В одной из недавних публикаций обсуждалось интересное исследование безопасности различных систем обмена сообщениями. Оказалось, что самые популярные из них как раз не слишком заботятся о защите.
Но, по-видимому, упомянутое исследование имеет определенный вес. Во всяком случае, представители многих сервисов и EFF контактируют между собой, что можно видеть по журналу изменений внизу страницы по указанной ссылке. Изменения, кстати, не всегда позитивные.
К примеру, недавно у Skype сняли отметку за сквозное шифрование, которое подразумевает невозможность чтения сообщений провайдером. Аргументируется это тем, что она была поставлена несколько авансом, на основе утверждения (самого общего характера) самой Microsoft, связанного с августовским обновлением протокола (из материалов Сноудена следует, что прежний протокол, по-видимому, как-то ломался). Но с тех пор, к сожалению, Microsoft так и не предоставила никаких подробностей.
Инициатива же WhatsApp в журнале изменений пока не отражена. А она имеет самое непосредственное отношение к данной теме, поскольку в последнем клиенте для Android как раз появилось сквозное шифрование. Оно основывается на протоколе TextSecure, который разработан компанией Open Whisper Systems и используется в ее собственном ПО для приватных звонков и чата.
Это важный, но, конечно, только первый шаг, поскольку WhatsApp работает на многих платформах. Впрочем, разработчики обещают постепенно расширять поддержку шифрования и на другие клиенты. Кроме того, шифруются только персональные текстовые сообщения, групповой чат и медиа-контент пока остаются незащищенными.
Известно, что TextSecure генерирует новый ключ для каждого сообщения, так что расшифровка одного из них не поможет с другими. Однако общая организация сервиса, как считают эксперты, все-равно допускает атаки типа man-in-the-middle (в формате, скажем, совместных действий спецслужб и провайдера). Аналогичного мнения, к примеру, в EFF придерживаются и относительно Skype (даже если сквозное шифрование подтвердится).
К сожалению, нигде не комментируется, используется ли в WhatsApp оригинальный TextSecure (реализация которого открыта) или какой-то адаптированный вариант. Как обычно, в случае закрытого ПО редко можно быть уверенным в чем бы то ни было, разве что после какого-то серьезного независимого аудита.
Любопытно также, что, хотя североамериканские спецслужбы стараются всячески противодействовать распространению шифрованных коммуникаций, Open Whisper Systems получила почти полумиллионный грант от правительства США. Как говорится, даже если у вас паранойя, это еще не означает, что за вами не следят.