FAQ: Что такое шифрование в мессенджерах и зачем оно нужно?

«Теплица» отвечает на вопросы, кажущиеся простыми

В этой рубрике Сергей Смирнов, эксперт по цифровой безопасности Теплицы социальных технологий, отвечает на вопросы, которые только кажутся простыми.

— Шифрование — это вообще обязательно?

— Да, шифрование в мессенджерах используется для обеспечения конфиденциальности данных. Это важная функция. Она есть во всех популярных мессенджерах, например, WhatsApp, Signal, Telegram, Viber, Facebook Messenger.

— Его нужно как-то отдельно включать?

— Как правило, шифрование уже работает. Вам не надо что-то специально включать и настраивать. Но эту функцию могут реализовать по-разному. Иногда шифрование происходит в самом сервисе мессенджера. А бывает, что сообщение шифруется на устройстве отправителя и расшифровывается строго на устройстве получателя. Такая технология называется сквозным шифрованием (иногда оконечным шифрованием). При этом сервис самого мессенджера не имеет ключей, с помощью которых он мог бы расшифровать проходящий через него шифрованный трафик. Даже если злодей придет к владельцу мессенджера и с угрозами потребует выдать содержимое переписки между вами и вашим другом, владелец мессенджера только разведет руками.

— В каких мессенджерах сквозное шифрование включено, а где его нужно включать вручную?

— У WhatsApp, Signal и Viber сквозное шифрование включено по умолчанию. В Telegram и Facebook Messenger придется включать отдельно. Разработчики Telegram назвали эту функцию «секретный чат», а в Facebook Messenger она называется «секретная переписка».

— Значит, нужно просто включить секретный чат в Telegram? 

— Это не совсем просто. Множество пользователей избегают лишних манипуляций, поэтому секретные чаты в Telegram сравнительно редки. Кроме того, секретные чаты доступны лишь для двоих собеседников, и групповую беседу так не защитишь. А еще секретный чат Telegram можно вести только с мобильного устройства. Десктоп-версии эту функцию не поддерживают.

— Это ошибка? Или специально так сделано?

— Это позиция разработчика, который на первое место выводит удобство для пользователя. (По той же причине данные чатов Telegram хранятся на сервере: так удобнее, если нужно установить Telegram на новом устройстве.) Сквозное шифрование рассматривается как функция не для всех, а для особо требовательных пользователей. За такой подход мессенджер неоднократно критиковали эксперты по безопасности. Сквозное шифрование — важная, даже необходимая составляющая современных коммуникаций. Пользователи могут не беспокоиться, что их переписку — пусть даже теоретически — расшифрует и прочтет кто-то, кроме них самих. Можно сказать, что это составная часть общей культуры приватности современного человека.

— Что ж мне теперь — менять Telegram на другой мессенджер?

— Если вы считаете Telegram недостаточно безопасным, в том числе из-за ограничений в сквозном шифровании, мы бы советовали не передавать по этому мессенджеру самые важные данные. Возможно, лучше выбрать для этого иной мессенджер. Сегодня чаще других называют Signal. В нем сквозное шифрование включено по умолчанию, есть и в мобильных, и в десктопных версиях, и в мультичатах. Хотя и у Signal есть свои недостатки. Например, он тоже привязывается к номеру мобильного телефона. В тех странах, где покупка SIM-карты происходит с идентификацией человека, это автоматически означает невозможность анонимного общения. Анонимность иногда жизненно необходима: например, если человек хочет сообщить о нарушении прав человека, но опасается, что его идентифицируют и начнут преследовать. Ну и, в конце концов, сквозное шифрование — лишь один из критериев современного безопасного мессенджера. Есть и другие критерии.

— Какие критерии?

— Открытый код, доступность для разных платформ, хранение чатов на устройстве пользователя (а не в сети), функция автоудаления сообщений по таймеру, отсутствие обязательной привязки к номеру мобильного телефона, активность разработчика (важно, чтобы часто выходили новые версии и исправления обнаруженных ошибок), двухфакторная аутентификация и ряд других критериев. Скажем, имеет значение, в какой юрисдикции находится владелец мессенджера. Могут ли на него оказать влияние правительство и спецслужбы страны с тем, чтобы получить доступ к переписке без решения суда, охотно ли суды разрешают такого рода вторжение в частную жизнь, есть ли у человека в такой ситуации реальные шансы защитить свои права.

— Можно пример чего-то важного для безопасности, кроме шифрования?

— Возьмем функцию автоудаления сообщений по таймеру. Это полезная опция. Сколько ни повторяй людям, что следы конфиденциальной беседы следует удалять, кто-нибудь отложит это дело на неопределенный срок. Так появляются уязвимости. Чтобы этого не случалось, разработчики придумали функцию автоудаления. В том же Telegram она долгое время была доступна только в секретных чатах. Сейчас ее можно вручную включить и в обычных чатах. Можно выбрать срок жизни сообщений: день, неделя или месяц. Для сравнения: в Signal эта функция включена по умолчанию для всех новых чатов. Таймер установлен на неделю, но вы можете гибко менять это значение в диапазоне от нескольких секунд до месяца. Теплица писала на эту тему подробнее.

— Разве нельзя выбрать мессенджер, который будет соответствовать всем критериям?

— Разработки безопасных мессенджеров не прекращаются. Сегодня существуют решения, которые можно назвать интересными и даже перспективными. Например, Element, Delta Chat, Jami, Briar, Bridgefy, Newnode (ранее Fireside). Некоторые предлагают новые уровни безопасности сверх обычных ожиданий. Скажем, Briar позволяет людям связываться даже в отсутствие Интернета. Если, допустим, власти города отключают Интернет, чтобы заглушить протестную активность, такой мессенджер использует Bluetooth и wi-fi для подключения к соседям. Увы, подобные разработки часто недалеко ушли от бета-версий и хотя они зачастую более интересны для обеспечения безопасности, пока проигрывают в популярности лидерам рынка по маркетинговым причинам. Скорее всего, вы не найдете такой мессенджер у своих коллег, родных и близких. Впрочем, ситуация меняется, ведь развитие технологий не стоит на месте.