Messenger
Вам когда-нибудь приходилось шептать другому человеку что-то на ухо, чтобы больше никто не услышал? Скорее всего, это в своей жизни делал каждый. В наши дни многие люди проводят больше времени в переписках в интернете, чем в общении лицом к лицу. Вам когда-нибудь случается говорить, писать или отправлять что-то, что другие не должны услышать, прочитать или увидеть? Если да, то в таком случае лучше всего пользоваться мессенджером с шифрованием.
В этой статье рассказывается о том, зачем нужен защищённый мессенджер. Мы рассмотрим последние версии нескольких защищённых мессенджеров и сервисов, а также важные характеристики при их выборе. У каждого из таких приложений есть достоинства и недостатки, каждое предлагает разный подход к обеспечению безопасности данных.
Зачем нужен защищённый мессенджер
Когда вы с кем-то переписываетесь в интернете, казалось бы, только вы и собеседник участвуете в общении. Однако, как показывают примеры прошлого, существует немало лиц, которое пытаются шпионить за общением людей в интернете. Это может быть корпоративное наблюдение или правительственные организации, которые следят не конкретно за вами, а за всеми подряд.
- Корпорации хотят читать переписку людей, чтобы точнее отправлять целенаправленную рекламу или продавать вашу персональную информацию тому, кто больше заплатит.
- Хакеры хотят использовать эту информацию для кражи ваших персональных данных, денег, продажи ваших планов конкурентам или шантажа.
- Правительства хотят знать обо всём, что вы думаете и делаете. Быть может, при этом они даже смогут поймать пару террористов.
Если вы не пользуетесь защищённым мессенджером, одна или сразу все категории описанных выше лиц могут легко перехватить ваши данные, если захотят.
Сейчас всё стало ещё хуже, поскольку множество людей работают и учатся из дома из-за пандемии коронавируса. Внутри компаний безопасность обычно выше, чем дома у их сотрудников. Это означает, что рабочая переписка подвергается более серьёзной угрозе, нежели раньше.
По этой причине сейчас наблюдается расцвет новых мессенджеров, которые обещают конфиденциальность, защиту, анонимность или всё сразу. Однако, по той или иной причине, эти обещания чаще всего не выполняются. Некоторые защищают сообщения только во время передачи, оставляя их доступными для чтения сотрудниками самого сервиса. Другие принадлежат компаниям с плохой репутацией в плане защиты конфиденциальности. Некоторые были взломаны АНБ или другими службами разведки разных стран. Однако, ещё не всё потеряно.
Лучшие защищённые мессенджеры с шифрованием
В этой статье описаны протестированные за последние годы мессенджеры. Они считаются лучшими для безопасного обмена сообщениями.
Signal — самое безопасное приложение для обмена сообщениями
Signal является одним из двух мессенджеров, которые выиграли от проблем с конфиденциальностью WhatsApp в начале нынешнего года. Рекомендация пользоваться им от Илона Маска привлекла немало новых клиентов. С тех пор Signal продолжает получать повышенное внимание.
Signal считается самым безопасным мессенджером. Поначалу созданный компанией Open Whisper Systems, он обладает настолько хорошим протоколом шифрования Signal Protocol, что многие другие сервисы, включая гигантов вроде WhatsApp, пользуются протоколами на его основе. Signal применяет сквозное шифрование, у него открытый исходный код, и он полностью бесплатный. Можно создавать исчезающие сообщения, сервис успешно проходил сторонний аудит и публикует отчёты прозрачности.
Однако, есть у Signal и недостатки. Главной проблемой может считаться необходимость ввести номер телефона при регистрации. Это привязывает все действия внутри приложения к вашей персоне, что многим может не понравиться.
Впрочем, есть способы обойти это требования. Или можно пользоваться другими мессенджерами из данного списка.
Плюсы:
- Сквозное шифрование.
- Алгоритмы шифрования: протокол передачи сигналов с Perfect Forward Secrecy (PFS) для текстовых сообщений, голосовых сообщений и видеозвонков.
- Открытый исходный код.
- Самоуничтожающиеся сообщения.
- Публикация отчётов прозрачности и проверок безопасности.
- Запись минимального объёма информации.
- Отсутствие записи IP-адреса.
- Может заменить СМС-приложение на вашем устройстве.
- Акцент на частных пользователей.
- Бесплатный.
Минусы:
- Для регистрации нужно указать номер телефона.
- Не поддерживает двухфакторную аутентификацию.
Wickr Me — мессенджер с самоудаляемыми сообщениями
Wickr является ещё одним отличным вариантом для безопасного общения. Линейка продуктов Wickr состоит из бесплатных и платных версий для частных лиц и организаций. В данном случае мы говорим о бесплатной частной версии Wickr Me.
Wickr Me использует тот же код, что и коммерческие предложения этого производителя. Здесь отсутствуют лишь некоторые функциональные возможности. Wickr Me и Signal являются лучшими по безопасности, но у них есть несколько функциональных различий, которые могут стать ключевыми при выборе.
- Wickr Me применяет анонимные учётные записи. Не нужно вводить номер телефона, адрес электронной почты и другую персональную информацию для создания аккаунта.
- Signal позволяет пользователям решать, будут сообщения удаляться или нет. Wickr Me такого выбора не оставляет. Все сообщения и вложения удаляются без участия пользователя. Можно только выбирать, сколько времени пройдёт до удаления. Если анонимность для вас важна и вы не собираетесь перечитывать свою переписку, этот мессенджер может отлично подойти для вас.
Плюсы:
- Сквозное шифрование на стороне клиента.
- Алгоритмы шифрования: AES 256, ECDH521 и RSA 4096 с идеальной прямой секретностью (PFS).
- Анонимные аккаунты.
- Удаляющиеся после прочтения сообщения и вложения.
- Публикация отчётов прозрачности и аудитов безопасности.
- Удаление контента спустя заданное время.
- Не ведётся запись IP-адресов и идентификаторов устройств.
- Не записываются пользовательские метаданные.
- Соответствие требованиям GDPR.
Минусы:
- Код публично доступен на GitHub, но не является открытым.
- Необычное управление сообщениями.
- Располагается в США.
Примечание: в качестве альтернативы бесплатной версии Wickr Me можно воспользоваться базовой версией Wickr Pro с большим числом функциональных возможностей.
Wire — безопасный обмен сообщениями и совместная работа
Wire представляет собой инструмент корпоративного общения с хорошей репутацией. Тут есть защищённый обмен сообщениями, групповой чат, обмен файлами и возможность безопасно работать с внешними клиентами. В данном случае мы рассматриваем Wire Personal, защищённый менеджер для частных лиц. По данным стороннего тестирования, протокол Proteus в основе этого мессенджера является надёжным. Как и Signal, Wire Personal обладает открытым исходным кодом и самоуничтожающимися сообщениями. Здесь также требуется персональная информация для создания учётной записи. Это может быть номер телефона или адрес электронной почты. Для таких случаев всегда можно использовать временную электронную почту.
Судя по применяемым технологиям, Wire Personal можно назвать отличным мессенджером для частных лиц. Недостатком является всего около 500000 пользователей. Кроме того, компания объявила ставку на корпоративных пользователей. Нужно иметь это в виду при долгосрочном выборе зашифрованного мессенджера.
Плюсы:
- Сквозное шифрование.
- Алгоритмы шифрования: протокол Proteus, WebRTC (DTLS, KASE, SRTP) с PFS.
- Открытый исходный код.
- Самоуничтожающиеся сообщения.
- Публикация отчётов прозрачности и аудитов безопасности.
- Соответствие требованиям GDPR.
- Wire Personal доступен бесплатно.
Минусы:
- Для регистрации нужно указать номер телефона или адрес электронной почты.
- Запись некоторых персональных данных.
- Не поддерживается двухфакторная аутентификация.
- Количество пользователей составляет около полумиллиона.
- Компания с недавних пор делает ставку на корпоративный рынок.
Threema — анонимный мессенджер без сбора персональных данных
Threema является не самым известным конфиденциальным мессенджером. Он существует более 8 лет, и в нём около 5 млн пользователей. Это достаточно зрелый продукт, который при этом не смог заполучить большого числа пользователей, на уровне Telegram или Signal. Но это не делает его менее пригодным для применения в определённых ситуациях.
Приложение можно использовать полностью анонимно. Если вы не захотите привязывать адрес электронной почты или номер телефона, пользователя можно будет определить исключительно по случайным образом создаваемому идентификатору, у которого нет связи ни с какими персональными данными. Частные ключи хранятся на устройствах пользователей, поэтому только сами пользователи могут прочитать присылаемые им сообщения.
Примечание: есть возможность выполнять резервное копирование идентификатора Threema, контактов, групп и других данных в Threema Safe. Копии могут храниться на серверах компании или в любом выбранном вами месте.
Threema предлагает версию для предприятий и образовательных учреждений, а также расширение для трансляции сообщений в группы Threema. Есть интерфейс прикладного программирования для использования сети сообщений Threema с собственным программным обеспечением.
В настоящее время бесплатной версии Threema не существует. Можно купить приложение в магазине Threema или в магазинах Google и Apple.
Плюсы:
- Сквозное шифрование.
- Шифрование с открытым исходным кодом NaCl.
- Анонимная работа без указания номера телефона и адреса электронной почты.
- Текстовые и голосовые сообщения, голосовые и видеозвонки, обмен файлами, опросы, группы и списки рассылки.
- Работает в браузерах и мобильных приложениях, защищённый чат на персональных компьютерах.
- Завершён переход к открытому исходному коду.
- IP-адреса и метаданные не записываются.
- Используются собственные серверы для повышения безопасности и конфиденциальности.
- Регулярно проводится аудит безопасности и выпускаются отчёты о прозрачности.
- Отвечает требованиям GDPR.
Минусы:
- Мало пользователей.
- Нет двухфакторной аутентификации.
- Отсутствует бесплатная версия.
Telegram — приложение для безопасного обмена сообщениями с более чем 500 млн пользователей
Telegram стал крупнейшим выгодополучателем от проблем с конфиденциальностью WhatsApp в начале года. Что именно приобрёл этот мессенджер? Десятки миллионов пользователей за несколько недель.
Не имеет особого значения, насколько защищённым и конфиденциальным является мессенджер, если в нём у вас нет собеседников. Когда в сервисе больше миллиарда пользователей, как в случае с WhatsApp или Facebook Messenger, очень вероятно, что у ваших знакомых, родственников или коллег по работе тоже есть там учётная запись. Если же в сервисе меньше миллиона пользователей, вероятность наличия аккаунта там у нужных людей небольшая.
Telegram находится где-то посередине между двумя этими крайностями. Количество ежемесячно активных пользователей здесь составляет более 500 млн. Это значит, что у ваших собеседников может быть аккаунт в Telegram. К тому же сервис бесплатный.
Набор функциональных возможностей у него постоянно расширяется, но есть кое-какие опасения. По умолчанию переписка не использует сквозное шифрование. Зашифрованы только голосовые звонки и секретные чаты. Если вы пользуетесь другими режимами работы, общение будет не самым защищённым. Даже если использовать сервис со сквозным шифрованием, протокол шифрования MTProto вызывает некоторые сомнения. Кроме того, сервис записывает больше пользовательских данных, чем некоторые его конкуренты.
Подойдёт вам Telegram или нет, зависит от сценариев применения и чего именно вы опасаетесь. Для кого-то богатый набор функциональных возможностей и большая пользовательская база перевешивают недостатки в плане безопасности и конфиденциальности. Если вы решите попробовать Telegram, желательно пользоваться качественным сервисом VPN. Это позволит скрыть реальный IP-адрес и местоположение, так что можно будет не опасаться, что сервис их записывает.
Плюсы:
Сквозное шифрование.
- Алгоритмы шифрования: MTProto, собственный протокол.
- Приложения с открытым исходным кодом и Telegram Database Library.
- Самоуничтожающиеся сообщения.
- Можно входить в учётную запись с разных устройств одновременно.
- Поддержка двухфакторной авторизации.
- Отвечает требованиям GDPR.
Минусы:
- При регистрации нужно указывать номер телефона.
- Сквозное шифрование применяется только при голосовых звонках и в секретных чатах.
- Серверы без открытого исходного кода.
- Отсутствие публикации официальных сторонних аудитов.
- Записываются IP-адреса и другие метаданные.
Silence
Если вы ищете приложение для SMS/MMS, обеспечивающее более высокий уровень безопасности, чем обычное текстовое сообщение, обратите внимание на Silence, приложение для Android с открытым исходным кодом, в котором используется протокол шифрования Axolotl, разработанный Signal, и применяется к SMS на телефоне. Silence работает так же, как обычное приложение для обмена текстовыми сообщениями, отправляя обычные текстовые сообщения своим контактам через SMS с возможностью отправки зашифрованных SMS-сообщений другим пользователям Silence.
Плюсы:
- Зашифрованные SMS-сообщения.
- Бесплатное и с открытым исходным кодом.
Минусы:
- Нет приложения для iOS.
Silent Phone
Silent Circle — это надёжный поставщик программного обеспечения для безопасной связи, которое обеспечивает зашифрованные видео- и голосовые вызовы, а также зашифрованные, самоуничтожающиеся сообщения и передачу файлов. Ключи шифрования хранятся у самих подписчиков, а не у Silent Circle, поэтому, хотя ваши зашифрованные сообщения могут проходить через сеть Silent Circle, компания не может прочитать ваши данные. Минус – достаточно высокая цена. Установка приложения Silent Circle бесплатна, но оно не будет работать, пока вы не заплатите 9,95 долларов в месяц. Silent Circle предназначен для корпоративных пользователей, которым для работы требуется полная конфиденциальность.
Плюсы:
- Сквозное шифрование.
- Номер телефона не требуется.
- VoIP звонки.
Минусы:
- Нет возможности отправлять сообщения с ПК.
- Цена.
Dust
Dust, предлагает несколько функций безопасности и шифрования, пытаясь сохранить конфиденциальность пользователей. Приложение использует комбинацию шифрования AES-128 и RSA-2048 для защиты постов и сообщений, а также предназначено для максимально возможного хранения прямых сообщений в оперативной памяти, а не в постоянном хранилище вашего телефона. Сообщения можно настроить на самоуничтожение в течение 24 часов или сразу после прочтения. Dust также настроен так, чтобы не отображать имена пользователей в сообщении и информировать вас, если снимок экрана сделан из приложения. В дополнение к защищённому мессенджеру Dust также содержит функцию защиты конфиденциальности и инструмент скрытого поиска для обеспечения конфиденциальности при поиске в Интернете.
Плюсы:
- Уведомления о снимках экрана.
- Скрытый поиск.
- Сквозное шифрование.
- Оповещения об утечке данных.
Минусы:
- Нет истории чата.
Каких мессенджеров и практик при обмене сообщениями нужно избегать
Теперь вы знаете лучшие мессенджеры, поэтому пора поговорить о том, с какими мессенджерами лучше не связываться.
WhatsApp (принадлежит Facebook)
WhatsApp может зашифровывать пользовательские сообщения, но это не делает их защищёнными. Этот мессенджер принадлежит Facebook и работает по законам США. Есть несколько причин держаться от WhatsApp подальше:
- WhatsApp собирает метаданные о пользователях, которые могут использоваться на Facebook или передаваться государственным учреждениям. Записываются имя пользователя, IP-адрес, номер телефона, история местоположения, сотовая сеть, контакты, тип устройства.
- Facebook и WhatsApp обязаны отдавать зашифрованные приложения пользователей британской полиции в соответствии с требованиями нового соглашения.
- Судя по существующим отчётам, правительства могут легко получить доступ к зашифрованным данным WhatsApp через «WhatsApp Web».
- В начале 2020 года появилась информация о крупных изменениях в политике конфиденциальности WhatsApp. Эти изменения позволяют передавать больше данных в руки Facebook.
Keybase (сейчас принадлежит Zoom)
Популярность приложения Keybase со временем увеличивалась, а в 2020 году его купил Zoom.
Как известно, Zoom является не той компанией, которая уважает пользовательскую безопасность и конфиденциальность. С этим сервисом в последние годы связано немало скандалов. Также у него есть сомнительные связи с Китаем. Было замечено, что через Китай проходят пользовательские данные.
В результате порекомендовать к использованию Keybase в настоящее время невозможно.
Обычные незашифрованные СМС-сообщения
Хотя это не какое-то конкретное приложение, не помешает повторить много раз дававшийся совет. Если вы хотите получить конфиденциальность или защиту, не пользуйтесь стандартными незашифрованными текстовыми сообщениями.
Эти сообщения могут легко прочитать операторы мобильной связи и те, с кем они делятся данными. Также незашифрованные данные подвержены атакам типа «человек посередине» и их могут перехватить устройства Stingray.
Нужно понимать, что это относится и к СМС-сообщениям, которые отправляются через приложение Signal. Если установить Signal в качестве приложения по умолчанию для работы с СМС, появится возможность отправлять и получать их. Вот только сообщения останутся незашифрованными.
На какие характеристики смотреть при выборе мессенджера с шифрованием
На что нужно обращать внимание в процессе выбора мессенджера или сервиса с шифрованием? Даже если у вас есть какие-то необычные запросы, в любом случае нужно обращать внимание на следующее:
- Сквозное шифрование.
- Стороннее тестирование и обзоры.
- Открытый исходный код.
- Самоликвидация данных.
- Минимальный сбор пользовательских данных.
- Специфические необходимые вам функциональные возможности.
- Анонимный вход.
Сквозное шифрование
Сквозное шифрование является главной характеристикой защищённых мессенджеров. Когда оно есть, только отправитель и получатель могут видеть сообщения. Даже представители самого мессенджера не смогут прочитать эти сообщения. Если у сервиса нет сквозного шифрования, его нельзя назвать защищённым.
Чтобы обеспечивать защиту, сквозное шифрование должно дополняться двумя требованиями. Во-первых, необходимо применять надёжные алгоритмы шифрования. Во-вторых, сквозное шифрование должно применяться к вашим сообщениям. Давайте посмотрим на эти условия более пристально.
Надёжные алгоритмы шифрования
Алгоритм шифрования должен быть таким, чтобы никто не смог его взломать. Или же реальнее сказать, чтобы на его взлом ушло очень много времени, миллионы и миллиарды лет. Обычно это не проблема, поскольку мессенджеры применяют надёжные алгоритмы шифрования. Алгоритмы вроде протокола Signal были проанализированы криптографами и они пришли к выводу, что степень защиты у них достаточно высокая. Если же сервис не применяет проверенные алгоритмы шифрования, это не означает, что защита слабая, но нужно иметь это в виду.
Сквозное шифрование должно быть включено
От сквозного шифрования не будет пользы, если по умолчанию оно выключено. Самые защищённые мессенджеры используют сквозное шифрование всегда. Про Telegram такого сказать нельзя. В этом мессенджере сквозное шифрование изначально есть только в секретных чатах и в голосовых сообщениях.
Стороннее тестирование и обзоры
Одна из проблем работы с мессенджерами заключается в том, что необходимо проверять их обещания. Следует найти ответ на несколько вопросов:
- Что именно сервис называет защищённым? Для одного сервиса это подход с отсутствием разглашения, шифрование и дешифрование всех сообщений в клиенте без доступа к вашим паролям и ключам шифрования со стороны сервера. Другие могут использовать протокол TLS для шифрования данных в процессе передачи, самостоятельно зашифровывая данные на своих серверах и сохраняя ключи шифрования. В обоих случаях сервисы говорят о надёжности, но это разная надёжность.
- Природа стоящих перед пользователем угроз. Нужно понимать, против чего вы пытаетесь защититься. Если вы хотите избежать слежки со стороны посторонних в интернете, это одно дело. Если же вы хотите защитить свои сообщения в том случае, когда государственная служба вроде АНБ получила доступ к серверам, всем данных на них и ключам шифрования, это совсем другой уровень защиты. Какой именно вариант нужен вам, зависит от сценариев работы.
Можно ли самому проверять обещания сервиса? Никогда не помешает знать, что сервис обладает открытым исходным кодом. Сможете ли вы самостоятельно проанализировать этот код и понять, что все обещания выполнены? Большинство людей не смогут. Как не смогут они провести тесты на проникновение или любые другие тесты, которые позволят проверить степень защищённости сервиса.
Здесь на помощь приходят сторонние тесты, аудиты и обзоры. Многие компании в наше время нанимают третьих лиц для проверки возможностей своих сервисов. Процесс тестирования в разных случаях может отличаться, как и объём публикуемых результатов тестов. В любом случае, подобный подход может внушить хотя бы некоторое чувство уверенности в том, что вы имеете дело с защищённым мессенджером.
Открытый исходный код
Открытый исходный код также повышает уверенность в том, что сервис выполнит свои обещания. Не потому, что вы самостоятельно изучите содержимое этого кода и увидите, что нет никаких бэкдоров и уязвимостей. Существует немало специалистов в этой области, которые сделают это за вас. В интернете есть люди, которые могут и делают проверку исходного кода, чтобы уличить разработчиков во лжи или же подтвердить, что они говорят правду.
Чем популярнее приложение, тем больше людей анализируют его код и при наличии проблем сообщают о них всему миру. Тот факт, что существуют люди, которые готовы проверить открытый код, приводит к более быстрому устранению ошибок. Если какие-то уязвимости были оставлены специально, об этом тоже станет известно.
Самоуничтожение контента
Идея обеспечения защиты и конфиденциальности при помощи автоматического уничтожения контента существует давно. В современных мессенджерах эту идею взяли на вооружение.
Некоторые сервисы позволяют автоматически уничтожать определённые сообщения спустя заданное время после прочтения. Wickr Me вообще полностью основан на идее самоуничтожения сообщений. Все сообщения и вложенные в них файлы стираются спустя определённое время. В зависимости от ваших вариантов применения это может быть важной возможностью.
Ограниченный сбор данных
Если все ваши сообщения надёжно зашифрованы, это не означает, что у сервиса нет данных о вас. Большинство сервисов собирают определённое количество информации о своих пользователях. Это может быть адрес электронной почты, номер телефона, IP-адрес, в какое время вы подключались, к кому подключались и т.д. Сбор подобной информации не показывает содержимое ваших сообщений, но всё равно ухудшает конфиденциальность.
В зависимости от стоящих перед вами угроз объём собираемой о пользователях информации может быть важным или нет. Если это важно, вы можете уменьшить влияние сбора данных при помощи VPN. VPN позволит скрыть ваш настоящий IP-адрес и местоположение от всех приложений, сервисов и сайтов, которыми вы пользуетесь.
Нужно понимать, что VPN не является панацеей и не скрывает все ваши метаданные. Это один из многих инструментов обеспечения конфиденциальности, которым необходимо пользоваться для обеспечения базовой цифровой защиты. VPN будет надёжно шифровать трафик между вашим устройством и своим сервером, скрывая IP-адрес и местоположение.
Определённые функции
Защита и конфиденциальность мессенджера мало что значат, если там нет нужных вам функциональных возможностей. К счастью, большинство лучших мессенджеров продолжают расширять функциональность, поэтому скорее всего вы найдёте хотя бы в одном из них всё, что вам нужно. Например, многим нужна работа на разных операционных системах. Зато далеко не всем нужно отправлять голосовые и видеосообщения.
Нужно уделять внимание такому аспекту, как совместимость. Это значит, что выбранный вами мессенджер должен быть у тех, с кем вы собираетесь общаться. Число пользователей в сервисе Telegram довольно быстро растёт и уже перевалило за отметку в 400 млн. У большинства сервисов пользователей меньше. В зависимости от обстоятельств может потребоваться пожертвовать частью защиты и конфиденциальности, чтобы общаться с теми, с кем вам необходимо.
Вопросы и ответы
Цель этой статьи заключается в том, чтобы предложить на выбор несколько лучших защищённых мессенджеров. Выбор вы можете сделать сами. Однако у многих людей для этого не хватает навыков и они задают один вопрос:
Какой мессенджер является самым защищённым и конфиденциальным?
Дать один подходящий всем ответ не представляется возможным. Можно посмотреть на тех, чьему мнению вы доверяете. Например, военные пользуются мессенджерами Signal и Wickr во время ведения боевых действий.
Заключение
Защищённые мессенджеры являются отличной альтернативой стандартной электронной почте. С этим согласен даже Эдвард Сноуден, а он наверняка разбирается в этом лучше всех нас.
Защищённые мессенджеры и сервисы из этой статьи применяют слегка отличающиеся подходы к обеспечению вашей конфиденциальности. Вы можете прочитать о различиях между ними, их достоинствах и недостатках. После этого можно будет принять более взвешенное решение о том, какой из этих сервисов лучше подходит под ваши потребности.