Пользователи популярного мессенджера «Вайбер» при обмене текстовыми сообщениями могут заметить рядом со строкой для введения текста значок в виде замочка, способный менять свой цвет. При нажатии на нём появляется сообщение о том, что сообщения в данном разговоре зашифрованы, а доступ к вашему разговору имеете лишь вы и ваш собеседник. Что это за сообщение, и в чём его смысл? Давайте разбираться.
Конфиденциальность и безопасность являются довольно значимыми элементами общения в сети. Разработчики популярных мессенджеров постоянно ищут и задействуют механизмы, позволяющие повысить безопасность пользовательской переписки, защитить чаты и цифровые звонки от взлома и кражи данных. Переход популярных мессенджеров «Telegram» и «WhatsApp» на шифрование «End-To End» инспирировало создателей популярного мессенджера «Вайбер» на внедрение аналогичного шифрования в функционал своего продукта.
Упомянутая технология «End-To-End encryption» («сквозное шифрование») была включена в шестую версию приложения «Viber». Суть её действия состоит в шифровании данных в момент отправки с передающего устройства, и расшифровки этих данных в момент получения на принимающем устройстве. Это гарантирует прочтение данных лишь на указанных устройствах, в пути же данные надёжно закрыты от посторонних глаз.
Технология «E2E» позволяет надёжно защитить пользовательские данные
В конкретике «Сообщения в этом разговоре зашифрованы» реализуется за счёт генерации устройством с установленным «Вайбер» различных приватных и публичных 256-битных пар ключей, называемых «ID-кеy» и «PreKeys». Приватные ключи создаются и сохраняются только на пользовательских устройствах, и сервера Вайбера (как и другие заинтересованные лица) не имеют к ним доступа. Соответственно во время передачи данных за счёт отсутствия доступа к приватным ключам ни сервера Вайбер, ни какое-либо третье лицо не способны расшифровать передаваемую устройствами личную информацию.
Данная технология работает как в приватных и публичных чатах, и касается как текстовых сообщений, так и аудио-видео звонков.
Что означает надпись «Сообщения в этом разговоре зашифрованы» в Viber
С внедрением данной технологии уровень безопасности текстового общения в Вайбере отображается в виде значка в форме замочка.
- Замочек приобретёт красный цвет в случае атаки извне или смены собеседником основного номера телефона.
- Серый замочек сигнализирует о том, что наши сообщения зашифрованы.
- А альтернативный зелёный замочек – что ключ аутентификации под постоянным контролем.
Также при клике на значке замочка вы будете получать уведомление о том, что сообщения в вашем разговоре зашифрованы. Может появиться сообщение «Сообщения в этом разговоре зашифрованы» и само, при открытии окна чата с другим пользователем Вайбер.
При этом работа данной технологии обусловлена обязательным наличием на обоих устройствах шестой версии Вайбера, а также Windows 10 в случае использования приложения «Вайбер» на ПК.
В ряде случаев для задействования данной функции будет необходимо ещё раз пройти процедуру аутентификации.
Кроме того, с 6 версией Вайбера появилась возможность быстро скрывать чаты, доступ к которым будет возможен при введении соответствующего пин-кода. В таких чатах оповещение о новых сообщениях будет идти без демонстрации текста мессаджа и имени отправителя, плюс перемещение чата в категорию скрытых будет идти без уведомления об этом собеседника.
По схожему с разработчиками WhatsApp пути и интегрировали в свой мессенджер полноценное end-to-end шифрование, которое подразумевает под собой хранение приватных ключей шифрования на устройствах пользователей. В отличие от WhatsApp, который использует в качестве протокола end-to-end шифрования реализацию алгоритма Double Ratchet от Open Whisper Systems (Signal), авторы Viber написали его реализацию с нуля. При этом шифрованию подвергаются пересылаемые между пользователями текстовые сообщения, звонки, а также пересылаемые файлы. Функция доступна пользователям начиная с Viber 6.0.
Starting with Viber 6.0, all of Viber"s core features are secured with end-to-end encryption: calls, one-on-one messages, group messages, media sharing and secondary devices. This means that the encryption keys are stored only on the clients themselves and no one, not even Viber itself, has access to them. Viber"s protocol uses the same concepts of the «double ratchet» protocol used in Open Whisper Systems Signal application, however, Viber"s implementation was developed from scratch and does not share Signal"s source code.
Для организации end-to-end шифрования каждый из клиентов использует пару ключей: открытый и закрытый. Эта пара ключей алгоритма шифрования 256-bit Curve-25519 (ID ключа) для клиента Viber генерируется при установке мессенджера на основное устройство. Публичная часть ключа отправляется на сервер Viber, а приватная хранится на устройстве клиента для расшифровки приходящих сообщений. Прочие устройства, которые работают с этим аккаунтом Viber, также получают копию закрытого ключа от основного устройства с использованием специального криптографического алгоритма.
Viber устанавливает защищенное подключение со всеми устройствами клиентов, когда они захотят обменяться сообщениями. Это значит, что если у одной стороны мессенджер установлен на основном устройстве, на ПК и планшете, а у другого также используется на нескольких устройствах, защищенное подключение будет установлено между каждым из устройств противоположных сторон.
To send a secure message, secure sessions must exist between the sending device and all the recipient"s devices, as well as between the sending device and all the sender"s other devices. So for example, if user A that has a mobile phone and a PC registered to Viber under the same account wishes to communicate with user B that has a mobile phone and a PC, secure sessions must be established between each pair of devices.
Для использования данной функции шифрования пользователям следует обновить свое приложение Viber до новейшей версии.
Более подробную информации о шифровании Viber см.
25.04.2016, ПН, 09:32, Мск, Текст: Павел Лебедев
Мессенджер Viber вслед за конкурентами объявил о запуске сквозного шифрования для сообщений и телефонных разговоров своих клиентов.
Viber стал безопасным
Владельцы мессенджера и VoIP-сервиса Viber объявили о внедрении функции сквозного шифрования (end-to-end encryption), которая доступна в обновлении клиентской программы (версия 6.0) на различных платформах – Android, iOS, PCs and Mac.
Первыми воспользоваться новой технологией защиты данных смогли жители Бразилии, Белоруссии, Израиля и Таиланда. В течение двух недель география будет расширена и на остальные страны присутствия Viber. По словам операционного директора Viber Майкла Шмилова (Michael Shmilov), разработка сквозного шифрования велась «в течение нескольких лет».
Как работает сквозная защита
Суть технологии end-to-end encryption заключается в том, что сообщение находится в зашифрованном виде на всем пути следования от отправителя к получателю. Ключ, с помощью которого сообщение можно расшифровать, хранится только у адресата, поэтому владелец мессенджера не сможет передать его третьей стороне даже по требованию государственных органов. «Viber не будет предоставлять доступ к переписке ни в одной стране и ни при каких условиях. Мы придерживаемся той же позиции, которую заняли Apple и WhatsApp. В распоряжении компании есть записи о взаимодействии различных телефонных номеров, но у нас нет доступа к содержанию сообщений или разговоров», – заявили в компании Viber.
Разработчики Viber предусмотрели несколько уровней защиты. После активации обновления с помощью QR-кода справа на экране появляется иконка в виде замка, цвет которого показывает степень безопасности. Серый цвет обозначает полное шифрование данных, зеленый замок появляется в случае выбора опции дополнительной аутентификации пользователя при начале нового разговора. Красный цвет предупреждает о попытке перехвата данных, однако также загорается в случае использования собеседником нового устройства.
В погоне за конкурентами
Viber заявил о реализации технологии сквозного шифрования менее, чем через месяц после того, как сквозное шифрование появилось в сервисе WhatsApp, который насчитывает около 1 млрд пользователей и является наиболее популярным мессенджером в мире.
Viber вслед за конкурентами объявил о запуске сквозного шифрования
Viber - второй по числу аккаунтов сервис для обмена мгновенными сообщениями с клиентской базой более 700 млн. Еще один распространенный мессенджер – Telegram (более 100 млн пользователей) – располагал функцией сквозного шифрования со времен своего релиза в 2013 г.
Технические подробности
Партером конкурентов из WhatsApp по внедрению новой возможности стала компания Open Whisper Systems, разработчик мобильного приложения Signal - любимого мессенджера Эдварда Сноудена (Edward Snowden), где шифрование данных базируется на протоколе Signal Protocol. Его особенность заключается в том, что для каждой сессии используются новые ключи (в отличие, например, от протокола шифрования электронной почты PGP, в котором сообщения шифруются снова и снова одним и тем же публичным ключом).
Представители Viber, в отличие от коллег из WhatsApp, не раскрывают технических подробностей о работе своего механизма сквозной защиты. В компании опровергли информацию о применении алгоритма MD5, считающегося ненадежным, и сообщили, что «технология шифрования основана на протоколе с открытым кодом, дополненным собственными (in-house) разработками».
Начиная с версии Viber 6.0 (появилась в апреле 2016 года, само приложение работает с 2010-го) все основные функции Viber защищены с помощью сквозного (или end-to-end) шифрования: звонки через сервис, личные и групповые сообщения и др. При таком типе шифрования ключи от переписки хранятся только на устройствах клиентов, и никто, даже сама компания-разработчик, не имеет доступа к ним, говорится в политике конфиденциальности Viber Media S.a.r.I.
По словам Шмилова, за все годы присутствия Viber в России (местный офис открылся в июле 2014 года) она несколько раз получала запросы от госорганов, но их число было намного меньше, чем в Европе (точное количество и типы запросов компания не называет).
Для запроса существует определенная процедура: правоохранительные органы должны прийти с ордером, в котором содержится запрос на предоставление информации об определенном пользователе. «Все, что мы можем дать — логи (файлы, содержащие системную информацию работы сервера или компьютера, в которые заносятся определенные действия пользователя или программы. — РБК ) разговора: когда и с кем общался пользователь. Мы обязаны это делать по законам, которые действуют во многих странах мира. Кроме этого мы ничего предоставить не можем», — сказал Шмилов.
Причем за это действие, в том числе и в России, компания берет так называемый processing fee (сбор за операцию, точная сумма зависит от страны). «Прежде всего из-за того, что нам это стоит денег и времени. Органы оплачивают этот сбор, и они согласны делать это, чтобы получить нужную информацию», — отметил топ-менеджер.
Настойчивость ФСБ в отношении Telegram объясняется тем, что у этого мессенджера только 10% переписки (так называемые секретные чаты) шифруется по методу end-to-end, а значит, у компании есть возможность дешифровать все остальные сообщения, утверждает Шмилов. «У Viber все чаты и звонки защищены сквозным шифрованием по умолчанию», — сообщил собеседник РБК. Павел Дуров не ответил на просьбу РБК прокомментировать это утверждение.
Нарушители
На вопрос, почему Viber в отличие от Telegram пока не вовлечен в судебные разбирательства ни с Роскомнадзором, ни с ФСБ, в компании не ответили.
Viber сейчас не зарегистрирован в России как организатор распространения информации (ОРИ; к ним относятся сервисы электронной почты, мессенджеры и др.). Согласно закону «Об информации, информационных технологиях и о защите информации», с 2014 года такие сервисы должны предоставить в Роскомнадзор данные о себе (наименование, страна регистрации, налоговый идентификатор и др.) для включения в специальный реестр, а также хранить на территории России данные о фактах приема, передачи и обработки голосовой информации, сообщений, изображений, видео и других видов коммуникации пользователей в течение шести месяцев.
В реестре ОРИ уже числятся почтовые клиенты Mail.Ru Group и «Яндекса», облачный сервис «Яндекс.Диск», соцсети «Мой мир», «Мой круг», «ВКонтакте», сервисы знакомств Mamba и Badoo, Snapchat, Telegram и др. Viber в реестре не значится — и закон пока не нарушает. Viber пока не значится в реестре ОРИ, подтвердил представитель Роскомнадзора. На вопрос, когда ведомство может направить Viber запрос на предоставление информации для включения в реестр, он заявил, что решение пока не принято. Предоставление данных для последующего включения в реестр осуществляется в течение пяти дней после запроса.
Еще одно законодательное требование, выполнение которого для Viber затруднительно, — это положения «закона Яровой», вступающие в силу с 1 июля 2018 года. С этого момента ОРИ будут обязаны хранить информацию о факте коммуникации их пользователей в течение года (сейчас — шесть месяцев), а содержание самих сообщений — полгода (в настоящий момент такого требования нет).
По словам Шмилова, компания будет не готова делать вещи, которые противоречат ее политике. В политике конфиденциальности Viber указывается, что компания не читает содержание сообщений и не прослушивает вызовы, совершенные в частном порядке с помощью Viber, а также не хранит эти сообщения после их доставки по назначению. Если по какой-то причине сообщение не было доставлено получателю в течение двух недель, оно будет удалено с серверов. «Главным приоритетом для нас остается конфиденциальность данных наших пользователей, и мы будем придерживаться этого принципа в любом случае. В том числе и потому, что сложно передать то, чего у нас нет», — настаивает Шмилов.
Мессенджеры без ключей
Проблема невозможности передать ключи для дешифровки актуальна не только для Telegram и Viber. Сквозное шифрование для всех чатов использует принадлежащий Facebook мессенджер WhatsApp. В пятницу, 23 марта, министр связи и массовых коммуникаций России Николай Никифоров , что у ведомства возникает гораздо больше вопросов к Facebook и WhatsApp, чем к Telegram, они касаются соблюдения законов, статуса ОРИ и взаимодействия с правоохранителями.
Представитель WhatsApp не ответил на вопросы РБК.
«Проблема передачи ключей существует не только у нас, — поясняет главный аналитик Российской ассоциации электронных коммуникаций Карен Казарян. — В Евросоюзе сейчас активно обсуждают, как будет работать полиция в свете развития криптографии и защиты персональных данных. Наши спецслужбы могут пойти по примеру ФБР в деле с Apple, когда власти взломали iPhone террориста с помощью нанятых хакеров, после того как компания отказалась с ними сотрудничать».
В принципе власти могут попросить сервисы внедрить специальное шифрование, ключи от которого хранились бы у ФСБ, продолжает Артем Козлюк, руководитель некоммерческой организации «Роскомсвобода», отстаивающей права пользователей. «Но, как правило, крупные компании дорожат своей репутацией и не станут дискредитировать себя перед пользователями. Тогда как российские сервисы типа госмессенджеров вполне могут подчиниться требованиям спецслужб», — заметил он.
Пока не нужен
По словам Артема Козлюка, никто не знает, какой сервис следующим привлечет внимание ФСБ и Роскомнадзора. «Скорее всего, это происходит в зависимости от конкретной ситуации, например в рамках расследования какого-то дела или подозрения, что преступники могли использовать тот или иной канал связи», — отметил Козлюк.
По его словам, до весны прошлого года в реестр ОРИ не вносились иностранные сервисы, но сейчас их стали активно включать. «До совсем крупных еще не дошли: видимо, блокировать их в случае отказа от сотрудничества страшновато. Поэтому пока не трогают WhatsApp, Facebook, Facebook Messenger», — говорит Козлюк.
Законопослушный сервис
Viber одним из первых отчитался о выполнении других законодательных новшеств в России: согласно поправкам к закону «О персональных данных», которые вступили в силу 1 сентября 2015 года, сервисы должны хранить данные россиян на территории страны. Уже спустя месяц Viber выполнил это требование. «В России будут храниться номера телефонов и логины пользователей. Сообщения мы не храним, они находятся на устройствах пользователей», — заявил тогда представитель компании. Viber насчитывает 100 млн зарегистрированных пользователей в России.
Практически все разработчики популярных мессенджеров позаботились о безопасности и анонимности своих пользователей. Именно эти два критерия для большинства людей становятся основополагающими при выборе подходящей программы. Основатели Viber не стали исключением, и в 2016 году объявили о введении в приложение новой функции – end-to-end encryption, что переводится как «сквозное шифрование».
Суть данной технологии заключается в непрерывной защите конфиденциальности и целостности передаваемой информации, что достигается за счет ее шифрования у отправителя и дешифрования у получателя. Для доступа к скрытым чатам достаточно ввести специальный пин-код, а владельцы устройств на базе iOS могут проходить авторизацию по отпечатку пальца. Это удобный способ защиты, который дает гарантию того, что доступ к исходному тексту сообщения имеется исключительно у участников беседы.
Принцип работы сквозной защиты
Шифрованию в Viber подвергаются не только текстовые сообщения, но и звонки, а также файлы, пересылаемые между пользователями. Для этого каждый из клиентов использует открытый и закрытый ключ. Их генерирование осуществляется автоматически в момент установки программы на устройствах обеих сторон. Публичная часть ключа отправляется на сервер Вибер, а закрытая остается на мобильном устройстве клиента для расшифровки полученных данных. По аналогичному принципу происходит защита и других устройств, работающих с этим аккаунтом.
Таким образом, никакое третье лицо, включая сам Вайбер, не сможет взломать шифрование и прочитать сообщение или подслушать разговор.
Функция сквозной защиты работает вне зависимости от того, на каком устройстве было установлено приложение. То есть если Вибер используется на нескольких девайсах одновременно, то защищенное подключение будет установлено на каждом из них.
Кроме этого, в новой версии мессенджера Viber 6.0 пользователи смогут наблюдать уровень защиты. Так, к примеру, значок серого цвета в окне чата будет означать, что пересылаемая информация подвергается шифрованию, а замок зеленого цвета будет сигнализировать о постоянном контроле ключа аутентификации контакта. Красный же цвет замка будет свидетельствовать о смене основного номера собеседника.
Сквозное шифрование в Вайбере не используется на устаревших версиях приложения, поэтому чтобы оценить преимущества данной функции, следует обновить его до последней версии.
Безопасность чатов
Чтобы обеспечить максимальную защиту при использовании мессенджера, необходимо придерживаться некоторых рекомендаций. К ним относится:
- Своевременное обновление приложения с каждым выходом новой версии. Сквозная защита чатов возможна только на актуальной версии программы.
- Верификация контактов, с которыми происходит регулярное общение.
- Блокировка сообщений от неизвестных отправителей. В случае необходимости всегда есть возможность их последующей разблокировки.
- Не стоит открывать сообщения, которые кажутся подозрительными.
Важно отметить, что функция сквозного шифрования способствует защите сообщений исключительно во время их передачи. Как только информация была доставлена на мобильное устройство, любой человек сможет подсмотреть ее на экране девайса.
Шифрование в Вайбере – удобный механизм защиты онлайн активности. Такая функция обеспечивает полную конфиденциальность передаваемой информации всех видов, при таком шифровании сообщения не расшифровываются сервером, история хранится на устройствах, с которых велась переписка.
