Четыре совета, которым необходимо следовать всем, кто опасается утечки личных данных.

Но прежде чем вы начали распространять через WhatsApp свои планы по свержению мирового капитализма, учтите, что перехват сообщений по время их передачи – всего лишь один из способов следить за вами, причем довольно маловероятный. От шифровки самой по себе не много толку, если вы также не следуете приведенным ниже правилам.

Вы не сохраняете сообщения в телефоне

Если вы действительно хотите, чтобы ваши сообщения никто кроме вас не прочитал, удаляйте их сразу после прочтения. Если кто-то завладеет вашим телефоном (украдет, например) и сможет разблокировать его – что совсем недавно удалось ФБР с iPhone стрелка из Сан-Бернардино – он получит доступ ко всему, что хранится в памяти. Некоторые мессенджеры, например , имеют функцию «самоуничтожения», при активации которой сообщения автоматически удаляются через заданный промежуток времени. В WhatsApp такой функции пока нет. (С другой стороны, в Telegram оконечное шифрование не работает по умолчанию, нужно его включать специально.)

Вы не сохраняете сообщения в облако

WhatsApp не сохраняет вашу переписку на своих серверах. Но, к примеру, на можно сохранять резервную копию сообщений на iCloud, облачном сервисе . Как только информация попадает на облако, ее может перехватить правительство.

Джастин Кошон (@Cauchon)

Signal – это приложение, популярное среди сторонников неприкосновенности личной переписки. В нем используется та же технология шифрования, что и в WhatsApp, а резервного копирования в облако не происходит.

Way to go WhatsApp, but I"m not ready to give up Signal. I fear that many of my WhatsApp friends have enabled unencrypted cloud backups.

Christopher Soghoian (@csoghoian) 5 апреля 2016 г.

Отличная работа, WhatsApp, но я пока не готов отказаться от Signal. Подозреваю, что у многих моих друзей в WhatsApp включена копирование в облако.

Кристофер Согойан (@csoghoian)

Пользователей популярного мессенджера часто интересует вопрос «сквозное шифрование ». Действительно ли оно обеспечивает секретность разговоров? Для ответа понадобится рассмотреть современные механизмы зашифровывания информации, существующие угрозы и то, как с ними справляется Ватсап. В качестве предварительного резюме скажем, что этот мессенджер является одним из наиболее защищенных наряду с Telegram и Viber.

Достоинства сквозного шифрования

На протяжении существования письменности люди искали способы скрывать содержание переписки. С распространением электронной коммуникации понадобились быстрые и надежные методы шифровки, результаты которых невозможно за разумное время взломать.

Результат применения сквозного шифрования заключается в том, что только конечные пользователи, общающиеся друг с другом, могут получить доступ к переданной для них информации, независимо от ее формы: текст, фото, документ, звук или видео.

Для полной безопасности шифрование Ватсап включено всегда и выключить его невозможно. Это означает, что не только вся переписка, но и каждое сообщение зашифровано отдельным ключом, пара к которому находится только у вашего собеседника. Как прочитать постороннему человеку, и возможно ли это, в принципе? Единственный способ сделать это - выкрасть телефон.

Главные угрозы безопасности

Подтверждение шифрования

1. Войдите в чат, нажмите на контакт и откройте окно «Данные о контакте ».
2. Выберите «Шифрование». Появится 60-значный цифровой шифр и QR-код.
3. Если ваш собеседник рядом, сканированием кода он подтвердит идентичность. Если он недоступен, можно скопировать цифровой код и переслать на e-mail или в SMS для сравнения.

После успешного подтверждения появляется гарантия, что разговор зашифрован и происходит действительно с вашим собеседником.

Мы выяснили, как установить сквозное шифрование в Ватсапе, насколько оно безопасно и как избежать возможных угроз вашей приватности. Для большей безопасности удаляйте неактуальную переписку, так как данные на серверах WhatsApp хранятся лишь до их получения конечным абонентом. Поэтому если вы удалите полученные сообщения, они исчезнут в полном смысле слова.

Сквозное шифрование, или end-to-end encryption (E2EE), считается панацеей от настойчивых попыток хакеров и силовых ведомств ознакомиться с онлайновой перепиской. Смысл E2EE часто сводится к тому, что ключи хранятся только на устройствах собеседников и не попадают на сервер… но это не совсем так. Давай посмотрим, как в действительности обстоят дела с E2EE, на примере популярных мессенджеров.

Шифрование в мессенджерах

Написать эту статью меня подтолкнуло исследование Obstacles to the Adoption of Secure Communication Tools (PDF). Как выяснили его авторы, «подавляющее большинство участников опроса не понимают основную концепцию сквозного шифрования». Проще говоря, люди обычно выбирают мессенджер сердцем, а не мозгом.

Начнем с того, что E2EE имеет свои особенности в каждом мессенджере. В Signal оно почти образцовое. В WhatsApp формально такое же, как в Signal, за исключением одного очень важного момента: смена основного ключа абонента WhatsApp не блокирует отправку ему сообщений. Максимум можно включить бесполезное уведомление (которое отключено в дефолтных настройках). В Viber сквозное шифрование неактивно по умолчанию, да и появилось только в шестой версии. В Telegram E2EE также используется только в секретных чатах, причем реализованы они довольно странно.

Конфликт Роскомнадзора с Telegram вообще создал отличную рекламу последнему. Рядовые пользователи теперь считают творение Дурова настоящей занозой в спине спецслужб (или чуть пониже ее), которые ничего не могут сделать с пуленепробиваемым инновационным сервисом. Поклонники Telegram сравнивают его с Signal и утверждают о превосходстве первого.

Однако в криптографии не бывает чудес, и особенно - в прикладной. Многие математически красивые идеи оказываются безнадежно испорчены реализацией, когда удобство и подконтрольность ставят выше безопасности и приватности (а так происходит практически всегда).

Исходно в мессенджерах применялся протокол OTR (Off-the-Record). Он использует симметричное шифрование AES в режиме CTR, протокол обмена ключами DH и хеш-функцию SHA-1. Схема AES-CTR обеспечивает так называемое «спорное» (в хорошем смысле) шифрование и возможность отрицания авторства текста, если его перехватят. Всегда можно сослаться на то, что перехвативший трафик сам изменил шифротекст так, чтобы он соответствовал другому варианту расшифровки той же длины. Например, вместо «сходи за хлебом» получилось «отрави королеву» - технически это возможно, и такое свойство специально заложено в алгоритм.

Протокол OTR выполняет аутентификацию собеседников и шифрует переписку между ними. Он безопасен до тех пор, пока участники разговора регулярно проверяют отпечатки открытых ключей друг друга и противостоят атакам по другим векторам (включая социальный инжиниринг).

Главный недостаток OTR заключается в том, что после отправки нового ключа требуется дождаться подтверждения от собеседника. Если он офлайн, то связь будет временно невозможна. Одним из выходов стал алгоритм Double Ratchet (DR), разработанный пять лет назад Тревором Перрином и Мокси Марлинспайком в Open Whisper Systems. Сегодня DR используется в Signal, WhatsApp, Viber и многих других мессенджерах, поддерживающих сквозное шифрование по умолчанию или как отдельную опцию (секретные чаты).

Сквозное шифрование

Схема E2EE использует комбинацию из криптографических систем с открытым и закрытым ключом. Она очевидна в общих чертах и довольно сложна на уровне деталей. В ней используется масса взаимосвязанных ключей, часть из которых обязательно попадает на сервер и, более того, обязательно загружается на него до начала переписки, чтобы ее можно было начать в произвольный момент. Давай рассмотрим ее подробнее.

Начало схемы ты наверняка знаешь, поскольку оно стандартно для всех систем асимметричного шифрования, - генерируется пара ключей. Это необходимо потому, что криптосистемы с одним ключом (вроде AES) использовать в переписке в чистом виде слишком трудно. С ними пришлось бы как-то организовывать защищенный канал для передачи ключа (например, встречаться лично), а потом делать это снова при каждой его смене.

Тут же все как в привычном PGP: есть два собеседника (Алиса и Боб), каждый из которых генерирует свою пару ключей. Затем они обмениваются публичными ключами, сохраняя в тайне парные им секретные. Публичные ключи передаются по открытому каналу (на то они и публичные, пусть перехватывают на здоровье) и служат для двух целей: они позволяют зашифровать сообщение и проверить его подпись. Соответственно, секретные ключи используются для расшифровки и формирования подписи.

INFO

Термин «сообщение» используется здесь в широком смысле. Сообщением может быть текст, медиафайл или служебные метаданные, которыми мессенджер обменивается с сервером. Часть этих данных содержит временные метки, состояние клиентского приложения и новые ключи.

К сожалению, в чистом виде схема асимметричного шифрования также не годится для мессенджеров, поскольку эти сервисы ориентированы на интенсивную онлайновую переписку в виде цепочки коротких сообщений. Они должны отображаться в строго определенном порядке, а собеседник может в любое время оказаться офлайн и нарушить структуру диалога.

К тому же шифровать множество коротких сообщений одним ключом - плохая идея. Всего за день переписки их создаются сотни (если не тысячи). Во многих сообщениях количество шифротекста минимальное и предсказуемое (смайлик, стикер). Также у них есть стандартные заголовки, которые упрощают криптоанализ.

Особенность переписки в мессенджерах в том, что из-за типовых метаданных за короткое время атакующий может перехватить большой объем предсказуемого шифротекста. Его львиная доля будет соответствовать известному открытому тексту. Если она будет шифроваться одним ключом, то при успешной атаке окажутся скомпрометированными все ранее написанные сообщения и даже те, которые собеседники напишут в будущем.

Чтобы этого не происходило, в мессенджерах предусмотрены такие свойства, как прямая и обратная секретность. Они подразумевают невозможность прочитать отправленные ранее и написанные в будущем сообщения, имея на руках только текущий ключ шифрования. Для этого используется многослойное шифрование с переходом от асимметричной к симметричной криптографии и дополнительные ключи с разным временем жизни.

Защита личных данных от доступа к ним третьих лиц – это именно то, что ищут пользователи в современных мессенджерах. По этой причине используемое в Ватсап шифрование является показателем того, что разработчики заботятся о своих клиентах и препятствуют утечке информации с чатов. Давайте подробнее разберемся в принципе работы этой технологии.

Навигация:

Что такое сквозное шифрование

Многие пользователи до сих пор задаются резонным вопросом: «Сквозное шифрование WhatsApp – что это такое? ». Начнём с того, что работает оно путём использования технологии end-to-end encryption, то есть, обмен данными происходит между отправителем и адресатом без проверки сообщений кем бы то ни было, включая даже самих разработчиков. Это относится ко всем типам информации, включая:

Появилась технология как необходимая мера борьбы с кибертеррористами и правительственными службами, которые не раз скомпрометировали себя на получении данных с личных переписок

Как убрать шифрование в WhatsApp

Стоит отметить, что снять сквозное шифрование в Вацапе невозможно. После его введения, создатели мессенджера оставили лишь возможность просмотреть уникальный код шифра, доступный для участников диалога. Сделать это можно следующим образом:

После чего появится комбинация из чисел и QR-код, который должен совпадать с таковым у вашего контакта.

В заключение следует отметить, что подобные нововведения необходимы для сохранения личных переписок и пересылаемых файлов, поэтому необходимости в его отключение попросту нет.

Всем людям свойственны переживания о своей безопасности и конфиденциальности, поэтому приложение WhatsApp использует . Использование этой технологии гарантирует безопасность ваших личных данных и делает невозможным попадание в чужие руки сообщений, медиа-файлов, документов и звонков.

О технологии сквозного шифрования в Вацапе

Для использования технологии сквозного шифрования вы и ваши собеседники должны использовать последние версии приложения WhatsApp.

Технология сквозного шифрования в WhatsApp дает гарантию, что доступ к содержимому ваших диалогов сможете получить только вы и человек, с которым вы общаетесь. Никто другой, даже компания WhatsApp, не сможет получить доступ к этим данным, так как ваши сообщения защищает уникальный замок. Ключ к этому замку предоставляется только вам и получателю сообщений и только он может разблокировать и прочитать данные. Для большей безопасности каждое отдельное сообщение отправляемое вами так же имеет уникальный замок шифрования и ключ к нему. И самое главное, что это все происходит в автоматическому режиме - для использования сквозного шифрования нет необходимости разбираться в настройках приложения или же использовать отдельные секретные чаты. Защита ваших личных данных обеспечивается постоянно.

Важно! Технология сквозного шифрования активна постоянно, если каждая из сторон использует последнюю версию приложения. Отключение сквозного шифрования в WhatsApp невозможно. Использование шифрования .

Подтвердить код безопасности Вацапа?

Каждый чат в Вацапе имеет свой код безопасности, данный код используется для подтверждения шифрования отправленной вами информации: звонков, сообщений и файлов, которые вы отправляете в чат.

Важно! Данный процесс проверки не обязателен. Он используется для подтверждения шифрования отправляемых вами сообщений.

Код безопасности находится в разделе “Инфо о контакте” - это QR-код или цифровой 60-ти значный номер. Этот код является уникальным для каждого отдельного чата. Чтобы убедиться, что ваша переписка зашифрована участники диалога могут сравнить коды безопасности. Данный код безопасности является открытой версией специального ключа безопасности между собеседниками. Можете не переживать, код это не полная версия ключа, так как он всегда скрыт и держится в тайне.

Как подтвердить шифрование чата в Вацапе

Для подтверждения шифрования вашего чата в WhatsApp нужно произвести несложные действия:

Открыть чат;

Открыть экран “Инфо о контакте”, для этого нужно нажать на имя контакта;

Включить шифрование нажатием на Шифровании для просмотра QR-кода и 60-ти значного номера.

В случае, если вы с собеседником находитесь рядом друг с другом, вы можете просканировать его QR код или сравнить визуально 60-ти значный цифровой номер. Подтверждением работы шифрования ваших сообщений и звонков послужит зеленая галочка при сканировании QR-кода и полное совпадение цифрового номера.

Если был просканирован код другого контакта или номера телефона, то код не будет совпадать. Также несовпадение возможно, если вы или ваш собеседник недавно переустанавливал приложение WhatsApp или произвел замену своего мобильного устройства. В таком случае потребуется обновление кода, для этого отправьте новое сообщение и просканируйте код еще раз.

Если видите, что отправленные сообщения в Вацапе не зашифрованы

Если при нажатии на “Шифрование” в разделе “Инфо о контакте/группе” появляется предупреждение о том, что ваши сообщения не зашифрованы, проблема скорее всего кроется в старой версии приложения у одной из сторон. Пожалуйста, убедитесь, что вы и ваш собеседник используете последнюю версию, если это не так, то обновите WhatsApp и повторите процедуру. Если все сделано верно, в чате должно появится уведомление о том, что ваши сообщения зашифрованы.