Пока Роскомнадзор ведет канал в ещё недавно ненавистном для правительства Telegram, а Европейский союз пытается получить контроль над переписками пользователей, мы подобрали несколько надежных мессенджеров, которым не страшны взломы.
После европейских терактов в начале ноября, Совет Министров Европейского Союза принял решение, которое обязывает операторов мобильных сервисов WhatsApp, Signal и других создавать мастер-ключи для мониторинга чатов и сообщений с форматом шифрования E2E. Об этом говорится во внутреннем документе, датированном 6 ноября президентом Германии и направленном делегациям стран-членов в Совете, копию которого удалось получить австрийскому новостному изданию ORF.at.
Политики заговорили о запрете на безопасное шифрование этих мессенджеров под предлогом борьбы против “дальнейших шагов терроризма». Президент Франции Эммануэль Макрон обсудил это с канцлером Австрии, а само решение уже согласовано настолько, что его можно будет принять в видеоконференции министров внутренних дел и юстиции в начале декабря без дальнейшего обсуждения.
Впрочем, речь в этом документе идёт далеко не о полном запрете сквозного шифрования, как заявляли журналисты и пользователи социальных сетей, а только о доступе к сообщениям в отдельных случаях, но эти случаи описаны не очень точно. Предельно ясно, что утекший в сеть черновой вариант предложения пока что не имеет никакой юридической силы. Несмотря на это, в нем в первую очередь излагается политическая позиция стран-членов Европейского Союза.
Вообще, запросы на появление различных лазеек для правоохранительных органов нередки. Spiegel пишет, что в начале октября этого года министры внутренних дел пяти стран – Великобритании, США, Австралии, Новой Зеландии и Канады уже обращались к крупнейшим интернет-компаниям с просьбами предоставить доступ к перепискам пользователей.
Неудивительно, что ряд экспертов и простых пользователей социальных сетей высказали свое недовольство в отношение предлагаемых изменениях. По словам представителя федерального министерства внутренних дел Германии, “в текущем проекте нет предлагаемых решений или требований по ослаблению систем шифрования». Проект скорее предназначен для того, чтобы стать первым шагом к повышению уровня доверия, более широкому обсуждению этой проблемы и тесному сотрудничеству между политиками, бизнесом и наукой. В некотором плане это вопрос достижения баланса между защитой секретов компании и личных данных и потребностями органов безопасности.
Запретят ли шифрование формата E2EE, и знает ли Евросоюз, что он делает?
Казалось бы, вроде все предельно понятно: пообещать неприкосновенность переписок, а потом разрешить силовикам читать их и запретить “несогласные” мессенджеры на территории Европейского Союза. Но что же говорят независимые эксперты? Европейский исследователь Лукаш Олейник, занимающийся кибербезопасностью, считает, что предлагаемый проект начинается с утверждения полной поддержки ЕС “разработки, внедрения и использования надежного шифрования» — что было бы очень странно, если бы речь шла о полном запрете E2EE.
Кроме того, в проекте обсуждаются “проблемы» общественной безопасности, которые могут исходить от преступников, имеющих легкий доступ к тем же технологиям, которые используются обеспечения безопасности инфраструктуры операторов. Предполагается, что преступники не могут использовать формат шифрования E2EE, чтобы получить доступ к данным пользователей. Даже при наличии дыр в системе это должно быть чрезвычайно сложным или практически невозможным. Интересно то, что в резолюции содержится призыв к обсуждению того, как обеспечить сохранение полномочий компетентных органов безопасности и уголовного правосудия — при обеспечении полного уважения надлежащей правовой процедуры и прав и свобод ЕС (в частности, право на уважение частной жизни и коммуникации, а также право на защиту личных данных).
Получается, что гипотетический закон ждет широкое публичное обсуждение и множество дискуссий среди политиков, активистов, правозащитных активистов и экспертов из области информационной безопасности.
А в каком защищенном мессенджере общаться сейчас?
Думаю, большая часть из читателей уже давно перешла из крупных социальных сетей в Telegram, оставив ВКонтакте для переписок с бывшими одноклассниками или просмотра мемов, а WhatsApp используется для общения с родственниками и получения открыток на праздники, о которых вы даже не знали. Но помимо привычной нам “Телеги” есть еще несколько неплохих, а, главное, безопасных мессенджеров, которыми можно и нужно пользоваться.
Для начала повторим основные требования к “безопасному” мессенджеру: – Анонимность.Возможность зарегистрировать анонимный аккаунт и использовать его без ограничений – End-to-end шифрование (E2ЕE).Технология шифрования, при которой ключи шифрования хранятся только на устройстве пользователя и не отправляются на сервер – Наличие основного надежного протокола шифрования
Threema
Платный и нашумевший несколько лет назад мессенджер, который вопреки требованию Роскомнадзора отказался предоставлять ключи шифрования. После появления “закона Яровой” многие российские бизнесмены, силовики и чиновники были вынуждены искать безопасный и надежный способ общения, а платная швейцарская Threema позволяла обсуждать деликатные вопросы с полной уверенностью в приватности. Подробней об этом писала питерская “Фонтанка”.
Активисты из “Роскомсвободы” обращались в техническую поддержку Threema, на что ими был получен более чем исчерпывающий ответ, показывающий отношение к личным данным своих пользователей:
Threema находится в юрисдикции Швейцарии, где российское законодательство не может применяться, поскольку у нас нет серверов или дочерних компаний в России.
Российским властям необходимо обратиться за правовой помощью в соответствии с Федеральным законом “О международной взаимной помощи по уголовным делам» (Federal Act on International Mutual Assistance in Criminal Matters) в швейцарском суде.
Нам не разрешается и мы сами не желаем предоставлять какую бы то ни было информацию о наших пользователях напрямую иностранным властям.
Сам мессенджер на сегодняшний день стоит $2,99, в нем есть мультиплатформенность, и он полностью соответствует многим требованиям к безопасности мессенджеров. Из интересного: “рейтинг доверия” и возможность установки PIN-кода на отдельный чат. Иногда это может быть очень полезно.
Signal
Бесплатный мессенджер, которому доверяет даже Эдвард Сноуден. По его мнению, “сигнал” является одним из наиболее защищенных на сегодняшний день. Мессенджер использует алгоритм AES с длиной ключа 128 бит и криптографический протокол ZRTP. Большинству людей это ничего не скажет, но лучше просто знать: в теории и на практике такую защиту обойти практически нереально даже при наличии профессионального оборудования и группы хорошо подготовленных хакеров.
Начинкой он тоже не обделен: групповые E2EE чаты, защищенные аудио и видеозвонки, исчезающие после прочтения сообщения, установленный изначально запрет на создание скриншотов в приложении (впрочем, это ограничение можно убрать в настройках).
Из небольших минусов, которые таки покрываются хорошей защитой, можно выделить регистрацию исключительно по номеру телефона и запрашиваемый список контактов. Хороший мессенджер для массового использования, который особенно распространен в Европе и США.
Wickr
Пожалуй, один из самых популярных безопасных корпоративных мессенджеров Wickr в Европе. Возник он примерно в одно и тоже время с Signal и позиционировал себя как самое защищенное приложение для переписок в мире. Но, в отличие от Signal, проверить это независимыми экспертами крайне сложно, поскольку код приложения закрыт и недоступен для тестеров.
Телефонный номер при регистрации здесь указывать не нужно, вы сами придумываете себе уникальный идентификатор и пароль, а ваши чаты будут защищены тремя стандартами шифрования: AES 256, ECDH 521, RSA 4096 TLD.
Интерфейс в приложении не самый простой из-за наличия нескольких платных версий (wickr me — бесплатная версия), но в целом освоить его можно без особых проблем для среднестатистического пользователя.
Briar
Настоящая мечта параноика, где с технической точки зрения все прекрасно: здесь нет единого сервера, так как каждый пользователь является им (P2P). Поскольку Briar работает еще и в сети Tor, то к стандартному E2EE шифрованию тут добавляется протокол Tor и шифрование на самом устройстве, просто невероятно!
Если каждый пользователь — отдельный сервер, то никакие “утечки” или DDOS атаки не могут помешать вести переписку с контактом, которого вы должны добавить сами через специальный QR-код и исключительно при личной встрече. Кстати, в групповых чатах сообщения видят тоже только те пользователи, которые обменялись этими кодами вживую.
Естественно, думать о использовании телефона при регистрации и запрашиваемом списке контактов здесь было бы глупо и, как ни странно, этого тут нет.
Источник: Ferra