Степан Коршаков, основатель корпоративного мессенджера Actor и экс-разработчик Telegram, написал AD о том, в чем изначальная ошибка всех споров о защищенной переписке, и о том, что дело совсем даже не только в шифровании трафика, а в возможности получения злоумышленником физического доступа к устройству.
#самизнаетекакиекнопки
Когда заходит речь о том, какой мессенджер защищеннее, говорят обычно о шифровании трафика, совершая при этом большую ошибку: из-за шифрования напрочь забывают о других важнейших составляющих, и это превращается в спор, оторванный от реальной жизни. В которой получить доступ к вашей переписке могут не только перехватывающие трафик: источником утечки может быть и кто-то с физическим доступом к устройству, и даже вы сами.
Простой сценарий: вы в мессенджере пытаетесь переслать важное сообщение одного из ваших собеседников другому, но из-за того, что вы участвуете в нескольких оживленных чатах, список последних диалогов постоянно меняется — и когда вы кликаете, под вашим курсором вместо желаемого адресата внезапно оказывается беседа с десятками посторонних участников. Получается, каким бы невероятным ни было шифрование такого мессенджера, на практике он ненадежный из-за интерфейсного решения.
И в жизни подобные вещи могут оказываться куда важнее шифрования. Одна и та же девушка может отказываться прислать парню откровенные фотографии личным сообщением в соцсети, но в то же время легко делать это в приложении для парочек Couple. Потому что в соцсети легко переслать сообщение кому-то, да и вообще там ее бабушка сидит, а в приложении интимная обстановка для двоих. При этом у соцсети трафик может быть защищеннее, но для девушки это ничего не меняет. И при этом парень все равно технически имеет возможность переслать фотографии кому-то, то есть ключевой оказывается не принципиальная невозможность нарушения приватности (которую пытаются получить шифрованием), а атмосфера.
В Telegram, помимо шифрования, задумывались о таких вещах (поэтому, например, нельзя пересылать сообщения из secret chats), однако там есть свои проблемные места.
Если кто-то получил физический доступ к вашему незаблокированному смартфону, он может авторизоваться за вас на своем устройстве, и благодаря синхронизации вся ваша переписка пойдет и к нему.
Понятно, что со стороны мессенджера сложно полностью обезопасить пользователя от такого, но существует простейшая мера предосторожности: показывать в настройках список устройств, у которых в данный момент есть доступ к аккаунту. Этой мерой пренебрегли, сделав лишь кнопку «terminate all sessions», которой теоретически можно отключить всех злоумышленников, но уже на следующий день никаких гарантий снова не будет.
С secret chats, которые не синхронизируются между устройствами, в Telegram отдельная история: нет однозначных правил, какое из устройств принимает входящий запрос начала чата. Если у вас айфон и Android-планшет, и друг решил создать секретный диалог с вами, то планшет может за вас одобрить запрос, а вы на айфоне увидите уведомление о чате, ведущее в никуда, не поймете, что это было, и пропустите важную беседу. Но это не худший вариант, хуже, если в этот момент под вашим аккаунтом где-то залогинен недруг: он может принять запрос и поговорить с кем-то от вашего имени, а вы об этом даже не узнаете.
Если лично вас сейчас кто-то захочет взломать, он скорее будет использовать подобные вещи, чем расшифровывать трафик. Поэтому и защищаться надо от физического доступа. Как именно? Вот, например, метод защиты: чтобы при запуске мессенджера он выглядел полностью функционирующим, но на самом деле отображал только часть диалогов, и необходимо было сделать еще одну неочевидную операцию, чтобы показал также скрытые. В этом случае, если кто-то физически возьмет ваш смартфон, он увидит милую переписку о погоде и с высокой вероятностью даже не догадается, что это не всё имеющееся. Это напрашивается, но почему-то в этом направлении толком идет только индийский Hike.
Более жесткий вариант — для тех, кто боится, что однажды у него под дулом пистолета потребуют показать всю переписку со всеми скрытыми диалогами. Для них можно сделать так, чтобы при определенных действиях (условно, ввести пароль задом наперед) все помеченные секретными сообщения тут же навсегда удалялись, а остальные выводились.
В таком случае не возникнет даже подозрений «у него должен быть диалог с таким-то»: сам диалог останется и будет выглядеть правдоподобным.
Другая важная вещь, о которой недостаточно говорят: возможность перехода между защищенностью и удобством. Защищенность представляют абсолютным добром для пользователя, но это не так, потому что она требует больших жертв. В Confide сообщения можно читать только по одному слову, водя пальцем по экрану, после чего они удаляются, и при всей надежности это страшно неудобно. Как и веб-версия WhatsApp, которую можно использовать только в связке с Android-смартфоном и при ряде условий: это ради end-to-end шифрования, хотя многие пользователи охотно расстались бы с ним во имя удобной веб-версии.
Как показывают истории с почтой Хиллари Клинтон и тому подобным, люди выбирают удобство коммуникации даже тогда, когда правила прямо предписывают им другой вариант, так что защищенность может быть недостатком.
Зачастую в связи с этим решают «надо найти золотую середину». Но правильнее был бы другой подход: гибкая смена настроек в зависимости от ситуации. Одному и тому же пользователю нужно то «чтобы точно никто не узнал», то «чтобы я потом в истории сообщений это найти мог» (а любое сохранение истории уже бьет по защите). Если бы он мог просто «переводить рычажок» между тремя разными положениями (в идеале в рамках одного и того же диалога), могли бы быть и волки сыты, и овцы целы.
Особенно актуально это при использовании мессенджера в организации: там уже могут существовать разные уровни допуска к информации, и режимы могли бы им соответствовать. В офлайне давно поняли, что для документов полезны разные варианты «secret» и «top secret», а в мессенджерах пока не понимают. Но это еще и технически сложно реализовать: в диалогах «один на один» такой рычажок не проблема встроить, а вот с групповыми чатами совсем другое дело.
В итоге ни Threema, ни TextSecure при своих словах о защищенности не дают людям то, что им реально от защищенности нужно. В эту сторону пошел лишь тот же Telegram, разделив обычные диалоги и secret chats, но тоже недалеко ушел. Во-первых, два варианта — недостаточно гибко, во-вторых, Telegram не доносит внятно до пользователей разницу этих вариантов. Это приводит к тому, что рядовой пользователь считает всю свою переписку там максимально зашифрованной, и может очень неприятно удивиться, узнав, что по умолчанию об end-to-end речи не идет.
В общем, тут еще есть, чем заняться — и при этом мне кажется, что многие мессенджеры, до недавнего времени реализовывавшие стандартную функциональность, теперь более-менее разобрались с ней и готовы перейти к чему-то большему. Поэтому на этом рынке нас в ближайшие годы ждет много интересного.
About the author
