Смішно, коли домогосподарки і люди, в принципі далекі від технологій (шифрування в тому числі), погуглити на своїх комп'ютерах або ноунеймфонах, діловито заявляють:
Система шифрування даних користувачів WhatsApp (шифрування відкритим ключем).
Для того, щоб відправити повідомлення користувачу В, користувач А запрошувати у сервера месенджера відкритий ключ для користувача В. Потім користувач А використовує цей відкритий ключ для шифрування повідомлення. Після цього користувач B використовує особистий ключ, доступний тільки на його пристрої, для розшифровки отриманого повідомлення.
А ось що описано в самій схемі роботи месенджера.
Для того, щоб спілкуватися з іншими користувачами, клієнту WhatsApp необхідно встановити зашифрований сеанс, після якого новий сеанс не створюється поки додаток, наприклад, не буде переустановлені або не зміни пристрій.
Перше що слід взяти до уваги при реалізації схеми з відкритим ключем це можливість підміни публічного ключа третьою стороною. Зловмисник, який володіє можливістю модифікувати трафік, здатний перехопити публічний ключ користувача Маша і підмінити його на свій власний публічний ключ. Це призводить до того, що користувач Петя, при спробі відправити зашифроване повідомлення Маші, насправді зашифрує його ключем атакуючого, який зможе розшифрувати і прочитати секретні дані. Привіт, атака «MiM».
На iOS і Android пристроях, BBM використовує SQLCipher для шифрування своєї бази даних, запитуючи в момент установки у пристрої iOS або Android блок випадкових даних (48 байт), щоб використовувати в якості ключової фрази. Ця фраза є випадковою і унікальною для кожного додатка BBM, і використовується кожен раз, коли додаток BBM запускається на пристрої або починається діалог між користувачами. BBM шифрує ключову фразу і зберігає його в сховище ключів пристрою. Тобто мови про ключі, який зберігається постійно, немає. Генерується фраза випадковим чином. Далі вже починається обмін повідомленнями. База даних BBM зберігається також в зашифрованому вигляді.
Платне шифрування, на думку горе-дослідників.
BBM Protected. про який горе-дослідники згадують як про «платному шифруванні» лише додає додатковий алгоритм FIPS 140-2 в роботу існуючого на даний момент в BBM, шифрування. Повідомлення, відправлені між двома користувачами в BBM Protected захищені за допомогою ключа шифрування, унікального для цих двох користувачів. Цей ключ шифрування генерується в інфраструктурі підприємства, з розгорнутим BES-сервером. Сервери BlackBerry не беруть участі в цьому обміні ключами між двома пристроями. BBM Protected дозволяє забезпечувати захист інформації, що передається навіть якщо користувачі підприємства спілкуються з користувачами, що знаходяться поза ним корпоративної мережі або підключені до інших BES-серверів. Це лише коротке пояснення того, як працює BBM.
Примітно, що «дослідники» використовували досить дивні критерії оцінки недоторканності листування в месенджерах. Зокрема, в BBM і тому ж Telegram. Складається враження, що горе-дослідники користуються виключно WhatsApp і iMessage, а згадані вище месенджери для них щось недоступне для розуміння або використання.
Ми не проводили загальну оцінку безпеки різних додатків обміну повідомленнями. Amnesty International рекомендує журналістам, активістам, правозахисникам і іншим особам. чиї заяви особливо можуть бути схильні до критики, проконсультуватися у експертів з питань інформаційної безпеки. [Тут ще обов'язково необхідно додати «... домогосподаркам, клепки в голові копі-Пастер і тим дурням, які це взагалі робили».]
Ми також не розподіляли компанії по загальній ефективності в області прав людини, або їх підходу до конфіденційності у всіх своїх продуктах і послугах.
[Самі не зрозуміли, що вони цим хотіли сказати].
Яким месенджером користуватися? Це вирішувати все-таки Вам. Ставлення до самих себе виражається в тому, наскільки серйозно конфіденційність приватного життя і збереження корпоративної інформації усвідомлюється вами і ви прямуєте цим принципам.
Якщо вам абсолютно все одно, скільки додатків для спілкування встановити на ваш мобільний пристрій, з ким вам дійсно важлива надійний зв'язок, яким способом передати корпоративну інформацію -вам неважливо з ким ви на зв'язку і які наслідки витоків інформації, від якої може залежати не просто ваша зарплата, а майбутнє в цілому-вам неважливі ви самі, ваше благополуччя і стабільність майбутнього. Вашого майбутнього.