Шифрование сообщений в Whatsapp - что это и зачем это стало нужно? Такой вопрос задают многие пользователи этого приложения, уже ставшего популярным. Об этом и о многом другом пойдет речь далее.

Зачем нужно шифрование?

Зачем владелец Ватсап включил шифрование? Доподлинно не известно, что за конфликт произошел между силовыми структурами стран, их объединений и руководством компании, но теперь Whatsapp шифрует полностью все данные, которые посылаются пользователями. Получается, что только отправителю и получателю сообщений видно их содержание. Сюда относятся:

• Текстовое сообщение, в том числе смайлики.
• Картинка.
• Видео.
• Фотография.
• Скомпилированные (смешанные) файлы.
• Звонок (аудиосообщение).

По сути, включить шифрование нужно было, чтобы противостоять киберпреступникам и иным пользователям, физическим и юридическим лицам, могущим иметь доступ к подобного рода данным. Даже для самой компании переписки индивидуальных пользователей теперь полностью закрыты для просмотра. Хотите вы этого или нет, общаясь в этой Сети с помощью групповых чатов, вы будете обмениваться данными с защитой их содержимого, которое нельзя убрать.

Ян Кум, один из владельцев Вацап, считает, что данные, посылаемые пользователями друг другу, не могут быть использованы другими лицами либо просматриваться ними. Именно поэтому нужно шифрование в Whatsapp. Оно называется «end-to-end encryption» и производится по умолчанию. Расшифровка также производится автоматически устройством получателя сообщения.

Что такое сквозное шифрование?

Если вы используете для переговоров в Вацапе последнюю версию программы Whatsapp IOS, все сообщения, посылаемые собеседнику, в обязательном порядке шифрует специальное программное обеспечение. Это и называется “сквозное шифрование”. Факт его наличия дает стопроцентные гарантии конфиденциальности любому пользователю. Так как данный вид защиты информации активирован все время, отключить его невозможно, да и не нужно.

При каждой отправке любого по объему и содержанию сообщения оно кодируется отдельно (это значит, что вы защищены), поэтому имеет собственный ключ. Он есть только у того, кто отсылал сообщение, а также у предполагаемого получателя этой информации.

Вы сможете проверить кодировку одним из следующих способов:

Особенно просто сделать второй вариант проверки, если вы с вашим собеседником можете встретиться в реальной жизни, то есть территориально находитесь близко. В таком случае один из вас может отсканировать QR-код с устройства товарища (неважно, Android это или другое устройство), с которого он пользуется Ватсапом, либо визуально сравнить все шестьдесят цифр.

Обратите внимание на то, что даже 60 цифр QR-кода – это не вся “шифровка”, а только ее часть. Скрытие от всех части кода – это дополнительная мера, которая обеспечит безопасность общения и обмена информацией.

Если же код не совпал, это значит, что вы по ошибке просканировали код другого чата или другого пользователя. Также это может свидетельствовать об устаревшей версии программы. О том же самом говорит сообщение об отсутствии шифрования, выскакивающее при попытке узнать этот код.

Описанный выше процесс называется “Подтвердить код безопасности”, но обязательной процедурой это не является.

Вы можете также проверить любой из чатов на соответствие этим новым стандартам безопасности. Для этого требуется зайти в нужный контакт в программе, нажать “Посмотреть контакт”, выбрать “Шифрование”. После удачного прохождения проверки можно отправлять голосовые сообщения, текстовые сообщения, содержащие смайлики и любую другую информацию. Теперь можно не беспокоиться. Любые вторжения извне при общении вам не страшны!

Как работает шифрование?

Этот вид защиты посылаемых данных работает следующим образом:

1. Пользователь А (точнее, его устройство) запрашивает у сервера компании, обладающей программой-мессенджером, открытый ключ.
2. Происходит отправка сообщения от А к В, предварительно закодированного этим ключом.
3. Устройство пользователя В выполняет после получения расшифровку сообщения.

Итак, в современном мире, наполненном информацией, как полезной, так и вредной или неверной, необходимо защищать данные от несанкционированных воздействий и кражи. При использовании Вацапа такое кодирование-защита может осуществляться автоматически.

Когда мы читаем описания и обзоры мессенджера WhatsApp, мы постоянно встречаем термин «сквозное шифрование». Нам объясняют, что это невероятно полезная вещь, благодаря которой никто посторонний не может прочитать нашу переписку. Хорошо бы понимать хотя бы в общих чертах, не вдаваясь в детали, как эта технология работает.

Зачем нужно шифрование WhatsApp

Ответ на этот вопрос в общем-то очевиден. Шифрование позволяет защитить вашу переписку от посторонних любопытных глаз. Часто люди даже не подозревают, сколь много чувствительной личной информации они пересылают в личном общении через соцсети и мессенджеры. И здесь уже не работает оправдание «я простой человек и никому не интересен». Почти у всех есть банковские карты и при должном умении мошенники могут оставить вас без денег.

Правда, чтобы это сделать, им нужна минимальная информация о вас, которую вы сами можете случайно раскрыть в личной переписке. Чтобы этого не произошло, и будет полезно шифрование: даже если взломщики как-то получат доступ к линии передачи и трафику, то прочитать переписку не смогут.

Что такое сквозное шифрование

Для начала поймём, что именно подвергается шифрованию при общении в WhatsApp. Шифруется просто всё подряд:

• ваши текстовые сообщения, включая смайлики;
• ваши телефонные звонки;
• записи аудиосообщений;
• все передаваемые файлы в любых форматах;
• фотографии и видеоролики.

То есть любой трафик с вашего Ватсапа, на каком бы устройстве он ни был установлен, уходит уже зашифрованным.

Как же вообще работает шифрование трафика? Конкретные детали скорее всего неизвестны, но есть общий принцип.

В программу WhatsApp, установленную на вашем смартфоне или компьютере, встроен криптографический модуль. Он имеет уникальный ключ – некую последовательность символов. Ни на одном другом Ватсапе во всём мире такого ключа больше нет, они все разные. И ключ этот состоит из двух частей – открытой и закрытой.

Когда вы открываете диалог с вашим другом, ваш Ватсап отсылает ему открытую часть своего ключа. Взамен ваш собеседник получает такую же открытую часть ключа от вашего друга. Из двух частей (собственной закрытой части и полученной чужой открытой) Ватсап формирует ключ шифрования. И вся ваша дальнейшая переписка шифруется с использованием этого ключа.

Возникает вопрос: что будет, если хакер подключится к линии передачи между двумя Ватсапами (например, к Wi-Fi в кафе) и перехватит открытую часть ключа? Сможет ли он общаться с вашим другом от вашего имени?

Ответ: нет, не сможет. Потому что у него нет закрытой части ключа. Она остаётся на вашем смартфоне и никуда не передаётся. По этой же причине хакер не сможет притвориться вашим другом.

Так работает метод «криптографии с открытым ключом». Он даёт возможность двум абонентам устанавливать защищённую связь, находясь далеко друг от друга. И более того, открытые части ключей могут передаваться по незащищённым линиям, но канал связи всё равно останется недоступным для взломщиков.

Более того, ваша переписка недоступна даже владельцам WhatsApp. По той же самой причине: ключи для шифрования находятся только в аккаунтах абонентов, их нет на серверах мессенджера. Поэтому метод и называют часто «end-to-end», то есть «оконечное шифрование» – защищённый канал, своего рода туннель, образуется между оконечными устройствами.

Почему с шифрованием так медлили

Достоверно это неизвестно. Мы можем лишь наблюдать и делать те или иные выводы.

Судя по всему, руководство компании долго не хотело выпускать полностью защищённый мессенджер просто потому, что тогда во многих государствах могли его просто запретить. Время сейчас неспокойное, и спецслужбы очень хотят знать, где и какие готовятся преступления, что задумывают террористы, и так далее. Если мессенджер будет полностью защищён от прослушки, то этой информации у силовых органов не будет, а это угроза безопасности.

Но так или иначе, полное шифрование трафика было всё же включено весной 2016 года. Видимо, требования пользователей оказались весомее. Люди ведь и сами обычно заинтересованы в сохранении тайны личной жизни. Ведь речь идёт как минимум о безопасности своей семьи и детей. Не исключено, что Ватсап внедрил шифрование потому, что другие мессенджеры, включили эту функцию. Пользователи могли начать переходить к конкурентам – туда, где безопаснее.

Можно ли выключить шифрование

Нет, такой возможности не предусмотрено. Нет никакой настройки, которая бы отключала криптографический модуль WhatsApp. Весь трафик шифруется принудительно.

Для пользователей отключать шифрование и не нужно – процесс прозрачен, происходит очень быстро и полностью не заметно. То есть сложно придумать причину, по которой кто-то захотел бы выключить криптографию Ватсап на своём смартфоне. Если говорить о хакерах, то сделать что-то плохое со смартфоном без вашего содействия они тоже не могут.

Возможно, существуют какие-то вирусы, которые, попав на устройство, подменяют ключи или как-то выключают криптографию. Чтобы этого не произошло, просто следует соблюдать простейшие правила Интернет-гигиены: не открывать подозрительных ссылок, не устанавливать непонятных программ, не выходить в Интернет в общественных местах через бесплатный Wi-Fi и так далее.

В чём недостатки текущей версии шифрования WhatsApp

Ограничения метода шифрования end-to-end являются продолжением его достоинств. Уникальный ключ шифрования связан с каждым устройством, на котором установлен WhatsApp. Почему это хорошо, мы рассказали выше. Но с другой стороны, этот ключ невозможно передать на другое устройство. Например, чтобы иметь возможность общаться с двух или трёх смартфонов одновременно. То есть, установить Ватсап с тем же самым ключом на другой телефон можно. Только если войти с него в беседу, сессия на первом телефоне тут же обрывается.

Хотя, это не такое уж большое неудобство. Вам ведь никто не запрещает установить на второй или третий смартфон полноценные копии Ватсап со своими ключами.

Что в WhatsApp была найдена проблема, которая в теории позволяет сотрудникам Facebook и другим посторонним лицам читать переписку пользователей. Хотя представители Facebook заявляют, что перехватить сообщения WhatsApp не может никто, исследователь Тобиас Бёлтер (Tobias Boelter) из калифорнийского университета в Беркли с ними не согласен.

Бёлтер рассказал журналистам Guardian, что проблема связана с имплементацией протокола для end-to-end шифрования, который использует мессенджер. Напомню, что end-to-end шифрование WhatsApp строится на протоколе Signal, созданным Open Whisper Systems. Мессенджер генерирует уникальные ключи шифрования, которые и защищают переписку пользователей. Но исследователь установил, что WhatsApp может принудительно сгенерировать новые ключи, к примеру, если пользователь долгое время не появлялся в онлайне или сменил устройство. И об этой особенности мессенджера ранее известно не было.

В итоге возникает странная ситуация: пользователь отправляет сообщение реципиенту, который долгое время находится оффлайне. Сообщение повисает как не отправленное, и за то время, что пользователь находится в оффлайне, WhatsApp успевает сменить ключ шифрования, о чем не знают ни отправитель, ни получатель. В итоге, получив повторно отправленное сообщение, реципиент вообще не узнает о случившемся, а отправитель сообщения получит уведомление о смене ключа шифрования лишь в том случае, если он заранее включил такую опцию в настойках безопасности. Более того, уведомление будет показано уже после повторной отправки сообщения.

По мнению Бёлтера – это серьёзная проблема. «Если правительственное учреждение потребует, чтобы WhatsApp раскрыл данные о переписке пользователей, по сути, доступ может быть предоставлен через смену ключей», - говорит исследователь.

Еще в апреле 2016 года специалист сообщил о найденной уязвимости представителям Facebook. Тогда исследователю ответили, что компания знает о проблеме, назвали эту особенность работы мессенджера «ожидаемым поведением» и сообщили, что исправлять баг (или лучше сказать бэкдор?) в ближайшее время не собираются.

«Имплементация протокола Signal, которую использует WhatsApp, позволяет включить опцию “Показывать уведомления безопасности” (Настройки -> Учетная запись -> Безопасность), которая уведомит вас о том, что код безопасности контакта сменился. Мы знаем, что в основном такое происходит, когда кто-то меняет телефон или переустанавливает WhatsApp. Потому что в большинстве стран мира люди часто меняют устройства и SIM-карты. В данных обстоятельствах мы хотим, чтобы сообщения доходили до получателей, а не терялись в пути.

WhatsApp не предоставляет правительствам “бэкдор” для своих систем и будет бороться с любыми правительственными запросами на создание бэкдоров», - прокомментировал Guardian представитель WhatsApp.

Стоит сказать, что мессенджер Signal, который тоже базируется на одноименном протоколе, не имеет такой проблемы. Если у реципиента сменился ключ шифрования, пока тот находился в оффлайне, отправка сообщения завершится неудачей, а отправитель получит уведомление о смене ключа. Автоматической повторной отправки сообщения Signal не предусматривает – это особенность собственной имплементации, используемой WhatsApp.

«Некоторые могут решить, что данная уязвимость позволяет перехватить только отдельные сообщения, а не все разговоры в целом. Это не так. Нужно учитывать, что сервер WhatsApp способен перенаправлять сообщения, не отображая при этом уведомления “сообщение получено реципиентом” (или двойную галочку), то есть пользователь может этого не заметить. Используя уязвимость, связанную с такой ретрансляцией, позже сервер WhatsApp может восстановить полную копию всего разговора, а не только отдельное сообщение», - объясняет Бёлтер.

Журналисты Guardian отмечают, что ИБ-эксперты и правозащитники уже назвали данную проблему «золотой жилой для силовых структур, огромным предательством доверия пользователей и угрозой свободе слова».

Всем людям свойственны переживания о своей безопасности и конфиденциальности, поэтому приложение WhatsApp использует . Использование этой технологии гарантирует безопасность ваших личных данных и делает невозможным попадание в чужие руки сообщений, медиа-файлов, документов и звонков.

О технологии сквозного шифрования в Вацапе

Для использования технологии сквозного шифрования вы и ваши собеседники должны использовать последние версии приложения WhatsApp.

Технология сквозного шифрования в WhatsApp дает гарантию, что доступ к содержимому ваших диалогов сможете получить только вы и человек, с которым вы общаетесь. Никто другой, даже компания WhatsApp, не сможет получить доступ к этим данным, так как ваши сообщения защищает уникальный замок. Ключ к этому замку предоставляется только вам и получателю сообщений и только он может разблокировать и прочитать данные. Для большей безопасности каждое отдельное сообщение отправляемое вами так же имеет уникальный замок шифрования и ключ к нему. И самое главное, что это все происходит в автоматическому режиме - для использования сквозного шифрования нет необходимости разбираться в настройках приложения или же использовать отдельные секретные чаты. Защита ваших личных данных обеспечивается постоянно.

Важно! Технология сквозного шифрования активна постоянно, если каждая из сторон использует последнюю версию приложения. Отключение сквозного шифрования в WhatsApp невозможно. Использование шифрования .

Подтвердить код безопасности Вацапа?

Каждый чат в Вацапе имеет свой код безопасности, данный код используется для подтверждения шифрования отправленной вами информации: звонков, сообщений и файлов, которые вы отправляете в чат.

Важно! Данный процесс проверки не обязателен. Он используется для подтверждения шифрования отправляемых вами сообщений.

Код безопасности находится в разделе “Инфо о контакте” - это QR-код или цифровой 60-ти значный номер. Этот код является уникальным для каждого отдельного чата. Чтобы убедиться, что ваша переписка зашифрована участники диалога могут сравнить коды безопасности. Данный код безопасности является открытой версией специального ключа безопасности между собеседниками. Можете не переживать, код это не полная версия ключа, так как он всегда скрыт и держится в тайне.

Как подтвердить шифрование чата в Вацапе

Для подтверждения шифрования вашего чата в WhatsApp нужно произвести несложные действия:

Открыть чат;

Открыть экран “Инфо о контакте”, для этого нужно нажать на имя контакта;

Включить шифрование нажатием на Шифровании для просмотра QR-кода и 60-ти значного номера.

В случае, если вы с собеседником находитесь рядом друг с другом, вы можете просканировать его QR код или сравнить визуально 60-ти значный цифровой номер. Подтверждением работы шифрования ваших сообщений и звонков послужит зеленая галочка при сканировании QR-кода и полное совпадение цифрового номера.

Если был просканирован код другого контакта или номера телефона, то код не будет совпадать. Также несовпадение возможно, если вы или ваш собеседник недавно переустанавливал приложение WhatsApp или произвел замену своего мобильного устройства. В таком случае потребуется обновление кода, для этого отправьте новое сообщение и просканируйте код еще раз.

Если видите, что отправленные сообщения в Вацапе не зашифрованы

Если при нажатии на “Шифрование” в разделе “Инфо о контакте/группе” появляется предупреждение о том, что ваши сообщения не зашифрованы, проблема скорее всего кроется в старой версии приложения у одной из сторон. Пожалуйста, убедитесь, что вы и ваш собеседник используете последнюю версию, если это не так, то обновите WhatsApp и повторите процедуру. Если все сделано верно, в чате должно появится уведомление о том, что ваши сообщения зашифрованы.

Утверждает, что все зашифрованные мессенджеры уязвимы, и в особенности, Whatsapp. Материал наделал много шума, однако так ли все печально на самом деле? Компания-эксперт в области интернет-безопасности Open Whisper Systems утверждает, что ничего нового в The Guardian написано не было и на Вотсап “наехали” напрасно.

Прошлой весной Whatsapp выпустил крупнейшее обновление в своей истории — добавилась функция принудительного конечного шифрования, которая по сути означает, что никто, включая Whatsapp, не может прочитать вашу переписку. Вчерашнее расследование The Guardian представляет мнение эксперта, который заявляет, что Whatsapp умышленно оставил “черный ход” (backdoor) в своем коде для возможного перехвата сообщений спецслужбами и другими заинтересованными лицами. Сами же разработчики Whatsapp утверждают, что это совсем не так, и что потенциально небезопасное поведение их приложения — ни что иное как облегчение жизни своим многочисленным пользователям.

Безопасность переписки Whatsapp была разработана с помощью компании Open Whisper Systems, той самой, которая разработала самый безопасный мессенджер в мире — Signal, и в своем блоге компания подробно описывает как все работает. В Вотсап внедрен Signаl-протокол (а еще он внедрен в недавний Google Allo), который выдает каждому пользователю два ключа безопасности: публичный ключ, по которому его могут идентифицировать другие пользователи и личный приватный ключ, который будет закреплен на устройстве. Поскольку люди частенько меняют свои телефоны и перестанавливают приложения, связка ключей безопасности будет меняться соответственно этому. Пользователи могут убедиться в приватности своего общения внутри Whatsapp, проверяя код безопасности на каждом устройстве, участвующем в разговоре — если коды совпадают, это будет означать что перехват сообщений между собеседниками отсутствует (такой тип атаки называется man-in-the-middle, MITM).

Материал the Guardian основан на расследовании Тобиаса Белтера (Tobias Belter) . Он утверждает, что сервер Whatsapp можно взломать по запросам третьих лиц. То есть Вотсап может сгенерировать новый ключ безопасности и выдать его этим самым третьим лицам пока пользователи не заметят, что что-то произошло. В мессенджере Signal app любая подмена ключа безопасности результирует в невозможность отправки сообщения и в предупреждение безопасности, причем все это происходит до того, как пользователь соберется переправить сообщение заново и самостоятельно. В Whatsapp же пользователь получает уведомление о смене ключа, при этом сообщение будет автоматически перекодировано под новый ключ и отправлено адресату. То есть вы только потом сможете выяснить, действительно ли совпадает новый ключ с вашим адресатом. При том, что такую настройку о предупреждении в вашем Whatsapp еще необходимо включить вручную:

Подобное поведение Whatsapp в компании Open Whisper Systems объясняют идеологической простотой использования мессенджера. А еще, сервера Whatsapp не знают, кто включил настройку о предупреждении, а кто нет — поэтому попытка взлома может быть быстро обнаружена. Во всяком случае, “адвокаты” Whatsapp настаивают на том, что такую политику безопасности можно называть как угодно, но это не уязвимость и не backdoor. Это “особенность”.

Многие западные эксперты по безопасности соглашаются с выводами Open Whisper Systems:

It’s ridiculous that this is presented as a backdoor. If you don’t verify keys, authenticity of keys is not guaranteed. Well known fact.

Frederic Jacobs (@FredericJacobs)