Мільярд чатів на замок: як працює шифрування WhatsApp і в чому його недоліки перед Telegram

У теорії це робить WhatsApp наймасовішим безпечним месенджером в світі. Однак такі заходи мають і свої обмеження, через які основним розробником інших мессенджерв — наприклад, Telegram — відмовлялися від повсюдного застосування подібних технологій.

Про початок шифрування листування повідомляють повідомленням: для цього потрібно, щоб у обох користувачів стояла найсвіжіша версія WhatsApp

Що змінилося в шифруванні

Головний рейтинг безпеки месенджерів формує Фонд електронних рубежів (EFF). На його сайті знаходиться постійно оновлювана таблиця, де месенджери отримують від одного до семи балів залежно від кількості пройдених перевірок.

secure messaging

Наприклад, у секретних чатів Telegram в цій таблиці рейтинг сім з семи, а ось у звичайних — чотири з семи. Вважається, що повідомлення в стандартних чатах доступні для розшифровки самим Telegram, а значить, потенційно і для читання сторонніми особами — хоча в Telegram заявляють, що дані нікому не передаються. Підтвердити особистість співрозмовника за допомогою ключа в таких чатах можна, і його крадіжка може спричинити розшифровку всієї історії повідомлень.

З цієї таблиці у WhatsApp до листопада 2014 року було рейтинг два з семи: месенджер шифрував повідомлення при передачі і протягом минулих років проходив незалежний аудит безпеки. Однак в день включення кінцевого шифрування EFF видала чатах WhatsApp шість з семи балів.

Новим протоколом шифрування WhatsApp займалася Open Whisper Systems (OWS) — розробник месенджера Signal, рекомендованого до використання Едвардом Сноуденом. У грудні 2015 року засновник Telegram Павло Дуров навіть вступив в публічну суперечку з главою OWS Моксі Марлінспайком: той підтримав заяву про те, що Telegram зберігає на серверах незашифровані повідомлення (це не так), і Дуров у відповідь звинуватив прихильників цієї думки в «проплаченою брехні ».

Проте спільна робота Марлінспайка з WhatsApp через півтора року принесла в популярний месенджер стандарти, характерні для самих улюблених параноїками методів комунікації. Додаткові бали EFF дав за можливість перевірити особу співрозмовника звіркою ключів безпеки, часту зміну цих ключів (якщо один з них вкрадуть, розшифрують тільки малу частину листування), а також за подробнуюдокументацію по використанню кінцевого шифрування.

Чому з шифруванням так зволікали

Довгий час WhatsApp вважався одним з найнебезпечніших месенджерів. У 2011 році ЗМІ повідомляли про можливість перехопити повідомлення, відправлені в вигляді незашифрованого, звичайного тексту. Подібні уразливості і невпевненість в надійності алгоритмів шифрування роками породжували чутки про можливість читання листування сторонніми особами — мало не в режимі реального часу.

З 2014 року WhatsApp почав виправлятися: компанія запустила тестування кінцевого шифрування на вибірці користувачів серед власників Android. Кінцеве шифрування має на увазі, що текст повідомлень шифрується і розшифровується тільки на самих пристроях учасників листування — на них фізично зберігаються ключі шифрування, тому для читання повідомлень зловмисникам довелося б викрасти самі смартфони.

Однак кінцеве шифрування несе і ризики репутацій. Наприклад, в FAQ по Telegram відсутність кінцевого шифрування всього листування пояснюється в тому числі небажанням ставати в очах суспільства занадто захищеним месенджером: його використання може стати причиною «посиленої стеження в певних країнах», вважають представники Telegram.

До WhatsApp і раніше потрапляв в скандали через відмову видавати вміст листування в деяких країнах. Тепер йому пророкують повну неможливість співпраці з державними органами — спецслужбам просто нічого буде видавати. Чи вдасться WhatsApp в цьому випадку відкрутитися так само, як це вдалося Apple, ще тільки належить дізнатися.

У чому недоліки поточної версії WhatsApp перед Telegram

Кінцеве шифрування, що припускає зберігання ключів на самих пристроях, має один великий плюс: копій цих ключів більше ніде немає, і тому ніхто крім учасників листування не може отримати до них доступ. У той же час це і суттєвий мінус: ключ не можна просто так перенести на інший пристрій.

Ключ шифрування нерозривно пов'язаний зі смартфоном, на який встановлений мессенджер, інакше при його копіюванні вся система безпеки виявилася б під загрозою. При логін в WhatsApp на смартфоні створюється такий унікальний ключ, і месенджер не може передати його на інший пристрій (цим би з радістю скористалися зловмисники), навіть якщо користувачеві хочеться спілкуватися з одного аккаунта на різних смартфонах.

У Telegram повідомлення в звичайних чатах шифруються за участю ключа на сервері месенджера, тому ключ шифрування користувача можна передавати на інші пристрої (умовно, його повідомлення не прочитають, якщо тільки не зламають сервера Telegram). Це дозволяє використовувати Telegram на будь-якій кількості пристроїв одночасно.

У WhatsApp з крайовим шифруванням такої можливості немає. Коли ви набираєте номер телефону (в WhatsApp немає логінів) на другому смартфоні в той же момент обривається сесія першого смартфона, і продовжити спілкування не можна. Така ж проблема з «секретними чатами» в Telegram: якщо людина почала зашифровану бесіду на одному пристрої, на другому він її не підхопили — доведеться створювати нову.

У більшості випадків можливість використовувати месенджер відразу на декількох пристроях — це розкіш: у звичайних людей максимум один смартфон. Інша справа, коли в чат потрібно зайти з комп'ютера: у Telegram для цього є спеціальні клієнти, а у WhatsApp — хитра веб-версія, яка підключається через інтернет до працюючого на смартфоні з додатком (воно теж має в цей момент мати доступ до мережі).

Інша справа — історія листування: вона важлива, якщо періодично міняєш пристрої (ламаєш, переходиш на нові). За замовчуванням WhatsApp не зберігається її: можна включити збереження в пам'ять телефону, але як з неї витягти повідомлення, з інтерфейсу програми неясно. Листування можна синхронізувати з хмарним сервісом: на Android — з Google Drive, на iOS — з iCloud. Однак як перенести переписку з iOS на Android або назад, незрозуміло (швидше за все, неможливо), і навіть при використанні одного і того ж облікового запису (наприклад, для Google Drive) між двома пристроями історія не переноситься.

До чого весь цей шум

Включення кінцевого шифрування у мільярда користувачів — сильне рішення для WhatsApp. В очах користувачів (та й на практиці) месенджер став набагато захищеності, і його представники тепер зможуть відповідати на запити державних органів, заявляючи, що їм нема чого видавати.

Використовуючи стандартні параметри, користувачі WhatsApp спілкуватимуться більш безпечно, ніж, наприклад, користувачі Telegram ( «секретні чати» — це не «за замовчуванням»). Але головне тут перевага — перед Viber, основним конкурентом WhatsApp на європейських ринках, який поки по таблиці EFF має рейтинг всього два бали з семи.

Але разом з тим це рішення несе для компанії небезпека: месенджер можуть просто заборонити в ряді країн з напруженою політичною обстановкою.

Можливо, WhatsApp занадто пізно застрибує на цей поїзд: навіть впровадження кінцевого шифрування не дозволить йому виділитися на тлі інших захищених методів комунікації. Тим часом проект Дурова, судячи з новин за останні півроку, остаточно перетворився з «безпечного месенджера» в медіаплатформи з ботами, публічними каналами та іншими функціями, такими, що виходять за рамки звичайного листування.

Втім, з мільярдом користувачів все можна виправити.

Дата публикации: 08.04.16