Les concurrents de Waige ont longtemps modifié leurs applications en ajoutant une communication anonyme. Cette fonction augmente considérablement la popularité du produit des utilisateurs, car elle leur donne une plus grande sécurité. Enfin, cette opportunité a été ajoutée à Viber. Maintenant, vous ne pouvez pas vous soucier de votre correspondance et de sa disponibilité pour un large éventail de personnes.
Comment exactement les fonctions de chat secrète
On dirait que les discussions fermées ont l'air aussi bien que l'ordinaire. Mais ils ont une icône de verrouillage, à côté d'eux, ce qui indique que ces messages ont été transmis à l'aide d'un composé crypté. Mais ce n'est pas toutes les possibilités.
Pour de tels types de dialogues, vous pouvez installer n'importe quel intervalle de temps après lequel les messages de mode automatique Effacer. Par conséquent, même si quelqu'un obtient un accès non autorisé à votre appareil - il attend la déception. Vous savez maintenant que c'est une discussion secrète dans Vaiber.
Créer un chat secret
Vous pouvez aller directement du dialogue habituel
Comme vous pouvez le constater, une telle manière est beaucoup plus rapide que la première.
Réglage d'automatisation
L'architecture d'anonymat est fournie par le système via le cryptage. Pour lire les informations, vous avez besoin d'une clé d'accès. Qui est émis uniquement à l'expéditeur et au destinataire. Même lors de la réception d'un accès non autorisé, un attaquant, il ne sera pas en mesure de lire des messages.
Selon une manière similaire avec les développeurs de voies WhatsApp et le cryptage de bout en bout à part entière intégré, ce qui implique un stockage clés privées Cryptage sur les périphériques utilisateur. Contrairement à WhatsApp, qui utilise un cryptage de bout en bout en tant que protocole de bout en bout, la mise en œuvre de l'algorithme à double cliquet à partir de systèmes Whisper ouverts (signal), les auteurs de Viber ont réalisé sa réalisation à partir de zéro. Dans le même temps, le cryptage est soumis à transmettre entre les utilisateurs. des messages texte, appels, ainsi que les fichiers transférés. La fonction est disponible pour les utilisateurs commençant par Viber 6.0.
En commençant par Viber 6.0, toutes les caractéristiques principales de Viber sont sécurisées avec des messages de fin: des appels, des messages uniques, des messages de groupe, le partage des médias et des périphériques secondaires. Cela signifie que les touches de cryptage sont stockées uniquement sur les clients. Eux-mêmes et personne, pas même vibrant elle-même, n'a pas accès à eux. Le protocole de Viber utilise les mêmes concepts du protocole "double cliquet" utilisé dans l'application de signal de système Whisper Open Whisper Systems, cependant, la mise en œuvre de Viber a été développée à partir de zéro et fait ne pas partager le code source du signal.
Pour organiser un cryptage de bout en bout, chacun des clients utilise une paire de clés: ouvert et fermé. Cette paire de clients clés de l'algorithme de cryptage Curve 256 bits Curve-25519 (ID de clé) du client Viber est généré lorsque le messager est installé sur l'appareil principal. La partie publique de la clé va sur le serveur Viber et le privé est stocké sur le périphérique client pour le déchiffrement. messages entrants. D'autres appareils qui fonctionnent avec cette compte ViberRecevez également une copie de la clé fermée de l'appareil principal à l'aide d'un algorithme cryptographique spécial.
Viber définit une connexion sécurisée avec tous les appareils clients lorsqu'ils veulent échanger des messages. Cela signifie que si un côté, le messager est installé sur l'unité principale, sur un PC et une tablette, et une autre est également utilisée sur plusieurs périphériques, la connexion sécurisée sera installée entre chacun des périphériques des côtés opposés.
Pour envoyer un message sécurisé, les sessions sécurisées doivent exister entre le périphérique de session et tous les périphériques du destinataire, ainsi qu'entre le périphérique d'envoi et tous les autres périphériques de l'expéditeur. Donc, par exemple, si l'utilisateur A TAT a un téléphone mobile et un PC enregistré pour communiquer avec l'utilisateur B comportant un téléphone mobile et un PC, des sessions sécurisées doivent être établies entre chaque paire de périphériques.
Pour utiliser cette fonction de cryptage, les utilisateurs doivent mettre à jour leur annexe Viber à la dernière version.
Suite des informations détaillées Sur le cryptage vibrant cm.
Commençant par version du verset 6.0 (est apparu en avril 2016, l'application elle-même fonctionne depuis 2010) Toutes les fonctions de base Viber sont protégées par un cryptage de bout en bout (ou de bout en bout): appels via des messages de service, personnel et de groupe, etc. avec un tel Le type de cryptage clé de la correspondance n'est stocké que sur les appareils clients, et personne, même le développeur lui-même, ne leur a pas accès, la politique de confidentialité Viber Media Sari dit
Selon Schmilov, pour toutes les années de la présence de Viber en Russie (le bureau local a ouvert ses portes en juillet 2014), elle a reçu plusieurs fois des demandes d'agences gouvernementales, mais leur nombre était beaucoup plus petit qu'en Europe (le nombre exact de demandes et de types des demandes n'appelle pas).
Pour la requête, il existe une certaine procédure: les organismes chargés de l'application de la loi doivent venir avec l'ordre dans lequel une demande de fourniture d'informations sur un utilisateur spécifique est demandée. "Tout ce que nous pouvons donner - Journaux (fichiers contenant informations sur le système Le fonctionnement du serveur ou de l'ordinateur dans lequel certaines actions de l'utilisateur ou du programme sont entrées. - Rbc) Parlez: quand et avec qui l'utilisateur communiquait avec. Nous devons le faire conformément aux lois qui fonctionnent dans de nombreux pays du monde. De plus, nous ne pouvons rien fournir », a déclaré Schmelov.
De plus, pour cette action, y compris en Russie, la société prend les frais de traitement des soi-disant (une taxe pour l'opération, le montant exact dépend du pays). «Tout d'abord, en raison du fait que nous avons de l'argent et du temps. Les corps paient cette collection et ils acceptent de le faire pour obtenir information nécessaire"", Dit le responsable principal.
La persistance du FSB pour le télégramme est expliquée par le fait que ce messager n'a que 10% de la correspondance (les discussions dites secrètes) sont cryptées par la méthode de bout en bout, et la société a donc la capacité de déchiffrer Tous les autres messages, déclare Schmelov. "Viber a toutes les discussions et les appels protégés par le cryptage par défaut de bout en bout", a déclaré l'interlocuteur RBC. Pavel Durov n'a pas répondu à la demande de RBC de commenter cette déclaration.
Violateur
À la question de savoir pourquoi Viber, contrairement au télégramme, n'a pas encore été impliqué dans la procédure judiciaire avec Roskomnadzor, ni de la FSB, la Société n'a pas répondu.
Viber n'est pas enregistré en Russie en tant qu'organisateur de diffusion de l'information (ORI; ceux-ci incluent des services. e-mail, messagers, etc.). Selon la loi "sur l'information, technologies de l'information Et sur la protection de l'information "Depuis 2014, ces services doivent fournir des données Roskomnadzor sur elles-mêmes (nom, enregistrement de pays, identificateur de taxe, etc.) pour l'inclusion dans un registre spécial, ainsi que des données stockées sur les faits de la réception, Transmission et traitement en Russie Informations vocales, messages, images, vidéos et autres types de communication utilisateur dans les six mois.
Dans le registre, ORMA clients postaux Le groupe Mail.ru et Yandex, service cloud YANDEX.DESK, le réseau social "Mon monde", "Mon cercle", "Vkontakte", Mamba et Badoo Datings Services, Snapchat, Telegram et d'autres. Viber ne signifie pas - et la loi ne se casse pas encore. Viber n'est pas encore membre du registre d'ordre a confirmé le représentant de Roskomnadzor. Lorsqu'on leur a demandé lorsqu'un département peut envoyer des vibrations à fournir des informations à inclure dans le registre, il a déclaré que la décision n'était pas encore acceptée. Fournir des données pour l'inclusion ultérieure dans le registre est effectuée dans les cinq jours suivant la demande.
Une autre exigence législative, la réalisation desquelles pour Viber est difficile, est la disposition de la "loi d'été", entrée en vigueur le 1er juillet 2018. À partir de ce moment, ORI devra stocker des informations sur le fait de la communication de leurs utilisateurs au cours de l'année (maintenant six mois) et le contenu des messages eux-mêmes - une demi-année ( actuellement Il n'y a pas de telles exigences).
Selon Schmelov, la société ne sera pas prête à faire des choses qui contredisent sa politique. Dans la politique de confidentialité, Viber indique que la société ne lit pas le contenu des messages et n'écoute pas les appels effectués en privé avec Viber et ne stocke pas ces messages après leur livraison. Si, pour une raison quelconque, le message n'a pas été livré au destinataire dans les deux semaines, il sera supprimé des serveurs. «La priorité principale pour nous est la confidentialité de ceux-ci de nos utilisateurs et nous adhérerons à ce principe en tout cas. Y compris parce qu'il est difficile de transmettre ce que nous n'avons pas, "le Schmelov insiste.
Messagers sans clés
Le problème de l'incapacité à transférer les clés du déchiffrement est pertinent non seulement pour le télégramme et le vibrant. Le cryptage de bout en bout pour tous les chats utilise Facebook Messenger WhatsApp. Le vendredi 23 mars, ministre des Communications et des communications masse de la Russie Nikolai Nikiforov que le ministère se pose beaucoup plus de questions sur Facebook et WhatsApp que sur le télégramme, ils concernent les lois, l'ORI et l'interaction avec les agents de la force publique.
Le représentant WhatsApp n'a pas répondu aux questions RBC.
"Le problème du transfert clé existe non seulement avec nous", explique l'analyste en chef de l'Association russe des communications électroniques Karen Kazaryan. - L'Union européenne discute maintenant activement de la manière dont la police travaillera à la lumière du développement de la cryptographie et de la protection des données à caractère personnel. Nos services spéciaux peuvent aller pour l'exemple du FBI dans le cas d'Apple, lorsque les autorités ont piraté le terroriste de l'iPhone avec l'aide de hackers embauchés, après que la société a refusé de coopérer avec eux. "
En principe, les autorités peuvent demander des services d'introduire un cryptage spécial dont les clés seraient conservées dans la FSB, poursuit Artem Kozonuk, responsable de l'organisation à but non lucratif "Roskomxvobod", défendant les droits des utilisateurs. "Mais, en règle générale, grandes entreprises J'apprécie avec votre réputation et je ne vous discrétira pas avant que les utilisateurs. Bien que les services russes tels que les Statselers puissent se conformer aux exigences des services spéciaux », a-t-il noté.
Ne ont pas besoin
Selon Artem Kazoo, personne ne sait quel service à ce qui suit attribuera l'attention de la FSB et du Roskomnadzor. "Très probablement, cela se produit, en fonction de la situation spécifique, par exemple, dans le cadre de l'enquête sur certaines entreprises ou de suspicion que les criminels pouvaient utiliser un ou plusieurs canaux de communication", a déclaré Kozonuk.
Selon lui, jusqu'au printemps de l'année dernière, les services étrangers n'étaient pas introduits dans le registre, mais ils ont maintenant commencé à les inclure activement. «Au plus grand non encore atteint: apparemment, les bloquer en cas de refus de coopération est terrible. Par conséquent, le WhatsApp, Facebook, Facebook Messenger ne touche pas avant leur toucher, dit Kozluk.
Service de la loi
Viber est l'un des premiers à faire rapport sur la réalisation d'autres innovations législatives en Russie: Selon les amendements à la loi sur les données à caractère personnel, entré en vigueur le 1er septembre 2015, les services devraient stocker ces Russes dans le pays. Déjà un mois plus tard, Viber a effectué cette exigence. «En Russie, les numéros de téléphone et les connexions utilisateur seront stockés. Nous ne stockons pas les messages, ils sont sur les périphériques des utilisateurs », a déclaré le représentant de la société. Viber compte 100 millions d'utilisateurs enregistrés en Russie.
Le cryptage (bout à bout) chez les messagers a remporté la popularité du fait qu'il se produit complètement inaperçu des utilisateurs. Ils n'ont pas besoin de générer de manière indépendante une paire de clés, de les signent, de se répandre en extérieur et de protéger les touches secrètes, à temps pour examiner l'ancienne et compromise - tout est effectué automatiquement et la correspondance est une manière magique pour être protégée. Mais est-ce bien en fait?
Avertissement
Toutes les informations contenues dans cet article sont fournies uniquement à des fins d'information. Ni les éditeurs ni l'auteur ne sont responsables de tout préjudice éventuel causé par le matériel de cet article.
En 2004, notre compatriote Nikita Borisov, avec Jan Goldberg, a mis au point un protocole cryptographique universel pour les systèmes de messagerie instantanée. Le protocole s'appelait OTR (messagerie hors-record) et a commencé ouvertement distribué sous la licence GPL en tant que bibliothèque finie. À l'avenir, OTR est devenue la base d'autres protocoles populaires avec des méthodes supplémentaires d'amélioration de la sécurité. En particulier, le protocole de signal précédemment connu sous le nom de TextSecure. Sur la base du signal, la plupart des autres messagers modernes fonctionnent.
Principes du cryptage de correspondance
Conceptuellement, toutes les méthodes cryptographiques de protection de la correspondance doivent fournir au moins deux propriétés de base: la confidentialité et l'intégrité des messages. La confidentialité implique que seuls les interlocuteurs peuvent déchiffrer les messages de chacun. Ni le fournisseur d'accès Internet ni le développeur du messager, ni un tiers différent ne devraient avoir une capacité technique à effectuer un déchiffrement pour un délai raisonnable. L'intégrité fournit une protection contre les distorsions aléatoires et les attaques de substitution ciblées. Tout message modifié lors de la transmission sera automatiquement rejeté par la partie de réception comme une confidence endommagée et perdue.
Dans les protocoles d'échange modernes messages instantanés Des tâches supplémentaires qui augmentent la commodité et la sécurité sont également résolues. Dans le protocole de signal et ses analogues les plus proches, il s'agit de propriétés telles que la transmission asynchrone, le secret direct et inversé.
Vous avez sûrement remarqué que les messages manqués sont livrés dans les messagers. Ils viennent même si vous avez parlé discussion de groupe. Et tout à coup, il s'est éteint pendant une longue période au milieu de la conversation. Ceci est asynchrone: les messages sont cryptés et livrés indépendamment les uns des autres. Dans le même temps, en raison des étiquettes de temps et de certains mécanismes supplémentaires, leur séquence logique est préservée.
Une telle propriété comme secrecy directCela implique que lorsque vous compromettez la clé de cryptage clé, il n'est pas possible de décrypter la correspondance précédente. Pour cela, les messagers changent souvent des clés de session, chacune qui crypte sa petite partie des messages.
De même secrétaire inversé Fournit la protection des messages futurs lors de la compromission de la clé actuelle. Les nouvelles clés sont générées de manière à ce que leur relation avec précédemment calculée soit extrêmement difficile.
Le secret direct et inversé est mis en œuvre dans les mécanismes de gestion des clés modernes. Le protocole de signal pour cela utilise l'algorithme "double cliquet" (double cliquet, DR). Il a été conçu en 2013 Créateur de cryptographie Trevor Perrin (Trevor Perrin) et le fondateur de Open Whisper Systems Moxie Marlinspike (Moxie Marlinspike).
Le nom est une référence à l'énigme de la machine de cryptage mécanique, dans laquelle la cliquet est utilisée - engrenages avec des dents inclinées, ne se déplaçant que dans une direction. En raison de cela, l'état du matériel, répétant l'un des utilisateurs récemment utilisés, a été exclu dans la machine de cryptage.
Par analogie avec eux, "cliquet numérique" empêche également la réutilisation des états précédents du système de chiffrement. Le Dr change souvent des clés de session, tout en laissant la réutilisation préalablement générée. Il fournit simplement un secret direct et inversé, c'est-à-dire une protection supplémentaire des messages individuels. Même dans le cas d'une sélection réussie d'une clé de session, la partie attaquante sera en mesure de déchiffrer uniquement les messages les cryptés, ce qui constitue toujours une petite partie de la correspondance.
Le protocole de signal est également mis en œuvre par de nombreux autres mécanismes intéressants, dont la description dépasse les articles. Les résultats de son audit peuvent être trouvés.
Signal et ses analogues
Le cryptage passe-temps fourni par le signal est utilisé à la fois dans le messager Messenger Messenger de Open Whisper Systems, et dans de nombreuses tiers: WhatsApp, Facebook Messenger, Viber, Google Allo, G Data Secure Chat - Tous utilisent la version d'origine ou légèrement modifiée du protocole de signal, leur donnant parfois des noms. Par exemple, Viber est le protocole de protéeus - en fait, le même signal avec d'autres primitives cryptographiques.
Cependant, avec un cryptage transversal similaire, l'application peut compromettre ces données d'une autre manière. Par exemple, WhatsApp et Viber ont une fonction copie de la réserve Historique de la correspondance. De plus, WhatsApp envoie des statistiques de communication aux serveurs Facebook. La protection contre une copie locale et cloud de la correspondance est formelle et les métadonnées ne sont pas cryptées du tout - cela est ouvertement indiqué dans le contrat de licence.
Selon les métadonnées, vous pouvez voir qui communique avec qui et quelle fréquence quels périphériques pour cela utilisent là où il est et ainsi de suite. Il s'agit d'un vaste réservoir d'informations indirectes, qui peuvent être utilisés contre les interlocuteurs, qui envisagent leur canal de communication protégé. Par exemple, ANB, peu importe ce que le suspect a félicité Assange a félicité Obama chez les imbéciles et que Julian lui répondit. Il est important qu'ils soient réécrites.
Comme mentionné ci-dessus, tous les messagers modifient périodiquement les clés de cryptage de la session et ceci processus normal. La principale clé peut changer si l'interlocuteur s'est déplacé vers un autre appareil, est allé à l'écran depuis longtemps ... ou une personne a commencé à écrire en son nom, ce qui entraîne un compte.
Dans l'application de signal d'origine, tous les participants à la conversation sont envoyés avis pour modifier la clé. Dans WhatsApp et d'autres messagers, ce paramètre est désactivé par défaut, car la plupart des utilisateurs d'informations significatives. En outre, la clé change avec une dette de l'absence d'un interlocuteur en ligne - il s'agit d'un bogue et de la fonctionnalité en même temps.
En tant que chercheur de l'Université de Californie à Berkeley Tobias Boetel, lorsqu'il attaquait le service, il est possible de créer nouvelle clé Et obtenir des messages au lieu de destinataire. De plus, la même chose peut être faite par WhatsApp Servers eux-mêmes - par exemple, à la demande des services spéciaux.
Les développeurs de protocoles de signal réfuient les conclusions de Bölter et se trouvent sur la protection de WhatsApp. Selon eux, la substitution de la clé donne accès uniquement à l'absence de messages. Faible consolation.
Vous pouvez activer la notification de changement de clé dans les paramètres, c'est juste en pratique, ce mode paranoïde est peu susceptible de donner quelque chose. Le messager notifie la clé pour changer seulement après avoir renvoyé des messages. On croit qu'il est plus pratique pour les utilisateurs eux-mêmes.
Continuation disponible uniquement aux abonnés
Option 1. Abonnez-vous à "Hacker" pour lire tous les matériaux sur le site
L'abonnement vous permettra pendant la période spécifiée de lire tous les matériaux payants du site. Nous acceptons le paiement cartes bancaires, argent électronique et traductions des opérateurs mobiles.
04/25/2016, Lun, 09:32, Temps de Moscou, Texte: Pavel Lebedev
Messenger Viber après les concurrents a annoncé le lancement d'un cryptage de bout en bout pour les messages et conversations téléphoniques Ses clients.
Viber est devenu sûr
Les propriétaires du service de messagerie et de VoIP Viber ont annoncé la mise en œuvre de la fonctionnalité de cryptage de bout en bout (fin de cryptage), disponible pour mettre à jour le programme client (version 6.0) sur diverses plateformes - Android, iOS, PCS et mac.
D'abord profiter de nouvelle technologie La protection des données a pu permettre aux résidents du Brésil, de la Biélorussie, d'Israël et de la Thaïlande. Dans les deux semaines, la géographie sera étendue au reste de la présence de Viber. Selon le directeur de l'exploitation Viber Michael Schmilova (Michael Shmilov), le développement d'un cryptage de bout en bout a été effectué "pendant plusieurs années".
Comment à travers la protection de bout en bout
L'essence du cryptage de bout en bout est que le message est sous forme cryptée sur le chemin de l'expéditeur au destinataire. La clé à laquelle le message peut être déchiffré n'est stocké que chez le destinataire. Le propriétaire du messager ne sera donc pas en mesure de le transférer à une tierce partie même à la demande des organismes d'État. «Viber ne donnera pas accès à la correspondance dans aucun pays et en aucune circonstance. Nous adhérons à la même position que Apple et WhatsApp occupaient. À la disposition de la société, il existe des enregistrements de l'interaction de divers les numéros de téléphoneMais nous n'avons pas accès au contenu des messages ou des conversations », a déclaré Viber.
Les développeurs vibrants ont fourni plusieurs niveaux de protection. Après avoir activé la mise à jour à l'aide du code QR à droite, une icône du verrou apparaît à l'écran, dont la couleur indique le degré de sécurité. La couleur grise indique le cryptage complet des données, le verrou vert apparaît dans le cas de la sélection de l'option d'authentification de l'utilisateur en option lorsque la nouvelle conversation est démarrée. La couleur rouge met en garde contre une tentative d'interception des données, cependant également s'allume dans le cas de l'utilisation de la source du nouveau périphérique.
À la poursuite des concurrents
Viber a annoncé la mise en œuvre de la technologie du cryptage de bout en bout que d'un mois après l'apparition du cryptage transparent dans le service WhatsApp, qui compte environ 1 milliard d'utilisateurs et est le messager le plus populaire au monde.
Viber après les concurrents a annoncé le lancement d'un cryptage de bout en bout
Viber - le deuxième compte du compte du service d'échange de messages instantanés avec une clientèle de plus de 700 millions de personnes. Un autre télégramme commun (plus de 100 millions d'utilisateurs) - a une fonction de cryptage de bout en bout depuis son libération en 2013
Détails techniques
Parter des concurrents de WhatsApp sur la mise en œuvre nouvelle opportunité Steel Company Open Whisper Systems, développeur application mobile Signal - Messenger préféré Edward Snowden Edward Snowden), où le cryptage de données est basé sur le protocole de protocole de signal. Son fonctionnalité est que pour chaque session, de nouvelles touches sont utilisées (en revanche, par exemple, du protocole de cryptage par courrier électronique PGP dans lequel les messages sont chiffrés à nouveau et à nouveau avec la même clé publique).
Représentants Viber, contrairement aux collègues de WhatsApp, ne divulguez pas de détails techniques sur le travail de leur mécanisme par la protection. La Société a nié des informations sur l'utilisation de l'algorithme MD5, considérée comme non fiable et a rapporté que "la technologie de cryptage est basée sur le protocole avec open sourcecomplétée par ses propres développements (interne). "
