Парадоксально, но факт: при всем разнообразии мессенджеров выбирать их обычно не приходится - люди просто пользуются тем же, чем их друзья и знакомые. Но что, если секретность действительно важна? В этой статье мы пройдемся по списку современных мессенджеров и посмотрим, какие гарантии защиты есть у каждого из них.

Недавно на «Хакере» был опрос « », и самый популярный ответ (Telegram) серьезно настораживал. Насколько все далеко зашло, если даже средний читатель «Хакера» уже потерял связь с реальностью после атаки маркетинг-хедкраба (на картинке)?


Мы составили список мессенджеров, чтобы посмотреть, как у каждого из них обстоят дела с безопасностью. В подборку пошли как популярные, так и перспективные в плане безопасности программы. Предупреждаем, что углубляться в техническую сторону мы будем настолько, насколько это необходимо для среднего пользователя, не дальше.

Во многом мы повторили путь авторов серии статей Electronic Frontier Foundation под названием Secure Messaging Scorecard , но выбрали другие критерии - на наш взгляд, более важные.

Критерии

FOSS

Распространяется ли исходный код мессенджера на условиях одной из свободных лицензий? Если да, то ведется ли разработка открытым методом? Насколько тесно разработчики взаимодействуют с сообществом? Принимают ли pull request’ы? Все это важно учитывать при выборе.

Степень централизации

Здесь возможен один из трех вариантов:

Возможность анонимной регистрации и использования

Для некоторых сервисов телефон может понадобиться только для защиты от спама при регистрации, соответственно, очень просто использовать сервисы аренды номеров для SMS.

В остальных случаях мессенджер плотно привязан к телефону. Это плохо тем, что если не включена двухфакторная аутентификация, то при получении доступа к этому номеру можно зайти в аккаунт и слить все данные. Но даже если двухфакторка включена, все равно остается возможность удалить все данные с аккаунта. Ну и конечно, это, считай, регистрация по паспорту (используем реалии РФ, других не завезли).

Но не все так плохо. Есть мессенджеры, которые позволяют регистрироваться с использованием почтового ящика или учетной записи в социальной сети. Есть и такие, где учетную запись можно создать в самом мессенджере без привязки к чему-то.

Наличие End-to-End Encryption (E2EE)

Некоторые мессенджеры имеют такую функцию по умолчанию, в других ее можно включить, но есть и те, где сквозного шифрования просто нет.

Синхронизация E2EE-чатов

Опять же эта функция пока что встречается не так часто, как хотелось бы. Ее наличие сильно упрощает жизнь.

Уведомление о необходимости проверки отпечатков E2EE

При старте E2EE-чатов некоторые мессенджеры предлагают проверить отпечатки собеседников, другие не предлагают это открыто. Но не все мессенджеры имеют функцию проверки отпечатков.

Запрет делать скриншот секретного чата

Не самая полезная функция, потому что для обхода запрета достаточно, например, иметь под рукой второй телефон.

Групповые E2EE-чаты

Групповые E2EE-чаты обычно не такая уж необходимая функция, но весьма удобная. Правило «больше двух - говори вслух» стоит оставить для детей.

Уведомление о необходимости проверки отпечатков E2EE в групповых чатах

При добавлении нового собеседника, с которым не сверены отпечатки, в секретный групповой чат не все мессенджеры предлагают проверить его отпечатки. Из-за такого упущения теряется смысл секретных чатов.

Защита социального графа

Некоторые мессенджеры собирают информацию о контактах пользователя и другие данные, например кому звонил пользователь, как долго разговаривал. На эту тему есть .

WWW

Мы выбрали лишь часть критериев, которые могут сыграть роль при выборе мессенджера. Существуют и другие, но не всегда они связаны с безопасностью. Группа ученых из европейских университетов неплохо разложила все по полочкам в работе Obstacles to the Adoption of Secure Communication Tools (PDF). Также всегда полезно знакомиться с результатами независимого аудита, если они есть. Например, в случае с Signal такой аудит проводился (PDF).

Telegram

Лицензия: формально - GPLv3. Однако важная часть разработки закрыта. Если взглянуть на репозитории, то видно, что в последнее время какое-то движение наблюдалось только в вебовой версии. Увы, в таком виде это скорее иллюзия открытости
Степень централизации: централизованный
нет
Наличие E2EE: реализованы, но как дополнение. По умолчанию чаты не шифруются
Синхронизация E2EE-чатов: нет. Секретный чат можно использовать только с одного устройства, с другого доступа к нему уже не будет
нет. Пользователи могут сами зайти в настройки, чтобы сравнить отпечатки
есть, но работает не на всех устройствах
Групповые чаты E2EE: нет
Защита социального графа: нет


Мессенджер, созданный командой Павла Дурова, построен на технологии шифрования переписки MTProto. На данный момент частично заблокирован на территории России, но эта блокировка - отдельная тема для разговора.

Мессенджер неоднозначный. Вокруг него много шума, но оправдан ли он? Доступа к исходникам нет, чаты по умолчанию не шифруются, нет защиты социального графа (все твои контакты хранятся на серверах Telegram), нет групповых E2EE-чатов, E2EE-чаты не поддерживаются в настольной версии программы, только в мобильной, мессенджер централизованный, сообщения хранятся на сервере (и они, как уже было отмечено, не зашифрованы), и при всем этом отсутствует возможность анонимной регистрации.

Если ты хочешь использовать Telegram, то для защиты переписки не забывай создавать секретные чаты. В мобильной версии для этого нужно выбрать команду New Secret Chat. Из настольных версий секретные чаты поддерживают только некоторые (например, один из двух клиентов для macOS).

В секретном чате сообщения шифруются и не хранятся на серверах мессенджера. Также нельзя сделать скриншот секретного чата, но ничто не мешает сфотографировать такой чат с экрана.

Signal

Лицензия: AGPLv3
Степень централизации: централизованный
Возможность анонимной регистрации и работы: нет. Кроме номера телефона, других вариантов нет
Наличие E2EE: есть
Синхронизация E2EE-чатов: есть
Уведомление о проверке отпечатков E2EE: нет. Пользователям предлагается сосканировать QR-коды друг у друга или сравнить отпечатки
Запрет на скриншоты секретных чатов: можно включить или выключить
Групповые чаты E2EE: есть
Уведомление о необходимости проверки отпечатков E2EE в групповых чатах: нет
Защита социального графа: есть


Мессенджер Signal разработан американским стартапом Open Whisper Systems, где, кроме двоих основателей, работает всего несколько человек. Для шифрования сообщений используется созданный специально для него криптографический протокол - Signal Protocol . Он применяется для сквозного (end-to-end) шифрования звонков (голосовых и видео), а также обычных сообщений. Протокол Signal с тех пор стали использовать и другие мессенджеры: WhatsApp, Facebook Messenger, Google Allo.

Казалось бы, в этом случае любой мессенджер может стать таким же безопасным, как и Signal. Но, как показывает практика, - нет. В отличие от Signal, где шифрование включено по умолчанию, в этих мессенджерах оно выключено. Для его включения в Facebook Messenger нужно активировать Secret Conversations, а в Google Allo - режим инкогнито (Incognito Mode).

Хоть Signal и централизованный, но код открыт и распространяется по свободной лицензии. У Signal есть поддержка групповых E2EE-чатов, защита социального графа, поддерживаются исчезающие по таймеру сообщения .

Однако не стоит путать защиту с анонимностью. Signal не анонимен: при регистрации нужно указывать номер телефона, к которому мессенджер и привязывается. Что касается исчезающих сообщений, то эта фишка встречается и в других мессенджерах, например в Viber и Telegram (в меню секретного чата нужно выбрать команду Set self-destruct timer).

Безопасность личных данных в последнее время стала большой проблемой. В нашей жизни много вещей, которые нуждаются в надежной защите и, пожалуй, в первую очередь, к ним можно отнести личную переписку. Что бы там ни говорили создатели Whatsapp, Skype, iMessage – все мы прекрасно знаем, что наша переписка хранится на удаленных серверах и в любой момент может быть прочитана и передана «кому следует».

Cryptocat

Ping

– это бесплатный мессенджер для iOS от российских разработчиков, сделавших упор на максимальную конфиденциальность. Программа позволяет вести беседу в режиме Snap Mode – в нем история сообщений не сохраняется. Также реализована возможность удалить всю историю переписки не только на своем устройстве, но и у всех адресатов.


В отличие от WhatsApp, Ping не позволяет другим пользователям узнать номер телефона. Он используется только при первом запуске приложения для создания ID, по которому можно будет искать других пользователей. Все данные передаются через зашифрованное соединение.

Также у Ping есть своя особенная “фишка”. Приложение позволяет заставить собеседника обратить на вас внимание при помощи звукового сигнала. Это функция так и называется Ping.

Программа на русском языке, но после первого открытия в приложении можно заметить забавную ошибку. Пользователю предлагается потянуть экран влево, чтобы прочитать справку, хотя на самом деле листать нужно вправо.

Приложение обладает простым и понятным дизайном, выполненным на сером фоне. Программу можно бесплатно загрузить в App Store, версию для Android обещают запустить в ближайшее время.

Confide

Мессенджер , в котором сообщения удаляются сразу после прочтения, разработан бывшими сотрудниками компании AOL. «Сказанные слова исчезают сразу после того, как их услышат. Но то, что вы говорите в Сети, остается навсегда. Нам кажется, что это безумие», - говорят авторы Confide.


В приложении реализована защита от скриншотов - сообщение раскрывается постепенно, при проведении по строке пальцем, причем прочитанные слова снова скрываются. После прочтения данные удаляются с устройства и серверов. Сообщения можно посылать не только в рамках приложения, но и на электронный адрес пользователя, а также отправлять сразу группе адресатов. Наконец, пользователь может получать отчеты о прочтении своих посланий. Однако в приложении нет функции отправки фото.

Разработчики говорят, что Confide отличается от Snapchat и других подобных программ с «исчезающими» сообщениями, поскольку пользователи связываются через адреса электронной почты, а не через телефонные контакты.

ChatSecure

ChatSecure – это бесплатное приложение с открытым исходным кодом для общения с пользователями из Google Talk/Hangouts, Facebook Chat, Dukgo, Jabber и пр. Все ваши переписки будут полностью защищены: даже логи не могут быть записанными и снятыми третьими лицами.


ChatSecure работает в фоновом режиме не более 10 минут, а потом выключается. Но за минуту до наступления данного события приложение предупреждает сообщением. Если отвлечься от беседы более, чем на десять минут, то собеседник увидит, что человек ушел offline. Обмен зашифрованными сообщениями возможен только в случае нахождения собеседников онлайн.

Недостаток ChatSecure состоит в том, приложение не сообщает о поступивших зашифрованных сообщениях, если статус пользователя offline.

Heml.is

Проект от сооснователя торрент-трекера The Pirate Bay находится на стадии разработки. Отличительной особенностью этого приложения для iPhone будет строгая секретность переписки. Сервис должен обеспечить пользователям обмен шифрованными сообщениями, которые не смогут перехватить КГБ, АНБ, ФБР и другие спецслужбы.


Heml.is в своей тестовой версии использует особую систему шифрования, чтобы не позволить третьему лицу, включая интернет-провайдера или правительство, перехватить пересылаемые сообщения. «Мы решили создать платформу для обмена сообщениями, где никто не может шпионить за вами, даже мы сами», - заявил Сунде.

Само приложение будет условно-бесплатным. Базовый функционал (включая защиту от слежки) будет доступен всем пользователям Heml.is, а некоторые дополнительные функции, такие как обмен изображениями, будут только в платной версии.

На доработку приложения необходимо потратить 100 000 долларов. Деньги пойдут на зарплату программистов. Пользователи, которые готовы пожертвовать минимум 5 долларов, получат код для разблокировки тестовой версии приложения и другие бонусы, в зависимости от размера пожертвования.

Каковы критерии защищенности мессенджера? Что безопаснее — WhatsApp или Telegram? Эксперты рассказали, каким системам мгновенного обмена сообщениями можно доверять.

Артем Баранов, ведущий вирусный аналитик ESET Russia :

Главное требование к мессенджеру — end-to-end шифрование (E2ЕE) по умолчанию . Технология предполагает, что мессенджер хранит ключи шифрования только на устройстве пользователя, не отправляя их на сервер. Второй критерий — надежный протокол шифрования . Если эти условия соблюдены, никто не сможет получить доступ к пересылаемым данным.

Е2ЕЕ по умолчанию поддерживают WhatsApp, Viber и Apple iMessage. В специальном режиме работы (секретные чаты) Е2ЕЕ есть в Telegram, бета-версии Facebook Messenger и Google Allo. Остальные популярные мессенджеры (Microsoft Skype и Google Hangouts) сообщения не шифруют.

Чувствительный вопрос безопасности мессенджеров — надежность протокола шифрования. Единственный одобренный протокол Е2ЕЕ — Signal. Его используют мессенджеры WhatsApp, Facebook Messenger и Google Allo. В Viber реализована часть протокола Signal — криптографический протокол Double Ratchet и своя реализация. Собственная технология Viber закрыта для аудита, поэтому защищенность мессенджера не получила таких высоких оценок, как WhatsApp. Apple iMessage и Telegram используют свои реализации E2EE.

Наиболее защищенным мессенджером считается Signal компании Open Whisper Systems, который получил самые высокие оценки экспертов по безопасности. Он использует проверенный экспертами open source протокол (протокол Signal) и работает с ним по умолчанию.

Вместо резюме

Самый безопасный из популярных мессенджеров — WhatsApp. На втором месте Apple iMessage и Viber, на третьем — Facebook Messenger (бета-версия), Telegram и Google Allo. Skype небезопасен. Безусловный фаворит — Signal, но его аудитория несопоставима с числом пользователей упомянутых мессенджеров.

Павел Луцик, руководитель проектов направления информационной безопасности компании КРОК :

Большинство современных мессенджеров так или иначе стараются заботиться о безопасном обмене сообщениями или по крайней мере позиционировать себя именно так. Вообще защита (шифрование) передаваемого в интернете трафика — это общемировой тренд, которого придерживаются все крупнейшие разработчики.

На мой взгляд, наиболее безопасными мессенджерами можно считать следующие:

Telegram

Продукт использует сложный протокол шифрования MTProto и за его взлом обещают $200 тысяч. Ранее считался самым безопасным, но в последнее время в части защищенности в его сторону появляется все больше критики.

Threema

Использует для шифрования безопасный протокол, основанный на эллиптических кривых, а также механизм добавления новых контактов непосредственно при встрече (с помощью считывания QR-кодов).

Silent Text (Silent Circle)

В его разработке принимает участие Филипп Циммерманн — автор известной технологии PGP. Важная особенность мессенджера — возможность удалить любое уже отправленное сообщение. При этом ни на одном устройстве не останется и следа.

9 САМЫХ БЕЗОПАСНЫХ МЕССЕНДЖЕРОВ
1. RedPhone (мультиплатформа)

Приложение позволяет совершать нерегистрируемые телефонные звонки на другие номера пользователей RedPhone через интернет. Запустив его, пользователь получает безопасное зашифрованное соединение при звонке, для которого не нужны никакие дополнительные и зачастую весьма непродуктивные средства защиты.

Снимок экрана (390)
RedPhone использует ZRTP для обмена ключами и шифрует голосовые данные при помощи AES. Этот протокол независим от центрального сервера и не требует отсылки ключей за пределы устройства. Защита от атак обеспечивается генерацией «короткой строки авторизации», которую пользователи могут сравнить до начала сеанса связи; во-вторых, после первого сеанса связи ключи кэшируются для использования в последующих сессиях.

Есть у приложения и минусы: с его помощью нельзя связываться с незащищенными абонентами, так как RedPhone работает исключительно между устройствами, на которых установлено приложение.

Установить бесплатно RedPhone

2. WhatsApp (мультиплатформа)

Этот мессенджер стал одним из самых пСнимок экрана (391)опулярных приложений у пользователей интернет сети. Он предоставляет возможность мгновенно получать сообщения, бесплатно обмениваться текстовыми сообщениями, видеороликами и фотографиями. Приложение разработано для использования на мобильных устройствах, компьютерах и ноутбуках, обладающих доступом к проводному, WI-FI или 3G интернету.

Сервис по умолчанию использует end-to-end шифрование, согласно которому зашифрованная информация передается от устройства к устройству напрямую, минуя посредников. Это означает, что самому приложению сообщения пользователя не доступны. Система шифрования использует правило закрытого ключа, которое не позволяет расшифровать информацию никому, кроме получателя.

Установить бесплатно WhatsApp

3. Telegram (мультиплатформа)

Снимок экрана (392)Некоммерческий проект Павла Дурова, основателя ВКонтакте, изначально задумывался как максимально безопасный мессенджер. Его работа основана на протоколе MTProto, предполагающем использование различных технологий шифрования. Так при авторизации и шифровании используются алгоритмы RSA-2048, AES, а также протокол Диффи-Хеллмана.

Отличительная функция Telegram – «секретный чат», сообщения в котором шифруются, а после прочтения самоуничтожаются. Также приложение позволяет организовывать групповые чаты до 200 человек, а также обладает онлайн-версией.

Еще один плюс Telegram в том, что приложение имеет открытый исходный код и, согласно официальной информации, никогда не станет платным.

Установить бесплатно Telegram

4. Wickr (Android, iOS)

Снимок экрана (395)Для зашифровки содержимого используется шифрование военного уровня. С помощью Wickr можно передавать текстовые сообщения, картинки, аудио, видео и PDF-файлы с использованием различных стандартов шифрования (AES256, ECDH521, RSA4096TLD). При этом собеседники не смогут получить доступ ни к личным данным абонента, ни к его устройству. Сообщения, отправленные через Wickr, не содержат имен и геолокационных данных отправителя и получателя, а также не хранятся на серверах.

Это секретный мессенджер, который позволяет обмениваться зашифрованными и самоуничтожающимися сообщениями, фотографиями, видео и даже голосовыми записями. Приложение также защищено от скриншотов - в интерфейсе Wickr их сделать просто невозможно.

Установить бесплатно Wickr для iOS
Установить бесплатно Wickr для Android
5. Chadder (мультиплатформа)

Снимок экрана (396)Исходящие сообщения в Chadder шифруются и через сервер Tense Private Systems направляются получателю. Система шифрования блокирует сообщение перед его отправкой, а затем открывает его только один раз, когда оно достигает своего назначения. Интересно, что у каждого пользователя Chadder есть собственный ключ для расшифровки сообщений, и этим приложение выгодно отличается от того же WhatsApp.

Также в данном мессенджере присутствует функция для автоматического уничтожения сообщений через заданное время. В то же время Chadder позволяет сохранять сообщения по желанию пользователя.

Установить бесплатно Chadder

6. Threema (iOS, Android)

Снимок экрана (397)Еще одним действительно достойным конкурентом Telegram можно считать приложение Threema. Это платное приложение, однако его уровень защиты весьма впечатляющ. Так, при первом использовании приложения пользователю необходимо поводить пальцем по экрану, чтобы сгенерировать уникальный идентификатор.

Авторы Threema рекомендуют для надежности добавлять новые контакты при встрече, сканируя QR-код с идентификатором с экрана друга – это позволяет присвоить таким контактам максимальный уровень верификации. Впрочем, также можно воспользоваться и менее надежными способами: синхронизировать контакты или ввести ID вручную. Авторы приложения гарантируют, что все сообщения шифруются прямо на устройстве, а прочитать их сможет только получатель и никто больше.

Минусы: за излишний для большинства людей уровень безопасности придется раскошелиться на целых $2.

Установить бесплатно Threema
Установить Threema за 60 грн
7. CryptoChat (Android)

Снимок экрана (398)Это приложение использует AES и Диффи Хеллмана для encrypion и обмена ключами. Шифрование и дешифрование производится только на вашем устройстве, сообщения не сохраняются в незашифрованном виде. Даже автор этого приложения не имеет доступа к сообщениям, которыми обмениваются этого приложения.

Для того, чтобы использовать приложение, необходимо сначала создать учетную запись пользователя. Учетная запись может быть создана из самого приложения. Чтобы зарегистрироваться, откройте меню на странице входа в систему и выберите регистрацию. При регистрации, убедитесь, что ваше имя пользователя содержит только цифры и буквы, пробелы и специальные символы не допускаются.

Человек, которому вы общаетесь с также нуждается в учетную запись, и вы должны знать его / ее имя для того, чтобы отправлять сообщения. Приложение также включает в себя подробные инструкции, которые могут быть доступны из меню на странице входа в систему.

Установить бесплатно Cryptocat

8. Signal (Android, iOS)

Снимок экрана (394)Да, это именно то приложение, которое рекомендует использовать сам Эдвард Сноуден (Edward Snowden). Программа Signal является наследницей ранее выпущенных этими же разработчиками программ RedPhone и TextSecure, обеспечивающих безопасные голосовые и текстовые коммуникации между абонентами. Теперь функции этих двух программ соединены вместе, а интерфейс значительно переработан в сторону упрощения. Главное отличие программы Signal от существующих конкурентов заключается в надёжных алгоритмах шифрования и простом интерфейсе. Благодаря этим особенностям, технологии компании Open Whisper Systems уже используются в популярной системе CyanogenMod, где внедрена система обмена приватными сообщениями, и известном мессенджере WhatsApp. В экспертном сообществе алгоритмы шифрования Signal тоже получили высокую оценку. Эксперт по криптографии Кристофер Сооиан (Christopher Soghoian) как-то заметил, что «каждый раз, когда очередной пользователь скачивает и начинает использовать Signal, директор ФБР пускает слезу».

Установить бесплатно Signal

9. Silent Phone (Android, iOS)

Это один из инструментов пакета Silent Circle, который позволяСнимок экрана (399)ет пользователям анонимно общаться в текстовом и голосовом режиме, а также обмениваться данными по Wi-Fi или 3G/4G, но не по тарифам мобильных операторов. Общаться через приложение можно только в сети Silent Phone. При этом передача данных защищена и зашифрована по всей длине канала связи.

Для общения с абонентами, у которых не установлен Silent Phone, можно общаться безопасно с помощью платного инструмента Out-Circle Access. Такие звонки передаются устройством подписчика Silent Phone на серверы Silent Circle, а затем переправляются через сервис телефонной сети общего пользования местных телекоммуникационных компаний на устройство, которое не оборудованно приложением Silent Phone как обычный телефонный звонок.

Все крупные и не очень корпорации сотрудничают с правоохранительными органами, подчиняясь законодательству стран, в которых они работают. Google, Apple, Facebook, Skype, WhatsApp, Viber и многие другие соцсети и мессенджеры делятся с властями некоторым количеством пользовательских данных. Кто-то сливает больше, кто-то меньше, но горькая правда в том, что это делают все.

Показательные борцы за свободу не моргнув глазом выдадут все ваши секреты. Например, создатели популярного мессенджера Viber, которых, согласно российскому законодательству, обязали перенести серверы на территорию РФ, выполнили требования властей в конце прошлого года. Официально такой шаг объясняют необходимостью хранения персональных данных на серверах внутри страны, но все мы знаем истинные мотивы: дело в желании спецслужб получить доступ к переписке.

Под «легче» в данном случае понимается то, что для слежки даже не требуется взаимодействие с операторами сотовых сетей: все необходимые инструменты имеются в распоряжении соответствующих органов. Это же касается WhatsApp, Skype и других мессенджеров, не говоря уже об обычных СМС. Более того, читать вашу переписку могут не только спецслужбы, но и конкуренты, враги и вообще любой, кто воспользуется услугами специальных сервисов. Стоят они недорого и легко гуглятся по запросу «распечатка СМС».

Под любой нашей статьёй на тему СМС предприимчивые дельцы предлагают свои услуги

Когда правоохранительные органы не могут добыть нужные им данные с помощью имеющихся рычагов давления, они идут на радикальные меры. Буквально в начале марта за отказ сотрудничать с полицией Бразилии был задержан вице-президент латиноамериканского отделения Facebook. Предметом споров стала информация о пользователях соцсети, якобы причастных к распространению наркотиков.

В декабре 2015-го бразильский суд заблокировал на территории страны WhatsApp (принадлежит Facebook) после отказа предоставить информацию о переписке предполагаемых преступников. В итоге пострадали все: полиция отключила около 100 миллионов местных пользователей, вызвав бурную реакцию в соцсетях и негодование главы Facebook Марка Цукерберга (Mark Zuckerberg).

Ещё более показательным в борьбе за неприкосновенность персональных данных является противостояние и ФБР, которое пока так и не получило своей развязки. Спецслужбы говорят о предотвращении терактов и обеспечении национальной безопасности, не желая признавать, что таким способом преступность не победить. Главный же юрисконсульт Apple на слушаниях в конгрессе заявил, что, даже если бы у спецслужб появилась возможность взломать любой iPhone, преступники в любом случае нашли бы способы тайной коммуникации, и привёл в качестве примера мессенджер Telegram.

Против лома есть приём

Представитель Apple прав: способов защищённой переписки существует масса и придуманы они далеко не вчера. Детище Павла Дурова Telegram первым приходит на ум из-за своей популярности и невзламываемой репутации: назначенную ещё в далёком 2013-м награду в 200 000 долларов за взлом зашифрованной переписки Telegram до сих пор никто не получил.

Такая неуязвимость объясняется самим принципом работы защищённых мессенджеров вообще и Telegram в частности. В последнем используется специально разработанный протокол MTProto и двухслойное шифрование с 256-битным AES-ключом: они обеспечивают высокую скорость и надёжность. А ещё в Telegram, помимо обычных чатов, есть так называемые секретные (Secret Chats). В них переписка шифруется без участия сервера, а все сообщения пересылаются напрямую с устройства отправителя на устройство получателя (peer-to-peer). Даже если предположить, что данные удастся перехватить, расшифровать их без ключей, хранящихся на устройствах участников беседы, будет просто невозможно.

Ещё одно преимущество P2P-передачи состоит в том, что работу мессенджера нельзя заблокировать: когда нет серверов, блокировать просто-напросто нечего.

Правительства авторитарных стран часто грешат блокировками неугодных сервисов. Например, все знают о заблокированном почти на всей территории Китая Facebook. В октябре прошлого года из-за отказа предоставить возможность слежки за пользователями оказался сначала частично, а затем и полностью заблокированным в Иране. Избежать подобных ситуаций можно с помощью P2P-связи, реализовать которую Павел Дуров пообещал после этого инцидента.

Аналогичный подход используется в различных защищённых мессенджерах с end-to-end-шифрованием. Способ передачи ключей может отличаться, но принцип остаётся неизменным: информация пересылается напрямую с устройства на устройство без участия промежуточных серверов.

Что-то подобное, возможно, скоро появится и в Facebook Messenger. Журналисты издания The Information раскопали в коде iOS-приложения довольно любопытные комментарии. Они указывают на некий аналог Apple Pay, позволяющий оплачивать товары и отправлять деньги пользователям, а также сопутствующую этому функциональность секретных чатов. О способе реализации таких бесед пока сложно судить: Facebook может пойти по пути Telegram и внедрить шифрование, а может просто добавить возможность скрывать отдельные переписки и контакты. Во всяком случае, даже если решение будет принято в пользу первого варианта, привлечь пользователей и доказать им, что секретные чаты в Messenger действительно безопасны, окажется не так уж просто.

Как же быть

Тем, для кого надёжность канала коммуникации играет не последнюю роль, стоит обратить внимание на защищённые мессенджеры с упомянутым шифрованием. Пригодятся они не только параноикам, но и всем, кто связан с бизнесом и имеет доступ к любой мало-мальски важной информации, не предназначенной для чужих глаз. Доступных решений существует огромное количество, но мы не станем рассматривать их все, а остановимся на трёх наиболее удобных.

Секретные чаты Telegram

Благодаря широкому распространению мессенджера секретные чаты можно назвать идеальным вариантом. Они гарантируют безопасность пересылаемой информации, имеют функцию самоуничтожения сообщений (включая фото и файлы) через определённое время и не позволяют пересылать переписку другим людям. Для большей безопасности с одним пользователем можно создать несколько бесед и обсуждать в них различные темы.

Создать секретный чат просто: жмём иконку New Message → New Secret Chat и выбираем нужный контакт. Начать переписку можно будет, как только человек появится в Сети. Из-за отсутствия промежуточных серверов отправить сообщение в офлайн нельзя. При этом все неотправленные сообщения хранятся только на вашем устройстве. Понять, что чат секретный, а не обычный, можно по иконке замка рядом с именем контакта.

В отличие от Telegram, изначально заточен под максимальную безопасность. Мессенджер также довольно популярен в своей нише, бесплатен и имеет клиенты для всех десктопных и мобильных платформ. Confide использует end-to-end-шифрование и не хранит сообщения нигде, кроме устройств отправителя и получателя. Более того, мессенджер даже не отображает текст полученного сообщения целиком, а разбивает его на блоки и показывает по частям при наведении курсора или касании пальцем. Прочитанные сообщения сразу же уничтожаются. Тех, кто захочет сохранить содержимое с помощью скриншота экрана, будет ждать неудача: текст мгновенно удалится, а отправитель получит уведомление о провалившейся попытке собеседника.

Аккаунт в Confide привязывается к email, после регистрации можно подключить свои соцсети и разрешить доступ к контактам. Если у кого-то из ваших знакомых установлено приложение, вы сможете безопасно переписываться, отправлять фото и документы.

А это приложение уже для настоящих параноиков. Оно платное, не такое удобное, имеет менее дружелюбный интерфейс, но ещё больше повёрнуто на безопасности и работает только с прямым шифрованием. Здесь не используется ни номер телефона, ни email. Для работы Threema нужна пара ключей, которые вы сами сгенерируете при первом запуске: один из них приватный и хранится на вашем устройстве, другой - публичный и отправляется вашему собеседнику. После этого вам присвоят идентификатор, по которому вас можно найти. Добавить контакт можно и по email или телефону (если человек привязал их к аккаунту), а также с помощью сканирования QR-кода при личной встрече (это самый безопасный вариант).

Threema позволяет обмениваться не только текстовыми сообщениями, но и фото, видео, документами и геометками. Есть приложения для iOS, Android и Windows Phone.

Signal

А что вы думаете по поводу защищённых мессенджеров: стоит ли переходить на них или это только для параноиков? Расскажите, пользуетесь ли вы безопасными чатами, и если да, то каким отдали предпочтение и почему.