Читаем Старший брат следит за тобой. Как защитить себя в цифровом мире полностью

■ Операторы сотовой связи / провайдеры интернета / разработчики мессенджеров. Они могут анализировать трафик своих пользователей, если не применяется сквозное шифрование. (Но оно тоже не гарантирует конфиденциальности! См. врезку «О сквозном шифровании».)

Безопасность общения в программах со сквозным шифрованием строится на основе уникальных ключей, которыми обмениваются и которые подтверждают пользователи, – так гарантируется конфиденциальность. Обмен ключами может быть произведен симметричным способом (для шифрования и дешифровки используется один и тот же ключ) и асимметричным (сообщение зашифровывает открытым ключом отправитель, а расшифровывает своим закрытым ключом получатель)[316]. Асимметричный алгоритм надежнее, поскольку, даже если злоумышленник перехватит открытый ключ, он не сможет расшифровать сообщение, в отличие от симметричного алгоритма, – так как закрытый ключ хранится только на устройстве пользователя и никуда не передается.

Примечание. Концепция шифрования по асимметричному алгоритму с открытым ключом была предложена в 1976 г. американскими криптографами Уитфилдом Диффи и Мартином Хеллманом и получила название протокол Диффи‒Хеллмана.

Но разработчики мессенджеров не всегда поддерживают безопасные коммуникации. Так, в мессенджере WhatsApp была обнаружена серьезная уязвимость[317]: программа по умолчанию генерировала новые ключи для офлайн-пользователей, повторно шифруя ими неполученные сообщения. При этом ни отправителя, ни получателя не уведомляли о смене ключей. В результате хакеры могли провести MitM-атаку и вклиниться в чужой диалог без риска быть обнаруженным. В отличие от WhatsApp, в мессенджере Signal пользователь не получит сообщения, если у него изменился ключ, а отправитель будет уведомлен об этом. В Telegram сообщение не будет доставлено, но и отправитель не получит уведомление о том, что получатель так и не прочитал его послание. Для решения проблемы и получения своевременных уведомлений в WhatsApp можно включить уведомления о смене ключей (Настройки Аккаунт Безопасность Показывать уведомления безопасности (Settings Account Security Show security notifications)). Время от времени появляются сообщения о взломе мессенджеров. В декабре 2020 г. израильский производитель шпионского ПО заявил, что смог взломать мессенджер Signal[318].

■ Корпоративные системы слежки за сотрудниками. Как и голосовые вызовы, SMS-сообщения и незашифрованный трафик (а зашифрованный через скриншоты и кейлогеры, которые являются модулями так называемых средств предотвращения утечек (DLP)) из мессенджеров может быть перехвачен службой безопасности компании, а также злоумышленником.