На какие крипто-мессенджеры стоит обратить внимание в борьбе за безопасность личной переписки

Волна изобличений спецслужб мира в отслеживании интернет-контента и личных данных пользователей, которую поднял экс-сотрудник ЦРУ Эдвард Сноуден, обострила интерес людей к мобильным приложениям обмена зашифрованными сообщениями. Желание аудитории защититься от слежки «большого брата» находит отклик у разработчиков приложений, именуемых крипто-мессенджерами. Созданием «антишпионских» сервисов для различных мобильных устройств озаботились как уже известные ИТ-компании, так и небольшие команды программистов-стартаперов. Ibusiness.ru представляет обзор наиболее перспективных крипто-мессенджеров — как известных, так и только создаваемых.

Внимание к алгоритмам

Системы обмена мгновенными сообщениями, или мессенджеры, существуют уже довольно давно; некоторые из них имеют громадную аудиторию: например, число активных пользователей приложения WhatsApp уже превышает 250 млн человек в месяц. Однако далеко не каждый такой сервис позволяет шифровать передаваемую в реальном времени информацию. Этой способностью обладает особый класс подобных программ для для мобильных устройств — крипто-мессенджеры.

Их можно разделить на три большие группы: мобильные версии уже существующих клиентов для операционных систем обычных персональных компьютеров; приложения, изначально созданные для операционных систем смартфонов; java-версии клиентов-мессенджеров для слегка продвинутых обычных телефонов или смартфонов предыдущего поколения. Приложения последней категории уже морально устарели, поэтому мы исключили такие программы из обзора.

Акцент на солидности PGP

Одни из первых клиентов с версиями под мобильные операционные системы с возможностью шифрования личных сообщений были основаны на открытом протоколе XMPP, также известном как Jabber. Во многие jabber-мессенджеры изначально встраивалась поддержка стандартов автоматического шифрования PGP и GnuPG. Один из самых популярных XMPP-крипто-мессенджеров для персональных компьютеров — Safety Jabber (SJ) — выпустил версию для iOS еще в начале 2013 года. Версии для Android у приложения пока нет; еще в октябре 2012 года разработчики SJ заявили, что ее следует ожидать в обозримом будущем.

В отличие от большинства мессенджеров на основе Jabber, снабженных возможностью шифрования сообщений в качестве дополнительной функции, SJ позиционирует себя в первую очередь именно как крипто-мессенджер. Разработчики особо указывают, что для шифрования сообщений в SJ используется алгоритм OpenPGP. В SJ пользователь может как сам указывать пары ключей, так и доверить функцию их генерации программе. История чата шифруется менее криптостойким, зато более быстрым алгоритмом AES (Rijndael) — «Упреждая ваш вопрос „Почему не с помощью того же OpenPGP?“,- скажем, что декодирование хранимой истории отнимает много времени; к примеру, расшифровка 10 000 записей требует около одного часа»,- объясняют разницу разработчики. Приложение поддерживает любые jabber-серверы, что обеспечивает пользователю доступ к чатам Facebook, Google Talk, VKontakte, Я.Онлайн и др., хотя шифрование сообщений возможно только между аккаунтами самого SJ. Приложение недешевое: в онлайн-магазине Apple Store за него придется отдать $49.99.

Приложения для модников

Крипто-мессенджеры нового поколения, созданные уже специально для смартфонов, представлены на рынке пока не очень широко. Одно из самых популярных сегодня приложений данной категории – Wickr, разработанное для пользователей iPhone, iPod и iPad, представленная пользователям год назад. Помимо непосредственно шифрования сообщений, приложение автоматически удаляет всю переписку старше шести дней, причем как на самих мобильных устройствах, так и на серверах. Впрочем, пользователь может и сам задать срок уничтожения сообщений. Дополнительной функцией является возможность окончательного удаления всех файлов приложения, удаленных ранее, чтобы их уже точно было нельзя восстановить никакими программными средствами.

Шифровать в Wickr можно практически любой контент – текст, фото, аудио и видео. Кроме голосовых переговоров, которые программа в принципе не позволяет совершать. Метод шифрования не разглашается, разработчики утверждают, что в Wickr используются алгоритмы, аналогичные тем, которые применяют военные. Косвенным подтверждением этому утверждению может быть репутация одной из создательниц Wickr Нико Селл (Nico Sell), которая является довольно авторитетным в США консультантом по ИТ-безопасности, а также отвечает за связи с общественностью при проведении крупнейших хакерских конференций Defcon. Wickr довольно прост в использовании, никаких пар ключей, как в случае с крипто-мессенджерами на PGP, ему не требуется. Кроме того, приложение абсолютно бесплатно. Единственным минусом Wickr, помимо нетранспарентности метода шифрования, является то, что данный крипто-мессенджер работает только на Apple-устройствах. И хотя версию для Android разработчики все же обещают сделать, с момента анонса на «ближайшее будущее» прошло уже больше года.

Альтернативой Wickr является крипто-мессенджер iCrypt, также работающий под операционной системой iOS. Однако, в отличие от Wickr, создатели iCrypt из словенской компании SIS Software не специализируются исключительно на крипто-мессенджерах. В каталоге SIS, существующей с 2008 года, более десятка различных приложений и игр для мобильных устройств. Тем не менее, по ряду характеристик iCrypt является уникальным приложением. В частности, получатель имеет возможность смотреть зашифрованные SMS, e-mail-сообщения и фотографии через веб-браузер, даже если у него не установлено само приложение iCrypt. Для этого ему потребуется только пароль к приаттаченному в сообщение iCrypt-файлу. В свою очередь, отправителю сообщения нужно всего лишь выбрать получателя из своих контактов в iPhone.

Алгоритм шифрования iCrypt, как и в случае с Wickr, не прозрачен. Но это не главный недостаток данного крипто-мессенджера. Очевидным слабым местом является необходимость пользования паролями, которые уязвимы к подбору или краже, а при таком развитии событий само шифрование теряет смысл. Впрочем, приложение устроено таким образом, что заданные пароли нигде не сохраняются, во всяком случае по утверждению разработчиков. К тому же пользователи iCrypt из некоторых стран могут испытывать трудности с захватом телефонных номеров из контактов iPhone, поскольку приложение автоматически настроено под 10-значные номера. Кроме того, приложение iCrypt небесплатно, хотя и стоит относительно недорого — для российских покупателей немногим более $5.

Новые крипто-мессенджеры на краудфандинге

Ряд разработчиков приложений для шифрования сообщений решили искать финансирование для своих программ методом краудфандинга, то есть открытого сбора средств в интернете в сжатые сроки в обмен на различные бонусы или на сам результат труда. Одной из самых интересных подобных разработок является приложение Redact Secure Messenger, на глобальное обновление которого команда программистов из Великобритании собирает деньги через популярную краудфандинговую площадку Kickstarter.com. Для доработки первой «сырой» версии Redact программистам необходимо собрать $38 тыс, уже собрано немногим более 10%.

Очевидным преимуществом данного проекта является то, что Redact изначально делается как под операционную систему iOS, так и под Android, а также для настольных компьютеров. Особенность Redact состоит в использовании пиринговой технологии обмена зашифрованными сообщениями, которая не подразумевает наличия каких-либо центральных серверов для передачи данных, а задействует для этого сами мобильные устройства. В результате даже в случае обнаружения и расшифровки сообщения на каком-то этапе фактически невозможно установить его отправителя и получателя. Разработчики могут не успеть уложиться в отведенные сроки сбора средств (до финала кампании осталось всего три недели), и это может отсрочить долгосрочные планы разработчиков по созданию версии для Windows Phone.

Аналогичным путем решило пойти руководство крупнейшего в мире торрент-трекера The Pirate Bay, создав для сбора средств на собственный проект крипто-мессенджера Heml.is отдельный сайт. За первые несколько дней кампании разработку профинансировали свыше 10 тыс. желающих, в совокупности вложив в полтора раза больше необходимых $100 тыс. Также, как и Redact, Heml.is изначально разрабатывается и под iOS, и под Android.

О каких-либо существенных технологических инновациях в проекте Heml.is не сообщается. Известно, что принцип работы будет базироваться на классической «связке» протокола XMPP и стандарта PGP, а передача данных осуществляться через один центральный сервер. Однако создатели приложения уже заявили, что Heml.is будет бесплатным — платными будут лишь некоторые дополнительные функции.

Источник: iBusiness