регистрации вы придумываете уникальный ID и пароль. Регистрироваться через привязку телефонного номера не обязательно.

Отдельно хочется отметить интерфейс. Он сложнее, чем в Signal, но у этого есть логическое объяснение. У Wickr есть несколько пакетов (Wickr pro и Wickr ent), в том числе платные, для организаций. Поэтому многие фирмы, особенно европейские, используют данный мессенджер как корпоративный.

“Wickr me” (обычная версия) бесплатный и реализован как для IOS, так и для Android. Недавно появилась русская версия и было убрано большое количество багов, которые присутствовали ранее.

Это самый странный мессенджер из всей подборки. Дело в том, что Discord — это, прежде всего, Voice chat для геймеров. Изначально Discord предоставляет защиту от любой попытки “ддоса” игрока и предотвращает возможность узнать “айпи” игрока. В общем, если упростить, то с защитой у приложения все более-менее, в особенности с тем, что связано с голосовыми сообщениями и вообще аудио. Именно по этой причине я решил внести его в список. Есть люди, которым неудобно использовать сообщения, а проще позвонить. Конечно, это можно сделать с помощью Signal или Wickr, но альтернатива всегда должна быть. Ну а то, что здесь довольно специфический интерфейс, думаю, не должно вас особо напрягать, так как изначально Discord, все же, создавался для тех, кто играет в компьютерные игры.

PS: По разговорам с разными своими коллегами, я понял, что им активно пользуются хакеры. По каким-то причинам в данном мессенджере большинство из них чувствует себя весьма комфортно. Одна из самых очевидных, на мой взгляд, — это то, что о нем просто практически никто не знает, особенно в России.

Один из самых малоизвестных мессенджеров, но при этом, как по мне, безумно интересный. Основная его особенность заключается в связке сквозного шифрования с необычной системой скрытия сообщений на экране пользователя. Сообщения приходят в виде прямоугольников, и чтобы прочитать текст, нужно будет проводить по ним пальцами.

Также большой плюс приложения в том, что оно хорошо адаптировано под экран мониторов и у него есть платная версия для организаций, как и в случае с Wickr. Ареал распространения у приложения более 180 стран, и о нем писали очень крупные издания, такие как Forbes, Bloomberg, Fortune, Washington Post и другие. Это также говорит о многом.

Он есть почти для всех систем.

Если бы я выставлял оценки, то для меня данный продукт явно тянет на 10 из 10, впрочем, как и все вышеперечисленные.

В заключении хочу сказать, что данный список мессенджеров является субъективным и выбирал я их из опыта использования, а также с точки зрения того, что за историю их существования не было найдено пока ни одной серьезной уязвимости, связанной с утечкой личных данных (за исключением Signal, но там очень быстро решили проблему и ничего критичного не произошло).

Как говорил в начале, есть еще и вторая часть. Читаем тут.

Ну и повторюсь, я намеренно не сильно влезал в технические характеристики по причине того, что большинству наверняка они были бы не столь интересны. Если у вас возникнет желание, то все можно найти в открытом доступе на сайтах разработчиков или в обзорах в сети. Цель была больше обзорная, так как в большинстве своем мало кто вообще знает о существовании данных приложений, особенно у нас в стране.

PS: Данный пост не является призывом к нарушению каких-либо законов, а является всего лишь обзором на существующие продукты.

Всем мира!

Также читайте меня тут: Telegram и Вконтакте

Приложения26 ноября 2020 в 14:33Не Telegram и не WhatsApp, как нетрудно догадатьсяПока Роскомнадзор ведет канал в ещё недавно ненавистном для правительства Telegram, а Европейский союз пытается получить контроль над переписками пользователей, мы подобрали несколько надежных мессенджеров, которым не страшны взломы.

После европейских терактов в начале ноября, Совет Министров Европейского Союза принял решение, которое обязывает операторов мобильных сервисов WhatsApp, Signal и других создавать мастер-ключи для мониторинга чатов и сообщений с форматом шифрования E2E. Об этом говорится во внутреннем документе, датированном 6 ноября президентом Германии и направленном делегациям стран-членов в Совете, копию которого удалось получить австрийскому новостному изданию ORF.at.

Политики заговорили о запрете на безопасное шифрование этих мессенджеров под предлогом борьбы против «дальнейших шагов терроризма». Президент Франции Эммануэль Макрон обсудил это с канцлером Австрии, а само решение уже согласовано настолько, что его можно будет принять в видеоконференции министров внутренних дел и юстиции в начале декабря без дальнейшего обсуждения.

Впрочем, речь в этом документе идёт далеко не о полном запрете сквозного шифрования, как заявляли журналисты и пользователи социальных сетей, а только о доступе к сообщениям в отдельных случаях, но эти случаи описаны не очень точно. Предельно ясно, что утекший в сеть черновой вариант предложения пока что не имеет никакой юридической силы. Несмотря на это, в нем в первую очередь излагается политическая позиция стран-членов Европейского Союза.

Вообще, запросы на появление различных лазеек для правоохранительных органов нередки. Spiegel пишет, что в начале октября этого года министры внутренних дел пяти стран – Великобритании, США, Австралии, Новой Зеландии и Канады уже обращались к крупнейшим интернет-компаниям с просьбами предоставить доступ к перепискам пользователей.

Неудивительно, что ряд экспертов и простых пользователей социальных сетей высказали свое недовольство в отношение предлагаемых изменениях. По словам представителя федерального министерства внутренних дел Германии, «в текущем проекте нет предлагаемых решений или требований по ослаблению систем шифрования». Проект скорее предназначен для того, чтобы стать первым шагом к повышению уровня доверия, более широкому обсуждению этой проблемы и тесному сотрудничеству между политиками, бизнесом и наукой. В некотором плане это вопрос достижения баланса между защитой секретов компании и личных данных и потребностями органов безопасности.

Запретят ли шифрование формата E2EE, и знает ли Евросоюз, что он делает?

Казалось бы, вроде все предельно понятно: пообещать неприкосновенность переписок, а потом разрешить силовикам читать их и запретить “несогласные” мессенджеры на территории Европейского Союза. Но что же говорят независимые эксперты? Европейский исследователь Лукаш Олейник, занимающийся кибербезопасностью, считает, что предлагаемый проект начинается с утверждения полной поддержки ЕС «разработки, внедрения и использования надежного шифрования» — что было бы очень странно, если бы речь шла о полном запрете E2EE.

Кроме того, в проекте обсуждаются «проблемы» общественной безопасности, которые могут исходить от преступников, имеющих легкий доступ к тем же технологиям, которые используются обеспечения безопасности инфраструктуры операторов. Предполагается, что преступники не могут использовать формат шифрования E2EE, чтобы получить доступ к данным пользователей. Даже при наличии дыр в системе это должно быть чрезвычайно сложным или практически невозможным. Интересно то, что в резолюции содержится призыв к обсуждению того, как обеспечить сохранение полномочий компетентных органов безопасности и уголовного правосудия — при обеспечении полного уважения надлежащей правовой процедуры и прав и свобод ЕС (в частности, право на уважение частной жизни и коммуникации, а также право на защиту личных данных).

Получается, что гипотетический закон ждет широкое публичное обсуждение и множество дискуссий среди политиков, активистов, правозащитных активистов и экспертов из области информационной безопасности.

А в каком защищенном мессенджере общаться сейчас?

Думаю, большая часть из читателей уже давно перешла из крупных социальных сетей в Telegram, оставив ВКонтакте для переписок с бывшими одноклассниками или просмотра мемов, а WhatsApp используется для общения с родственниками и получения открыток на праздники, о которых вы даже не знали. Но помимо привычной нам “Телеги” есть еще несколько неплохих, а, главное, безопасных мессенджеров, которыми можно и нужно пользоваться.

Для начала повторим основные требования к “безопасному” мессенджеру:

• Анонимность. Возможность зарегистрировать анонимный аккаунт и использовать его без ограничений
• End-to-end шифрование (E2ЕE). Технология шифрования, при которой ключи шифрования хранятся только на устройстве пользователя и не отправляются на сервер
• Наличие основного надежного протокола шифрования

Threema

Платный и нашумевший несколько лет назад мессенджер, который вопреки требованию Роскомнадзора отказался предоставлять ключи шифрования. После появления “закона Яровой” многие российские бизнесмены, силовики и чиновники были вынуждены искать безопасный и надежный способ общения, а платная швейцарская Threema позволяла обсуждать деликатные вопросы с полной уверенностью в приватности. Подробней об этом писала питерская “Фонтанка”.

Активисты из “Роскомсвободы” обращались в техническую поддержку Threema, на что ими был получен более чем исчерпывающий ответ, показывающий отношение к личным данным своих пользователей:

Threema находится в юрисдикции Швейцарии, где российское законодательство не может применяться, поскольку у нас нет серверов или дочерних компаний в России.

Российским властям необходимо обратиться за правовой помощью в соответствии с Федеральным законом «О международной взаимной помощи по уголовным делам» (Federal Act on International Mutual Assistance in Criminal Matters) в швейцарском суде.

Нам не разрешается и мы сами не желаем предоставлять какую бы то ни было информацию о наших пользователях напрямую иностранным властям.

Сам мессенджер на сегодняшний день стоит $2,99, в нем есть мультиплатформенность, и он полностью соответствует многим требованиям к безопасности мессенджеров. Из интересного: “рейтинг доверия” и возможность установки PIN-кода на отдельный чат. Иногда это может быть очень полезно.

Signal

Бесплатный мессенджер, которому доверяет даже Эдвард Сноуден. По его мнению, “сигнал” является одним из наиболее защищенных на сегодняшний день. Мессенджер использует алгоритм AES с длиной ключа 128 бит и криптографический протокол ZRTP. Большинству людей это ничего не скажет, но лучше просто знать: в теории и на практике такую защиту обойти практически нереально даже при наличии профессионального оборудования и группы хорошо подготовленных хакеров.

Начинкой он тоже не обделен: групповые E2EE чаты, защищенные аудио и видеозвонки, исчезающие после прочтения сообщения, установленный изначально запрет на создание скриншотов в приложении (впрочем, это ограничение можно убрать в настройках).

Из небольших минусов, которые таки покрываются хорошей защитой, можно выделить регистрацию исключительно по номеру телефона и запрашиваемый список контактов. Хороший мессенджер для массового использования, который особенно распространен в Европе и США.

Wickr

Пожалуй, один из самых популярных безопасных корпоративных мессенджеров Wickr в Европе. Возник он примерно в одно и тоже время с Signal и позиционировал себя как самое защищенное приложение для переписок в мире. Но, в отличие от Signal, проверить это независимыми экспертами крайне сложно, поскольку код приложения закрыт и недоступен для тестеров.

Телефонный номер при регистрации здесь указывать не нужно, вы сами придумываете себе уникальный идентификатор и пароль, а ваши чаты будут защищены тремя стандартами шифрования: AES 256, ECDH 521, RSA 4096 TLD.

Интерфейс в приложении не самый простой из-за наличия нескольких платных версий (wickr me — бесплатная версия), но в целом освоить его можно без особых проблем для среднестатистического пользователя.

Briar

Настоящая мечта параноика, где с технической точки зрения все прекрасно: здесь нет единого сервера, так как каждый пользователь является им (P2P). Поскольку Briar работает еще и в сети Tor, то к стандартному E2EE шифрованию тут добавляется протокол Tor и шифрование на самом устройстве, просто невероятно!

Если каждый пользователь — отдельный сервер, то никакие “утечки” или DDOS атаки не могут помешать вести переписку с контактом, которого вы должны добавить сами через специальный QR-код и исключительно при личной встрече. Кстати, в групповых чатах сообщения видят тоже только те пользователи, которые обменялись этими кодами вживую.

Естественно, думать о использовании телефона при регистрации и запрашиваемом списке контактов здесь было бы глупо и, как ни странно, этого тут нет.

Парадоксально, но факт: при всем разнообразии мессенджеров выбирать их обычно не приходится — люди просто пользуются тем же, чем их друзья и знакомые. Но что, если секретность действительно важна? В этой статье мы пройдемся по списку современных мессенджеров и посмотрим, какие гарантии защиты есть у каждого из них.

Недавно на «Хакере» был опрос «Какой мессенджер ты считаешь самым надежным для хакера?», и самый популярный ответ (Telegram) серьезно настораживал. Насколько все далеко зашло, если даже средний читатель «Хакера» уже потерял связь с реальностью после атаки маркетинг-хедкраба (на картинке)?

Мы составили список мессенджеров, чтобы посмотреть, как у каждого из них обстоят дела с безопасностью. В подборку пошли как популярные, так и перспективные в плане безопасности программы. Предупреждаем, что углубляться в техническую сторону мы будем настолько, насколько это необходимо для среднего пользователя, не дальше.

Во многом мы повторили путь авторов серии статей Electronic Frontier Foundation под названием Secure Messaging Scorecard, но выбрали другие критерии — на наш взгляд, более важные.

Критерии

FOSS

Распространяется ли исходный код мессенджера на условиях одной из свободных лицензий? Если да, то ведется ли разработка открытым методом? Насколько тесно разработчики взаимодействуют с сообществом? Принимают ли pull request’ы? Все это важно учитывать при выборе.

Степень централизации

Здесь возможен один из трех вариантов:

• централизованный — требует сервера, возможно заблокировать. Пример: VK, Telegram, Facebook;
• федеративный — сеть из серверов, которые общаются друг с другом. Каноничные примеры: электронная почта, Jabber (XMPP), Riot Matrix;
• децентрализованный (имеется в виду P2P) — каждый клиент является одновременно и сервером.

Возможность анонимной регистрации и использования

Для некоторых сервисов телефон может понадобиться только для защиты от спама при регистрации, соответственно, очень просто использовать сервисы аренды номеров для SMS.

В остальных случаях мессенджер плотно привязан к телефону. Это плохо тем, что если не включена двухфакторная аутентификация, то при получении доступа к этому номеру можно зайти в аккаунт и слить все данные. Но даже если двухфакторка включена, все равно остается возможность удалить все данные с аккаунта. Ну и конечно, это, считай, регистрация по паспорту (используем реалии РФ, других не завезли).

Но не все так плохо. Есть мессенджеры, которые позволяют регистрироваться с использованием почтового ящика или учетной записи в социальной сети. Есть и такие, где учетную запись можно создать в самом мессенджере без привязки к чему-то.

Наличие End-to-End Encryption (E2EE)

Некоторые мессенджеры имеют такую функцию по умолчанию, в других ее можно включить, но есть и те, где сквозного шифрования просто нет.

Синхронизация E2EE-чатов

Опять же эта функция пока что встречается не так часто, как хотелось бы. Ее наличие сильно упрощает жизнь.

Уведомление о необходимости проверки отпечатков E2EE

При старте E2EE-чатов некоторые мессенджеры предлагают проверить отпечатки собеседников, другие не предлагают это открыто. Но не все мессенджеры имеют функцию проверки отпечатков.

Запрет делать скриншот секретного чата

Не самая полезная функция, потому что для обхода запрета достаточно, например, иметь под рукой второй телефон.

Групповые E2EE-чаты

Групповые E2EE-чаты обычно не такая уж необходимая функция, но весьма удобная. Правило «больше двух — говори вслух» стоит оставить для детей.

Уведомление о необходимости проверки отпечатков E2EE в групповых чатах

При добавлении нового собеседника, с которым не сверены отпечатки, в секретный групповой чат не все мессенджеры предлагают проверить его отпечатки. Из-за такого упущения теряется смысл секретных чатов.

Защита социального графа

Некоторые мессенджеры собирают информацию о контактах пользователя и другие данные, например кому звонил пользователь, как долго разговаривал. На эту тему есть интересная заметка.

WWW

Мы выбрали лишь часть критериев, которые могут сыграть роль при выборе мессенджера. Существуют и другие, но не всегда они связаны с безопасностью. Группа ученых из европейских университетов неплохо разложила все по полочкам в работе Obstacles to the Adoption of Secure Communication Tools (PDF). Также всегда полезно знакомиться с результатами независимого аудита, если они есть. Например, в случае с Signal такой аудит проводился (PDF).

Telegram

Лицензия: формально — GPLv3. Однако важная часть разработки закрыта. Если взглянуть на репозитории, то видно, что в последнее время какое-то движение наблюдалось только в вебовой версии. Увы, в таком виде это скорее иллюзия открытостиСтепень централизации: централизованныйВозможность анонимной регистрации и работы: нетНаличие E2EE: реализованы, но как дополнение. По умолчанию чаты не шифруютсяСинхронизация E2EE-чатов: нет. Секретный чат можно использовать только с одного устройства, с другого доступа к нему уже не будетУведомление о проверке отпечатков E2EE: нет. Пользователи могут сами зайти в настройки, чтобы сравнить отпечаткиЗапрет на скриншоты секретных чатов: есть, но работает не на всех устройствахГрупповые чаты E2EE: нетЗащита социального графа: нет

Мессенджер, созданный командой Павла Дурова, построен на технологии шифрования переписки MTProto. На данный момент частично заблокирован на территории России, но эта блокировка — отдельная тема для разговора.

Мессенджер неоднозначный. Вокруг него много шума, но оправдан ли он? Доступа к исходникам нет, чаты по умолчанию не шифруются, нет защиты социального графа (все твои контакты хранятся на серверах Telegram), нет групповых E2EE-чатов, E2EE-чаты не поддерживаются в настольной версии программы, только в мобильной, мессенджер централизованный, сообщения хранятся на сервере (и они, как уже было отмечено, не зашифрованы), и при всем этом отсутствует возможность анонимной регистрации.

Если ты хочешь использовать Telegram, то для защиты переписки не забывай создавать секретные чаты. В мобильной версии для этого нужно выбрать команду New Secret Chat. Из настольных версий секретные чаты поддерживают только некоторые (например, один из двух клиентов для macOS).

В секретном чате сообщения шифруются и не хранятся на серверах мессенджера. Также нельзя сделать скриншот секретного чата, но ничто не мешает сфотографировать такой чат с экрана.

Signal

Лицензия: AGPLv3Степень централизации: централизованныйВозможность анонимной регистрации и работы: нет. Кроме номера телефона, других вариантов нетНаличие E2EE: естьСинхронизация E2EE-чатов: естьУведомление о проверке отпечатков E2EE: нет. Пользователям предлагается сосканировать QR-коды друг у друга или сравнить отпечаткиЗапрет на скриншоты секретных чатов: можно включить или выключитьГрупповые чаты E2EE: естьУведомление о необходимости проверки отпечатков E2EE в групповых чатах: нетЗащита социального графа: есть

Мессенджер Signal разработан американским стартапом Open Whisper Systems, где, кроме двоих основателей, работает всего несколько человек. Для шифрования сообщений используется созданный специально для него криптографический протокол — Signal Protocol. Он применяется для сквозного (end-to-end) шифрования звонков (голосовых и видео), а также обычных сообщений. Протокол Signal с тех пор стали использовать и другие мессенджеры: WhatsApp, Facebook Messenger, Google Allo.

Казалось бы, в этом случае любой мессенджер может стать таким же безопасным, как и Signal. Но, как показывает практика, — нет. В отличие от Signal, где шифрование включено по умолчанию, в этих мессенджерах оно выключено. Для его включения в Facebook Messenger нужно активировать Secret Conversations, а в Google Allo — режим инкогнито (Incognito Mode).

Хоть Signal и централизованный, но код открыт и распространяется по свободной лицензии. У Signal есть поддержка групповых E2EE-чатов, защита социального графа, поддерживаются исчезающие по таймеру сообщения.

Однако не стоит путать защиту с анонимностью. Signal не анонимен: при регистрации нужно указывать номер телефона, к которому мессенджер и привязывается. Что касается исчезающих сообщений, то эта фишка встречается и в других мессенджерах, например в Viber и Telegram (в меню секретного чата нужно выбрать команду Set self-destruct timer).

 Загрузка …

Viber

Лицензия: проприетарнаяСтепень централизации: централизованныйВозможность анонимной регистрации и работы: только по номеру телефонаНаличие E2EE: есть, по умолчанию. Также есть секретные и скрытые чаты, которые обеспечивают дополнительную безопасностьСинхронизация E2EE-чатов: нет. Созданный в мобильной версии секретный чат не отобразился в десктопной версииУведомление о проверке отпечатков E2EE: нетЗапрет на скриншоты секретных чатов: естьГрупповые чаты E2EE: естьУведомление о необходимости проверки отпечатков E2EE в групповых чатах: нетЗащита социального графа: нет

Viber — интересный мессенджер. С одной стороны, он проприетарный, централизованный, привязывается только к номеру телефона, не обеспечивает защиту социального графа. С другой стороны, сквозное шифрование основано на протоколе Signal и включено по умолчанию, даже в настольной версии. Для дополнительной безопасности существуют секретные чаты с возможностью общаться группой.

Секретные чаты позволяют настроить таймер самоуничтожения для каждого сообщения: оно будет удалено через установленное время после просмотра — как с твоего устройства, так и со всех устройств получателей. Сообщения секретного чата защищены от пересылки, а скриншоты или запрещены, или оставляют уведомление на экране чата.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.

Я уже участник «Xakep.ru»← Ранее Уязвимости в стандарте LTE позволяют осуществлять DNS-спуфинг и другие атакиДалее → The Pirate Bay снова майнит криптовалюту за счет пользователей

Используемые источники:

• https://itc.ua/articles/obzor-zashhishhennogo-messendzhera-threema/
• https://free-messenger.ru/otzyvy-o-programme-threeme/
• https://medium.com/@emisare/top-4-messendjera-paranoika-2ea512775833
• https://www.ferra.ru/review/apps/top-encryption-messengers.htm
• https://xakep.ru/2018/07/03/messengers/