В WhatsApp взялись за ум?

20 ноябрь, 2014 - 15:51Игорь Дериев

В одной из недавних публикаций обсуждалось интересное исследование безопасности различных систем обмена сообщениями. Оказалось, что самые популярные из них как раз не слишком заботятся о защите.

Но, по-видимому, упомянутое исследование имеет определенный вес. Во всяком случае, представители многих сервисов и EFF контактируют между собой, что можно видеть по журналу изменений внизу страницы по указанной ссылке. Изменения, кстати, не всегда позитивные.

К примеру, недавно у Skype сняли отметку за сквозное шифрование, которое подразумевает невозможность чтения сообщений провайдером. Аргументируется это тем, что она была поставлена несколько авансом, на основе утверждения (самого общего характера) самой Microsoft, связанного с августовским обновлением протокола (из материалов Сноудена следует, что прежний протокол, по-видимому, как-то ломался). Но с тех пор, к сожалению, Microsoft так и не предоставила никаких подробностей.

Инициатива же WhatsApp в журнале изменений пока не отражена. А она имеет самое непосредственное отношение к данной теме, поскольку в последнем клиенте для Android как раз появилось сквозное шифрование. Оно основывается на протоколе TextSecure, который разработан компанией Open Whisper Systems и используется в ее собственном ПО для приватных звонков и чата.

Это важный, но, конечно, только первый шаг, поскольку WhatsApp работает на многих платформах. Впрочем, разработчики обещают постепенно расширять поддержку шифрования и на другие клиенты. Кроме того, шифруются только персональные текстовые сообщения, групповой чат и медиа-контент пока остаются незащищенными.

Известно, что TextSecure генерирует новый ключ для каждого сообщения, так что расшифровка одного из них не поможет с другими. Однако общая организация сервиса, как считают эксперты, все-равно допускает атаки типа man-in-the-middle (в формате, скажем, совместных действий спецслужб и провайдера). Аналогичного мнения, к примеру, в EFF придерживаются и относительно Skype (даже если сквозное шифрование подтвердится).

К сожалению, нигде не комментируется, используется ли в WhatsApp оригинальный TextSecure (реализация которого открыта) или какой-то адаптированный вариант. Как обычно, в случае закрытого ПО редко можно быть уверенным в чем бы то ни было, разве что после какого-то серьезного независимого аудита.

Любопытно также, что, хотя североамериканские спецслужбы стараются всячески противодействовать распространению шифрованных коммуникаций, Open Whisper Systems получила почти полумиллионный грант от правительства США. Как говорится, даже если у вас паранойя, это еще не означает, что за вами не следят.