Изначально главенствующая функция мобильного телефона, голосовое общение, сегодня если и не отошла на вторые роли, то уж точно не является единственной или превалирующей. Всё большее количество пользователей отдаёт предпочтение обмену небольшими сообщениями, не требующими вызова абонента, именно поэтому невозможно представить современный смартфон без одного или нескольких мессенджеров. В число самых популярных входит и приложение WhatsApp, в котором упор сделан на удобстве использования, хорошей функциональности, надёжности и безопасности. Последний фактор в значительной степени реализован посредством использования сквозного шифрования, о котором мы сегодня и поговорим.
Что такое сквозное шифрование и как оно работает
В специальной литературе термин «сквозное шифрование» не употребляется, подобный способ передачи данных называется end-to-end. Фактически это означает, что информация от отправителя до получателя передаётся в закодированном виде, в отличие от транспортного шифрования, когда зашифрованные данные поступают на промежуточный сервер, там декодируются, снова шифруются и отправляются получателю. С точки зрения возможности вскрытия кода оба метода можно считать одинаково безопасными, но в последнем случае сервер является слабой стороной – его владельцы при желании могут получить доступ к переписке. При использовании сквозного шифрования такая возможность отсутствует.
Рассмотрим, что такое сквозное шифрование в мессенджере WhatsApp. Итак, при инициализации переписки и на смартфоне отправителя, и на устройстве получателя генерируются два ключа, открытый и закрытый. Открытый отсылается другому участнику переписки, чтобы он знал, как кодировать сообщение, чтобы вы могли его прочитать. Точно такой же открытый код получаете и вы, благодаря чему получаете возможность дешифровки входящих данных.
Закрытый ключ хранится только на устройстве отправителя и нужен для декодирования присланного сообщения. Открытый ключ можно перехватить, но он описывает только, как шифровать данные, ключ для дешифровки остаётся неизвестным.
Это означает, что защита переписки сквозным шифрованием является одним из самых безопасных способов обмена данными по открытым каналам связи, хотя и не идеальным, об этом мы расскажем чуть позже.
Зачем в WhatsApp используется сквозное шифрование
Шифрование данных – необходимая мера защиты конфиденциальных данных, но ни поисковые системы, ни социальные сети не используют для этого метод end-to-end. Причина вполне очевидна – им выгодно отслеживать предпочтения пользователей для показа таргетированной (целевой) рекламы. При этом анонимность от использования этой информации третьей стороной не гарантируется, особенно это касается запросов спецслужб и правоохранительных органов.
Почему же в WhatsApp в 2016 году решили ввести сквозное шифрование, означающее, что и сотрудники компании не имеют возможности читать сообщения пользователей?
Формальной причиной является повышение безопасности общения, защита от киберпреступников, стремящихся завладеть персонализированными данными. Хотя поговаривают, что владельцы мессенджера (то есть Facebook) решились на такой шаг в связи с конфликтом с силовыми структурами, которым обладание доступом к конфиденциальной информации позволяет контролировать граждан своих стран по поводу и без оного.
Отметим, что шифрованию подвержены все типы данных, не только текст. Для обеспечения защиты WhatsApp сквозным шифрованием были использованы разработки специалистов Open Whisper Systems, создавших мессенджер Signal, в своё время считавшийся самым защищённым и безопасным в мире. Поскольку закрытый ключ безопасности хранится на конкретном устройстве, при смене телефона одним из собеседников, что случается нередко, придётся его перегенерировать, причём на новом телефоне это происходит автоматически, а все контакты получают соответствующие предупреждения.
Многие критикуют то, как работает на WhatsApp смена шифрования – предупреждение будет разослано только тем пользователям, у кого эта опция включена. Получается, что многие даже не будут знать, что у контакта «имярек» сменился телефон и код. И этим могут воспользоваться злоумышленники, поскольку, чтобы удостовериться, что вы получили сообщение именно от сменившего мобильное устройство пользователя, нужно выполнить проверку совпадения кодов. А вы можете о смене кода даже не догадываться.
Как проверить сквозное шифрование
Хотя в Facebook подобную проблему называют надуманной, представители компании настоятельно рекомендуют не деактивировать опцию получения сообщений от системы, а если такое сообщение будет вами получено, выполнить проверку совпадения ключей.
Осуществить её можно разными способами. Например, переписать в информационном разделе код, состоящий из 60 цифр, и переслать его собеседнику любым другим способом. Разумеется, с соблюдением мер безопасности. Ваш визави должен на своём устройстве сравнить присланный вами код с кодом на сообщении. Если они совпадут, значит, всё в порядке.
Вместо цифрового кода можно переслать QR-код, нажав иконку «Поделиться» на странице показа этого цифрового кода, напоминающего штрих-код, но состоящего из хаотично расположенных квадратиков вместо полосок. Если проверка совпадения QR-код окажется удачной, на страничке появится галочка зелёного цвета, и это будет означать, что обмен сообщениями защищён.
Главная проблема как раз и заключается в том, чтобы отослать собеседнику цифровой или QR-код так, чтобы его не перехватили. Проще всего это сделать при личной встрече с вашим контактом. В этом случае достаточно просто сравнить последовательность из 60 цифр или отсканировать телефоном QR-код. Если совпадения нет, значит, ошибочно отсканирован был шифр какого-то другого контакта. Такая ситуация может возникнуть и при несовпадении версий мессенджера.
Отметим, что оба кода не являются шифром, ни открытым, ни закрытым – они только часть системы безопасности, предназначенная для проверки подлинности сквозного шифрования, включать которое в WhatsApp не нужно.
Ограничения шифрования end-to-end в WhatsApp
И всё же абсолютно надёжных систем защиты не существует. Да, само сообщение перехватить можно, но его декодирование связано с такими материальными и временными тратами, что теряет практический смысл. В то же время сам факт того, что товарищ А переслал сообщение товарищу В, не есть секрет и фиксируется на сервере. Вместе с датой и временем. А это означает, что если ваш собеседник заинтересовал киберпреступников и правоохранительные органы, то в их поле зрения можете попасть и вы.
Второе ограничение связано с тем, что достаточно кому-нибудь завладеть вашим мобильным устройством, то он автоматически получит доступ к вашей переписке и сможет её продублировать. Поэтому так важно блокировать телефон в неактивном режиме и использовать персонифицированные методы аутентификации типа отпечатка пальца – в этом случае даже украденный телефон не позволит злоумышленнику получить доступ к важным данным.
И третий момент. Допустим, вы ответственно подходите к вопросу обеспечения безопасности своего носимого устройства, но никто не даст вам гарантии, что ваши контакты придерживаются того же мнения. Это означает, что если телефон вашего друга попал в чужие руки, он может этим воспользоваться с неблаговидными целями.
В 2021 году политика конфиденциальности мессенджера и вовсе была изменена столь негативным образом, что привела к массовому отказу пользователей от WhatsApp. Дело в том, что в изменённом документе появился пункт, согласно которому некоторые данные из WhatsApp будут передаваться в Facebook, поскольку она является материнской компанией.
И хотя эти данные никоим образом не касаются содержания переписки, сам факт сбора информации о действиях клиентов не встретил понимания со стороны пользователей. По крайней мере, в мессенджерах Signal и Telegram такие метаданные если и собираются, то в гораздо меньших масштабах. Причина недовольства понятна – сервера Facebook представляют собой лакомый кусочек для хакеров, и если базы данных окажутся взломанными, что уже случалось, конфиденциальные данные миллионов пользователей могут оказаться скомпрометированными.
Как в WhatsApp убрать сквозное шифрование
Мы уже отмечали, что включать сквозное шифрование в Whatsapp не нужно – оно встроено в приложение. Из этого следует, что отменить кодирование данных вы не сможете, да и нужно ли это?
Хотя всегда найдутся пользователи, которые посчитают отсутствие возможности снять шифрование дискриминацией. Есть и такие, кто в качестве аргумента против использования столь надёжных средств безопасности приводят факт увеличения времени на шифрование/дешифрование сообщений, особенно если это большие файлы типа видео, которые защищать не нужно.
Таким пользователям можно посоветовать вполне рабочий способ, как в WhatsApp отключить сквозное шифрование: перейти на старую версию мессенджеру – ту, где end-to-end кодирование ещё не было внедрено. Разумеется, в этом случае функциональность приложения сильно пострадает.
Стоит также отметить, что на официальном сайте Whatsapp вы таких версий не найдёте, то есть их придётся искать на сторонних ресурсах, что повышает риск нарваться на фейковое ПО. В любом случае у вас должна быть активирована функция «Установка с неизвестных источников», доступная в меню разработчика. Но это для устройств, работающих под Android. Для iPhone придётся делать джейлбрейк и лишиться гарантийных обязательств.