07 aug. 2017 | 15:27

Tot ce trebuie să știi despre mesajele criptate și private din aplicațiile de chat

OPINII
Tot ce trebuie să știi despre mesajele criptate și private din aplicațiile de chat

Facebook numără utilizatorii cu miliardele în WhatsApp și Messenger. Telegram și altele ne vorbesc despre confidențialitate mai mereu. Câtă intimitate avem însă cu adevărat?

[related]

Anul trecut, WhatsApp a implementat criptarea end-to-end pentru toate conversațiile a însemnat un mare pas înspre protejarea vieții private a utilizatorilor săi. Doar câteva luni mai târziu, însă, apărea știrea că există o breșă de securitate care permite angajaților Facebook să intercepteze și să citească mesajele utilizatorilor. Nu este deloc surprinzător, având în vedere că marea majoritate a sistemelor de mesagerie sunt departe de a ne garanta intimitate în conversațiile online.

O evaluare făcută de Electronic Frontier Foundation (EFF), acum doi ani, arăta că majoritatea sistemelor de mesagerie foarte cunoscute și folosite au scoruri mici în materie de securitate și confidențialitate. Între timp, EFF a primit critici privind modul în care era construit acel sistem de evaluare și a anunțat că lucrează la o versiune actualizată, dar aceasta e deja o altă poveste.

Minusurile mesajelor secrete rămân, iar urmările sunt în intimitatea utilizatorului

Skype, AIM și Blackberry Messenger au primit cel mai mic punctaj. Facebook Messenger, WhatsApp, Viber și Google Hangouts stăteau ceva mai bine – dar nu grozav. De menționat că evaluarea a fost făcută înainte de introducerea criptării end-to-end.

Principalele probleme ale acestor aplicații erau acelea că, deși folosesc criptarea, nu schimbă cheile și nu verifică identitatea interlocutorului, iar dezvoltatorii din compania respectivă pot să citească mesajele utilizatorilor. Și mai este o problemă. Pentru că folosesc un algoritm propriu de criptate, încalcă o regulă importantă, care spune exact contrariul: să nu implementezi niciodată un algoritm propriu.

Dintre cele relativ populare, Signal și Telegram sunt cele mai sigure. Recent, se pare însă că dezvoltatorii Telegram au început să citească mesajele, pentru a bloca acele grupuri de chat bănuite că au legături cu organizații teroriste.

Principii esențiale ca să ai conversații sigure, criptate, intime

Deși, de cele mai multe ori, când ne gândim la o comunicare sigură, ne raportăm la criptare, siguranța ține și de alte aspecte. Contează foarte mult felul cum a fost creat serviciul: dacă le permite angajaților să vadă corespondența, dacă are un cod open-source, pentru ca oricine să poată identifica o potențială vulnerabilitate sau dacă trebuie să furnizezi informații personale când îți creezi contul (de cele mai multe ori, numărul de telefon).

Ce înseamnă, de fapt, un sistem de mesagerie care să îți asigure confidențialitatea? Roland Schilling și Frieder Steinmetz au explicat foarte sugestiv, făcând o paralelă cu o conversație între patru ochi. Din această comparație, au rezultat mai multe elemente definitorii ale unei conversații private, fie că este față în față, fie în mediul online.

Confidențialitate – Online sau offline, conversația nu trebuie să poată fi auzită decât de cei doi parteneri.

Autenticitate – Mai greu, dar nu imposibil de obținut în comunicarea online, spre deosebire de cea reală, în care vezi partenerul de discuție și știi sigur că e el.

Conversația trecută și cea viitoare trebuie să rămână secretă – Cineva care reușește să intercepteze o conversație online nu trebuie să afle mai mult decât ce se discută în momentul și în locul respectiv, fără a putea urmări arhivele conversației și discuții viitoare.

Integritatea mesajelor – Chiar dacă este mai greu, și în comunicarea online avem nevoie de siguranța că mesajul transmis ajunge exact așa cum l-am formulat și nu este modificat de un terț, undeva, pe traseu.

Conceptul mesajelor criptate care ar trebui să ne asigure secretele

În teorie, lucrurile sună bine, iar în viața reală este destul de simplu să pui recomandările în practică. În online, este mai greu, dar nu imposibil. De exemplu, confidențialitatea și integritatea se asigură prin intermediul criptării simetrice și asimetrice.

În cele mai sigure sisteme, acestea sunt îmbinate astfel încât rezultă o cheie unică pentru fiecare conversație dintre doi interlocutori. Un nivel și mai mare de confidențialitate poate fi obținut printr-o criptare suplimentară, iar în ipoteza în care un atacator ar vrea să citească mesajul, atunci când ajunge pe server, va vedea doar cine l-a trimis, nu și unde trebuie să ajungă. Serverul vede, în schimb, adresa de destinație, fără a putea să citeasca mesajul, îl criptează din nou și îl trimite la destinatar – în etapa aceasta, un terț interesat de mesaj, va putea să afle de la ce server vine și cui i se adresează, dar nu și expeditorul.

Pentru a asigura autenticitatea mesajelor sau, cu alte cuvinte, pentru ca interlocutorii să poată dovedi că sunt cine pretind pot folosi adresele de mail sau numerele de telefon. Cei care nu vor să folosească astfel de informații confidențiale pot folosi metode mai sigure. De exemplu, Threema le oferă utilizatorilor posibilitatea de a face schimb de coduri QR pentru a-și confirma identitatea.

[related]

Revenind la topul celor mai sigure servicii de messenger, acestea sunt unele mai puțin cunoscute: Wire, SIlentText, Chatsecure, CryptoCat, Threema (contra cost). Majoritatea utilizatorilor le preferă pe cele de care au auzit, chiar dacă nu sunt foarte sigure, dar este important ca și cei pentru care confidențialitatea mesajelor chiar contează, să știe că au destule opțiuni la dispoziție.

Dan este Security Researcher în cadrul echipei globale de cercetare a Kaspersky, GReAT (Global Research and Analysis Team). Principalele lui domenii de interes sunt sistemele distribuite și atacurile ... vezi toate articolele