Интервью

«Мессенджеры берут на себя функцию управления ключами»

Можно ли быть уверенным в приватности переписки

«Мессенджеры берут на себя функцию управления ключами»
Фото: Zuma/TASS
В субботу 24 августа во Франции был задержан создатель мессенджера Telegram Павел Дуров. Формальная причина задержания — отказ администрации мессенджера сотрудничать с силовыми ведомствами и предоставлять доступ к переписке пользователей. О том, насколько защищены данные в современных мессенджерах от сторонних читателей, в том числе и из силовых структур, и что доподлинно известно (и неизвестно) о принципах шифрования данных, «Эксперту» рассказал ведущий эксперт направления защиты бизнес-приложений компании «К2 Кибербезопасность» Аскар Добряков.
Аскар Добряков

— Как шифруются сообщения в мессенджерах? Способно ли так называемое сквозное шифрование гарантировать конфиденциальность данных?

— Сквозное шифрование осуществляется по принципу end-to-end: пользователь зашифровал и отправил сообщение, и оно будет оставаться зашифрованным, пока другой пользователь, адресат, его не расшифрует. То есть все промежуточные звенья до получателя (каналы связи, сервера мессенджера) сообщение проходит в зашифрованном виде, не раскрывается и не «перешифровывается». Такой подход гарантирует, что другой субъект, не являющийся адресатом сообщения, не обладает ключами шифрования и не сможет расшифровать сообщение. Это в теории. Но на практике есть несколько подводных камней.

— Каких камней? Как это связано с «ключами к мессенджеру», о которых сейчас столько говорят?

— Криптографический ключ представляет собой набор данных, при помощи которого выполняется шифрование и расшифровка информации.

В современной криптографии преобладает следующий подход: сами алгоритмы шифрования (то есть математические формулы, преобразующие данные) не являются секретными.

В самом простом варианте два субъекта договариваются, какой ключ будет использоваться для шифрования. А лучше — целый набор ключей, которые будут меняться, например, каждую неделю — так надежнее.

Но этот способ неудобен: ходить с ключевым блокнотом для каждого контакта в мессенджере, сверяться с датой и вводить ключ — неудобно.

Поэтому мессенджеры берут на себя функцию управления ключами. Если описать технологию просто, то каждый раз при взаимодействии с каким-то адресатом генерируется отдельный ключ, которым сообщение шифруется на стороне одного субъекта и расшифровывается на стороне другого (то есть, фактически ключ создается для конкретного пользователя и при перехвате сообщения другим субъектом он работать не будет. — Прим. ред.). Но процесс управления ключами скрыт от нас, и мы не можем быть уверенными, что к ключу шифрования не имеет доступ какой-нибудь третий субъект.

Также нельзя сбрасывать со счетов ошибки и уязвимости в программном обеспечении, когда злоумышленник может извлечь ключ из памяти, подменить ключи, создать бекдор и так далее. Таким образом, мессенджер для нас — это «черный ящик», мы не можем проанализировать логику его работы. Нам остается только доверять его гарантиям.

— Остаются ли сообщения не серверах, если сами сообщения удалить в телефоне?

— Все отправленные сообщения имеют некий срок хранения, в течение которого остаются на серверах мессенджера. Утверждается, что они зашифрованы и только мы сами сможем их расшифровать и прочитать. Если мы удалим информацию в телефоне, на сервере она тоже должна удалиться. Но варианты технической реализации могут различаться. Например, такая информация может просто помещаться в архив, что не является ее полным удалением. У нас нет информации о том, как эта процедура реализована в каждом конкретном мессенджере.

— Сквозное шифрование — это только один аспект безопасности при пользовании мессенджером. Какие еще меры может применить пользователь, чтобы обеспечить конфиденциальность своих данных?

— Применение тех или иных инструментов зависит от целей и рисков. Здесь требуется ответить на вопрос: «для чего вы используете мессенджер, чего вы опасаетесь?» Некоторые пользователи для сохранения своей конфиденциальности настраивают в мессенджерах продвинутые меры безопасности. Например, удаляют историю через какой-то срок, скажем, через месяц; скрывают свои личные данные в профиле, указывая псевдонимы; запрещают звонки или получение сообщений от посторонних пользователей; включают локальные пароли для доступа к Telegram на конкретном устройстве.

О мерах по защите информации можно говорить много. Однако надо помнить главное: сквозное шифрование — хорошо и надежно, но для потребителя оно не полностью прозрачно. Если хочется реальной приватности, рекомендуется использовать корпоративные мессенджеры, установленные в инфраструктуре организации. Степень контроля в них будет значительно выше, чем для общедоступных облачных.

Больше новостей читайте в нашем телеграм-канале @expert_mag

Материалы по теме:
Технологии, 6 фев 18:50
Большая языковая модель для личного использования
Технологии, 15 янв 21:30
Как в России вводят регулирование открытого кода
Технологии, 17 дек 09:00
Корпоративные хранилища стали новым инструментом управления
Технологии, 25 ноя 11:13
Механические квантовые компьютеры могут появиться в ближайшие 10 лет
Свежие материалы
Будет вам наука
Мнения,
«Эксперт» спросил ученых о роли государства в их работе
Shaman исполнил партию князя Владимира
Культура,
Премьера этно-оперы об истории Крещения Руси
Инвесторы ждут Дня святого Валентина
Финансы,
Рынок акций замер в ожидании роста