Сообщения защищены шифрованием. Сквозное шифрование WhatsApp

WhatsApp недавно обновил свой протокол шифрования, чтобы успокоить даже самых параноидальных пользователей. Так называемый сквозной протокол шифрования обещает, что «только вы и человек, с которым вы общаетесь, можете читать то, что отправлено». Никто, даже WhatsApp, не имеет доступа к вашему контенту.

Протокол безопасности описывается в блоге:

Когда вы отправляете сообщение, единственным человеком, который может его прочитать, является личный или групповой чат, на который вы отправляете это сообщение. Этого сообщения не видит никто. Не киберпреступники. Не хакеры. Не репрессивные органы. Даже мы. Сквозное шифрование помогает сделать связь через WhatsApp private - вроде как беседы лицом к лицу.

Новая функция также доступна на самых разных мобильных платформах, включая iPhone, Android, Windows и многих других. Вы даже можете использовать сквозную функцию шифрования на WhatsApp Web, платформа обмена сообщениями, предназначенная для ПК или Mac.

Кроме того, WhatsApp сообщает в разделе часто задаваемых вопросов, что функция включена всегда:

Важно: сквозное шифрование активируется, если все стороны используют последнюю версию WhatsApp. Сквозное шифрование отключить невозможно.

Обновление до сквозного шифрования

Однако вам нужно будет убедиться, что шифрование включено. Для этого: обновите WhatsApp до последней версии и попросите человека или группу, с которой вы общаетесь, сделать то же самое. Нет необходимости в дополнительном приложении или функции.

Чтобы убедиться, что функция обновлена, запустите чат и нажмите на имя своего друга или членов семьи вверху. Затем вы попадете на страницу своей контактной информации, которая отобразит, будут ли ваши сообщения зашифрованы, как вы можете видеть в выделенной части на рисунке ниже.

Если чат не зашифрован, нажмите на шифрование, чтобы просмотреть QR-код и уникальный 60-значный номер. WhatsApp говорит, что уникальный «ключ» делится только между получателями сообщений, причем каждый ключ уникален для каждого чата.

Затем вы можете делиться цифрами или кодом с друзьями или семьей. Если ваш друг или члены семьи находятся поблизости, вам повезло. Вы можете сканировать код друг друга, чтобы убедиться, что ваши чаты активированы. Если они далеко, отправьте им 60-значный код с помощью SMS, электронной почты и т. д. Через кнопку совместного доступа на вашем iPhone, Android или телефоне Windows.

Вот и все, ваши чаты теперь зашифрованы.

WhatsApp все еще сохраняет ваши данные

Будьте осторожны. Согласно WhatsApp legal, информация о дате и времени хранится на серверах WhatsApp в течение короткого периода времени:

WhatsApp может сохранять информацию о дате и времени, связанные с успешно доставленными сообщениями и номерами мобильных телефонов, участвующих в сообщениях, а также любую другую информацию, которую WhatsApp юридически вынуждена собирать. Файлы, которые отправляются через службу WhatsApp, будут находиться на наших серверах после доставки в течение короткого периода времени, но будут удалены и лишены любой идентифицируемой информации в течение короткого периода времени в соответствии с нашими общедоступными политиками хранения.

Это означает, что ваши метаданные или информация о ваших данных потенциально уязвимы для хакеров - это одна из проблем, которая заставляет пользователей беспокоиться.

Что это значит? Это означает, что информация - например, когда было сделано изображение, когда оно было принято, и т. д. - может храниться на серверах WhatsApp в течение короткого периода времени. И хотя само изображение, скорее всего, не присутствует, информация об изображении, документе, видео и т. д. остается.

Кроме того, ваши метаданные также могут быть доступны маркетинговым группам, что соответствует другому недавнему обновлению, которое позволяет чат-приложению «общаться с бизнесом и организациями». Этот бит информации был сделан, когда приложение было объявлено бесплатным для всех пользователей мира.

WhatsApp анонсировала с обновлением, что сторонних объявлений или спама не будет, но неопределенная фраза «общение с предприятиями и организациями» по-прежнему оставляет открытые ворота интерпретации.

В частности, изменения были сделаны. И большинство пользователей, похоже, очень довольны обновлением, которое обещает защитить вашу информацию.

Есть ли причины для беспокойства?

Ранее голландский разработчик обнаружил, что информация о временной шкале приложения была доступна с помощью программного обеспечения под названием WhatSpy Public, что, по-видимому, может «показать хронологию онлайн-статуса отслеживаемого пользователя».

Дизайнер программного обеспечения Майкель Зверинк вызвал много беспокойства, доказав, что он может «шпионить» за пользователями с его приложением.

Пока еще не видно, может ли приложение отслеживать пользователей с последним сквозным обновлением шифрования. Но пользователи должны быть предупреждены: шифрование не является полностью надежной.

Что вы об этом думаете? Вы используете WhatsApp? Вас беспокоит безопасность данных во время использования приложения? Вы регулярно обновляете приложение? Сообщите нам об этом в комментариях ниже.

Сквозное шифрование, или end-to-end encryption (E2EE), считается панацеей от настойчивых попыток хакеров и силовых ведомств ознакомиться с онлайновой перепиской. Смысл E2EE часто сводится к тому, что ключи хранятся только на устройствах собеседников и не попадают на сервер… но это не совсем так. Давай посмотрим, как в действительности обстоят дела с E2EE, на примере популярных мессенджеров.

Шифрование в мессенджерах

Написать эту статью меня подтолкнуло исследование Obstacles to the Adoption of Secure Communication Tools (PDF). Как выяснили его авторы, «подавляющее большинство участников опроса не понимают основную концепцию сквозного шифрования». Проще говоря, люди обычно выбирают мессенджер сердцем, а не мозгом.

Начнем с того, что E2EE имеет свои особенности в каждом мессенджере. В Signal оно почти образцовое. В WhatsApp формально такое же, как в Signal, за исключением одного очень важного момента: смена основного ключа абонента WhatsApp не блокирует отправку ему сообщений. Максимум можно включить бесполезное уведомление (которое отключено в дефолтных настройках). В Viber сквозное шифрование неактивно по умолчанию, да и появилось только в шестой версии. В Telegram E2EE также используется только в секретных чатах, причем реализованы они довольно странно.

Конфликт Роскомнадзора с Telegram вообще создал отличную рекламу последнему. Рядовые пользователи теперь считают творение Дурова настоящей занозой в спине спецслужб (или чуть пониже ее), которые ничего не могут сделать с пуленепробиваемым инновационным сервисом. Поклонники Telegram сравнивают его с Signal и утверждают о превосходстве первого.

Однако в криптографии не бывает чудес, и особенно - в прикладной. Многие математически красивые идеи оказываются безнадежно испорчены реализацией, когда удобство и подконтрольность ставят выше безопасности и приватности (а так происходит практически всегда).

Исходно в мессенджерах применялся протокол OTR (Off-the-Record). Он использует симметричное шифрование AES в режиме CTR, протокол обмена ключами DH и хеш-функцию SHA-1. Схема AES-CTR обеспечивает так называемое «спорное» (в хорошем смысле) шифрование и возможность отрицания авторства текста, если его перехватят. Всегда можно сослаться на то, что перехвативший трафик сам изменил шифротекст так, чтобы он соответствовал другому варианту расшифровки той же длины. Например, вместо «сходи за хлебом» получилось «отрави королеву» - технически это возможно, и такое свойство специально заложено в алгоритм.

Протокол OTR выполняет аутентификацию собеседников и шифрует переписку между ними. Он безопасен до тех пор, пока участники разговора регулярно проверяют отпечатки открытых ключей друг друга и противостоят атакам по другим векторам (включая социальный инжиниринг).

Главный недостаток OTR заключается в том, что после отправки нового ключа требуется дождаться подтверждения от собеседника. Если он офлайн, то связь будет временно невозможна. Одним из выходов стал алгоритм Double Ratchet (DR), разработанный пять лет назад Тревором Перрином и Мокси Марлинспайком в Open Whisper Systems. Сегодня DR используется в Signal, WhatsApp, Viber и многих других мессенджерах, поддерживающих сквозное шифрование по умолчанию или как отдельную опцию (секретные чаты).

Сквозное шифрование

Схема E2EE использует комбинацию из криптографических систем с открытым и закрытым ключом. Она очевидна в общих чертах и довольно сложна на уровне деталей. В ней используется масса взаимосвязанных ключей, часть из которых обязательно попадает на сервер и, более того, обязательно загружается на него до начала переписки, чтобы ее можно было начать в произвольный момент. Давай рассмотрим ее подробнее.

Начало схемы ты наверняка знаешь, поскольку оно стандартно для всех систем асимметричного шифрования, - генерируется пара ключей. Это необходимо потому, что криптосистемы с одним ключом (вроде AES) использовать в переписке в чистом виде слишком трудно. С ними пришлось бы как-то организовывать защищенный канал для передачи ключа (например, встречаться лично), а потом делать это снова при каждой его смене.

Тут же все как в привычном PGP: есть два собеседника (Алиса и Боб), каждый из которых генерирует свою пару ключей. Затем они обмениваются публичными ключами, сохраняя в тайне парные им секретные. Публичные ключи передаются по открытому каналу (на то они и публичные, пусть перехватывают на здоровье) и служат для двух целей: они позволяют зашифровать сообщение и проверить его подпись. Соответственно, секретные ключи используются для расшифровки и формирования подписи.

INFO

Термин «сообщение» используется здесь в широком смысле. Сообщением может быть текст, медиафайл или служебные метаданные, которыми мессенджер обменивается с сервером. Часть этих данных содержит временные метки, состояние клиентского приложения и новые ключи.

К сожалению, в чистом виде схема асимметричного шифрования также не годится для мессенджеров, поскольку эти сервисы ориентированы на интенсивную онлайновую переписку в виде цепочки коротких сообщений. Они должны отображаться в строго определенном порядке, а собеседник может в любое время оказаться офлайн и нарушить структуру диалога.

К тому же шифровать множество коротких сообщений одним ключом - плохая идея. Всего за день переписки их создаются сотни (если не тысячи). Во многих сообщениях количество шифротекста минимальное и предсказуемое (смайлик, стикер). Также у них есть стандартные заголовки, которые упрощают криптоанализ.

Особенность переписки в мессенджерах в том, что из-за типовых метаданных за короткое время атакующий может перехватить большой объем предсказуемого шифротекста. Его львиная доля будет соответствовать известному открытому тексту. Если она будет шифроваться одним ключом, то при успешной атаке окажутся скомпрометированными все ранее написанные сообщения и даже те, которые собеседники напишут в будущем.

Чтобы этого не происходило, в мессенджерах предусмотрены такие свойства, как прямая и обратная секретность. Они подразумевают невозможность прочитать отправленные ранее и написанные в будущем сообщения, имея на руках только текущий ключ шифрования. Для этого используется многослойное шифрование с переходом от асимметричной к симметричной криптографии и дополнительные ключи с разным временем жизни.

Всем людям свойственны переживания о своей безопасности и конфиденциальности, поэтому приложение WhatsApp использует . Использование этой технологии гарантирует безопасность ваших личных данных и делает невозможным попадание в чужие руки сообщений, медиа-файлов, документов и звонков.

О технологии сквозного шифрования в Вацапе

Для использования технологии сквозного шифрования вы и ваши собеседники должны использовать последние версии приложения WhatsApp.

Технология сквозного шифрования в WhatsApp дает гарантию, что доступ к содержимому ваших диалогов сможете получить только вы и человек, с которым вы общаетесь. Никто другой, даже компания WhatsApp, не сможет получить доступ к этим данным, так как ваши сообщения защищает уникальный замок. Ключ к этому замку предоставляется только вам и получателю сообщений и только он может разблокировать и прочитать данные. Для большей безопасности каждое отдельное сообщение отправляемое вами так же имеет уникальный замок шифрования и ключ к нему. И самое главное, что это все происходит в автоматическому режиме - для использования сквозного шифрования нет необходимости разбираться в настройках приложения или же использовать отдельные секретные чаты. Защита ваших личных данных обеспечивается постоянно.

Важно! Технология сквозного шифрования активна постоянно, если каждая из сторон использует последнюю версию приложения. Отключение сквозного шифрования в WhatsApp невозможно. Использование шифрования .

Подтвердить код безопасности Вацапа?

Каждый чат в Вацапе имеет свой код безопасности, данный код используется для подтверждения шифрования отправленной вами информации: звонков, сообщений и файлов, которые вы отправляете в чат.

Важно! Данный процесс проверки не обязателен. Он используется для подтверждения шифрования отправляемых вами сообщений.

Код безопасности находится в разделе “Инфо о контакте” - это QR-код или цифровой 60-ти значный номер. Этот код является уникальным для каждого отдельного чата. Чтобы убедиться, что ваша переписка зашифрована участники диалога могут сравнить коды безопасности. Данный код безопасности является открытой версией специального ключа безопасности между собеседниками. Можете не переживать, код это не полная версия ключа, так как он всегда скрыт и держится в тайне.

Как подтвердить шифрование чата в Вацапе

Для подтверждения шифрования вашего чата в WhatsApp нужно произвести несложные действия:

Открыть чат;

Открыть экран “Инфо о контакте”, для этого нужно нажать на имя контакта;

Включить шифрование нажатием на Шифровании для просмотра QR-кода и 60-ти значного номера.

В случае, если вы с собеседником находитесь рядом друг с другом, вы можете просканировать его QR код или сравнить визуально 60-ти значный цифровой номер. Подтверждением работы шифрования ваших сообщений и звонков послужит зеленая галочка при сканировании QR-кода и полное совпадение цифрового номера.

Если был просканирован код другого контакта или номера телефона, то код не будет совпадать. Также несовпадение возможно, если вы или ваш собеседник недавно переустанавливал приложение WhatsApp или произвел замену своего мобильного устройства. В таком случае потребуется обновление кода, для этого отправьте новое сообщение и просканируйте код еще раз.

Если видите, что отправленные сообщения в Вацапе не зашифрованы

Если при нажатии на “Шифрование” в разделе “Инфо о контакте/группе” появляется предупреждение о том, что ваши сообщения не зашифрованы, проблема скорее всего кроется в старой версии приложения у одной из сторон. Пожалуйста, убедитесь, что вы и ваш собеседник используете последнюю версию, если это не так, то обновите WhatsApp и повторите процедуру. Если все сделано верно, в чате должно появится уведомление о том, что ваши сообщения зашифрованы.

Шифрование сообщений в Whatsapp - что это и зачем это стало нужно? Такой вопрос задают многие пользователи этого приложения, уже ставшего популярным. Об этом и о многом другом пойдет речь далее.

Зачем нужно шифрование?

Зачем владелец Ватсап включил шифрование? Доподлинно не известно, что за конфликт произошел между силовыми структурами стран, их объединений и руководством компании, но теперь Whatsapp шифрует полностью все данные, которые посылаются пользователями. Получается, что только отправителю и получателю сообщений видно их содержание. Сюда относятся:

• Текстовое сообщение, в том числе смайлики.
• Картинка.
• Видео.
• Фотография.
• Скомпилированные (смешанные) файлы.
• Звонок (аудиосообщение).

По сути, включить шифрование нужно было, чтобы противостоять киберпреступникам и иным пользователям, физическим и юридическим лицам, могущим иметь доступ к подобного рода данным. Даже для самой компании переписки индивидуальных пользователей теперь полностью закрыты для просмотра. Хотите вы этого или нет, общаясь в этой Сети с помощью групповых чатов, вы будете обмениваться данными с защитой их содержимого, которое нельзя убрать.

Ян Кум, один из владельцев Вацап, считает, что данные, посылаемые пользователями друг другу, не могут быть использованы другими лицами либо просматриваться ними. Именно поэтому нужно шифрование в Whatsapp. Оно называется «end-to-end encryption» и производится по умолчанию. Расшифровка также производится автоматически устройством получателя сообщения.

Что такое сквозное шифрование?

Если вы используете для переговоров в Вацапе последнюю версию программы Whatsapp IOS, все сообщения, посылаемые собеседнику, в обязательном порядке шифрует специальное программное обеспечение. Это и называется “сквозное шифрование”. Факт его наличия дает стопроцентные гарантии конфиденциальности любому пользователю. Так как данный вид защиты информации активирован все время, отключить его невозможно, да и не нужно.

При каждой отправке любого по объему и содержанию сообщения оно кодируется отдельно (это значит, что вы защищены), поэтому имеет собственный ключ. Он есть только у того, кто отсылал сообщение, а также у предполагаемого получателя этой информации.

Вы сможете проверить кодировку одним из следующих способов:

Особенно просто сделать второй вариант проверки, если вы с вашим собеседником можете встретиться в реальной жизни, то есть территориально находитесь близко. В таком случае один из вас может отсканировать QR-код с устройства товарища (неважно, Android это или другое устройство), с которого он пользуется Ватсапом, либо визуально сравнить все шестьдесят цифр.

Обратите внимание на то, что даже 60 цифр QR-кода – это не вся “шифровка”, а только ее часть. Скрытие от всех части кода – это дополнительная мера, которая обеспечит безопасность общения и обмена информацией.

Если же код не совпал, это значит, что вы по ошибке просканировали код другого чата или другого пользователя. Также это может свидетельствовать об устаревшей версии программы. О том же самом говорит сообщение об отсутствии шифрования, выскакивающее при попытке узнать этот код.

Описанный выше процесс называется “Подтвердить код безопасности”, но обязательной процедурой это не является.

Вы можете также проверить любой из чатов на соответствие этим новым стандартам безопасности. Для этого требуется зайти в нужный контакт в программе, нажать “Посмотреть контакт”, выбрать “Шифрование”. После удачного прохождения проверки можно отправлять голосовые сообщения, текстовые сообщения, содержащие смайлики и любую другую информацию. Теперь можно не беспокоиться. Любые вторжения извне при общении вам не страшны!

Как работает шифрование?

Этот вид защиты посылаемых данных работает следующим образом:

1. Пользователь А (точнее, его устройство) запрашивает у сервера компании, обладающей программой-мессенджером, открытый ключ.
2. Происходит отправка сообщения от А к В, предварительно закодированного этим ключом.
3. Устройство пользователя В выполняет после получения расшифровку сообщения.

Итак, в современном мире, наполненном информацией, как полезной, так и вредной или неверной, необходимо защищать данные от несанкционированных воздействий и кражи. При использовании Вацапа такое кодирование-защита может осуществляться автоматически.

Четыре совета, которым необходимо следовать всем, кто опасается утечки личных данных.

Но прежде чем вы начали распространять через WhatsApp свои планы по свержению мирового капитализма, учтите, что перехват сообщений по время их передачи – всего лишь один из способов следить за вами, причем довольно маловероятный. От шифровки самой по себе не много толку, если вы также не следуете приведенным ниже правилам.

Вы не сохраняете сообщения в телефоне

Если вы действительно хотите, чтобы ваши сообщения никто кроме вас не прочитал, удаляйте их сразу после прочтения. Если кто-то завладеет вашим телефоном (украдет, например) и сможет разблокировать его – что совсем недавно удалось ФБР с iPhone стрелка из Сан-Бернардино – он получит доступ ко всему, что хранится в памяти. Некоторые мессенджеры, например , имеют функцию «самоуничтожения», при активации которой сообщения автоматически удаляются через заданный промежуток времени. В WhatsApp такой функции пока нет. (С другой стороны, в Telegram оконечное шифрование не работает по умолчанию, нужно его включать специально.)

Вы не сохраняете сообщения в облако

WhatsApp не сохраняет вашу переписку на своих серверах. Но, к примеру, на можно сохранять резервную копию сообщений на iCloud, облачном сервисе . Как только информация попадает на облако, ее может перехватить правительство.

Джастин Кошон (@Cauchon)

Signal – это приложение, популярное среди сторонников неприкосновенности личной переписки. В нем используется та же технология шифрования, что и в WhatsApp, а резервного копирования в облако не происходит.

Way to go WhatsApp, but I"m not ready to give up Signal. I fear that many of my WhatsApp friends have enabled unencrypted cloud backups.

Christopher Soghoian (@csoghoian) 5 апреля 2016 г.

Отличная работа, WhatsApp, но я пока не готов отказаться от Signal. Подозреваю, что у многих моих друзей в WhatsApp включена копирование в облако.

Кристофер Согойан (@csoghoian)