Анонімний Telegram: правда про безпеку віртуального спілкування
2016-10-18 19:39:07
в:
Це питання стало ще більш актуальним після викриттів Сноудена. Саме концепцію безпеки мав на увазі Павло Дуров, коли разом з братом Миколою створював анонімний Telegram. За заявою розробників, даний месенджер здатен забезпечити безпеку як від звичайних хакерів, так і від дій урядових спецслужб. Але чи відповідає це дійсності? Давайте розберемося нижче.
Основні параметри інформаційної безпеки
В основі програми лежить інноваційна розробка - протокол MTProto, який передбачає використання декількох протоколів шифрування.
DH-2048, RSA-2048 (для авторизації та автентифікації);
AES (для пересланих повідомлень);
SHA-1, MD5 (криптографічні хеш-алгоритми).
Під час передачі повідомлень відбувається шифрування за допомогою алгоритму AES з ключем, відомим клієнту і серверу. При цьому захист від перехоплення повідомлень сервером забезпечується тільки в спеціальному анонімному режимі Telegram під назвою Secret Chats, де учасники мають загальний ключ, відомий тільки їм. На відміну від стандартного режиму, наскрізне шифрування виключає можливість розшифровки повідомлень, а історія розмов зберігається тільки на пристроях користувачів.
Організація конкурсів з пошуку дефектів
З моменту виходу цього анонімного месенджера на ринок (серпень 2013 року) його розробники, зокрема Павло Дуров, почали організовувати конкурси серед експертів з криптографії з метою виявлення недоліків у безпеці.
І ось, наприклад, один з таких конкурсів відбувся;
Завдання конкурсантів полягало в тому, щоб розшифрувати розмову Павла Дурова та його брата в секретному чаті, використовуючи зашифрований обмін даними між сервером і додатком. Буквально через кілька днів після початку змагань одному з учасників вдалося знайти ваду в системі. Справа в тому, що користувач отримував параметри ключа від сервера без перевірки. Така помилка знижувала криптографічну цілісність і дозволяла провести приховану MITM-атаку. Хоча цій людині не вдалося розшифрувати розмову між Павлом і Миколою, їй виплатили половину гонорару, а саме 100 тисяч доларів.
Незважаючи на комунікабельність розробників та прагнення спільними зусиллями виявити недоліки безпеки, багато експертів скептично ставляться до подібних конкурсів. Відсутність переможців ще не є гарантією абсолютної безпеки, адже умови ставить розробник, а аналіз часто проводять випадкові люди. Крім того, 200 тисяч доларів - невелика сума для експертів з криптографії, тому навряд чи в таких конкурсах беруть участь найкращі представники.
Чи дозволяє анонімний Telegram забезпечити повну безпеку спілкування?
Основний аргумент противників даного додатку полягає в прив'язці користувача до його номера телефону. Питання в тому, чи можна вважати цей месенджер анонімним, якщо на сервері зберігаються дані телефонії, які можуть розповісти про людину практично все, включаючи наступну інформацію:
повне ім'я;
точні географічні координати;
персональні дані тощо;
Аутентифікація здійснюється за допомогою текстового повідомлення, де вказується одноразовий код підтвердження входу. Ще більше насторожує відсутність пароля. Іншими словами, користувачеві достатньо ввести код з повідомлення, щоб увійти в систему. Сервіс характеризується великою кількістю складних алгоритмів шифрування, але не має елементарного пароля. Таким чином, увійти в обліковий запис клієнта можна за допомогою перехоплення текстових повідомлень (що не є надскладним завданням для спецслужб).
Безумовно, зберігання інформації на захищених серверних майданчиках США надає користувачам певні гарантії. Однак сам факт того, що особиста інформація клієнта може стати доступною третій стороні, суперечить ідеї абсолютної анонімності. Крім того, нещодавні події в США (коли внаслідок хакерської атаки було зламано електронну поштову скриньку Гілларі Клінтон, яка претендує на посаду президента США) свідчать про вразливість сучасних систем комп'ютерної безпеки.
Висновок
Без сумніву, Telegram має складні алгоритми шифрування, які дозволяють досягти високого рівня безпеки даних при спілкуванні в режимі секретного чату. Водночас, прив'язка до номера телефону не дозволяє говорити про абсолютну безпеку і підтвердити, що інформація не стане доступною третім особам в результаті хакерської атаки.
Підводячи підсумок: чи варто використовувати цей додаток? Це ідеальний варіант для тих користувачів, які хочуть отримати швидкий і зручний сервіс для приватного спілкування. Однак, якщо мова йде про людей з параноїдальним складом розуму, які хочуть бути впевненими в абсолютній безпеці розмови та персональних даних, то Telegram не може цього гарантувати. Інша справа, що існування будь-якого іншого месенджера, який би надавав такі гарантії, сьогодні залишається під питанням.
Під час передачі повідомлень відбувається шифрування за допомогою алгоритму AES з ключем, відомим клієнту і серверу. При цьому захист від перехоплення повідомлень сервером забезпечується тільки в спеціальному анонімному режимі Telegram під назвою Secret Chats, де учасники мають загальний ключ, відомий тільки їм. На відміну від стандартного режиму, наскрізне шифрування виключає можливість розшифровки повідомлень, а історія розмов зберігається тільки на пристроях користувачів.
Незважаючи на комунікабельність розробників та прагнення спільними зусиллями виявити недоліки безпеки, багато експертів скептично ставляться до подібних конкурсів. Відсутність переможців ще не є гарантією абсолютної безпеки, адже умови ставить розробник, а аналіз часто проводять випадкові люди. Крім того, 200 тисяч доларів - невелика сума для експертів з криптографії, тому навряд чи в таких конкурсах беруть участь найкращі представники.
Аутентифікація здійснюється за допомогою текстового повідомлення, де вказується одноразовий код підтвердження входу. Ще більше насторожує відсутність пароля. Іншими словами, користувачеві достатньо ввести код з повідомлення, щоб увійти в систему. Сервіс характеризується великою кількістю складних алгоритмів шифрування, але не має елементарного пароля. Таким чином, увійти в обліковий запис клієнта можна за допомогою перехоплення текстових повідомлень (що не є надскладним завданням для спецслужб).
Безумовно, зберігання інформації на захищених серверних майданчиках США надає користувачам певні гарантії. Однак сам факт того, що особиста інформація клієнта може стати доступною третій стороні, суперечить ідеї абсолютної анонімності. Крім того, нещодавні події в США (коли внаслідок хакерської атаки було зламано електронну поштову скриньку Гілларі Клінтон, яка претендує на посаду президента США) свідчать про вразливість сучасних систем комп'ютерної безпеки.
Підводячи підсумок: чи варто використовувати цей додаток? Це ідеальний варіант для тих користувачів, які хочуть отримати швидкий і зручний сервіс для приватного спілкування. Однак, якщо мова йде про людей з параноїдальним складом розуму, які хочуть бути впевненими в абсолютній безпеці розмови та персональних даних, то Telegram не може цього гарантувати. Інша справа, що існування будь-якого іншого месенджера, який би надавав такі гарантії, сьогодні залишається під питанням.
