Что нужно знать о безопасности в Telegram?
@PhoenixGruppeПочему вам стоит перестать читать Gizmodo прямо сейчас
Это перевод статьи Маркуса Ра. Оригинал записи на английском языке расположен здесь.
Некоторые пользователи спросили меня о статье с сайта Gizmodo, в которой призывают перестать использовать Telegram, потому что мы не шифруем чаты. Та статья — поразительный примернизкопробной журналистики, состоящей почти полностью из некорректных и ложных заявлений. Хотелось бы начать с опровержения наиболее диких примеров:
1. Всегда зашифрованный
Автор сознательно путает шифрование и оконечное шифрование, заявляя, что некоторые данные в Telegram отправляются и хранятся незашифрованными. Это не так.
Все данные зашифрованы. Секретные чаты используют оконечное (end-to-end) шифрование, Облачные чаты используют клиент-серверное шифрование для передачи данных и, конечно, хранятся в зашифрованном виде. Это ещё не всё:
Чтобы обеспечить безопасность данных, не имеющих end-to-end шифрования, Telegram использует распределённую инфраструктуру. Информация из облачных чатов хранится во множестве дата-центров по всему земному шару и находится под различными юрисдикциями. Ключи дешифрования разбиты на части и никогда не хранятся в том же месте, где и данные, которые этими ключами зашифрованы. В итоге, чтобы принудить Telegram выдать какую-либо информацию, необходимо получить несколько судебных предписаний из различных юрисдикций.
Благодаря подобной структуре, ни одно государство по отдельности и ни одна группа стран с совпадающими мировоззрениями не сможет нарушить приватность людей и свободу самовыражения. Telegram будет вынужден выдать данные, только если ситуация будет достаточно серьёзной и способной привлечь внимание разных правовых институтов по всему миру.
На сегодняшний день Telegram передал 0 байтовданных пользователей третьим лицам, включая правительственные органы.
2. Открытый и задокументированный
Далее в статье профессор упоминает «безопасность через неясность» и заявляет, что «схему шифрования Telegram невозможно проанализировать». Термин «безопасность через неясность» применяется для описания систем, основанных на секретности проектирования и реализации в качестве основного способа обеспечения безопасности. К Telegram это неприменимо:
• Спецификация на протокол Telegram открыта.
• Исходные коды наших приложений тоже открыты, что вкупе с документацией позволяет полностью оценить реализацию оконечного шифрования.
Многие исследователи безопасности изучали наш код, а мы предлагаем денежные вознаграждения и периодически устраиваем конкурсы для привлечения внимания к тому, что мы делаем. Похоже, что профессор, которого цитирует автор статьи, либо был введён в заблуждение относительно шифрования Telegram, либо вообще его не изучал.
У исследователей безопасности есть все необходимые инструменты для оценки протокола Telegram.
См. также:
• Подробная спецификация протокола MTProto
• Ссылки на репозитории с исходными кодами приложений Telegram
3. Контроль над метаданными
Часть текста о метаданных и просмотре списка пользователей в сети также некорректная. В отличие от WhatsApp, вы можете контролировать, кто конкретно видит вас онлайн/оффлайн в Telegram. Неважно, какое приложение вы используете, так как эта настройка на серверной стороне.
См. также:
• FAQ: Кто может видеть время моего последнего пребывания в сети
• FAQ: Кто может видеть мой онлайн-статус
Серьёзно?
Как вы видите, статья Gizmodo полна ошибочных заявлений, некоторые из которых основаны на комментариях людей, которые, кажется, не понимали, о чём говорили.
Хуже всего, что в конце статьи автор рекомендует переходить на проприетарные мессенджеры с закрытым исходным кодом, такие как WhatsApp и iMessage. Эти мессенджеры заявляют о поддержке оконечного шифрования по умолчанию — но мгновенно обесценивают это шифрование из-за способа работы с резервными копиями и смены ключей.
Давайте поговорим о “незашифрованном”
Если вы хотите увидеть пример мессенджера, который вообще не использует шифрование, далеко ходить не надо — это WhatsApp. Не далее как в 2012 году все сообщения WhatsApp отправлялись незашифрованными, открытым текстом, в результате чего любой администратор сети или просто любой пользователь в той же сети Wi-Fi мог читать ваши сообщения [1]. Ага, «Уважение к личной жизни заложено в нашей ДНК». Вы можете подумать, что теперь всё не так, ведь в каждом чате внутри их приложения написано «ни WhatsApp, ни какие-либо ещё третьи лица не могут читать ваши чаты». Хорошо, подумайте ещё раз.
На момент публикации заметки Gizmodo, WhatsApp не шифровали никакие ваши резервные копии и отправляли сообщения в открытом виде на серверы Google и Apple [2]. Похоже, что в начале этого года они по-тихому включили поддержку шифрования для резервных копий в iOS, но у WhatsApp по-прежнему есть ключи от этих резервных копий! [3] (Резервные копии чатов iMessage в iCloud устроены по схожему принципу).
Итак, WhatsApp создаёт резервную копию ваших сообщений, шифрует её ключом, который известен WhatsApp — и находит в себе силы заявлять, что они не могут читать эти чаты. Более того, WhatsApp агрессивно принуждает своих пользователей включить создание резервных копий. Даже если вы не сохраняете ваши сообщения,крайне вероятно, что ваши собеседники это делают. WhatsApp активно работает над тем, чтобы убедить как можно больше людей активировать эту возможность. [4]
Нет никакого способа узнать, какие сообщения в WhatsApp находятся в резервных копиях и таким образом уязвимы для отслеживания и запросов на выдачу информации.
Ключ к падению всего шифрования
Вопрос о ключах отсылает нас к другой проблеме, актуальной даже если ваши сообщения зашифрованы оконечно: кто имеет доступ к вашим ключам? По умолчанию, WhatsApp может сменить ключи шифрования даже без какого-либо уведомления. Я уже рассматривал этот вопрос в статье «Почему бэкдор в WhatsApp — это плохая новость».
Управление ключами — это ещё одна область, в которой iMessage лукавит, обещая оконечное шифрование. Apple контролирует центральный сервер, используемый для доставки публичных ключей и присоединения новых устройств, что, конечно, удобно, но также очень уязвимо. [5] Apple не владеет вашими приватными ключами, но они могут «присоединить» другое «устройство» к вашему аккаунту для скрытного чтения ваших сообщений и отправки копий сообщений, предназначенных вам, тем, кто может заставить Apple выдать их (например, правительственное агентство США).
Оконечное шифрование по определению позволяет вам общаться в потенциально читаемом канале связи и быть уверенными, что только ваш собеседник сможет прочесть сообщения. Что WhatsApp, что iMessage нарушают свои заявления об end-to-end шифровании из-за способа, которым они работают с резервными копиями и сменой ключей.
Об истинном оконечном шифровании
Если вы ищете настоящее оконечное шифрование без всяких оговорок и примечаний мелким шрифтом, обратите внимание на следующие четыре условия, которые должны выполняться:
- Вы можете сверять ключи, дабы убедиться, что вы общаетесь именно с теми, с кем думаете, а не спосредником. В iMessage вы не можете это сделать, поэтому считайте, что отправляете сообщения напрямую в ФБР. [5]Секретные чаты и звонки Telegram позволяют вам сверять ключи.
- Вы знаете, когда ключи сменяются по какой-либо причине. По умолчанию ваш ключ WhatsApp, который вы ранее сверили, может быть изменён без вашего уведомления; чтобы это предотвратить, нужно включить специальную настройку, что противоречит заявлениям в FAQ WhatsApp. [6] Секретные чаты Telegram, напротив, привязаны к текущей сессии. Когда вы входите с нового устройства, создание секретного чата приводит к появлению совершенно нового чата, визуально отделённого от прошлого в списке чатов вашего собеседника. Это служит гораздо более наглядным индикатором того, что была произведена смена ключей и, что важнее, это поведение по умолчанию. Не надо включать никаких дополнительных настроек.
- Вы можете проверить исходный код приложений. ЧтоiMessage, что WhatsApp — это проприетарные приложения с закрытым исходным кодом, нам нужно верить на слово всему, что они скажут. Независимые исследователи не могут проверить их реализацию оконечного широфвания или указать на ошибки в приложениях. Как уже было оговорено ранее, исходный код приложений Telegram открыт, что позволяет полностью оценить реализацию end-to-end шифрования.
- Вы теряете ваши данные, если не подготовитесь заранее.Если вы можете залогиниться на новом устройстве, подключиться к сервису и получить обратно свои чаты, просто подтвердив свой телефонный номер, ваши данные не зашифрованы оконечно. Резервные копии iMessage и WhatsApp нарушают этот принцип. С другой стороны, если вы выйдете из Telegram, все ваши секретные чаты будут потеряны и не могут быть восстановлены.
Зачем нужны резервные копии?
Проблема потери данных и подключения новых устройств, когда у вас нет доступа к предыдущему телефону, является краеугольной по отношению к пользовательскому опыту использования мессенджеров. Как вы видите, эта проблема достаточно остра для таких компаний, как Apple (iMessage) и Facebook (WhatsApp), чтобы они полностью скомпрометировали свои наработки по end-to-end шифрованию. [7]
Мессенджер, ориентированный на широкий рынок, просто не может игнорировать вопрос бэкапов. В то же время парадигма оконечного шифрования попросту не предлагает никаких решений по резервным копиям, которые «просто работают» у пользователей, потерявших устройство вместе со старыми ключами, теми, которые не должны быть ни у кого ещё.
Как сделано в Telegram
Чтобы удовлетворить потребности людей в шифровании и резервных копиях безопасным образом, облачные чаты Telegram предлагают клиент-серверное шифрование и собственные безопасные резервные копии. Дата-центры и необходимые ключи шифрования распределены по различным юрисдикциям, чтобы защититься от запросов со стороны государств.
Для наиболее деликатных данных секретные чаты гарантируютоконечное шифрование. В отличие от iMessage или WhatsApp, если вы отправляете сообщение в секретный чат, вы можете на 100% быть уверены, что никто, включая сервер Telegram, не имеет доступа к содержимому сообщений.
Такое гибридное решение первым появилось у Telegram в 2013 годуи с тех пор было позаимствовано такими мессенджерами, как Kakao (2014), Line (2015), Google Allo (2016) и Facebook Messenger (2016). Все эти сервисы представили свою версию оконечно зашифрованных чатов вдобавок к обычным облачным сообщениям. В отличие от своих последователей, Telegram защищает свои данные так, как не может ни одна американская (или зависящая от любой другой страны) компания.
В результате, пользователи Telegram наслаждаются бесшовной синхронизацией на телефонах, планшетах и компьютерах, мгновенным доступом с новых подключенных устройств и возможностью продолжить с того места, где остановились (облачные черновики) в безопасных облачных чатах. В то же время, стоящие особняком секретные чаты специально исключены из резервных копий, что позволяет пользователям иметь полный контроль над данными, которые они считают деликатными.
Секретные чаты предлагают настоящее оконечное шифрование, поэтому ваши данные находятся в безопасности до тех пор, пока ваш телефон лежит у вас в кармане.
Примечания
[1] Утилита-перехватчик показывает сообщения чужих людей в WhatsApp (Heise Online):
«Сообщения WhatsApp пересылаются в открытом виде, что означает, что любопытствующие люди могут их [сообщения] читать наряду с настоящим получателем».
[2] Где WhatsApp свернул не туда (Electronic Frontier Foundation):
«…Мы рекомендовали пользователям никогда не делать резервные копии своих сообщений в облаке, т.к. это позволит иметь незашифрованные копии ваших сообщений у облачного провайдера. Чтобы общение было по-настоящему безопасным, все ваши собеседники должны поступать точно так же».
[3] «WhatsApp, судя по всему, как генерирует, так и хранит ключи. Это значит, что у них есть доступ к ключам и, следовательно, к перепискам пользователей». (The Telegraph)
[4] WhatsApp и Google Drive: история нашей интеграции, (Google I/O 2016)
«Около 75% пользователей WhatsApp пользуются Android, и среди них около 40% уже включили резервное копирование на Google Drive. Мы продолжим увеличивать это число, уведомляя пользователей о такой возможности». Менеджер по продукту [Product Manager] Рэндалл Сарафа через месяц после появления резервного копирования сообщений WhatsApp в Google Drive.
[5] Apple объясняет, насколько по-настоящему безопасен iMessage(TechCrunch)
«…Так как Apple шифрует сообщения/данные единожды для каждого устройства и имеет контроль над инфраструктурой ключей, они могут (например, по решению суда) добавить ещё один публичный ключ к остальной связке, тем самым позволяя сообщениям, которые отправлены вам, быть прочитанными кому угодно, у кого есть соответствующий приватный ключ».
«Только вы и ваш собеседник может прочитать то, что отправлено, и никто между вами, даже WhatsApp. […] Всё происходит автоматически: нет никакой необходимости включать какие-либо настройки или начинать особые секретные чаты для защиты ваших сообщений».
[7] Signal, ещё одна альтернатива, упомянутая автором в Gizmodo, вообще не предполагает никаких автоматизированных резервных копий. Это может быть приемлемо для технически подкованных пользователей, которые понимают, что делают, но этого точно недостаточно для среднестатистических пользователей, которые не готовы потерять всю свою историю сообщений вместе с украденным телефоном. Такие пользователи тоже хотят приватности и защиты от рекламщиков и шпионов. У Signal не получается удовлетворить их потребности, поэтому он влачит жалкое существование: используется гиками, но игнорируется сотнями миллионов обычных пользователей, несмотря на серьёзную рекламу.
Дополнение: резервные копии в iCloud
(обратно к «Давайте поговорим о незашифрованном»)
Apple принуждает всех использовать iCloud ради удобства, так как это позволяет «включить и забыть» о резервных копиях. [8], [9] Нет никакого способа узнать, делают ли резервные копии ваши собеседники, если даже вы их не делаете.
Автоматические резервные копии в iCloud могут показаться удобными, но никогда не стоит забывать, что у Apple есть полный доступ к любым данным из этих бэкапов. Они шифруют ваши данные iCloud в хранилище, но шифруют они своим ключом, а не вашим паролем, следовательно, они могут дешифровать что угодно, чтобы удовлетворить запросы со стороны государств, несмотря на свои заявления об оконечном шифровании. [10].
Apple активно принуждает всех пользователей использовать iCloud, тем самым усложняя возможность отключения этой возможности. [9]В 2015 году, Apple удовлетворила ~80% всех правительственных запросов на раскрытие данных, касающихся более 16 тысяч устройств.[11]