Можно ли обеспечить абсолютную анонимность общения в современных условиях – этот вопрос стал еще более актуальным после разоблачений Сноудена. Именно на концепции безопасности решил сыграть Павел Дуров, который вместе со своим братом Николаем создал анонимный Телеграмм. По заявлению разработчиков данный мессенджер способен обеспечить защиту не только от рядовых злоумышленников, но и от действий государственных спецслужб. Но так ли это на самом деле? Попробуем разобраться ниже.
Основные параметры защиты информации
В основе приложения лежит собственная разработка – протокол MTProto, который предполагает применение нескольких протоколов шифрования. Для защиты данных используются следующие алгоритмы:
DH-2048, RSA-2048 (для авторизации и аутентификации);
AES (для пересылаемых сообщений);
SHA-1, MD5 (криптографические хеш-алгоритмы).
В процессе передачи сообщений шифрование осуществляется посредством алгоритма AES с ключом, который известен клиенту и серверу. При этом защита от перехвата сообщений сервером реализуется только в специальном режиме анонимного Телеграмма – «Secret Charts» (секретный чат), где отправитель и получатель имеют общий ключ, известный только им. В отличие от стандартного режима, End-to-End шифрование исключает вероятность расшифровывания сообщений, а история переписки хранится только на устройствах клиентов.
Организация конкурсов для поиска уязвимостей
С момента выхода анонимного мессенджера в массы (август 2013 г.) его разработчики, в частности Павел Дуров, стали организовывать конкурсы среди экспертов криптографии с целью выявления уязвимостей.
Первый такой проект был организован в конце 2013 г. Перед участниками стояла задача расшифровать переписку Павла с братом, которая проводилась в секретном чате, используя для этого зашифрованные данные обмена между приложениями и сервером. Всего через несколько дней после старта конкурса один из участников обнаружил уязвимость системы. Она заключалась в том, что пользователь получал от сервера параметры для ключа без проверки. Такой баг снижал криптографическую стойкость и позволял провести скрытую MITM-атаку. И хотя расшифровку переписки между Павлом и Николаем произвести не удалось, была выплачена половина суммы гонорара - $100 тыс.
Несмотря на, казалось бы, открытость разработчиков к диалогу и стремление найти изъяны общими усилиями, многие специалисты скептически относятся к организации подобных конкурсов. Отсутствие победителей еще не гарантирует полную защищенность продукта, поскольку условия задаются разработчиком, а анализ производится зачастую случайными людьми. Кроме того, $200 тыс. призовых – это небольшая сумма для экспертов-криптографов, поэтому вероятность, что их лучшие представители принимают участие в таких конкурсах, достаточно мала.
Позволяет ли анонимный Телеграмм обеспечить полную безопасность общения
Главным аргументом противников данного приложения является привязка пользователя к номеру телефона. Может ли мессенджер считаться анонимным, если на сервере хранятся телефонные данные, по которым о человеке можно узнать практически все:
ФИО;
точные географические координаты;
контакты;
паспортные данные и т.д.
Аутентификация осуществляется посредством СМС, в котором указывается одноразовый код для подтверждения входа. Что настораживает еще больше – отсутствие пароля. То есть пользователю для авторизации достаточно ввести код из сообщения на телефоне. При множестве сложных алгоритмов шифрования элементарный пароль отсутствует. Таким образом, посредством перехвата СМС (что для спецслужб не является делом особой сложности), можно войти в аккаунт клиента.
Конечно, хранение информации на защищенных серверных площадках США предоставляет пользователям определенные гарантии. Однако сам факт того, что личная информация клиента может стать доступной третьему лицу противоречит идеи абсолютной анонимности. Кроме того, последние события в США, когда благодаря хакерской атаке была вскрыта почта кандидата в президенты Хиллари Клинтон, свидетельствует об уязвимости современных компьютерных систем безопасности.
Вывод
Без сомнения, Telegram обладает сложными алгоритмами шифрования, которые позволяют добиться высокого уровня защиты данных при общении в режиме секретного чата. Вместе с тем, привязка аккаунта к номеру телефона не позволяет говорить о стопроцентной безопасности, и что в результате атаки информация о клиенте не станет доступной третьим лицам.
В качестве итога: стоит ли пользоваться приложением? Для тех, кто хочет получить быстрый и удобный сервис с целью частного общения – это отличный вариант. Однако для людей с параноидальным настроением, которые хотят быть уверены в абсолютной защищенности переписки и персональных данных, Telegram не сможет Вам это гарантировать. Другое дело, что вряд ли какой-то другой мессенджер сегодня может предоставить подобные гарантии.
В процессе передачи сообщений шифрование осуществляется посредством алгоритма AES с ключом, который известен клиенту и серверу. При этом защита от перехвата сообщений сервером реализуется только в специальном режиме анонимного Телеграмма – «Secret Charts» (секретный чат), где отправитель и получатель имеют общий ключ, известный только им. В отличие от стандартного режима, End-to-End шифрование исключает вероятность расшифровывания сообщений, а история переписки хранится только на устройствах клиентов.
Несмотря на, казалось бы, открытость разработчиков к диалогу и стремление найти изъяны общими усилиями, многие специалисты скептически относятся к организации подобных конкурсов. Отсутствие победителей еще не гарантирует полную защищенность продукта, поскольку условия задаются разработчиком, а анализ производится зачастую случайными людьми. Кроме того, $200 тыс. призовых – это небольшая сумма для экспертов-криптографов, поэтому вероятность, что их лучшие представители принимают участие в таких конкурсах, достаточно мала.
Аутентификация осуществляется посредством СМС, в котором указывается одноразовый код для подтверждения входа. Что настораживает еще больше – отсутствие пароля. То есть пользователю для авторизации достаточно ввести код из сообщения на телефоне. При множестве сложных алгоритмов шифрования элементарный пароль отсутствует. Таким образом, посредством перехвата СМС (что для спецслужб не является делом особой сложности), можно войти в аккаунт клиента.
Конечно, хранение информации на защищенных серверных площадках США предоставляет пользователям определенные гарантии. Однако сам факт того, что личная информация клиента может стать доступной третьему лицу противоречит идеи абсолютной анонимности. Кроме того, последние события в США, когда благодаря хакерской атаке была вскрыта почта кандидата в президенты Хиллари Клинтон, свидетельствует об уязвимости современных компьютерных систем безопасности.
В качестве итога: стоит ли пользоваться приложением? Для тех, кто хочет получить быстрый и удобный сервис с целью частного общения – это отличный вариант. Однако для людей с параноидальным настроением, которые хотят быть уверены в абсолютной защищенности переписки и персональных данных, Telegram не сможет Вам это гарантировать. Другое дело, что вряд ли какой-то другой мессенджер сегодня может предоставить подобные гарантии.
