fbpx
Перейти к содержимому

Саша+Маша: основы безопасной переписки в XXI веке

    Леонид Лучко

    Школьник, в 10-м классе, не определился с жизненным путём.

    Я ещё не знаю, кем и как стану. Но думаю, что навыки, полученные на курсе Журналистики, пригодятся независимо от выбранной мной профессии. Ведь текст — это не только связная последовательность символов. Наша устная речь — тоже в некотором смысле текст. Текст окружает нас повсюду, человек любой профессии пишет и говорит. И я уверен, что умение писать хорошо важно не только в журналистике.

    Школа Голубицкого сильно помогла мне в поиске амплуа и навыке писать связный и стилистически верный текст. Именно потому, помимо методов работы с информацией (МИНОА), мне очень понравился блок Стилистики!

    Анастасия Юрьевна всегда интересовалась моими успехами, и в случае вопросов давала длинный и понятный ответ. Причём независимо от времени суток! Бывает, пишешь в 11 часов вечера задание, появляется вопрос, задаёшь его в личные сообщения и думаешь «Ответит утром». Но буквально сразу же получаешь отклик. 

    Сергей Михайлович тоже помогал с вопросами во время конференций, давал советы и наставления, направлял в нужную сторону. Спасибо Анастасии и Сергею за этот курс, за знания и навыки, которые я получил на нём!

    Ну и, конечно, не могу не упомянуть Михаила Казанцева и Анжелику! Они вели факультативы. Михаил по психологии, а Анжелика — по созданию видео. На этих занятиях я тоже узнал много нового и интересного!

    Были у нас и другие преподаватели: Анастасия Соломонова, Александра, Татьяна и Василий… Они тоже вели увлекательные и полезные занятия. Спасибо им!

    САША+МАША:
    основы безопасной переписки в XXI веке

    В последнее время люди всё чаще предпочитают пользоваться для связи системами мгновенного обмена сообщениями, иначе говоря, мессенджерами. Это объясняется достаточно просто: мобильный интернет становится всё дешевле, а телефонные разговоры неизменно дороги. К тому же, люди стали столь занятыми, что звонить кому-то считается уже даже неприличным — слишком много отнимаешь времени и, возможно, в совсем не подходящий момент.

    Как бы там ни было, даже если ты максимально консервативный человек и предпочитаешь звонки текстовым сообщениям, на удалёнке всё-таки придётся общаться с помощью этих самых мессенджеров.

    Выбор в таких случаях обычно незатейлив: что использует большинство коллег, одноклассников или однокурсников, то используешь и ты.

    Но как определиться с приложением для безопасного общения с родными и друзьями? Как правило, выбирают по такому же принципу: «что использует окружение, тем буду пользоваться и я».

    Можно ли тогда говорить о какой-то безопасности? Вообще нужна ли эта пресловутая безопасность?

     «Что мне там шифровать? Секретный рецепт гречки от кого-то прятать? Я же не преступник — пускай читают что хотят…» Так считают многие интернет-пользователи, однако не всё так просто.

    Даже если ты сейчас школьник и у тебя нет ничего столь ценного, что следует прятать от посторонних глаз, тебе необходимо развивать навык цифровой гигиены. Иначе, когда станешь зрелым человеком с высокой ценностью личного пространства, будешь неспособен свои данные как следует защитить. А так как в XXI в. цифровой мир неразрывно связан с миром реальным, несложно догадаться, насколько это важно.

    Не говоря уже о государственных секретах или коммерческих тайнах, если личная переписка станет публичной, это очень малоприятно. Ведь в личных сообщениях мы обсуждаем свои страхи и проблемы, так или иначе многие затрагивают политические или социально острые темы, национальные, религиозные вопросы или ориентацию.

    Слив такой переписки может стать серьёзным ударом по репутации. А репутация — это такая данность, которая одна на всю жизнь. С возраста уголовной ответственности она идёт с человеком по жизни. Понизив репутацию один раз, можно её уже и не поднять.

    Как тогда выбрать действительно безопасный способ общения? Предлагаю разобраться.

    Необходимость в безопасном общении появилась давно, тогда люди придумали шифры. Первым известным применением шифров принято считать использование специальных иероглифов около 4000 лет назад в Древнем Египте. Правда, в то время это делалось не столько для того, чтобы затруднить чтение третьим лицам, сколько для соревнования в остроумии и изобретательности между писарями.

    Самый популярный способ шифрования — шифр Цезаря, которым наверняка многие пользовались в детском саду или в начальных классах. Тот вариант, когда буквы в алфавите сдвигаются на определённое число позиций или же просто перемешиваются. В случае смещения букв, ключ — это число, на которое нужно каждую букву сдвинуть, или же ключ — позиция каждой отдельной буквы, в случае если они перемешаны.



    Было изобретено много других шифров, но у всех оставалась проблема, с которой человечеству пришлось столкнуться в конце XX столетия.

    В конце прошлого века учёные придумали компьютеры, и люди начали общаться с помощью Сети. Проблема старых методов проявилась в том, что для безопасного общения людям было необходимо физическое присутствие для обмена ключами.

    Возникла также сложность с количеством ключей, ведь каждому участнику коммуникации было необходимо иметь по одному ключу для каждого собеседника. А если участников много, то и ключей приходилось хранить много.

    Первые попытки решения этих сложностей предпринял британский криптограф Джеймс Генри Эллис в 1970 г. Он придумал систему шифрования «с открытым ключом», хотя математического решения ещё не изобрёл.

    Идея была в следующем. Представьте, что Маша покупает замок и отправляет открытый замок Саше, оставляя ключ от замка себе. Затем Саша пишет своё сообщение, прячет в «шкатулку», запирает на замок и отсылает Маше. Маша получает «шкатулку», отпирает её своим ключом (т.е. расшифровывает) и читает послание Саши. Таким образом Маша может раздавать свой замок всем, а ключ для расшифровки будет только один.

    Несколько лет спустя, независимо от Джеймса Эллиса, в работе «Новые направления в современной криптографии» (1976) американские специалисты Уитфилд Диффи и Мартин Хеллман предложили усовершенствованную систему шифрования «с открытым ключом».

    Находясь под влиянием работы другого американского учёного — Ральфа Меркла, они предложили способ передачи секретных ключей по так называемому открытому каналу. Этот способ обмена ключами, который стал известен как метод Диффи-Хеллмана, был первым опубликованным практичным методом обмена секретными ключами между заверенными пользователями канала.



    Объяснение протокола с формулами будет сложным для описания текстом, поэтому снова расскажу образно без деталей.

    На компьютере Маши генерируется (выпускается) пара ключей (открытый и закрытый). На компьютере Саши тоже генерируется собственная пара — открытый и закрытый ключи. Маша посылает Саше свой открытый (его еще называют, публичнымключ, а Саша посылает Маше свой открытый ключ. Далее Маша соединяет свой закрытый ключ с открытым ключом Саши и выводит по определённой формуле общий секретный ключ, который затем будет использовать для шифрования своих сообщений Саше. Саша точно так же соединяет свой закрытый ключ с открытым ключом Маши и создаёт общий секретный ключ, который полностью совпадает с общим секретным ключом, созданным Машей. В итоге у Маши и Саши на руках оказывается один и тот же секретный ключ, который они и будут использовать для обмена сообщениями.

    С историей и теорией более или менее разобрались. Но зачем нам всё это знать?

    Наверняка вы замечали в чате или при использовании аудио/видеозвонков в WhatsApp надпись «Все сообщения и звонки защищены сквозным шифрованием». Многие ли задавались вопросом, что такое это «сквозное шифрование»?

    Сквозное шифрование, также известное как End-to-end Encryption (E2EE), — способ передачи данных, при котором только участвующие в общении пользователи имеют доступ к сообщениям. Причём нет какого-то единого стандарта сквозного шифрования, поэтому каждый разработчик в своём мессенджере реализует его по-разному.

    Для обмена ключами в сквозном шифровании могут быть применены и симметричный, и асимметричный алгоритмы, о которых мы говорили выше. Предполагается, что ключи шифрования известны только общающимся между собой сторонам, поэтому для реализации данного условия часто используют уже знакомый нам протокол Диффи-Хеллмана, который задействован, например, в Telegram и WhatsApp.

    Так неужели это значит, что популярные Telegram и WhatsApp — лучшие решения для безопасного общения? К сожалению, нет. Многие компании прибегают к разным хитростям и используют «псевдо-сквозное шифрование».

    Например, этим занимается, или по крайней раньше занимался Zoom. Компания громче всех заявляла, какое у них надёжное шифрование. На деле же оказалось, что шифрование происходит не между пользователями, а между серверами. А лучшее шифрование, на которое могли рассчитывать клиенты, это самый простой протокол TLS, который используется при соединении с любым современным сайтом.



    Чем же такие способы опасны? Казалось бы, сервера шифруются, подключение тоже защищено… А опасно это тем, что между пользователем и сервером никто ничего может и не увидит, но сам Zoom всë видит прекрасно, ведь для того, что шифруется между серверами, у Zoom есть ключи.

    Или показательный пример с WhatsApp. Только в 2016 г. в приложение было добавлено End-to-end шифрование, однако сразу же WhatsApp начал агрессивно требовать создать резервную копию своих чатов в облаке, даже не предупредив, что данные, перенесённые в iCloud или Google Drive, хранятся там в незашифрованном виде. Но и тех пользователей, которые не применяют возможности бэкапа в облако, всё ещё легко отследить с помощью резервных копий контактов или незаметных изменений ключа. Это я ещё молчу про уязвимости, которые там постоянно находят.

    И, конечно, не могу не упомянуть так любимый всеми борцами за свободу в Интернете Telegram от команды Павла и Николая Дуровых.

    В случае с Telegram дело обстоит лучше, чем с Zoom или WhatsApp, но тоже не так радужно, как хотелось бы. Многие знают историю с блокировкой этого мессенджера: мол, ФСБ хотела получить от Павла какие-то ключи шифрования, а он им не дал, заявив, что выдать ключи невозможно технически. Тогда многие в Интернете смеялись: де, в ФСБ все тупые, ничего не понимают. Ирония в том, что те, кто так говорил, скорее всего сами не до конца понимали, как всё работает. Выдать ключи ФСБ вполне возможно, и Павел даже сам предлагал органам сотрудничество.

    В Telegram есть два типа переписки: облачная и секретная. В случае с секретной перепиской всё достаточно просто: сервер не участвует в шифровании, а лишь перекидывает зашифрованные сообщения с одного устройства на другое. Всё шифрование и дешифрование происходят на устройствах пользователей, ключи хранятся там же — на устройствах. Переписка в секретном чате привязана к устройству и не может быть открыта на другом гаджете. Сервер даже не хранит передаваемые сообщения.

    Получить доступ к сообщениям в случае с облачной перепиской можно с любого устройства, а это значит, что сервер хранит сообщения. Собеседником в данном случае является уже сервер, а так как алгоритм Диффи-Хелмана предполагает наличие одного общего ключа у собеседников, то получается что Telegram хранит не только переписки на сервере в зашифрованном виде, но и ключи для их расшифровки!

    Какой вывод из сказанного должен сделать пользователь? Даже тот, которому пока «нечего скрывать». Нельзя доверять компаниям на слово! Основы криптографии сегодня — необходимые базовые знания в сфере технологий. Они как минимум помогут разобраться, какие инструменты для общения стоит предпочесть, и где может таиться опасность потери или разглашения личных данных.