Facebook Messenger начал тестировать end-to-end шифрование на протоколе Signal



    Facebook Messenger начал внедрение секретных чатов — системы end-to-end шифрования коммуникаций между пользователями. В отличие от Telegram, где используется собственный нестандартный протокол MProto, компания Facebook выбрала известное и проверенное решение — современный и открытый Signal Protocol, разработанный в Open Whisper Systems.

    Этот протокол применяется в референсном мессенджере Signal, а также в мессенджерах WhatsApp, Google Allo, а теперь и в Facebook Messenger.

    Судя по всему, на рынке постепенно формируется открытый стандарт сильного шифрования для IM-коммуникаций, который поддерживают многие популярные программы (кроме Telegram).

    Facebook опубликовала документ с описанием, как она используют в мессенджере шифрование.


    Как указано в техническом описании, Facebook применил свободные библиотеки Signal от Open Whisper Systems.

    В свою очередь, разработчики из Open Whisper Systems подтвердили, что интеграция библиотек произведена корректно.

    Нужно отметить, что в Facebook пока что end-to-end шифрование не включено по умолчанию для всех коммуникаций, как это сделано в WhatsApp или Signal. Здесь пользователь должен вручную начать «секретный чат», как в Telegram. Очень малый процент пользователей отказывается от настроек по умолчанию, так что о полноценном шифровании всех разговоров речи не идёт. Но это шаг в правильном направлении. Учитывая аудиторию примерно в 900 миллионов пользователей Facebook Messenger, это действительно большой шаг.

    Будем надеяться, что end-to-end шифрование станет стандартным способом коммуникации и будет включено по умолчанию во всех мессенджерах. В данном случае оператор сервера не владеет ключами для расшифровки пользовательских сообщений и не имеет возможности выполнить требования правоохранительных органов по расшифровке трафика. В России такие требования к операторам собираются выдвинуть в ближайшее время, а вот в Бразилии, например, топ-менеджера Facebook отвозили для допроса в полицейский участок, а работу сервиса WhatsApp по всей стране дважды блокировали (на 12 и 48 часов) из-за того, что компания WhatsApp (принадлежит Facebook) оказывалась предоставить властям сведения о преступниках, которые использовали WhatsApp для общения.

    Директор по безопасности Facebook Алекс Стамос (Alex Stamos) пишет, что шифрование не включают по умолчанию по нескольким причинам.

    Во-первых, Facebook Messenger поддерживает работу с нескольких устройств, а если активировать E2E, то эта поддержка потеряется (ключи с одного устройства нельзя использовать на другом). Нужно отметить, что вообще-то протокол Signal поддерживает работу на нескольких устройствах, так что тут проблема скорее в конкретной технической реализации.

    Во-вторых, в секретных чатах не работают некоторые популярные функции, такие как поиск в истории сообщений, голос и видео, то же переключение устройств, указанное выше.

    В-третьих, сотни миллионов человек используют Messenger через браузер, а в этом случае якобы нет способа надёжно хранить ключи и шифровать сообщения, если не перенаправлять их через мобильное устройство.
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 34

      –8
      End-to-end? Теперь модно говорить оконечное
        0
        Хм, надо себя заставить.
          +2
          Предлагаю вариант терминальное или терминаторное :)
            +5

            В хелпе к WhatsApp используют термин "сквозное" в том месте, где в английской версии end-to-end. Предлагаю остановиться на этом варианте, если уж не хочется засорять речь иностранными словами.

              –6
              Нельзя шутить про западные ценности. Заминусуют.
                –4
                Окей, 5 человек не понимают сарказм
                  0
                  Оконечное — мицголизмом попахивает :)
                    0
                    По-моему, «оконечное» — просто неподходящий термин, скорее уж прямой перевод «из конца в конец».
                    +2
                    Не вижу смысла переводить технические термины: в медицине, ботанике, биологии профессионалы пользуются же общепринятыми латинскими. Не понимаю, зачем вносить путаницу и усложнять всем жизнь, учитывая, что без английского всё равно хорошим программистом или инженером теперь не стать, а также то, что большинство статей издаются на английском, а ещё необходимость международных связей.
                    +1

                    С одной стороны, можно порадоваться, что идеи сквозного шифрования из редких мессенджеров с поддержкой OTR распространяются наконец в массовые мессенджеры. С другой стороны, возникает опасение, что господа этого мира не смирятся с такой ситуацией и просто введут запрет на сквозное шифрование.


                    Кроме того, пугает повсеместная проприетарщина этих самых популярных мессенджеров и мобильных телефонов (которые, как я уже было понадеялся, отжили своё, ан нет). Как сторонник ПО с открытыми исходниками, я ни один из этих мессенджеров установить не могу, а, пользуясь из браузера, не удастся насладиться преимуществами сквозного шифрования. Иными словами, сейчас вся эта область находится примерно на этапе Windows 3.11, если проводить аналогию с операционными системами. Будем надеяться, что в скором времени появится свободный и при этом популярный мессенджер, пригоный для использования параноиками вроде меня.

                      –1
                      Telegram же Open Source
                        +1

                        Это только к клиенту относится. Сервер проприетарный, что вынуждает пользоваться официальными серверами, превращая их в удобное место для слежки. Тексты секретных чатов не будут видны серверной слежке, но факт связи будет зафиксирован, а этого может быть и достаточно для их задач. Сравните с электронной почтой, для которой каждый может сделать себе личный сервер.

                          0
                          Даже если сервер будет в опенсурсе, это не гарантирует, что именно этот код будет работать на продакшене и не будет сливать логи в открытом виде.
                            0

                            Но будет возможность открыть свой сервер, как это бывает в электронной почте, jabber, IRC, mumble и многих других действительно свободных способах связи.


                            А ещё лучше, если сервера нет вообще, как в torchat или bitmessage, тогда и поднимать свой сервер не придётся и угрозы слива логов не будет.

                              +1
                              Если хочется свой сервер, то можно взять что-то другое, а не телеграм.
                              Офиицальный клиент к стороннему серверу не подойдёт, нужен отдельный клиент, а это не удобно, теряется как раз удобство добавления друзей и прочее.
                              Системы без серверов требуют много ресурсов для своей работы, море побочного трафика (например bitmessage принимает вообще ВСЕ сообщения, что передают пользователи в системе, я когда её только поставил, оно часа 2-3 синхронизировалось, это с учётом того, что там почти никто не общается), что слабоприменимо к мобильным устройствам.

                              И опять-так, очень сложно соблюсти баланс между безопасностью и удобством (PGP шифрование почты это безопасно, но неудобно для 99% пользователей).
                                0
                                Офиицальный клиент к стороннему серверу не подойдёт, нужен отдельный клиент, а это не удобно, теряется как раз удобство добавления друзей и прочее.

                                Сделали бы домен частью идентификатора, как в e-mail. Правда, тогда получился бы jabber с OTR...

                                  0
                                  Вот именно то, о чём я и говорю. Если нужно шифрование для общения, то инструменты есть, но к сожалению они для большинства не очень удобные и не массовы. Вывести в массы полностью защищённый месседжер не получится, т.к. пользоваться им будет неудобно: поиска друзей по номеру не будет (вы ведь не будете сливать свои номера всем в сети для поиска?), синхронизации сообщений не будет (ключ шифрования не покидает устройства), оффлайн сообщения тоже доходить не будут (кто захочет хранить лишние сообщения у себя?), пуш уведомления не будут поддерживаться (нет сервера, который бы делал запросы на сервера гугла и эппла).
                                0
                                Если будет свой сервер — можно будет отказаться от поиска ненужных SIM-карт для активации аккаунта, как минимум.
                              0
                              Я тоже парноик и тоже за OpenSource. Но ваши утверждения выглядят для меня уж слишком параноидальными.
                            0
                              0
                              Жаль, что версия под андроид так и не работает на интеловских 64 битных процессорах…
                                0
                                Но есть исходники… ;) :))
                                  0
                                  Хм, сейчас посмотрел, вроде бы сделали версию по x86_64 процессоры, но надо собрать самому и что-то там билды не прошли))
                                    0
                                    Удачи! :)

                                    P.S. Было бы интересно узнать, как всё прошло… :))
                                      0
                                      Я не очень в этом разбираюсь, но вроде бы 27 попыток сборки завершились неудачей…
                                      https://build.tox.chat/job/tox4j_build_android_x86-64_release/
                                        +1
                                        27-я, как я понял, а не все 27.

                                        Проверить не могу: для меня эта платформа немногим доступнее Б3-34… :))
                                          +1
                                          Ещё 23, 24, 25 и 26 попытка также провалились. Вообще поддержка x86_64 зависит как от библиотеки tox4j. Подожду ещё, может её починят…
                            0
                            Анти-Яровое Шифрование ))
                              +1
                              Кстати, а что там с перемещением данных пользователей на территорию РФ? Facebook уже сделал это? Если я правильно понял, то не сделал (хотя я мог что-то пропустить) и не собирается. Но и блокировать его никто не собирается. Может и с месенджерами тоже самое будет? Просто упрутся рогом (не будут встраивать бэкдоры) и на этом вся «расшифровка Интернета» закончится.
                                0
                                Было бы хорошо. По моему, самое главное — это сопротивление гигантов всему этому законодательному бреду.
                                0
                                А зачем FB вообще какие-то серьезные технологии шифрования, пока это не влияет на их доход? Сказали «есть крипто», и 99% народу поверили.

                                А что гд-то там ключи можно или не можно хранить, так надо не с точки зрения крипто смотреть, а с точки зрения доходов FB и роста их БД на пользоваталей.
                                  +4
                                  FB очень популярен и наверняка будет проанализирован специалистами по безопасности. Если они выявят, что шифрование там только для галочки, а слова про безопасность просто ложь, то будет скандал и акции фейсбука упадут, компания потеряет капитализацию. Зачем им лишние проблемы, если у них есть ресурсы для написания нормального кода?
                                  0
                                  Вот зачем плодить очередной мессенджер на базе протокола Signal, а не начать продвигать сам Signal науке неизвестно.
                                    +4
                                    Да прекрасно это известно.
                                    В чем смысл продвигать чужой продукт?

                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                  Самое читаемое