Безопасность в современном интернет-пространстве является одной из самых важных сфер. Наличие качественной защиты не позволит злоумышленникам получить конфиденциальные данные.
Что такое сквозное шифрование
Сквозное шифрование («End-to-end шифрование» или «E2EE») – это технология, позволяющая передавать данные таким образом, чтобы доступ к ней имелся только у двух сторон: отправителя и получателя. Фотографии, видео, аудио и текстовая информация – вся она будет защищена от доступа третьим лицам.
Внимание! Часто встречается термин оконечное шифрование, что по сути то же самое, что и сквозное.
Ключ доступа имеется только у отправителя и отправляющего, даже сам владелец приложения или сервиса, где используется сквозное шифрование, не имеет возможности получить информацию из сообщений. Совершенство современного способа шифрования подразумевает, что даже если злоумышленник сможет перехватить информацию, то взломать ее все равно будет невозможно.
В качестве альтернативного примера шифрования можно привести SSL, являющегося одним из возможных методов защиты на сайтах, адресная строка которых начинается с https (не путать с http – незащищенным подключением). Но SSL имеет один большой минус – ключ есть не только у участников переписки, но и у сайта – он хранится на их сервере. Из-за этого злоумышленник, который получит доступ к ключу, хранящемуся на сервере, сможет осуществить успешную попытку взлома.
Вывод! Сквозное шифрование исключает из цепочки уязвимое звено, предоставляя ключи к информации только для участников переписки.
Обмен ключами
Ключи переписки доступны только ее участникам. Для обмена ключами используется один из алгоритмов: симметричный и асимметричный. В некоторых случаях дополнительно используется разделение секрета или иные протоколы, позволяющие разделить ключи переписки.
Симметричный алгоритм («симметричное шифрование» или «symmetric-key algorithm») подразумевает использование одного ключа для каждого участника переписки. Используется таким алгоритмом, как DES.
Асимметричный алгоритм подразумевает использование двух ключей. Первый – приватный, а второй – публичный. Приватный ключ всегда остается у отправителя и необходим для расшифровки сообщения. Публичный ключ – для шифрования сообщений. Даже если злоумышленник получит публичный ключ, то с его помощью он только сможет зашифровать собственное сообщение, но не взломать переписку. Такой способ надежнее симметрического алгоритма, но вместе с тем требует больших ресурсов для реализации. Используется таким алгоритмом, как RSA.
Использование
Идея end-to-end была разработана в 1991 году Филиппом Циммерманом, который создал метод защиты данных посредством шифрования Pretty Good Privacy. Улучшение механизмов произошло в 1997 году, когда компания PGP Inc. предложила создать OpenPGP. Открытость опорной системы (исходные коды PGP теперь доступны всем) позволила реализовать GnuPG. По идентичному способу работает современное сквозное шифрование в мессенджерах и электронной почте.
Принципы
Принцип сквозного шифрования – предоставить доступ к информации только участникам переписки. Даже сам сервер, через который передается информация, не сможет получить доступ к сообщениям. Текстовые, видео- и аудио сообщения остаются зашифрованными на устройствах до тех пор, пока они не будут переданы получателю.
Электронная почта
Электронная почта использует для передачи сообщений асинхронный метод. Одним из первых стандартов для такого способа обмена информацией стал протокол SMTP. Изначально он не использовал шифрование сквозным методом, но позже это произошло, благодаря Филиппу Циммерману, создавшему пакет программного обеспечения для PGP, впоследствии ставшим OpenPGP. Последний сейчас отчасти используется в Enigmail и некоторых мобильных приложениях, как IPGMail.
Сервисы электронной почты, которые используют сквозное шифрование для защиты информации:
- ProtonMail;
- Mailfence;
- CounterMail;
- Tutanota.
Мессенджеры
В чат-приложениях используют систему мгновенного обмена сообщений. Раньше все мессенджеры использовали только синхронную передачу данных, но сегодня большинство из них позволяет осуществлять асинхронную доставку сообщений.
Первым проектом, который позволил в последствии мессенджерам использовать сквозное шифрование был Jabber (позднее переименованный в XMPP), разработанный в 1998 году. XMPP вначале не имел системы end-to-end и передаваемая информация не шифровалась, несмотря на то, что для повышения безопасности в него были встроены протоколы SASL и TLS. Протокол XMPP использовался для мгновенного обмена сообщениями, например, в таких системах как Google Talk.
Продолжением XMPP стал протокол OTR, который был улучшен, в том числе было добавлено сквозное шифрование. OTR не хранит открытых ключей в доступе, что не позволяет использовать их в качестве компромата. Минусом такого способа является невозможность использования в групповых чатах, т.к. используется синхронный обмен сообщениями между двумя людьми.
WhatsApp появился в 2009 году, но в тот момент шифрование сообщений не использовалось. Все данные (текстовые сообщения, фото, видео, аудио) передавались при помощи открытого протокола. О безопасности было решено задуматься в 2012 году, тогда была введена система шифрования сообщений еnd-to-end на все типы сообщений и файлов.
Viber
Сквозное шифрование появилось только в 2016 году, хотя само приложение работает с 2010 года.
iMessage
Компания Apple использует двухэтапное шифрование. Первый этап – шифрование комбинации при помощи 128-битного ключа RSA с 128-битным алгоритмом AES. Второй этап – подпись, осуществляемая улучшенным алгоритмом ECDSA. Но вопросы о безопасности такого метода шифрования до сих пор идут, так как даже при потере устройства, на котором установлен мессенджер, компания предоставляет возможность восстановления ключа и получения доступа к сообщениям.
Telegram
Телеграм – нашумевший мессенджер, который в апреле 2018 года было принято блокировать на территории Российской Федерации согласно решению Таганского районного суда Москвы по причине отказа в предоставлении ключей для дешифровки сообщений пользователей.
Телеграм появился в 2013 году. Шифрованием занимается протокол под названием MTProto, который был создан братьями Дуровыми (создателями мессенджера). Протокол состоит из трех компонентов:
- Компонент высокого уровня – определяет метод, который будет конвертировать ответы и запросы в двоичный код.
- Криптографический слой – определение методов шифрования сообщений и их отправки. Ключи авторизации определяются 64-битным идентификатором.
- Компонент доставки – шифрование сообщений с использованием алгоритма AES-256. Ключ будет генерироваться в зависимости от: сессии, идентификационного номера сообщения, порядкового номера сообщения, соли сервера.
Пользователь вправе использовать полностью секретный чат (он работает по всем законам end-to-end), либо позволить серверу видеть данные сообщений.
Непопулярные мессенджеры
Если же пользователь беспокоится о своей безопасности, то ему стоит обратить внимание на:
- Tor Messenger;
- ChatSecure;
- CryptoCat;
- Signal.
Все они являются более защищенными, чем популярные способы передачи сообщений. Причиной этого является цель создания – непопулярные мессенджеры создавались с целью предоставления максимальной защиты для пользователей, но по стечению обстоятельств пока не приобрели достаточной известности.
Безопасность и проблемы
Сквозное шифрование – это безопасный способ передачи данных, но нужно понимать, что злоумышленники постоянно ищут способы обхода имеющихся ограничений. Разработчики стараются бороться с нападками, разрабатывая дополнительные технологии и алгоритмы, но ведь в некоторых случаях сами создатели являются источником проблемы, например, Skype и бэкдоры, информация была обнародована в 2013 году.
Атака «человек посередине»
Атака посредника («человек посередине» или «Man in the middle» или «MITM») – вид атаки в криптографии, когда злоумышленник старается выдать себя за получателя информации. Тем самым он обходит защиту. Для того, чтобы не выдать себя, злоумышленник должен после расшифровки сообщения зашифровать его обратно при помощи перехваченного ключа.
Чтобы не позволить злоумышленникам использовать MITM, существует протоколы для аутентификации. Второй метод борьбы – создание отпечатков открытого ключа. Проверка отпечатков позволит определить, не была ли произведена кража информации.
Безопасность конечных точек
Второй способ получения зашифрованной информации – атака на конечные точки доступа, то есть, на устройство, с которого отправляются и на которое приходят сообщения. Способ может дать доступ к самому ключу, либо возможность просто прочитать сообщения. Для защиты каждый пользователь должен обеспечить достаточную безопасность собственного устройства. Самым надежным является физическая изоляция устройства. Так как различные смарт-карты позволяют защитить информацию, но не дают возможность защиты экрана и клавиатуры, что позволяет различным «шпионам» все равно видеть вводимую информацию.
Бэкдоры
Бэкдоры – это возможность, внедренная самим разработчиком, для обхода системы безопасности и шифрования. Самой громкой ситуацией с использованием бэкдора является Skype, когда в 2013 году Эдвард Сноуден разгласил информацию, согласно которой компания Microsoft передавала информацию в Агентство Национальной Безопасности, несмотря на имеющееся сквозное шифрование.
Сквозное шифрование позволяет создать безопасную передачу данных между пользователями. Сегодня этот способ является самым надежным, но даже он имеет уязвимости, от которых необходимо защищаться для получения полностью анонимного канала связи.